[BUUCTF]PWN——wustctf2020_closed

最新推荐文章于 2024-03-02 20:27:03 发布
最新推荐文章于 2024-03-02 20:27:03 发布
阅读量3.6k 收藏 18
点赞数 7
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/112505885
版权

wustctf2020_closed

附件

步骤:

  1. 例行检查,64位程序,开启了nx保护
    在这里插入图片描述
  2. 本地试运行一下看看大概的情况
    在这里插入图片描述
  3. 64位ida载入,首先是检索程序里的字符串,找到了后门
    在这里插入图片描述
  4. main函数里的关键函数
    在这里插入图片描述
    close(1)关闭了标准输出
    close(2)关闭了标准错误
    我们只剩下标准输入,并且看到程序会返回shell(0是标准输入,1是标准输出,2是标准错误)
  5. 在看了别人的wp之后了解到,原来可以对stdout重定向,将文件描述符 1 重定向到文件描述符 0 :
    因此这题不用写exp,直接执行 execv 1>&0 ,也就是把标准输出重定向到标准输入,因为默认打开一个终端后,0,1,2都指向同一个位置也就是当前终端,所以这条语句相当于重启了标准输出,此时就可以执行命令并且看得到输出了
    在这里插入图片描述
    在这里插入图片描述
pwn解题思路(1
Shangku92的博客
06-07 704
from pwn import * import time context(arch='amd64',os='linux') context.log_level = 'debug' #io=remote("plaidflix.pwni.ng",1337) #p=process(argv=['./proc',args]) elf=ELF('./funnyrace') libc=ELF('./libc-2.31.so') #p = process('./funnyrace') def a(): sle..
[BUUCTF]-PWN:wustctf2020_easyfast解析(fastbin double free)
2301_79326813的博客
02-06 441
又是堆题,查看保护再看ida大致就是alloc创建堆块,free释放堆块,fill填充堆块,以及一个getshell的函数,但要满足条件。值得注意的是free函数没有清空堆块指针所以可以用double free有两种解法。
wustctf2020_closed
z1r0的博客
12-23 445
wustctf2020_closed 查看保护 这题长知识了。close(1)close(2)关掉了标准输出和标准错误 学到了execv,execv 1>&0标准输出重定向到标准输入,可以看成重启了一下标准输出,这时就可以看到输出的内容了。 ...
[HGAME 2023 week1] PWN 复现
Xzzzz911的博客
09-04 1326
先ida一下,可以看出来需要进行栈迁移,并且还存在沙盒,还有一段0x30的空间(溢出的空间较大),这就是为什么exp和[NSSCTF Round#14 Basic] rbp 不一样的原因,可溢出的空间不同,导致所利用的条件不同。首先ida一下,可以很明显的了解到跟沙盒有关,再查一下沙盒机制,显然不能直接构造orw,再加上read所存储的字节数少,不能直接构造,所以可以在mmap上面来构造orw。先泄露libc,再把orw写在自己确定的bss段,再用 leave ret 转到bss段,执行orw。
[buuctf]wustctf2020_closed
逆向萌新的博客
07-02 436
wustctf2020_closed
[BUUCTF-pwn]——wustctf2020_closed
Y_peak的博客
04-02 849
[BUUCTF-pwn]——wustctf2020_closed 相信看过题目反汇编的人都知道. 这个题目直接给了你shell 但是为什么输入cat flag无法得到flag. 其实就是因为close(1) 这个命令将你的标准输出给关掉了. 也就意味着, 无法输出任何东西给你 你们应该也看到了其他一些, wp 说只要exec 1>&0就可以了 但是你们却不知道这个的具体含义 exec 也就是重定位在Linux里面 exec 1>&0的意思就是将标准输出定位到标准输入的文件. &a
buuctf pwnwustctf2020_closed)(hitcontraining_magicheap)(axb_2019_fmt32)
cainiao78777的博客
04-29 354
程序有alarm闹钟函数,并且有明显的格式化字符串漏洞,而且能无限利用格式化字符串漏洞,本来想用我之前的那种解法直接解决的,但是遇到了些问题(下面说),而且这个题目got表可写,所以还是老老实实打got表吧。2.编辑堆块,根据bss段里的指针,来找到相应的堆块,然后输入大小,再填充内容,并未检测原本输入堆块内容的大小,那么此处存在堆溢出。再通过读入,覆盖dest的指针为free的got表地址,然后strcpy将free的got表地址的地址覆盖为shllcode的地址。
wustctf2020_closed(linux重定位)
weixin_61283545的博客
06-15 183
exec 1>&0_luooofan的博客-CSDN博客这篇博客讲的很清楚。记住下来看一下linux,确实不能只在乎题目。
buuctf wustctf2020_getshell_2 ret2shellcode
weixin_45441024的博客
12-01 741
BUUCTF wustctf2020_getshell_2 check一下,32位的程序且没有开任何保护 用ida打开,vuln很明显这是一个漏洞函数,f5查看一下伪代码,可以看到buf距离栈底0x18个字节 这是shell函数的伪代码,我们可以看到虽然这个并不是我们想要的shell(不是/bin/sh),但是程序里面有sh的字符串可以供我们利用,那我们现在就查找一下"sh"所在的位置 $ ROPgadget --binary '/home/pwn/Desktop/wustctf2020_getshe
[BUUCTF]-PWN:wustctf2020_number_game解析(补码,整数漏洞)
2301_79326813的博客
03-02 311
查看保护查看ida大致意思就是输入一个数绕过if。
