PWN dragon echo1 echo2 [pwnable.kr]CTF writeup题解系列16

最新推荐文章于 2022-12-14 01:08:27 发布
最新推荐文章于 2022-12-14 01:08:27 发布
阅读量686 收藏
点赞数
分类专栏: pwnable.kr CTF 文章标签: ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fastergohome/article/details/103865069
版权
本文是关于pwnable.kr CTF挑战的题解,涉及三个题目:dragon、echo1和echo2。dragon利用整数溢出和UAF漏洞,echo1利用栈溢出,echo2则利用格式化字符串漏洞。通过泄露GOT表,寻找并执行system和binsh,实现漏洞利用。
摘要由CSDN通过智能技术生成

由于pwnable.kr说明了不要将题解的利用脚本直接提出来,所以我就简单说下思路,本篇包括三个题目

目录

0x01 dragon

0x02 echo1

0x03 echo2

0x01 dragon

执行步骤

整数溢出漏洞:pDragon->HP 的类型是 signed byte,所以当超过127,就是负数了。这就是整数溢出漏洞

uaf漏洞:
1. malloc person
2. malloc dragon
3. free dragon
4. malloc pInput=dragon
((void (__cdecl *)(dragon *))pDragon->f_printinfo)(pDragon); = ((void (__cdecl *)(dragon *))pInput->f_printinfo)(pInput);

