GYCTF 2020-BFnote题目分析

最新推荐文章于 2022-09-03 16:38:57 发布
最新推荐文章于 2022-09-03 16:38:57 发布
阅读量869 收藏 3
点赞数
分类专栏: pwn题目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Eagle_hwei/article/details/104857985
版权

BFnote的题目分析

2020-03-14 08:28:02 by hawkJW

题目附件、ida文件及wp链接

   自己太菜了,这道题里面包含的一些知识点和思路确实是以前完全没有接触过的。。。特别学习一下

1. 程序流程总览

首先,按照惯例,我们看一下程序开启的保护措施,如图所示

可以看到,仅仅是没有开启PIE保护,其余基本上保护都开启了,保护还是比较严格的。

下面我们来粗略的浏览一下程序的源代码来分析程序流程

可以看到流程还是比较简单的。其中有明显的两处问题,而这也将成为我们的切入点。

 2. 漏洞分析

  

我们上面提到了,这个程序有明显的两个漏洞。这里说一下,一个是这里,

s的位置在栈上,而这里的输入明显会导致栈溢出,从而修改返回地址——但需要注意的是,因为有canary保护,因此我们首先需要绕过该保护,但实际上,我们发现程序流程中唯一有输出的部分就是最后两个函数,但是即使此时我们已经知道canary的值,也没有办法通过输入进行改变了,因此,这里的canary绕过需要我们一次性在不知道canary的情况下直接绕过,这是一个难点。

第二个漏洞在这里

可以看到,虽然其检测了v4的值,让其不能无限大,但是实际上使用的时候并不是检测后的值,而是检测之间的值,那么这也就是说,我们拥有了一次在任意地址写入任意长度的能力!

 

介绍完了上面的主要的两个漏洞,我们下面将引入两个知识点作为铺垫——这些知识点将成为解题的关键。

 

第一点,我们需要明确canary的运作方式,要提到canary的工作方式,首先需要提到一个结构


                

        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  HawkJW
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    3
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
BUUCTF-PWN gyctf_2020_bfnote(劫持TLS结构,ret2_dl_runtime_resolve)

				
			

			

				

					weixin_44145820的博客
				

				

					04-19
					
					1626
					
				

			

		

		

			
				
目录程序分析背景知识延迟绑定Canary漏洞利用Exp
程序分析

一道带有canary的栈溢出题目
main函数是吧ebp-4中存放地址再减四获得的

调试结果如下

背景知识
延迟绑定
本题需要利用ret2al_runtime_resolve,涉及到延迟绑定的技术,简单介绍一下函数绑定的过程,以atol的调用为例
我们看一下第一次调用程序atol,此时atol_got存放着atol@plt+6...

			
		

	



                

              
                



	

		

			

				
					
2016 ZCTF note2 题解

				
			

			

				

					coco的博客
				

				

					12-01
					
					891
					
				

			

		

		

			
				
程序分析
先查看程序开启的保护,可以看到没有开启PIE。并且也是一个经典的菜单程序。

new note函数

可以看到,我们一共能申请四个堆块,堆块的指针,数量都存储在bss端上。我们能申请超过0x80的堆块,并在其中写入内容,这里的大小被限制了。但是我们进入my_read函数后就能发现for循环的条件中,size为int类型,而i是unsigned int类型。我们都知道,在c语言中,无符号变...

			
		

	



                


  
              

                


	

		

			

				
					
GYctf-BFnote IO_FILE还可以这样利用

				
			

			

				

					蚁景网安学院
				

				

					02-27
					
					229
					
				

			

		

		

			
				
这次感受到了自己是多么的菜,打完hgame再来打这个感觉完全不是一个等级的pwn题,第一天只做出来一个,算是比较有质量的题吧,从比赛开始卡到我比赛结束,幸亏最后做出来了。有两个很明显的溢...

			
		

	





	

		

			

				
					
i春秋2020新春战役PWN之BFnote (修改TLS结构来bypass canary)

				
			

			

				

					seaaseesa的博客
				

				

					02-24
					
					2209
					
				

			

		

		

			
				
BFnote

首先,检查一下程序的保护机制



然后,我们用IDA分析一下



一开始处,有一个栈溢出漏洞,但是由于开启了canary保护,得想办法绕过canary。下方的堆溢出,不仔细看还发现不了,v4只有一开始被初始化,在循环里,只有i被重新赋值,v4没变,而下方又用到了v4。

这题是可以绕过canary的,这就牵涉到了一个知识点。

在linux下,有一种线程局部存储(Thread ...

