[BUUCTF]PWN——wustctf2020_closed

最新推荐文章于 2024-03-02 20:27:03 发布
最新推荐文章于 2024-03-02 20:27:03 发布
阅读量3.5k 收藏 18
点赞数 7
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/112505885
版权

wustctf2020_closed

附件

步骤:

  1. 例行检查,64位程序,开启了nx保护
    在这里插入图片描述
  2. 本地试运行一下看看大概的情况
    在这里插入图片描述
  3. 64位ida载入,首先是检索程序里的字符串,找到了后门
    在这里插入图片描述
  4. main函数里的关键函数
    在这里插入图片描述
    close(1)关闭了标准输出
    close(2)关闭了标准错误
    我们只剩下标准输入,并且看到程序会返回shell(0是标准输入,1是标准输出,2是标准错误)
  5. 在看了别人的wp之后了解到,原来可以对stdout重定向,将文件描述符 1 重定向到文件描述符 0 :
    因此这题不用写exp,直接执行 execv 1>&0 ,也就是把标准输出重定向到标准输入,因为默认打开一个终端后,0,1,2都指向同一个位置也就是当前终端,所以这条语句相当于重启了标准输出,此时就可以执行命令并且看得到输出了
    在这里插入图片描述
    在这里插入图片描述
pwn解题思路(1
Shangku92的博客
06-07 692
from pwn import * import time context(arch='amd64',os='linux') context.log_level = 'debug' #io=remote("plaidflix.pwni.ng",1337) #p=process(argv=['./proc',args]) elf=ELF('./funnyrace') libc=ELF('./libc-2.31.so') #p = process('./funnyrace') def a(): sle..
[BUUCTF]-PWN:wustctf2020_easyfast解析(fastbin double free)
2301_79326813的博客
02-06 422
又是堆题,查看保护再看ida大致就是alloc创建堆块,free释放堆块,fill填充堆块,以及一个getshell的函数,但要满足条件。值得注意的是free函数没有清空堆块指针所以可以用double free有两种解法。
[BUUCTF-pwn]——wustctf2020_closed
Y_peak的博客
04-02 822
[BUUCTF-pwn]——wustctf2020_closed 相信看过题目反汇编的人都知道. 这个题目直接给了你shell 但是为什么输入cat flag无法得到flag. 其实就是因为close(1) 这个命令将你的标准输出给关掉了. 也就意味着, 无法输出任何东西给你 你们应该也看到了其他一些, wp 说只要exec 1>&0就可以了 但是你们却不知道这个的具体含义 exec 也就是重定位在Linux里面 exec 1>&0的意思就是将标准输出定位到标准输入的文件. &a
wustctf2020_closed
z1r0的博客
12-23 437
wustctf2020_closed 查看保护 这题长知识了。close(1)close(2)关掉了标准输出和标准错误 学到了execv,execv 1>&0标准输出重定向到标准输入,可以看成重启了一下标准输出,这时就可以看到输出的内容了。 ...
[buuctf]wustctf2020_closed
逆向萌新的博客
07-02 423
wustctf2020_closed
buuctf pwnwustctf2020_closed)(hitcontraining_magicheap)(axb_2019_fmt32)
cainiao78777的博客
04-29 340
程序有alarm闹钟函数,并且有明显的格式化字符串漏洞,而且能无限利用格式化字符串漏洞,本来想用我之前的那种解法直接解决的,但是遇到了些问题(下面说),而且这个题目got表可写,所以还是老老实实打got表吧。2.编辑堆块,根据bss段里的指针,来找到相应的堆块,然后输入大小,再填充内容,并未检测原本输入堆块内容的大小,那么此处存在堆溢出。再通过读入,覆盖dest的指针为free的got表地址,然后strcpy将free的got表地址的地址覆盖为shllcode的地址。
buuctf wustctf2020_getshell_2 ret2shellcode
weixin_45441024的博客
12-01 737
BUUCTF wustctf2020_getshell_2 check一下,32位的程序且没有开任何保护 用ida打开,vuln很明显这是一个漏洞函数,f5查看一下伪代码,可以看到buf距离栈底0x18个字节 这是shell函数的伪代码,我们可以看到虽然这个并不是我们想要的shell(不是/bin/sh),但是程序里面有sh的字符串可以供我们利用,那我们现在就查找一下"sh"所在的位置 $ ROPgadget --binary '/home/pwn/Desktop/wustctf2020_getshe
