BUUCTF-pwn刷题记录(22-7-30更新)

原创 已于 2022-08-01 21:10:37 修改 · 4.4k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #安全 #pwn

于 2022-03-04 12:22:30 首次发布
本文记录了一位安全学习者在CTF比赛中遇到的pwn题目,涵盖int overflow、ret2libc、fast bin attack等考点。通过解题,作者讨论了各种攻击技术,如stack overflow、heap exploitation、rop链构造等,并分享了针对不同系统调用和gadget的技巧。同时,文章提到了本地与在线环境的差异、seccomp沙盒逃逸和use-after-free漏洞利用等实践难点。

本文记录刷题过程中一些卡住的或者觉得有必要记下来的题目。

pwn2_sctf_2016

考点:int overflow、ret2libc
这题没有write和puts函数,因此使用的printf函数进行的泄露。

babyheap_0ctf_2017

考点:fast bin attack、__malloc_hook、one gadget
pwn部分的第一道堆溢出题目。但其实并不简单,如果是新手的话可以放一放再做这一题.
解题记录

babyrop2

考点:ret2libc
这题不难,需要注意的是,这题提供了libc,如果使用ELF去搜索binsh的时候,注意python3的用法和python2有点区别

# python2
binsh = libc.search('\bin\sh').next()
最低0.47元/天 解锁文章

200万优质内容无限畅学
buuctf pwn题(1)
清霂的博客
01-30 1288
1.test_your_nc2.pwn13.warmup_csaw_2016 1.test_your_nc 先用exeinfo查壳,是64位的程序 用64位ida静态分析一下,找到main函数 F5反汇编,看到system("/bin/sh") system()的作用———执行shell命令也就是向dos发送一条指令。 即执行/bin/sh命令,获得shell权限 用虚拟机连node3.buuoj.cn:27191 nc node3.buuoj.cn 27191 查看文件目 ls 查看flag
BUUCTF-PWN题记-14
weixin_44145820的博客
04-29 908
sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
buuctf——pwn题之旅(持续更新
qq_42988973的博客
12-16 673
buuctf-pwn 的一些wp
BUUCTF PWN题笔记(1-9)
wlmt666的博客
04-21 892
看灰色地址,8是r的开始,所以我们要覆盖上面的0x30和下面的8.返回地址恰好就是给system函数给参数的,见图二。看到0x61是我们输入的a的ASCII码,结合rax常用来储存这类信息,很明确最后的gets函数输入的内容就在这里了。分析下列代码可知,read会读取我们输入的指定字节的数据,这点就是突破,而程序已经有一个backdoor函数,只需要ret2text即可。由于对动调还不熟练,所以我在IDA里面看了栈结构,同时注意到没有开启任何保护,发现可以进行栈溢出,应该是修改指定变量值为要求的即可。
BUUCTF PWN题笔记(持续更新!!)
最新发布
wlmt666的博客
05-19 1114
64位,没有开启保护。点进去没发现明显的漏洞函数,考虑泄露libc基地址的rop构造。先看看有多少gadget估计也够用了。puts函数只接受一个参数,观看汇编看看用的哪个寄存器传输的参数。用的是edi。但是我们怎么找到so的版本呢,因为我们必须要知道so文件种puts函数的偏移量,才可以和泄露出puts的地址结合找到基址。可以用LibcSearch模块来搜索。libcsearch(符号,地址)新的心得:1.64位有效地址是6字节。2.libc.dump是LibcSearch的内置函数。
buuctf-pwn题(二)
CHAWUCIREN1的博客
10-15 2190
ciscn_2019_n_1 直接运行一波 猜数字的 checksec file一下 放入ida 发现func函数里面有 东西 这个是一道溢出题,我们输入的数字给v1,但是在进行判断的时候,用的是v2,我们需要溢出v2,使其等于目标值 查看一下栈空间 我们发现v2在栈上04的位置,也就是(0x30-4) 11.28125转化为十六进制为0x41348000 pay load= b’A’*(0x30-4) + p64(0x41348000) from pwn import * payload =
BUUCTF-PWN题记-22
weixin_44145820的博客
05-18 800
ciscn_2019_n_2(double free) ciscn_2019_n_2(double free) delete的时候有一个double free漏洞 利用思路: 先用一个double free把0x602060(chunklist)申请出来,这样我们就能先修改里面的指针了,先利用GOT表泄露libc,然后写入__free_hook的地址并使用编辑写入system地址就行 Exp: from pwn import * menu = "Your choice: " def add(con
BUUCTF-PWN题记25(IO file attack)
weixin_44145820的博客
08-14 1764
背景知识 在做关于IO FILE的攻击的时候,对其中涉及的数据结构的了解必不可少,以下是几个关键的数据结构 FILE 结构 定义在 libio.h 中,如下 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ strea
