pwnable.kr echo1

最新推荐文章于 2022-03-28 21:09:39 发布
最新推荐文章于 2022-03-28 21:09:39 发布
阅读量439 收藏
点赞数 1 
int __cdecl main(int argc, const char **argv, const char **envp)
{
  unsigned int *v3; // rsi
  _QWORD *v4; // rax
  unsigned int v6; // [rsp+Ch] [rbp-24h]
  __int64 v7; // [rsp+10h] [rbp-20h]
  __int64 v8; // [rsp+18h] [rbp-18h]
  __int64 v9; // [rsp+20h] [rbp-10h]

  setvbuf(stdout, 0LL, 2, 0LL);
  setvbuf(stdin, 0LL, 1, 0LL);
  o = malloc(0x28uLL);
  *((_QWORD *)o + 3) = greetings;
  *((_QWORD *)o + 4) = byebye;
  printf("hey, what's your name? : ", 0LL);
  v3 = (unsigned int *)&v7;
  __isoc99_scanf("%24s", &v7);
  v4 = o;
  *(_QWORD *)o = v7;
  v4[1] = v8;
  v4[2] = v9;
  id = v7;
  getchar();
  func[0] = (__int64)echo1;
  qword_602088 = (__int64)echo2;
  qword_602090 = (__int64)echo3;
  v6 = 0;
  do
  {
    while ( 1 )
    {
      while ( 1 )
      {
        puts("\n- select echo type -");
        puts("- 1. : BOF echo");
        puts("- 2. : FSB echo");
        puts("- 3. : UAF echo");
        puts("- 4. : exit");
        printf("> ", v3);
        v3 = &v6;
        __isoc99_scanf("%d", &v6);
        getchar();
        if ( v6 > 3 )
          break;
        ((void (__fastcall *)(const char *, unsigned int *))func[v6 - 1])("%d", &v6);
      }
      if ( v6 == 4 )
        break;
      puts("invalid menu");
    }
    cleanup("%d", &v6);
    printf("Are you sure you want to exit? (y/n)");
    v6 = getchar();
  }
  while ( v6 != 121 );
  puts("bye");
  return 0;
}
__int64 echo1()
{
  char s; // [rsp+0h] [rbp-20h]

  (*((void (__fastcall **)(void *))o + 3))(o);
  get_input(&s, 128LL);
  puts(&s);
  (*((void (__fastcall **)(void *, signed __int64))o + 4))(o, 128LL);
  return 0LL;
}

这个题echo1中存在溢出漏洞,s只分配了0x20个字节,而可以输入128个字节。我们可以覆盖eip为我们shellcode的地址,有两个地方可以放shellcode,第一个是name,name前八个字节存在栈中,可以控制把eip覆盖为id的地址。第二个就是echo的栈中,将shell code前八个字节覆盖到esp上,eip为id的地址,我们输入name位asm(jmp esp)就可以到达shellcode。


