LCTF 2016:pwn200 解法1

于 2023-10-19 23:01:10 发布
阅读量112 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39678876/article/details/133936436
版权

查看保护机制

查看反汇编,发现可利用漏洞代码

存在off-by-on漏洞,可泄露stack地址

存在数组越界漏洞,结合strcpy可造成一个地址的任意地址写

经计算,shellcode长度正好小于0x30,可通过修改返回地址为stack上,执行shellcode代码,获取shell。完整exp如下:

执行效果 

还可通过house-of-spirit,在stack上构造fake chunk的方法,但思路大同小异。都是执行shellcode来获取shell 

蜗丨牛
关注
攻防世界 pwn进阶区 pwn-200
Kni9hT's Blog
03-04 1766
前言 一到夜晚就不太想睡…想了想还是把昨天(不,前天 )的那题pwn writeup写了吧。虚假の二进制选手终于捡起了他的pwn…话说从web新手区转到pwn进阶区,wtnl。 学习要点 DynELF的使用 plt地址和got地址的区别 如何利用write函数 思考 题目的逻辑不难,开启了NX防护(即不能直接执行栈上的数据,通常使用ROP,本题就是),没有给libc地址,有个明显的栈溢出漏...
Lctf-2016-pwn100 题解
lifanxin的博客
12-24 933
Write Up知识点和关键字样本运行静态分析程序逻辑求解脚本 知识点和关键字 栈溢出 ROP 无libc泄露函数地址 样本 来自Lctf 2016年的pwn题,样本 pwn100 (这个资源没办法上传,想要样本的可以留言!) 运行 查看文件属性   64位程序,只开了NX保护 运行样本程序 输入超过200个字符串才会回显"bye~",接着报了一个段错误,程序结束 静态分析 把程序拖进到IDA查看,发现main函数比较简单,主要起作用的是sub_40068E()函数,我们直接进入到这个函数。 该函数又
lctf2016_pwn200
qq_62887641的博客
08-28 86
buf长度有0x38,我们可以输入0x40,并且dest是在0x8的位置,我们可以将其覆盖使其ptr指针可控。算出该偏移,即可得到我们shellcode的栈地址。第一个想法就是写shellcode。的栈空间,我们后面堆执行。----> 执行我们的。
buu lctf2016_pwn200
qq_51474381的博客
04-25 320
代码分析 1.可泄露rbp(就是泄露栈地址,因为没有\x00截断时会连带输出后面的数据)。 2.buf可覆盖ptr(栈上变量覆盖),strcpy()可能会破坏我们构造好的payload,但是strcpy()并不会复制"\x00",所以在shellcode最前面要加上"\x00",这样就只有溢出,没有复制 3.后面就是堆的操作了,只有add和delete 总体思路 1.泄露rbp,获得栈地址。 2.写入shellcode+伪造size+覆盖dest,从而控制ptr。 3.free掉.
BUUCTF--lctf2016_pwn200
qq_73149934的博客
04-01 323
free(ptr)后再malloc(0x30),得到这块fake_chunk的控制权,接着将返回地址(get_money_ret)覆盖为shellcode_addr,退出拿到shell。向$buf输入,构造fake_chunk且覆盖dest(ptr)的size,同时修改ptr指向fake_chunk的mem部分。这里得到的是rbp中的值,不是rbp的地址,通过调试得到偏移。3.利用”give me money~“,布置。5.修改返回地址为shellcode的地址。是一个入住宾馆的题目。
CTF竞赛权威指南(Pwn篇) 相关资源.zip
最新发布
01-14
Java是一种高性能、跨平台的面向对象编程语言。它由Sun Microsystems(现在是Oracle Corporation)的James Gosling等人在1995年推出,被设计为一种简单、健壮、可移植、多线程、动态的语言。Java的主要特点和优势...
LCTF2017-WEB-LPLAYGROUND:LCTF2017网站题L_PLAYGROUND
03-23
LCTF2017C L_PLAYGROUND 0x00.LCTF2017 0X01。项目介绍 这个项目是LCTF2017的网络题L_PLAYGROUND的开放原始码。 ./doc/build.md指南在./doc/build.md ./doc/writeup.md在./doc/writeup.md 0x02。参考 0x03。后记 这...
LCTF2018 PWN easy_heap 远程环境搭建
哒君的博客
08-08 891
