BugkuCTF-PWN题pwn7-repeater详细讲解多解法

最新推荐文章于 2023-01-15 11:50:09 发布
最新推荐文章于 2023-01-15 11:50:09 发布
阅读量4k 收藏 12
点赞数 5
分类专栏: # BugkuCTF-PWN 文章标签: linux python c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/am_03/article/details/120014739
版权
本文详细讲解了Bugku CTF中PWN题pwn7-repeater的解题过程,涉及知识点包括格式字符串漏洞、Linux环境、Python和C++。解题步骤包括找到libc_start_main的栈偏移,利用LibcSearcher猜测libc,计算system地址,篡改printf的GOT表,并执行system('/bin/sh')。文章提供了两种解题方法,包括具体的调试过程和exploit代码示例。
摘要由CSDN通过智能技术生成

知识点

在这里插入图片描述

解题流程

方法一

查看文件类型:
在这里插入图片描述
32位文件

查看保护机制
在这里插入图片描述
只开启了NX

32位IDA打开
伪码:
在这里插入图片描述
0x70=112
0x64=100
发现该题目为典型的格式字符串漏洞。

解题思路

此题的大概思路如下:
1、找到libc_start_main在栈内的偏移,使用%p暴露该地址
2、利用LibcSearcher猜测使用的libc,算出libc基址
3、计算出此libc的system地址
4、把prinf的got表改为system地址
5、执行system(’/bin/sh’)

具体调试

执行gdb pwn7调试程序
使用b printf在printf处下断点
输入r执行程序
程序提示用户输入
输入123456回车
此时程序运行到printf语句停止

pwndbg调试
在这里插入图片描述
输入stack 60命令查看栈情况
可以看到,在0xffffcf18处为之前输入的123456
在0xffffcf8c处为libc_start_main+247
使用fmtarg 0xffffcf8c算出偏移,此处知道了为%35$p
使用fmtarg属于懒人做法,需安装在gdb里。
在这里插入图片描述

具体方法

exp:

#coding=utf-8
from pwn import *
import sys
#不清楚libc可以用这个
from LibcSearcher import *
context.log_level="debug"
context.terminal = ['gnome-terminal','-x','sh','-c']