[BUUCTF]-PWN:wustctf2020_number_game解析(补码,整数漏洞)
最新发布
2301_79326813的博客
03-02 309
查看保护查看ida大致意思就是输入一个数绕过if。
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 410
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
BUUCTF pwn——pwnable_orw
CNS-Enterprise BCC-1701-J
05-06 387
BUUCTF 做题练习
wustctf2020_closed(linux重定位)
weixin_61283545的博客
06-15 178
exec 1>&0_luooofan的博客-CSDN博客这篇博客讲的很清楚。记住下来看一下linux,确实不能只在乎题目。
buuctf wustctf2020_closed stdout
weixin_45441024的博客
12-07 470
buuctf wustctf2020_closed stdout 一开始还是check一下 ida分析发现vuln函数,根据经验觉得这个是漏洞函数,双击进入,发现调用了两次close()函数 可以发现关掉了标准输出和错误输出,最后调用了一个shell函数 可以看到这里为后门 今天这里新涉及到一个知识点,因为1和2文件描述符不可用了,所以对stdout重定向,将文件描述符 1 重定向到文件描述符 0 : exec 1>&0 成功getshell ...
ctf遇见题目close(1)怎么调试
azraelxuemo的博客
04-13 1738
以d3ctf_2019_unprintablev这个为例 这个关闭了1,虽然解法用爆破可以做,但是调试起来很麻烦,我是这样解决的 因为stdout是全局变量,所以会在bss里面定义stdout 因为close(1)的原理就是关闭了1号文件描述符,所以我们只需要把stdout的文件描述符改成2就好 def debug(): gdbscript = """ b vuln c set *(char *)(*(unsigned long int *)$rebase(0x20202
pwn-Recho
醉等佳人归
09-08 351
1.题目 1.保护机制 开启nx 2.关键代码 2.思路 重点1:看出来是个很简单的栈溢出,但是第一个问题是这个循环是个死循环,如果直接使用close()函数程序会直接退出,查询资料后发现pwn库中提供了shutdown()函数,他可以关闭IO流,即让循环正常退出 重点2:既然使用shutdown函数,我们必须一次性将payload发送过去,这就导致我们不能使用内存泄漏来泄漏system函数,查询了一下字符串发现有一个flag,所以我们考虑使用系统调用完成,alarm,open,read,write函数的
Pwn with File结构体(一)
weixin_30888707的博客
08-03 227
前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 利用 FILE 结构体进行攻击,在现在的 ctf 比赛中也经常出现,最近的 hitcon2017 又提出了一种新的方式。本文对该攻击进行总结。 正文 首先来一张 _IO_FILE 结构体的结构 _IO_FILE_plus 等价于 _IO_FILE + vtab...
2020 西湖论剑 pwn noleakfmt
yongbaoii的博客
03-29 726
canary没开,方便溢出。 主逻辑简单。 格式化字符串漏洞。 给了我们一个栈地址,但是主要问题是把标准输出关掉了。 我们要利用的呢就是将_IO_2_1_stdout_的_fileno从1改成2,为啥呢? 对于一个FILE结构体来说,最重要的就是_flags和_fileno,_fileno存储的是我们的文件描述符,对于某些情况或许我们要劫持_fileno才能达到我们的目的,而_flags则标志了该FILE的一些行为,这对于我们的泄露至关重要。 我们想办法劫持结构体的_fileno之后就可以从标准错误做一.
fclose(stdout)close(1)的区别
热门推荐
金九 的技术博客
02-03 1万+
在论坛里有人问【发现close(1)和fclose(stdout)效果并不一样,为什么?】 ,勾起了我的好奇心,于是研究了一把,记录一下。 #include #include #include #include #include #include #include int main(int argc, char *argv[]) { int fd = open("/dev
PWN入门(8)格式化字符串漏洞
Ba1_Ma0的博客
09-26 979
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用下载这个github库,进入07文件夹还是和上一篇文件一样,设置文件权限,将flag设置位只能root可读设置程序位suid位。
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值