buuctf pwn刷题(1)

最新推荐文章于 2025-05-19 23:44:53 发布
最新推荐文章于 2025-05-19 23:44:53 发布
阅读量1.2k 收藏 14
点赞数 3
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42689613/article/details/113432007
本文详细介绍了buuctf中的多个Pwn题目,包括test_your_nc、pwn1、warmup_csaw_2016、pwn1_sctf_2016、ciscn_2019_n_1和level0。通过查壳、ida分析和检查程序保护,发现了栈溢出漏洞,并展示了如何利用这些漏洞获取shell权限。涉及的技术包括静态分析、动态调试和脚本编写。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

1.test_your_nc

先用exeinfo查壳,是64位的程序
在这里插入图片描述

用64位ida静态分析一下,找到main函数
在这里插入图片描述
F5反汇编,看到system("/bin/sh")
system()的作用———执行shell命令也就是向dos发送一条指令。
即执行/bin/sh命令,获得shell权限
在这里插入图片描述
在这里插入图片描述
用虚拟机连node3.buuoj.cn:27191
nc node3.buuoj.cn 27191
查看文件目录
ls
查看flag中的内容
cat flag
在这里插入图片描述

2.pwn1

查壳,64位程序
在这里插入图片描述
用虚拟机看一下有什么保护
在这里插入图片描述

64位ida静态分析,看一看main函数以及有特殊含义的函数
发现main函数中有gets()函数,所以有栈溢出漏洞
gets()函数可以输入无限长度的字符,所以容易超出系统分配的栈的最大长度。而在调用函数时栈中存有调用函数之后的命令的地址,所以只要将原本应该返回的地址覆盖掉,就能让程序进入fun函数,从而得到权限。
在这里插入图片描述
发现fun函数可以获得shell权限,那么只要让程序执行fun函数即可
在这里插入图片描述
进入到gets函数的s中
在这里插入图片描述
我们要将阴影部分填充入垃圾数据,在发送fun所在地址到r即可
在这里插入图片描述
脚本

#!/usr/bin/env python3

from pwn import*

context(os="linux",arch="amd64",log_level="debug")

