DASCTF X CBCTF 2022九月挑战赛 cyberprinter wp

最新推荐文章于 2024-05-16 08:00:47 发布
最新推荐文章于 2024-05-16 08:00:47 发布
阅读量344 收藏
点赞数
分类专栏: pwn刷题wp 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65147345/article/details/127141814
版权

题目分析

  1. 第一个read可溢出8字节,通过gdb调试buf+0x20的位置是_IO_2_1_stderr_的地址所以填充满泄露即可,所以libc_base是白给的

  2. 字符串中不能包含if中的字符(若发送地址也不能包含)

  3. 格式化字符漏洞
    在这里插入图片描述

思路

  • 通过格式化字符串漏洞改写libc中strlen的got表地址为one_gadget

  • 程序执行完printf(s),接着就执行puts(),puts()会调用strlen函数
    puts.c:
    在这里插入图片描述

libc->puts:
在这里插入图片描述

puts函数调用自己的got表进行strlen函数定位(libc没有开启got不可写):

在这里插入图片描述

注:在非伪代码下双击追踪,否则会直接转跳到strlen函数

所以只需要更改libc中strlen的got表为og便可以获取shell

过程

注:libc里面的got表不能通过 libc.got[‘puts’]获取偏移需要自己收到找地址,我也不知道为啥不能用,反正这样写就会报错

  1. 将rbp指向 存有_IO_2_1_stderr_的指针,操作如下
  2. 通过第二个框中的链,将0x7ffc0e22b6a0改写成0x7ffc0e22b650
    0x7ffc0e22b670 —▸ 0x7ffc0e22b690 —▸ 0x7ffc0e22b6a0 ◂— 0x0
    在这里插入图片描述

有概率成功,成功后结构如下:

在这里插入图片描述

  1. 此时我们就可以通过rbp的位置将_IO_2_1_stderr_改写为strlen_got,结果如下:

最低0.47元/天 解锁文章
Mauricio_Davis
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
DASCTF X CBCTF 2022九月挑战赛 bar wp
qq_65147345的博客
10-03 192
思路: 1. 通过漏洞改写fd打tcache attack
X9318WP8的技术参数
12-11
产品型号:X9318WP8工作电压(V):5总阻值(kΩ):10端电压(V):0~8抽头数:100接口方式:CS,U/D,INC电阻增加方式:线性工作电流(mA):3封装/温度(℃):8PDIP/0~70描述:单DCP,抽头位置掉电自动保存,高输出端电压价格/1片(套):¥...
DASCTF X CBCTF 2022九月挑战赛 Text Reverser
qq_64201116的博客
09-18 559
那就用脚本或者在线工具讲构造好的payload反序一下。被过滤了就用{%print%}的形式。Fuzz一波,看一下过滤情况。
CBCTF2023十二月比赛 wp by MakaRi
最新发布
2401_84254087的博客
05-16 930
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。发现定义了四个类,并且使用了一些魔术方法,并且首页在引入这段代码后对参数进行了file_exists,不难想到需要打phar包上传,利用协议phar://反序列化phar包,执行Act类中的任意代码包含include($this->checkAccess)。如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k。
DASCTF X CBCTF 2022九月挑战赛
qq_62046696的博客
10-24 1215
总结:其实当时做的时候,也想到这些了比如第一道题,但是当时没有时间戳的概念,不知道在前端找check.php发包的,然后导致,没思路。说明其中有字符确认掉了,然后发现是{{我们可以用 {{% print % }}代替,now as a web service一个web服务,那么大概几率就是ssti了。抓了个包,100000000分肯定是改一些东西,发现了check.php。一般这种题目,要么是sql注入要么就是ssti模板注入。第二个ssti单纯是因为懒!这道题打开以后其实就是一个逆序的文本框,
DASCTF X CBCTF 2022九月挑战赛 WriteUp
Whitebird的博客
10-24 544
DASCTF X CBCTF 2022九月挑战赛 WriteUp
DASCTF 2022 9月挑战赛 cyberprinter
zyxx_wjc的博客
09-27 323
DASCTF 2022 9月挑战赛 cyberprinter
第四届“强网”拟态防御国际精英挑战赛.zip
12-07
拟态防御 CTF 国际精英挑战赛
X9315WP-2.7的技术参数
12-11
产品型号:X9315WP-2.7工作电压(V):2.7~5.5总阻值(kΩ):10端电压(V):0~5抽头数:32接口方式:CS,U/D,INC电阻增加方式:线性工作电流(mA):0.050封装/温度(℃):8PDIP/0~70描述:低功耗,低噪声,单DCP,抽头位置掉电保存价格/1...
X9319WP8的技术参数
12-11
产品型号:X9319WP8工作电压(V):5总阻值(kΩ):10端电压(V):0~10抽头数:100接口方式:CS,U/D,INC电阻增加方式:线性工作电流(mA):3封装/温度(℃):8PDIP/0~70描述:单DCP,抽头位置掉电自动保存价格/1片(套):¥8.49 
X9313WP-3的技术参数
12-12
产品型号:X9313WP-3工作电压(V):3~5.5总阻值(kΩ):10端电压(V):-5~5抽头数:32接口方式:CS,U/D,INC电阻增加方式:线性工作电流(mA):3封装/温度(℃):8PDIP/0~70描述:单DCP,抽头位置掉电自动保存价格/1片(套):¥6.49 
DASCTF X CBCTF 2022九月挑战赛-Pwn
qq_34010404的博客
09-19 602
buf 后面跟着一个libc的地址,可以leak libc 的基址下面跟着一个格式串漏洞,puts里面调用的strlen,改那个got为one_gadget 即可(这个题刚好有一个满足的gadget)栈溢出,但是只能覆盖返回地址,栈迁移做就行UAF 可以改fd (加或减去一个偏移)
DASCTF 2022九月赛WEB
weixin_43952190的博客
09-22 768
CTF
DASCTF X CBCTF 2022九月挑战赛(pwn方向)复现
FUCKING12的博客
10-06 1891
DASCTF X CBCTF 2022九月挑战赛(pwn方向)复现
DASCTF9月赛pwn-wp
Stella_Leo的博客
09-28 1515
DASCTF-2021-9月 头一次打安恒月赛,体验还不错,没有足够的时间,稍微看了下pwn,两个栈是我没想到的,然后还有一个heap题目,然而还需要先绕过re认证才能正常的pwn也是我没想到的。。 文章不贴图片了,较简单 hehepwn 啥保护没开 这是最简单的,就一个scanf明显的溢出,然后strdup函数那里,可以写满s把\x00打没了,然后泄露rbp,然后就是ret2shellcode exp #coding:utf-8 from pwn import * context.log_level='d
DASCTF X CBCTF 2022九月挑战赛WEB复盘
m0_61206225的博客
09-21 485
dino3d Text Reverser cbshop JavaMaster
DASCTF X CBCTF 2022九月挑战赛 appetizer
qq_65147345的博客
10-04 294
1. 将rop链布置到end中,泄露出libc地址,通过最后一个read进行栈迁移 2. 在第一个链中输出完之后再执行一个read向end写入第二个rop链 3. 第二个rop链就是常规的open,read,puts了
DASCTF X CBCTF 2022九月挑战赛 reverse landing
weixin_63051469的博客
09-22 670
胡小楠的刷题日常
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值