XCTF 3rd-RCTF-2017——Recho分析

最新推荐文章于 2024-03-11 15:27:20 发布
最新推荐文章于 2024-03-11 15:27:20 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: pwn题目 文章标签: 题解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Eagle_hwei/article/details/104187812
版权

Recho的题目分析

2020-02-04 21:10:35 by hawkJW

题目附件、ida文件及wp链接

   这道题的思路和以往的不太一样,在这里学习、记录一下

  1.  程序流程总览

首先,还是老规矩,看一下保护情况

  可以看到,保护情况还是比较轻松的,主要在NX上,即栈上不可执行。下面具体看一下程序的流程,如图所示

实际上,我们发现这个流程还是比较简单的,就是不断地输入长度,在读取该长度的输入,并且不断重复这个步骤,知道read()函数的长度为0为止。

 

2.  漏洞

  我们基本上一眼就能看出来这个漏洞,因为对于输入的长度值没有限制,则在读取该长度值的输入时就会产生栈溢出,从而可以通过ROP来实现漏洞利用。当然,实际的漏洞利用并没有这么简单,我们将在后面说明。

3.  漏洞利用

  实际上,在进行这个漏洞利用之前,有几个问题。<

最低0.47元/天 解锁文章
HawkJW
关注
专栏目录
Recho(xctf)
weixin_43868725的博客
08-10 1264
0x0 程序保护和流程 保护: 流程: main() 存在一个很明显的问题,就第二次可以输入的字符串大小是根据第一次输入的数字大小确定的,所以存在一个明显的栈溢出。 0x1 利用过程 1.通过栈溢出控制程序的流程只会发生在函数结束时,但是在这个程序中只要第一次的read函数一直有效程序就不会退出,所以在对栈完成布局之后就需要关闭输入。 2.一旦关闭输入,就不能继续输入了,所以必须一次就把gadget全部布置到栈上。 3.通过提示可以在.data中找到flag字符串。 4.于是猜想需要将名字为flag的
XCTF 3rd-HITB CTF-2017 arrdeepee 复现
m0_46580995的博客
07-05 1322
题目说明 我们某一个box被pwn了。在检查过程中,我们发现了一个叫mimikatz的东西,我们以前没有安装过,所以我们清除了,并且重新安装了box。但是,我们忘记备份我们的flag文件了。幸运的是,我们有一个攻击者网络流量捕获。你可以帮我们恢复出flag文件吗? 得到的是一个pcap包 有大量的tcp和udp流 查看udp流有以下的关键字 “ TSSecKeySet1”和“ Microsoft Strong Cryptographic Provider” 保存下来进行分析 有一些证书和私钥尝试openss
XCTF Recho
weixin_44164182的博客
01-02 249
XCTF Recho ROP构造linux系统调用 from pwn import * import time from ctypes import * # context.update(log_level='debug', timeout='2') context.log_level = 'debug' context.timeout = 2 # r = process('./Recho') r = remote('220.249.52.134', 54741) elf = ELF('./Recho'
RNote XCTF 3rd-RCTF-2017 攻防世界
qq_41071646的博客
06-02 748
这个题 emmm 利用 off by one 然后就是double free 然后 写到 malloc_hook 就ok 不过这个题 我一开始出了一个问题 在 malloc_hook 里面我只是找到了 7f 然后我用了 0x30的堆块 然后不行 malloc的直接在堆块了 没有到我们想要的地方 只能又重新规划 然后 one_gadget 一把梭就好了 存...
XCTF 3rd-RCTF-2017 Recho
qq_41071646的博客
07-16 866
最近感觉事情比较忙 以前就是做了一些题 就总结一下 现在 是 如果题目一下就看出来了 就再也不会写博客了 估计以后博客会 越写越少 然后 这个题目 参考链接 https://www.xctf.org.cn/library/details/e0d90ad9d0609320fd6743706135a80913d27b8d/ 主程序 主要是有几点没有想到 第一点就是没有想到怎么退出循环...
攻防世界(pwn)Recho(XCTF 3rd-RCTF-2017) writeup
xidoo1234的博客
02-27 1335
深感本题扩充了本人的知识面,遂作文记录下来
攻防世界-PWN进阶区-1000levevls(XCTF 3rd-BCTF-2017)
weixin_44145820的博客
02-29 862
这道题是攻防世界上面一道六星的pwn题,比起之前的还是挺有难度,做完也有很大收获 题目分析 首先checksec查看开启的保护 可以看到这题比之前的题目多了一个PIE保护,下面就简单介绍一下什么是PIE PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局变量段(.bs...
攻防世界-PWN进阶区-EasyPwn(XCTF 4th-WHCTF-2017)
weixin_44145820的博客
03-04 2024
这题其实不算难,不过漏洞比较隐蔽,需要细心才能发现 题目分析 checksec: RELRO只是部分开启,考虑覆写GOT表 main: echo: 在该函数中存在一个溢出: v2的大小为1000(0x3E8),而我们的输入最大为0x438(输入缓冲区大小为0x400),如果我们的输入大于0x3E8,就会覆盖了v3的内容(%s),而%s是snprintf在向v2写入数据时格式化写入的数据的,如...
攻防世界-misc-arrdeepee
最新发布
苏生要努力
03-11 1344