ida struct

00000000 person          struc ; (sizeof=0x10, mappedto_5)
00000000 type            dd ?
00000004 HP              dd ?
00000008 MP              dd ?
0000000C f_printinfo     dd ?                    ; offset
00000010 person          ends
00000010
00000000 ; ---------------------------------------------------------------------------
00000000
00000000 dragon          struc ; (sizeof=0x10, mappedto_6)
00000000 f_printinfo
最低0.47元/天 解锁文章
3riC5r
关注
专栏目录
pwnable dragon
4ct10n
06-24 659
借着这段时间学UAF,又找了一道UAF的题目做了一下,这个题目很简单,看着WP写的,思路也非常的清晰。
[BUUCTF-pwn]——pwnable_echo2
Y_peak的博客
11-16 927
[BUUCTF-pwn]——pwnable_echo2 附件 题解 没那么多时间写详细的题解,就简单理一下思路了。 首先这个题目中通过 2. : FSB echo 我们可以泄露出来栈上的地址,这里我们泄露出来的是当前栈帧rbp中存储的地址,也就是mian函数的rbp地址。通过rbp与变量的关系,我们可以得到我们在程序开始运行时写入name的地址。由于栈是可执行的,我们只需要将shellcode写入我们要写入的name的位置即可。不过长度要小于24。 做到这一步第一步就完成了,下面我们需要利用uaf漏洞来劫持
[BUUCTF]PWN——inndy_echo2(PIE+64位fmt)
mcmuyanga的博客
02-01 1556
inndy_echo2 附件 步骤 例行检查,64位程序,开启了nx和pie 本地试运行一下,看看大概的情况,猜测跟echo差不多。 64位ida载入,跟32位echo一样的代码,只是多开了一个PIE 64位的格式化字符串漏洞,它跟32位有挺大区别的,要注意‘00’的截断,不可以像32位那样一步修改到位,它一次只可修改2字节。不清楚的先看这篇文章 首先对于PIE,我们要先想办法泄露程序基址 在执行echo函数时,echo的栈帧的上一个元素存储了函数的返回地址,返回到main中,所以栈中必定有返回地址
pwnable echo2
weixin_30522095的博客
11-03 107
pwnable echo2 linux 32位程序 涉及FSB和UAF漏洞的利用,先%x泄露地址,然后利用UAF漏洞进行利用 code: 转载于:https://www.cnblogs.com/bongbongbong/p/4934660.html
初始heap,pwnable_echo2
qq_51687381的博客
07-25 161
from pwn import * p=process("./echo2") elf=ELF("./echo2") p.recvuntil("hey, what's your name? : ") shellcode=b"\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05" p.sendline(shellcode) p.recvuntil(b"> ") p.se.
PWN flag [pwnable.kr]CTF writeup题解系列4
重新启程
01-01 938
直接看题目 这是一道逆向题目,直接下载下来看看 root@mypwn:/ctf/work/pwnable.kr# wget http://pwnable.kr/bin/flag --2020-01-01 09:37:31-- http://pwnable.kr/bin/flag Resolving pwnable.kr (pwnable.kr)... 128.61.240.205 ...
PWN uaf [pwnable.kr]CTF writeup题解系列13
重新启程
01-02 731
目录 0x01题目 0x02解题思路 0x03题解 0x01题目 0x02解题思路 题目都已经介绍了这是一道Use After Free的题目,那我们就不用多想了,先看看题目主要内容 root@mypwn:/ctf/work/pwnable.kr# ssh uaf@pwnable.kr -p2222 uaf@pwnable.kr's password: ____ __...
PWN lotto [pwnable.kr]CTF writeup题解系列10
重新启程
01-02 813
目录 0x01题目 0x02解题思路 0x03题解 0x01题目 0x02解题思路 下载文件,检查一下情况 root@mypwn:/ctf/work/pwnable.kr# ssh lotto@pwnable.kr -p2222 lotto@pwnable.kr's password: ____ __ __ ____ ____ ____ ...
PWN passcode [pwnable.kr]CTF writeup题解系列5
重新启程
01-01 904
直接看题目: 连接服务器看看情况: root@mypwn:/ctf/work/pwnable.kr# ssh passcode@pwnable.kr -p2222 passcode@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ _ ____ | \|...
pwnable_dragon(整数溢出+UAF)
seaaseesa的博客
06-12 433
pwnable_dragon(整数溢出+UAF) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,游戏结束后释放掉了ptr 也就是释放掉了v5,而当我们打赢游戏的时候,又malloc(0x10)并输入,然后又调用了v5里面的函数指针,由于v5之前free掉了,所以这里malloc(0x10)并输入,控制的就是v5指向的那块内存,将里面指针指向后面函数即可。 现在是如何才能赢得游戏,观察龙的血量,是一个byte 而赢得游戏的条件是龙的血量小于等于0 Byte的话超过1
持续更新 BUUCTF——PWN(二)
weixin_41748164的博客
12-14 574
buuctf pwn 第三页
echoecho2的wp
一个码农的笔记
11-12 5701
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了rop和rop2这两个题目感觉还不错,我把wp分享出来,方便大家学习 echo的要求是 nc hackme.inndy.tw 7711 Tips: format string vulnerability这个题目提示了是格式化字符串漏洞,所以先了解一下啥是格式化漏洞,参考 http://www.freeb
pwnable.kr解题write up —— Toddler's Bottle(二)
逆水行舟
01-21 4573
网站地址:pwnable.kr 提供许多优质的ctf训练题,题目设计的都非常巧妙,适合思考。
Linux::通过echo写二进制文件(16进制)
茫茫大士的专栏
10-27 2941
xxd // xxd 命令用于用二或十六进制显示文件的内容-r // 把xxd的十六进制输出内容转换回原文件的二进制内容-ps // 以 postscript的连续十六进制转储输出,这也叫做纯十六进制转储。
[BUUCTF-pwn] inndy_echo3
weixin_52640415的博客
12-07 271
格式化字符串漏洞,这个题整了一会感觉很烦,然后搜了LiuLian 大师傅的exp [Hackme.inndy]echo/echo2/echo3 | LiuLian 感觉还是自己干吧。 程序没开pie这给泄露减轻不少负担,但这个题在main里先用随机数申请内存,然后在hardfmt里给esp赋值,这导致每次运行栈地址并不完全固定。 不固定其实是相对的,在hardfmt里它是不固定的,但是再往前main和libc_start_main_ret这些都是固定的,只要找到ebp再往后就固定了。 int _..
hackme inndy pwn echo2 writeup
charlie_heng的专栏
12-30 866
这题做了好久。。。但是学到了很多很骚的思路 做完echo1 ,然后看了下echo2,本来以为只是简单的从32位变成64位,但是发现坑贼多。。。。 首先,用checksec看了下,发现开了pie。。。那就不能简单的改got表,还要用格式化字符串漏洞来泄漏出一个指向程序本身的指针 第二,因为是64位系统,所以一个地址是8个字节,但是这里实际只有6个字节是有内容的,有两个字节是00,所以就不能用p...
PWN学习之[Rookiss]-[echo1]
Magic1an的博客
08-19 1561
echo1是一个64位的elf可执行文件,用checksec检查发现基本没有进行保护措施Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x400000) RWX: H
CTF 【每日一题20160701】breakpoint(未解决)
hhhparty的博客
07-07 1634
breakpoint 来源:http://ctf.idf.cn/index.php?g=game&m=article&a=index&id=46 请看这里: http://pan.baidu.com/s/1pJyUYEZ 下载后得到一个文件:Elfcrackme2
学习ctfpwn的网址
最新发布
03-15
当涉及到学习CTF(Capture The Flag)和Pwn(漏洞利用)的时候,以下是一些常用的网址和资源推荐: 1. CTFtime:https://ctftime.org/ - CTFtime是一个CTF竞赛的信息平台,你可以在这里找到各种CTF比赛的信息、题目和解答。 2. Pwnable.kr:http://pwnable.kr/ - Pwnable.kr是一个专注于Pwn题目的在线平台,****** CTF Wiki:https://ctf-wiki.github.io/ctf-wiki/ - CTF Wiki是一个开放的CTF知识库,包含了各种CTF相关的知识、技巧和工具的介绍和使用方法。 5. CTF365:https://ctf365.com/ - CTF365是一个在线的CTF训练平台,提供了各种类型的CTF题目供学习和挑战。 6. CTFlearn:https://ctflearn.com/ - CTFlearn是一个面向初学者的CTF学习平台,*********!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值