BUUCTF-PWN题记-7
weixin_44145820的博客
04-15 1146
roarctf_2019_realloc_magic roarctf_2019_realloc_magic
ctf pwn 题记 buuctf
m0_64195960的博客
04-11 478
格式化字符串 1、checksec一下 emmmmmmm 2、丢进ida瞅一眼 read函数只读0x63小于0x100不会发生栈溢出 第一步 看到了print(buf)典型格式化字符串(没有格式化字符串参数),通过%n修改指定地址的值,修改dword_804C044数字即可 我们通过"your name"的地方进行格式化字符串 第二步 直接输入我们改好的数字,也就是下面格式化字符串改过的数字,这个数字是可以让我们随便改的,具体改的方法可以参考ctfwiki格式化字符串方法。
BUUCTF-PWN题记-19
weixin_44145820的博客
05-09 678
wustctf2020_name_your_catwustctf2020_name_your_dog wustctf2020_name_your_cat 在NameWhich函数中没有越界检查 我们调试看一下 0xffd31214就是char v3[40]的地址 而在0xffd3124c处就存放着函数返回地址 0xffd3124c-0xffd31214=0x38 0x38/8=7 所以我们name 7 就能修改这个返回地址了 Exp: from pwn import * r = remote
计算机组成原理题,buuctf——pwn题之旅(持续更新
weixin_39967812的博客
07-15 442
连上就有flag的pwnRIP覆盖一下IDA看一下:典型的溢出,函数中有fun函数:看一下偏移:有一个需要注意的地方就是nc连上发现没有输出input,直接让我输入,所以exp改了一下。exp:from pwn import *p = remote('pwn.buuoj.cn', 6001)#p = process('../files/pwn1')payload = 'a' * (0xf + 8)...
buuoj-Pwn-题记
Do1phln的博客
10-30 391
warmup_csaw_2016 题目直接给出了函数位置,所以很明显就是要利用gets,gets参数的长度为0x40,所以我们再加上返回地址的8个字节,溢出的总长度为0x48,运行时候可以看出sub_40060D的地址就是它的名字,因此我们可以构建payload payload = b'a'*0x48+p64(0x40060D) 即可得到flag ciscn_2019_n_1 打开题目可知大致意思是main函数里面调用了一过func函数,其中要输入v1,但是要判断v2,所以就很明显是需要输入长字符串覆盖到
buuctf习题pwn(51~60)
yw__y的博客
03-01 402
攻防世界:PWN()
m0_53932372的博客
12-30 1686
cgpwn2 32bit,漏洞:栈溢出 这题很简单,第一次输入参数“/bin/sh”到一个bss区域,第二次利用栈溢出getshell exp: from pwn import * io = remote('111.200.241.244',61742) sys_addr = 0x08048420 io.recvuntil("your name\n") io.sendline("/bin/sh") bin_sh_addr =0x0804A080 io.recvuntil("leave some messag
PWN入门题——BUUCTF(1-4)
ChenD的学习笔记
09-23 850
最近为了学校组织的ctf比赛才开始接触pwn的刚刚做了十多道题现在来记一下,记完了接着学后面贼难的内容!
BUUCTF PWN 题 1-15题
农夫果园好好喝的博客
08-21 2432
经典栈溢出漏洞。
pwn_recording(buuctf2-6)
xcellencw的博客
04-23 732
checksecIDA64打开,shift+F12查看有system函数和/bin/sh如何查看他们的位置呢?两种点击fun函数进去 /bin/sh 0x40118A以下才是它libc中的地址(动态),而用ROPgadget --binary rip --string '/bin/sh'查的是静态地址填充数据如何算呢?这里推荐①cyclic 200,先创建200个数据;②pwndbg > run ,在pwndbg中运行程序;运行到如下图所示。
BUUCTF PWN题记 (未完待续)
qq_41071646的博客
08-01 2100
最近找了一个新的CTF比赛平台 但是不知道为啥pwn的服务器总是连不上, 所以到时候还是直接本地打 默认2.23 so 如果 有高版本的话 我再切换,,, 逆向的话 先等等吧,,,先不。。等有空了再 第一题 连上就有flag的pwn 直接 运行就有权限,。 第二题 RIP覆盖一下 这个没有任何保护 直接 覆盖rip就可以了 from pwn import * conte...
Pwn题记(不停更新
qq_66013948的博客
06-23 485
​ 发现了个事儿,for循环会执行两次,所以这里采用第一次不溢出,通过格式化字符串漏洞对Canary的值进行泄露,之后就可以在合适的地方填入canary的值来绕过canary保护了。​ 之后就是具体进行溢出了,计算溢出的长度也比较简单,这里直接上答案吧,116字节,不过,第100到104为canary的值。​ 根据这俩进行计算,可得到偏移,结果是0x7c/4=31。​ 除了NX之外,似乎就只有 Canary了。​ 因此,思路就很明确了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Morphy_Amo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值