题目:我们某一个box被pwn了。在检查过程中,我们发现了一个叫mimikatz的东西,我们以前没有安装过,所以我们清除了,并且重新安装了box。但是安装太麻烦了,除了需要解决openssl 1.0.2和1.1.0+的兼容性问题,还涉及到cmake安装时ffmpeg等各种库的版本问题,回头下载一个2016.2版本的Kali试试看能否正常安装。然后过滤tls协议,可以看到解密后的流量中出现了RDP和TPKT协议。需要输入密码,题目里给出了一个目前没有用到的信息mimikatz,尝试作为密码,成功提取出密钥。
2017 rctf RNote2 writeup
jmp esp
05-23 1314
QIRA我们在写一些exploit的时候,经常会碰见出现的内存不如预期的情况,这个时候我们就会使用调试器查看到底是什么地方出了问题。这个出错的地方肯定是比现在你查看内存的地方要晚了,也就是说,我们得,倒回去看内存,这在一般的调试器中是实现不了的。qira就是这么一个调试器,它可以做到记录下整个过程,使得调试的过程变得更加简单。总的来说,qira的作用: 1. 进行正常调试 2. 调试时如果发现内
MyDriver2-397 XCTF 3rd-RCTF-2017 (windows 驱动题)
qq_41071646的博客
05-16 1125
这个题 是驱动题 幸亏 自己以前学过驱动 所以对这个东西有所了解 其实这个驱动一开始我看的也很懵 不知道是干啥的 然后我先去看了看 卸载函数 看看他里面有什么东西 然后发现了这个 然后我就get 他的点了 开/关内存保护 然后 把正确的地址写回去 这个我以前研究过 一段时间的驱动 然后顺着这个路线 我 就大概懂了这个程序的逻辑 这个程序是用inline hook...
XCTF 4th-WHCTF-2017 creakme
weixin_30273175的博客
04-02 317
exe文件 运行一下 随便输一下 ps.这个曹操身边的故事挺有意思的 但是没啥卵用....... 查一下壳无壳 ida载入 发现找不到main函数 直接看start感觉逻辑乱乱的(萌新求不喷.....) 百度之,可能是MFC写的,小白真的是纯小白 一脸蒙蔽,第一次接触MFC 看一下大神的题解照着复现了一遍 但是大佬中间有的地方讲的不明白,可能是觉得太简单不需要讲了吧.....
xctf(misc)-部分wp
i_am_not_hacker的博客
08-13 476
ext3 ext3是第三代扩展文件系统,是一个日志文件系统,常用于Linux操作系统。它是很多Linux发行版的默认文件系统。 下载附件后,得到一个linux文件,拖进kali里面,使用mount命令挂载(Linux中mount命令用于挂载Linux系统外的文件) Linux下mount命令与mnt目录详解 挂载后我们使用命令 strings linux | grep flag 来查看字符串,...
OpenSolaris/Solaris中文FAQ
MM22GG的专栏
04-11 3809
本文转载于 http://blog.chinaunix.net/uid-11193716-id-2896321.html     OpenSolaris/Solaris中文FAQ (2008-08-04 19:30) 分类: Solaris 注: 1.本文档只覆盖Solaris 9及以后的平台上的常见问题 2.S9/10/11 分别对应目前Sola
RationalDMIS 7.1 高级编程2020
山涧果子(JIanhongwei810)
09-30 6222
$$/* Header DMISMN/'Created by [爱科腾瑞科技(北京)有限公司-101520-DEMO-10546A(深圳力合)] on Tuesday, June 30, 2020', 4.0 UNITS/MM, ANGDEC, MMPS WKPLAN/XYPLAN PRCOMP/ON TECOMP/ON FLY/1.0000 MODE/PROG, MAN SNSET/APPRCH, 2.0000 SNSET/RETRCT, 2.0000 SNSET/DEPTH, 0.0000 SNSET
rct429 java_RCT: RCT(Redis Computed Tomography) RCT 是一个通过解析rdb文件对redis内存结构分析的一站式平台。 支持对非集群/集群rdb文...
weixin_29692653的博客
03-02 4275
Language: RCT(Redis Computed Tomography) RCT 是一个通过解析rdb文件对redis内存结构分析的一站式平台。 支持对非集群/集群rdb文件分析、Slowlog查询与监控、ClientList查询与监控。GitHub 第一时间更新,请移步查看!功能内存分析通过对rdb文件解析,分析Redis内存使用情况,支持多维度、多报表方式。支持手动、自动多种方式!提...
供应TA126YA.55TNK29.CT5400SA.RCT47SA6.NTN222离合器轴承
csdn_999999999的博客
01-26 703
986908.50RCT3534F0.50RCTS2801.44TKB2805.CT5400SA.RCT47SA6.NTN222.55TNK29 44RCT280248RCT3301...
Butterfly-蝴蝶-主题优化、美化-Lete乐特
热门推荐
乐特的博客
06-11 28万+
前言 本片文章涉及到修改源码,如果你要升级主题的话,你看到这里可以关闭本文章了。 本文所做的优化是我自己hexo init后,去Github上克隆Butterfly主题的稳定版,一步步在原主题基础上修改的 保证了小白根据本片文章一步步操作,能够和我博客一样的效果 如果你不想跟随下文一步步操作的话可以使用我优化好的:https://github.com/lete114/Hexo-themes-Butterfly-Lete 喜欢的话可以留下你的⭐Star 修改头部导航栏 修改前 # Main menu n
(攻防世界)(pwn)(RCTF2017)Recho
PLpa的博客
09-07 1841
0x00.前言 又是一题栈溢出题,但是又有一点点不同。。。 0x01.程序逻辑 程序保护: 程序只开了NX保护,堆栈不可执行。 进入IDA 程序让你先输入你将要输入的字符串长度,然后继续让你输入字符串。 最后,程序会输出你输入的字符串。 看起来,这很像一般的栈溢出,甚至我们可以通过程序的输出把一些敏感的地址给输出出来。 更加让人欣喜的是,这个程序好像给了什么不得了的东西。 0x02.奇怪的东西...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值