#zdb=process("./pwn1")
zdb=remote("no
最低0.47元/天 解锁文章

200万优质内容无限畅学
qingmu-z
关注
buuctfpwn(51~60)
yw__y的博客
03-01 388
BUUCTF-pwn记录(22-7-30更新)
Morphy_Amo的博客
03-04 4462
BUUCTF记录
BUUCTF PWN笔记(持续更新!!)
最新发布
wlmt666的博客
05-19 1062
64位,没有开启保护。点进去没发现明显的漏洞函数,考虑泄露libc基地址的rop构造。先看看有多少gadget估计也够用了。puts函数只接受一个参数,观看汇编看看用的哪个寄存器传输的参数。用的是edi。但是我们怎么找到so的版本呢,因为我们必须要知道so文件种puts函数的偏移量,才可以和泄露出puts的地址结合找到基址。可以用LibcSearch模块来搜索。libcsearch(符号,地址)新的心得:1.64位有效地址是6字节。2.libc.dump是LibcSearch的内置函数。
BUUCTF pwn
L0g1c的博客
01-30 1831
第一道: 第一步:连接nc靶场 第二步:连接靶场后,执行 ls 命令,展示该靶场下目录文件。 第三步:里有个 flag文件 使用 cat命令进行查看。 得到flag
BUUCTF PWN-----第1:test_your_nc
热门推荐
bing_Max的博客
08-27 1万+
buuoj-----第四:ciscn_2019_n_1 前言 简单记录一下pwn的过程 首先checkesc ,检测文件的保护机制. 参考链接: link. 参考链接: link. bing@bing-virtual-machine:~/pwn$ checksec test [*] '/home/bing/pwn/test' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found
BUUCTF PWN1
qq_60794823的博客
09-27 1127
首先checksec起手发现没有打开任何防护,是64位amd文件,使用IDA反汇编瞅一瞅首先shift+f12查看字串发现/bin/sh和system跟进查看/bin/sh的返回地址查看main函数的反编译代码发现**gets(s, argv)**栈溢出漏洞,没有限制s的输入大小点开s查看s的内存大小发现距离返回地址为0XF+0X8构造payload:‘a’ * 0x23 + p64(0x401186)发现连接超时。
BUUCTF-PWN记录-14
weixin_44145820的博客
04-29 898
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
BUUCTF-PWN记录-7
weixin_44145820的博客
04-15 1134
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
buuctf——pwn之旅(持续更新)
qq_42988973的博客
12-16 660
buuctf-pwn 的一些wp
BUUCTF-PWN
weixin_52125240的博客
12-04 3039
BUUCTF-PWN1.test_your_nc2.rip3.warmup_csaw_20164.ciscn_2019_n_15.pwn1_sctf_2016 1.test_your_nc 根据名字的提示,来测试一下我们的nc cat flag 得到我们的flag nc的使用 nc的全名是netcat,其主要用途是建立和监听任意TCP和UDP连接,支持ipv4和ipv6。因此,它可以用来网络调试、端口扫描等等 常用语法: nc [-hlnruz][-g<网关...>][-G<指向器数目&
BUUCTF-pwn[1]
ca1m4n的博客
10-04 821
PWN手的间歇性记录 ret2text ret2text 首先checksec一下 32位 只开启了栈可执行保护 ida打开 查找/bin/sh binsh = 0x804863A 距离ebp的距离需要利用Ubuntu中gdb工具 gdb ./ret2text 因为存储读入的变量和到栈底的距离未知所以断点下在_gets b *0x80486AE 别忘了再按r,报错不用管 借助变量s到esp的距离计算出s的地址 再计算变量s到esp的距离 用Python: ebp = 0xffffcfd8 e
buuctfpwn
个人笔记
04-04 3315
一日一PWN/REpwn1_sctf_2016 实践是检验真理的唯一标准。 pwn1_sctf_2016 1.找到漏洞的利用点往往才是困难点。(直接F5看看反汇编) 发现两个可以函数跟进去看看 2.这里对反汇编出来的Vuln理解了半天(本还想从汇编直接分析,不过进展收获不大,欢迎有兴趣的朋友一起交流),下面还是从伪代码分析。 通过这几行能看出最后A变成了B。即把YOU 换成了I。 因为上面是S的溢出点是3C,可fgets之读取了32并不会超过3C,但函数会把一个32个I换成32个YOU就达到了溢出点。 3.
buuctf pwn
2301_80477504的博客
02-01 794
1.
Buuctfpwn
qq_53809201的博客
05-07 765
1.pwn1 from pwn import * log_level = 'debug' elf = ELF("./pwn1") local = 0 if local: r = process("./pwn1") else: r = remote("node4.buuoj.cn",29317) bin_sh = 0x000000000040118A system_addr = 0x0000000000401191 payload = b'a'*0x0F + p64(system_addr) +
BUUCTF-pwn(1)
njh18790816639的博客
08-09 1662
test_your_nc
BUUCTF(PWN)
fanshaoze的博客
09-27 446
查看我们main函数,发现这里只有system函数和/bin/sh,不存在栈溢出,终端直接nc就行。
BUUCTF之路-pwn1_sctf_20161
qq_30528603的博客
05-27 685
从我们的运行结果看,会把用户输入的I换成you。那就是说会自动帮我们把1字节变3字节,我们可以利用填充I来让程序自动填充到返回地址前。s距离ebp是0x3c也就是60个字节,那么我们填充20个I再加4个字节填充接着拼接我们的后门地址。但是新的问产生了,fgets函数较gets函数安全一点,他有长度限制,我们看到s离ebp的距离有0x3c那么远,但是fgets只能输入32个字节,只通过fgets溢出覆盖不到返回地址。看到有个fgets函数,并且限制长度为32。这是一个32位的程序,只开启了NX保护。
陕西省大学生ctf pwn
02-11
BUUCTF提供了丰富的挑战项目供参赛者们反复实践,其中包括许多经典的Pwn目等待着大家去攻克。另外还可以关注其他知名网站比如Bugku CTF等资源库,它们也收录了不少高质量的学习案例和教程文章[^4]。 #### 加入...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值