whoa_
关注
PWN dragon echo1 echo2 [pwnable.kr]CTF writeup题解系列16
重新启程
01-06 699
由于pwnable.kr说明了不要将题解的利用脚本直接提出来,所以我就简单说下思路,本篇包括三个题目 目录 0x01 dragon 0x02 echo1 0x03 echo2 0x01 dragon 执行步骤 整数溢出漏洞:pDragon->HP 的类型是 signed byte,所以当超过127,就是负数了。这就是整数溢出漏洞 uaf漏洞: 1. malloc person...
pwnable.kr-fix
r00tnb的博客
02-28 872
前言 看似简单的改代码题,但是还是需要强大的汇编知识。花了很长时间,主要是自己对指令不是很熟悉。另外pwnable.kr的练习我会在另一个博客http://www.ktstartblog.top持续更新欢迎大家来踩。 分析 先分析源码fix.c #include <stdio.h> // 23byte shellcode from http://shell-storm...
pwnable.krecho1
Bill
05-30 774
缓冲区溢出新解题目链接:http://pwnable.kr/play.php 分析:该程序是一个64位的elf文件,运行程序.输入name,选择选项.hey, what's your name? : bill - select echo type - - 1. : BOF echo - 2. : FSB echo - 3. : UAF echo - 4. : exit大致流程就这样.看到有三个选项
pwnable.krecho1
子曰小玖的博客
06-10 528
https://r00tnb.github.io/2018/03/06/pwnable.kr-echo1/ 前言 简单的栈溢出题目。 分析 先分析反编译的代码 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 ...
echo1(Pwnable.kr)
weixin_30716725的博客
06-13 129
0x0 写在前面的话 这是一个典型的栈溢出漏洞,而且运行平台为x64。同样,我也遇到了问题,没能解决,在此还是谢谢龙龙大神。溢出点找到了,由于之前做Linux溢出一直是在导入表中找函数system的地址,然后覆盖掉其它函数进行调用。在Windows平台下做过直接在栈中调用shellcode的,在Linux平台下,第一次遇到,思路不够开阔,没想到,惭愧。 0x1 简单分析 0x2 溢出脚本 脚本中...
pwnable echo1
weixin_30458043的博客
11-03 88
最近忙的好久没有更新了,有空把之前拿来练手的CTF pwn题逐渐整理一下放出来 题目是 linux 64位程序 ,流程很简单,大致思路就是先把一个跳转的机器指令写进name的地址,然后溢出覆盖eip,找一个通用的shellcode就行 转载于:https://www.cnblogs.com/bongbongbong/p/4934624.html...
pwnable.kr uaf writeup
attack_eg的博客
09-11 912
pwnable.kr uaf writeup核心考察点 c++类的内存布局 点击详情 c++类实例的内存块首地址存放vfptr(虚表指针)uaf漏洞 在内存释放后,不会被“真正”释放。当申请相似大小空间内存时,刚”释放”的内存被优先分配。(遵循FIFO的原则) 当再次通过指针访问”释放”内存时,将发生不可预知的情况。(取决于类实例内存数据如何被改动)解题过程1. IDA确定对象生成
apachecn#apachecn-ctf-wiki#PWN-dragon-echo1-echo2-[pwnable.kr]CT
07-25
1. malloc person 2. malloc dragon 3. free dragon
PWN flag [pwnable.kr]CTF writeup题解系列4
重新启程
01-01 944
直接看题目 这是一道逆向题目,直接下载下来看看 root@mypwn:/ctf/work/pwnable.kr# wget http://pwnable.kr/bin/flag --2020-01-01 09:37:31-- http://pwnable.kr/bin/flag Resolving pwnable.kr (pwnable.kr)... 128.61.240.205 ...
pwnable.kr之asm
Jason_ZhouYetao的博客
07-23 576
这题我认为主要考察的知识点一个是沙箱中可用函数还有就是shellcode这个大头问题。 首先看看这道题目的代码: root@kali:~# ssh asm@pwnable.kr -p2222 asm@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ _ ____ | ...
一步一步学 ROP 之 linux_x64 篇-level5
weixin_43489686的博客
02-02 1552
这道题是来自蒸米的一步一步学ROP之linux_x64篇中的level5,主要考察的是中级ROP中的__libc_csu_init。 原理 __libc_csu_init这个函数是用来对libc进行初始化操作的,一般的程序都会调用libc函数,所以一般都会有这个函数。 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000...
[XCTF-Reverse] 83 2019_UNCTF_easyvm
weixin_52640415的博客
03-28 480
到了后边就都不会了,只有这个VM还可以磨磨 主程序非常短,输入32个字节然后就去比较了 signed __int64 __fastcall main(__int64 a1, char **a2, char **a3) { unsigned int (__fastcall ***v3)(_QWORD, void *, void *, char *); // rbx char s; // [rsp+10h] [rbp-80h] int v6; // [rsp+70h] [rbp-20h]
xctf攻防世界 REVERSE 薪手练习区(二)
l8947943的博客
03-22 2164
6. re1 进入环境,下载附件后发现给出的是一个exe文件,运行一下如图: 6.1 查看文件 我们用Exeinfo PE打开查看文件信息,如图: 没有加壳,丢入IDA Pro中: 6.2 反编译 对mian函数进行反编译(这个反编译好坑,一定要用IDA32位的程序打开才行,MD搞了好久) int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax __int128 v5; // [esp+
BUU_re_[ACTF新生赛2020]usualCrypt
goat_2003的博客
09-04 247
首先拖入ida中 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // esi int result; // eax int v5[3]; // [esp+8h] [ebp-74h] BYREF __int16 v6; // [esp+14h] [ebp-68h] char v7; // [esp+16h] [ebp-66h] char v8[100]; // [esp+18h] [
angr的学习与记录(二:寄存器、栈和内存设置)
m0_49936845的博客
09-22 471
03_angr_symbolic_registers 输入值在寄存器设置 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // ebx int v4; // eax int v5; // edx int v6; // ST1C_4 int v7; // ST14_4 unsigned int v9; // [esp+8h] [ebp-10h] int v10; // [esp+C
攻防世界REVERSE新手题解答
liucc09的博客
11-25 980
csaw2013reversing2 程序分析 使用IDA打开程序,F5键利用HexRay工具生成可读代码如下: int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // ecx CHAR *lpMem; // [esp+8h] [ebp-Ch] HANDLE hHeap; // [esp+10h] [ebp-4h] hHeap = HeapCreate(0x40000u
ADworld pwn wp - stack2
fa1c4的blog
06-25 205
int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax unsigned int v5; // [esp+18h] [ebp-90h] BYREF unsigned int v6; // [esp+1Ch] [ebp-8Ch] BYREF int v7; // [esp+20h] [ebp-88h] BYREF unsigned int j; // [esp+24h] [ebp..
[BUUCTF-pwn]——pwnable_echo2
Y_peak的博客
11-16 928
[BUUCTF-pwn]——pwnable_echo2 附件 题解 没那么多时间写详细的题解,就简单理一下思路了。 首先这个题目中通过 2. : FSB echo 我们可以泄露出来栈上的地址,这里我们泄露出来的是当前栈帧rbp中存储的地址,也就是mian函数的rbp地址。通过rbp与变量的关系,我们可以得到我们在程序开始运行时写入name的地址。由于栈是可执行的,我们只需要将shellcode写入我们要写入的name的位置即可。不过长度要小于24。 做到这一步第一步就完成了,下面我们需要利用uaf漏洞来劫持
一道简单的smc自解密题目
m0_62690279的博客
03-27 1076
一道简单的smc自解密题目 攻防RE_BABYRE 64位elf,拉入ida 打开main函数 int __cdecl main(int argc, const char **argv, const char **envp) { char s[24]; // [rsp+0h] [rbp-20h] BYREF int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h] for ( i = 0; i <= 181; ++i )
urls = ['https://www.ppomppu.co.kr/zboard/zboard.php?id=freeboard&hotlist_flag=999&page={}'.format(i) for i in range(1, 6)] 什么意思
最新发布
05-30
'https://www.ppomppu.co.kr/zboard/zboard.php?id=freeboard&hotlist_flag=999&page=1', 'https://www.ppomppu.co.kr/zboard/zboard.php?id=freeboard&hotlist_flag=999&page=2', '...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值