一直很头疼环境的问题,需要目标环境的glibc版本是2.27,而我的是2.23 如果开启第二个虚拟机占用内存太大,所以我选择用docker 于是终于找到了能在libc2.27下工作的gdb插件pwngdb(注意不是那个pwndbg) 所以这个镜像可以作为Tcache机制题目的本地测试容器 GitHub docker镜像:链接:https://pan.baidu.com/s/1eCIbJl3Ig9...
LCTF#LCTF2017#web签到题1
07-25
web签到题题目不难, 一共就只有几个点用file协议读取本地文件截断url后面拼接的/, GET请求, 用?#都可以payload其实很简单: file://
2017湖湘杯pwn200
12-02
2017湖湘杯pwn200的题目,请大家自行下载。。。。。。
[BUUCTF-pwn]——lctf2016_pwn200
Y_peak的博客
03-11 693
[BUUCTF-pwn]——lctf2016_pwn200 题目地址:https://buuoj.cn/challenges#lctf2016_pwn200 还是先chekcsec 一下, 没有开启NX代表我们可以手写shellcode并且执行 在IDA, 中大家自己看看就好,我这里将两个漏洞的位置告诉大家就好 寻找偏移 思路 利用漏洞1, 获得main_ebp地址, 寻找到我们写入的shellcode距离的位置 利用漏洞2 覆盖dest变量值为free的got表的地址, 这样通过strcpy
l-ctf2016pwn200 hose-of-spirite
九层台
03-09 494
这里看可以输入48个字节,最后没有跟00能够泄露出来rbp 从ida上面看是这样的,id并没有保存。 但是实际上 id被保存到了这里。 var_38被定义为 刚好再输入的name上面。在栈上显示如下图 #coding=utf-8 from pwn import * context(arch='amd64',os='linux') context.log_level = 'debug' p =...
L-CTF2016 PWN200 writeup
哒君的博客
08-02 694
本以为已经可以做出题来了。。。没想到连利用点在哪都没看见 例行公事 居然什么保护都没开,有趣 利用点分析 v2位于rbp-0x30的位置,而name会读入0x30个字符,且如果读入0x30个字符的话末尾不会有\x00,这样在printf的时候就会顺带leak出rbp的值 id保存在rbp-0x38的位置 *buf在栈上的位置是rbp-0x40,dest在栈上的位置是rbp-0x8,但是b...
lctf2016_pwn200 堆利用
人饭子的博客
12-31 561
lctf2016:pwn200 堆利用 一、信息收集 RELRO:在Linux系统安全领域数据可以写的存储区就会是攻击的目标,尤其是存储函数指针的区域。 所以在安全防护的角度来说尽量减少可写的存储区域对安全会有极大的好处.GCC, GNU linker以及Glibc-dynamic linker一起配合实现了一种叫做relro的技术: read only relocation。大概实现就是由l...
攻防世界 pwn-200
weixin_56777139的博客
03-20 268
32位 ret2libc。
[攻防世界 pwn]——pwn-200
Y_peak的博客
02-20 714
[攻防世界 pwn]——pwn-200 题目地址: https://adworld.xctf.org.cn/ 题目: peak小知识 ret2libc的题型, 一般给一个输出和一个输入的函数, 输入一般可以栈溢出。但是没有system和"/bin/sh"。首先, 利用已知的函数leek出来一个地址返回地址是可循环调用的地方,一般是用puts,或者write函数leek地址, 偶尔有时是printf函数, 然后找出libc版本计算偏移, 找到system和’/bin/sh’ 地址。重新构造rop链进而获
pwn-200(xctf)
weixin_43868725的博客
08-08 652
0x0 程序保护和流程 保护: 流程: main() overflow() 明显的栈溢出漏洞。 0x1 利用过程 1.由于题目没有给出libc的版本,所以需要通过pwntools中的DynELF或者Libcsearch得出libc的版本。 2.如果使用DynELF则需要向内存写入**/bin/sh**,而Libcsearch则不用。 3.payload的构造(以DynELF为例): payload=padding+p32(read_plt)+p32(ppp_addr)+p32(0)+p32(bss_
攻防世界pwn——pwn-200
qq_62076255的博客
12-23 526
做题记录
LCTF 2018竞赛平台技术解析与部署指南
#### 1. Webpack Webpack是一个现代JavaScript应用程序的静态模块打包器(module bundler)。在LCTF 2018平台中,Webpack被用于打包前端代码,使得前端资源(如HTML、CSS、图片和JavaScript文件)能够有效地加载和运行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值