CTF比赛PWN题解题思路(一)

原创 于 2025-10-15 11:43:37 发布 · 737 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言

CTF比赛PWN题解题思路(一)

题目一

运行程序如下,输入1,提示no username

用IDA对程序进行逆向,需要输入admin才能继续

程序漏洞点是在输入用户名的地方存在栈溢出

方法一

使用gdb进行调试,在main函数处设置断点

单步调试(ni)到func函数处,进行步入(si)

单步调试到名字输入的位置

输入足够长度的字符串

计算引起溢出的字符串长度,有两种方法,第一种包括admin所以长度为56

将返回地址覆盖成程序中我们想让其返回的地址,这里我们通过IDA查找危险函数

这里有危险的shell函数,地址为0x405D36, 因为小端存储,因此我们需要写入365D40,字符串为6]@

最终payload为admin+51个字符+6]@,成功获得shell

方法二

根据变量长度计算空间大小,再加上8比特,编写脚本

题目二

首先查看伪代码,栈空间建议使用gdb进行调试,伪代码查看可能不准确

程序最终的判断是v7和v5相等即可得到shell,v7是程序里的,v5是我们的输入,然后这里data可以输入0xc0个字节,这里可以覆盖v7的地址空间。

因此本题的解题思路是输入data,覆盖掉v7,然后输入已知的数据,获得shell。

编写脚本获得shell

题目三

查看伪代码 gets处存在栈溢出,必须首先输入设定的字符串

但是溢出后的返回地址,程序里面并没有明显的shell,但是有bin/sh字符串和system函数可以利用

获取RDI地址

编写脚本获得shell

题目四

类似于题目三,不同点在于没有/bin/sh字符,需要使用gets函数写入

使用gdb调试,vmmap命令获得可写的地址空间

编写脚本写入/bin/sh

获得shell

文章来自网上,侵权请联系博主

黑客&网络安全如何学习

如果你也对网路安全技术感兴趣,但是又没有合适的学习资源,我可以把私藏的网安学习资料免费共享给你们,来看看有哪些东西。

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我们和网安大厂360共同研发的的网安视频教程,内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识,而且包含了中级的各种渗透技术,并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频,100多本网安电子书,最新学习路线图和工具安装包都有,不用担心学不全。
在这里插入图片描述