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 414
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
BUUCTF pwn——pwnable_orw
CNS-Enterprise BCC-1701-J
05-06 391
BUUCTF 做题练习
buuctf wustctf2020_closed stdout
weixin_45441024的博客
12-07 479
buuctf wustctf2020_closed stdout 一开始还是check一下 ida分析发现vuln函数,根据经验觉得这个是漏洞函数,双击进入,发现调用了两次close()函数 可以发现关掉了标准输出和错误输出,最后调用了一个shell函数 可以看到这里为后门 今天这里新涉及到一个知识点,因为1和2文件描述符不可用了,所以对stdout重定向,将文件描述符 1 重定向到文件描述符 0 : exec 1>&0 成功getshell ...
ctf遇见题目close(1)怎么调试
azraelxuemo的博客
04-13 1783
以d3ctf_2019_unprintablev这个为例 这个关闭了1,虽然解法用爆破可以做,但是调试起来很麻烦,我是这样解决的 因为stdout是全局变量,所以会在bss里面定义stdout 因为close(1)的原理就是关闭了1号文件描述符,所以我们只需要把stdout的文件描述符改成2就好 def debug(): gdbscript = """ b vuln c set *(char *)(*(unsigned long int *)$rebase(0x20202
pwn-Recho
醉等佳人归
09-08 359
1.题目 1.保护机制 开启nx 2.关键代码 2.思路 重点1:看出来是个很简单的栈溢出,但是第一个问题是这个循环是个死循环,如果直接使用close()函数程序会直接退出,查询资料后发现pwn库中提供了shutdown()函数,他可以关闭IO流,即让循环正常退出 重点2:既然使用shutdown函数,我们必须一次性将payload发送过去,这就导致我们不能使用内存泄漏来泄漏system函数,查询了一下字符串发现有一个flag,所以我们考虑使用系统调用完成,alarm,open,read,write函数的
Pwn with File结构体(一)
weixin_30888707的博客
08-03 228
前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 利用 FILE 结构体进行攻击,在现在的 ctf 比赛中也经常出现,最近的 hitcon2017 又提出了一种新的方式。本文对该攻击进行总结。 正文 首先来一张 _IO_FILE 结构体的结构 _IO_FILE_plus 等价于 _IO_FILE + vtab...
2020 西湖论剑 pwn noleakfmt
yongbaoii的博客
03-29 765
canary没开,方便溢出。 主逻辑简单。 格式化字符串漏洞。 给了我们一个栈地址,但是主要问题是把标准输出关掉了。 我们要利用的呢就是将_IO_2_1_stdout_的_fileno从1改成2,为啥呢? 对于一个FILE结构体来说,最重要的就是_flags和_fileno,_fileno存储的是我们的文件描述符,对于某些情况或许我们要劫持_fileno才能达到我们的目的,而_flags则标志了该FILE的一些行为,这对于我们的泄露至关重要。 我们想办法劫持结构体的_fileno之后就可以从标准错误做一.
fclose(stdout)close(1)的区别
热门推荐
金九 的技术博客
02-03 1万+
在论坛里有人问【发现close(1)和fclose(stdout)效果并不一样,为什么?】 ,勾起了我的好奇心,于是研究了一把,记录一下。 #include #include #include #include #include #include #include int main(int argc, char *argv[]) { int fd = open("/dev
buuctf pwn others_shellcode
最新发布
02-25
### BUUCTF Pwn Others_shellcode 解题思路 #### 题目概述 此题目属于PWN类别中的shellcode编写挑战。目标是在给定环境中执行任意代码,通常通过构造特定的机器码来实现这一目的[^1]。 #### 环境准备 为了成功完成该挑战,需了解所使用的`libc`版本特性以及其对应的函数偏移地址等信息。这有助于定位并利用可能存在的漏洞点。此外,还需掌握基本的反汇编技能以便理解二进制文件的工作原理。 #### 漏洞分析 通过对程序逻辑的研究发现存在一处可以被攻击者控制的数据输入路径。当用户提交恶意构造的数据时,能够覆盖返回地址从而改变正常流程指向自定义指令序列的位置。这种技术被称为“Return-Oriented Programming (ROP)” 或直接注入 shellcode 执行。 #### Shellcode 构建 考虑到现代操作系统防护机制如NX bit 和 ASLR 的存在,在构建有效载荷时需要特别注意避开非法字符以免破坏栈结构完整性。同时也要考虑如何绕过这些安全措施以确保 payload 成功运行。一种常见做法是从内存中寻找可写区域作为跳转目标,并在那里放置精心设计过的 machine code 来打开 shell 或连接远程服务器发送 flag。 ```python from pwn import * context.arch = 'amd64' context.os = 'linux' # 连接至服务端口 conn = remote('challenge_address', port_number) # 发送payload前先读取一些数据防止阻塞 conn.recvuntil(b'Input your choice:') ``` #### Exploit 实现 最终解决方案涉及多个部分协同工作:首先是找到合适的 gadget 组合用于泄露 libc 基址;其次是计算出 system() 函数的确切位置;最后则是巧妙安排参数传递方式使得 execve("/bin/sh", ...) 能够被执行。整个过程要求精确控制每一步操作以达到预期效果而不触发任何异常终止条件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值