#本机环境
if sys.argv[1] == '0':
    p = process('./pwn7')
    #此处使用ldd pwn7查看本机使用啥libc
    libc = ELF("/lib/i386-linux-gnu/libc.so.6")
#远程环境
最低0.47元/天 解锁文章
彬彬有礼am_03
关注
  • 5
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BugkuCTF-PWNcanary超详细讲解
am_03的博客
08-31 2225
知识点 小端序说明,数据在内存里是如何存储的?下表里数据都为16进制 解流程 目Hint:更新 LibcSeacher 的 libc-database checksec查看保护机制 0x28=40 0x10=16 0x29=41 0x300=768 0x2C=44 buf长度为48,而read读取长度为768 v5长度为520,而read读取长度为768 所以存在栈溢出漏洞 from pwn import * #sh = process('./pwn4_') #context.log_lev
ctfshow pwn7
qq_39980610的博客
08-22 483
pwn7
bugku PWN repeater
alan___的博客
01-15 1034
bugku PWN repeater exp分享
BugKu--------POST
qq_45616570的博客
06-24 2779
BugKu--------POST 目 解思路 代码分析 $what=$_POST['what']; //定义一个变量名为what,以post方式提交 echo $what; //输出这个what变量的值 if($what=='flag') //如果这个变量得到值为flag echo 'flag{****}'; //echo 'flag{****}'; 解方式 使用hackbar进行post方式进行提交 使用burpsuite进行抓包修改 解过程 使用hackbar解
repeater【攻防世界】
qq_41696518的博客
09-01 1612
repeater 攻防世界
Bugku - 速度要快
多崎巡礼的博客
08-26 3184
emm备份,学习 import requests import base64 url = 'http://120.24.86.145:8002/web6/' req = requests.session() res = req.get(url) flag = res.headers['flag'] txt = base64.b64decode(flag) txt = txt[txt.ind...
ctf库ctf-pwn收集
03-31
ctf库 CTF(夺旗赛)库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF库通常由多个类别的挑战组成,例如Web安全、二...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
0ctf-2017-pwn-char
02-05
2017年0ctf的pwn目质量还是非常高的,要求做人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
日志 7.7 pwn
RobinZZX的博客
07-07 175
格式化字符串漏洞 contacts 关于pychain的使用: 在加入项目且添加编译器之后,才会有函数提示 echo2 难点: PIE:目文件有pie则说明目文件本身也是地址随机化的(一般只有共享对象文件是地址随机化如libc)。此时由本地文件确定的地址在exp中不一定正确,需要在exp中泄露代码段一些函数的地址来确定elf文件的基地址。对于存在pie防御机制的文件,ida上显示出来的地址是...
bugku 你必须让他停下
rommel的博客
07-31 2340
进到界面,就是一直在闪屏,所以果断想到用burpsuite抓包,然后便能能到flag为flag{dummy_game_1s_s0_popular}
我的CTF学习与教学之旅笔记14
lm19770429的专栏
04-10 351
命令注入: 查找一切可以浏览的页面,一定要浏览源码,可能发现密码 找到一个网站上的文件backup.zip,解压,密码可以参考刚浏览到的密码 一般解压出来的mp3文件不一定是mp3文件,用file 文件名,查看文件类型,一般是文本文件 cat 这个文件,了解详细内容 根据网站名称,searchsploit 查找相关漏洞说明 利用burpsuite:proxy、 repeater ...
xff(x-forwarded-for)介绍,某些ctf目中的利用
09-07 7501
IP伪造 TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF头进行IP伪造 XFF字段 X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。通俗来说,就是浏览器访问网站的IP。一般格式: X-Forwarded-For: clien...
bugku ctf pwn1 (nc 114.116.54.89 10001)
热门推荐
qq_42777804的博客
06-17 1万+
nc 114.116.54.89 10001 在Linux里面运行 nc 114.116.54.89 10001 ( nc命令用于设置路由器。) 之后用 ls -l 命令 (ls命令用于显示指定工作目录下之内容(列出目前工作目录所含之文件及子目录)。) (-l 除文件名称外,亦将文件型态、权限、拥有者、文件大小等资讯详细列出) 发现flag 使用命令 :...
BUUCTF-pwn(7)
njh18790816639的博客
12-19 1776
ret2dl_resolve _dl_runtime_resolve()通过两个参数在libc中寻找函数地址,而我们更加关注的是第二个参数也就是上面write的0x20,0x20将_dl_runtime_resolve()带到了reloc的位置,reloc中有2个重要信息,一个是函数的got表地址,另一个是r_info。r_info的高位是.dynsym中的条目,.dynsym的地址加上0x10*Num,得到函数对应的符号信息,而修改其中的st_name偏移,就可以伪造函数名称,从而实现漏洞利用,我们将其
ctf 简单pwn资源
最新发布
08-09
CTF 简单 PWN 资源是指为了让参与网络攻防竞赛的选手提高他们在 PWN 领域的技能而准备的一些简单目。这些目通常要求选手对二进制代码进行逆向工程、利用漏洞并实施攻击,以获取目提供的关键信息或获取系统控制权。 CTF 简单 PWN 目的资源可以在各种在线平台上找到,例如 CTF 竞赛中常用的CTFd、pwnable.kr 和 picoCTF 等。这些平台提供了大量不同难度的 PWN 目,从初学者到专业选手都能找到适合自己水平的目。 此外,还有一些开源项目和教程可以帮助学习简单 PWN 目的解决方法。例如,pwntools 是一个功能强大的 Python 库,提供了一系列与二进制漏洞利用相关的工具和函数。还有一些博客和视频教程,介绍了从入门级到高级级别的 PWN技巧和常见漏洞的利用方式。 总结来说,CTF 简单 PWN 目资源是指为了提高参赛者在 PWN 领域的技能而准备的一些简单的二进制漏洞利用目。这些资源可以通过在线平台、开源项目和教程找到,对于想要在 CTF 竞赛中取得好成绩或提高网络安全技能的人们来说都是非常有价值的。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值