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

新手打pwn
m0_74736832的博客
07-05 1925
攻击者可以使用格式化字符串的特性,将个特定的值写入到可以修改canary的位置上,从而绕过检测。它是C语言中的标准函数库,提供了各种基础函数和数据类型的定义,以及多个常用功能的实现。弹出时的数据顺序:由于栈的"先进后出"原则,"pop"指令弹出的数据顺序与它们被"push"到栈中的顺序相反。当使用"pop"指令弹出数据时,栈指针会自动向下移动,指向新的栈顶位置。x86架构(如Intel和AMD处理器)中的"pop"指令:在x86汇编语言中,"pop"指令用于将栈顶的数据弹出并存储到目标操作数中。
pwn入门小技巧
qq_36918532的博客
05-24 3415
目前我所遇到的pwn的做技巧 我也是偶尔玩玩ctf,所以也不会很难的,所以这篇主要是帮助刚开始学习的人学习吧 首先知识点包括:栈,堆,整数溢出,格式化字符串 目前ctf越来越偏向于实际,有的会使用刚刚爆出来的CVE漏洞的,所以不能只局限于glibc 所以可以大体分为两类把:libc,kernel 栈利用:有ret2libc,ret2shellcode,ret2text,ropchain,ret2syscall,brop,srop等等,当然有时候还会有seccomp的只能使用ORW系统调用 堆利用:
做的第pwn
LL021101的博客
03-20 1571
步骤 、使用Ubuntu,对pwn文件进行扫瞄; file语句主要用来看本文件是多少位的,是不是elf文件——ELF文件详解—初步认识_code&poetry的博客-优快云博客_elf文件,(该链接详细介绍了elf文件的基本结构),图中显示64-bit,意思是64位的文件 checksec命令是用来查看该文件有哪些保护措施。 NX(DEP):数据执行防护 Canary(FS):栈溢出保护 RELRO(ASLR):(地址随机化) PIE(代码地址随机化)...
CTF PWN解题的小技巧
yy1715713348的博客
07-22 747
行文至此,本次测试也就结束了!文章略长,简单做个总结:在本文中,我们通过使用CTF示例讨论了漏洞利用开发的过程,我们了解了程序如何从argv和argc接收输入的参数。最后,了解了由于较小的随机范围,32位系统中的ASLR为何容易受到攻击,以及如何利用此漏洞进行攻击。我们可以使用 "scp "命令轻松地将我们的脚本上传到服务器的tmp目录下,就像这样。[外链图片转存中…(img-lYig6HAY-1690015362559)]终于拿到了我们的flag!行文至此,本次测试也就结束了!
”BUUCTFpwn解(些栈+程序分析)
热门推荐
swedsn
01-13 2万+
文章目录前言、test_your_nc二、rip2.读入数据总结 前言 萌新的总结(包含当时做的全过程),方便以后查看。有什么不对的望各位大佬指点。 、test_your_nc 1.直接nc(nc+的ip+端口号)。这里是直接进入了对方的shell命令中(有些题目是直接进入对方的文件并不会进入对方的shell中)。接下来就是和操作自己的shell样的,ls查看目录,cat查看文件flag。 相互连接 二、rip 1使用IDA打开文件,先找main函数,然后按F5查看伪代码。看wp说fun可疑,点进
CTF pwn 方向部分
kali_Ma的博客
01-12 1505
dataleak 用”\或者/都可以跳过2个\x00,但是每次用”\会拷贝4个字节到buf中,导致最后的3字节数据无法泄露,所以用/\配合垃圾数据填充来控制泄露字符串。 exp: #!python #coding:utf-8 from pwn import * import subprocess, sys, os from time import sleep sa = lambda x, y: p.sendafter(x, y) sla = lambda x, y: p.sendlineafter(x
BugkuCTF-PWNcanary超详细讲解
am_03的博客
08-31 2955
知识点 小端序说明,数据在内存里是如何存储的?下表里数据都为16进制 解题流程 题目Hint:更新 LibcSeacher 的 libc-database checksec查看保护机制 0x28=40 0x10=16 0x29=41 0x300=768 0x2C=44 buf长度为48,而read读取长度为768 v5长度为520,而read读取长度为768 所以存在栈溢出漏洞 from pwn import * #sh = process('./pwn4_') #context.log_lev
CTF | CTF比赛解分享
hackzkaq的博客
10-09 9430
前言:由于此次比赛题目较多,所以这是这个比赛的第篇wp,共20,先记录下,防止忘记。里面有些题目是新手较为简单,但也有许多有意思的题目,真的是做的过程痛不欲生,做完才感觉到酣畅淋漓,废话不多说,开写。接下来就可以定位了。1.这次显示文件是个jpg格式的图片,但是打不开,16进制编辑器打开,看到文件头出现了IHDR头,就可以想到其实是个png格式的图片,再看到文件尾,更加证实了是个png文件。4.第三张照片是最头疼的,全都是高楼,能够看到的只有广西农信,时代丽都,搜索相关位置,找到了大概区域。
CTF pwn -- ARM架构的pwn详解
lifanxin的博客
05-14 3425
arm架构的pwn详解概述环境搭建使用QEMU使用gdb-multiarchARM架构基本知识道例参考博客总结 概述   ARM架构过去称作进阶精简指令集机器(Advanced RISC Machine,更早称作:Acorn RISC Machine),是个32位精简指令集(RISC)处理器架构,其广泛地使用在许多嵌入式系统设计。由于节能的特点,ARM处理器非常适用于移动通讯领域,符合其主要设计目标为低耗电的特性。因此我们常用的手机、平板等移动设备都是采用ARM体系架构的,因此CTF中不可避免也会出
PWN入坑指南
2401_84466325的博客
05-28 1785
本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。到了getshell步骤 ,PWN基本已经解出来了,把我们漏洞利用步骤的exp替换成获取系统shell的code形成最终exp,就可以拿到主机的shell权限获取flag。发音类似"砰",对黑客而言,这就是成功实施黑客攻击的声音--砰的声,被"黑"的电脑或手机就被你操纵了。所以只要知道简单的逆向工具的使用步骤。根据分析代码步骤得出的漏洞点,使用漏洞利用方式对漏洞进行利用,编写初步的exp。
pwn练习
WuMing_Z的博客
02-23 2797
程序分析:main函数中只存在system("/bin/sh")函数,所以nc可直接拿到权限)nc指令:远程连接对方服务器,对方服务器有什么程序就会执行什么程序nc(ip + 端口号)例如在已给的靶机信息node5.buuoj.cn:29650中node5.buuoj.cn是域名,冒号后的29650是端口号(注意冒号要改为空格)然后直接cat flag 即可。
[PWN]——格式化字符串漏洞(包含几种解题方法
ysy___ysy的博客
01-19 5202
如果要自己采用"%x$n"的方式手动构造payload容易出错,所以使用pwntools中的FmtStr格式化字符串类来解决格式化字符串漏洞比较方便做。如果有什么错误的地方请师傅们告诉我下。本文制作不易,盗版必究。
2024蓝桥杯初赛决赛pwn全解
cainiao78777的博客
06-04 1974
蓝桥杯pwn全解
BUUCTFPwn】rip 解题步骤
2301_81505831的博客
01-25 1199
查看之后发现是64位的ELF文件,直接放入IDA64进行反编译。
BUUCTF[PWN]
yjh_fnu_ltn的博客
05-11 1356
system函数需要个参数,直接使用rdi进行传参,但是栈溢出的main函数只有个ret,所以需要找到程序中的。组合(即先执行pop rdi 再执行ret),这使得可以继续改变rip的值,跳转到后门函数system的地址处。查找flag文件的路径,再显示:[外链图片转存中…后需要将栈中偏移为10的数值(0804C044)所指向的地址处的值进行修改。脚本如下,最后输入的passwd会进入atoi函数,这函数将。拿到shell后没有看到flag,使用。拿到shell后没有看到flag,使用。
8.做pwn的大致流程
2301_80361487的博客
07-07 575
如果发现ida里个函数不知道用法就到linux里 man 函数 能打印函数用法。判断是32还是64位,用对应工具分析(比如ida,可以直接把文件拖到对应图标上)ida中如果没找到main函数就找start函数从而找到main函数起始地址。快捷键r转换字符串 h转换十进制十六进制。转换为十进制数,它就是数字 200。file
CTF比赛 nc命令
最新发布
10-15
如在CTF比赛解中,使用`pwn`库结合`nc`连接到指定的地址和端口,示例代码如下: ```python from pwn import * io = remote("localhost",59290) res = io.recv() io.interactive() ``` 上述代码中,`remote(...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值