			
		

	



		

			
		



	

		

			

				
					
[GYCTF2020]Ezsqli(无列名注入)

				
			

			

				

					weixin_43940853的博客
				

				

					05-16
					
					5243
					
				

			

		

		

			
				
[GYCTF2020]Ezsqli

过滤了好多东西,包括用来查询的information关键词,本上就是考虑盲注了


当||后面条件为真时返回Nu1L,为假时返回V&N,这就是判断盲注语句是否成立的关键


接下来就可以写脚本判断表名了
import requests
url = 'http://bfd71058-3cf0-4e87-8731-8935a651f051.node3.buuoj.cn/'
payload = '2||ascii(substr((select group_concat

			
		

	





	

		

			

				
					
[GYCTF2020] web题-Ezsqli

				
			

			

				

					BROTHERYY的博客
				

				

					12-30
					
					414
					
				

			

		

		

			
				
这题一直出问题,用脚本跑到一半都会崩。
后面换了一个,能够跑出来。
详细情况可以看看Ying师傅的blog
https://www.gem-love.com/ctf/1782.html
我把跑出来的代码贴出来可以参考下
# coding:utf-8 
import requests
import time
url = 'http://2aa83373-6644-4c2f-904a-9f15560d4f1c.node3.buuoj.cn/'
def str_hex(s): #十六进制转换 fl ==> 

			
		

	





	

		

			

				
					
[GYCTF2020]FlaskApp 1(SSTI,PIN)

				
			

			

				

					weixin_45577185的博客
				

				

					10-20
					
					1301
					
				

			

		

		

			
				
f12发现了提示,但是我对PIN没有了解所以没反应过来

扫了一下网站,发现了一个网站打开


非预期解:
本题存在SSTI注入
加密 {{7+7}}
 e3s3Kzd9fQ== 
 解密
 回显14  说明是SSTI

python-Flask模版注入攻击SSTI(python沙盒逃逸)
查看根目录:
 {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init_

			
		

	





	

		

			

				
					
[GYCTF2020]Ez_Express

				
			

			

				

					snowlyzz的博客
				

				

					09-03
					
					637
					
				

			

		

		

			
				
JavaScript 原型链学习

			
		

	





	

		

			

				
					
[GYCTF2020]Node Game-nodejs通过拆分攻击实现的SSRF攻击

				
			

			

				

					cjdgg的博客
				

				

					08-16
					
					1616
					
				

			

		

		

			
				
[GYCTF2020]Node Game
漏洞:通过拆分请求实现的SSRF攻击
假设一个服务器,接受用户输入,并将其包含在通过HTTP公开的内部服务请求中,像这样:
GET /private-api?q=<user-input-here> HTTP/1.1
Authorization: server-secret-key

如果服务器未正确验证用户输入,则攻击者可能会直接注入协议控制字符到请求里。假设在这种情况下服务器接受了以下用户输入:
"x HTTP/1.1\r\n\r\nDELETE /p

			
		

	





	

		

			

				
					
node漏洞 【持续更新】

				
			

			

				

					weixin_51458899的博客
				

				

					02-24
					
					1698
					
				

			

		

		

			
				
node漏洞
持续更新

			
		

	





	

		

			

				
					
Week小结

				
			

			

				

					qq_61209261的博客
				

				

					07-15
					
					352
					
				

			

		

		

			
				
Web安全学习

			
		

	





	

		

			

				
					
*CTF babynote 复现

				
			

			

				

					weixin_45209963的博客
				

				

					04-26
					
					3057
					
				

			

		

		

			
				
*CTF babynote 复现

			
		

	





	

		

			

				
					
[GYCTF2020]Node Game

				
			

			

				

					fmyyy1的博客
				

				

					05-29
					
					741
					
				

			

		

		

			
				
一道nodejs题,可以直接拿到源码
var express = require('express');
var app = express();
var fs = require('fs');
var path = require('path');
var http = require('http');
var pug = require('pug');
var morgan = require('morgan');
const multer = require('multer');


app.use(

			
		

	





	

		

			

				
					
BUUCTF-刷题记录-10

				
			

			

				

					qq_45628145的博客
				

				

					10-07
					
					1366
					
				

			

		

		

			
				
MISC
[watevrCTF 2019]Unspaellablle
词频分析,没有什么结果,然后看文件前面很有规律的样子,看起来像个什么文章?直接谷歌搜索到一个差不多的,不过有一点区别,链接。
然后去linux下面使用vimdiff命令查看两个文件的差别,发现把差别字符提取出来也就是flag了。
vimdiff 1.txt 2.txt


也就是watevr{icantspeel_tiny.cc/2qtdez}。
[INSHack2018]Spreadshit
搜索空格,全部选中,发现flag:INSA{

			
		

	





	

		

			

				
					
[GYCTF 2020] Web复现 wp

				
			

			

				

					Alexhirchi的博客
				

				

					07-30
					
					1690
					
				

			

		

		

			
				
FlaskApp
要点:模板注入、Pin码
访问网站,提示了该网站由Flask框架搭建,进行简单测试,提供了base64加密和解密的功能,并开启了flask的dubug功能(输入错误的base64解码会出现报错界面)


猜测存在模板注入,构造payload:{{2+6}} base64加密,将结果进行解码,验证存在模板注入


构造payload获取python文件内容(通过之前的报错可以知道python文件名),循环查找catch_warnings,打开app.py读取内容
{% for c in []

			
		

	





	

		

			

				
					
记一次春节CTF实战练习(RE/PWN)

				
			

			

				

					蚁景网安学院
				

				

					02-07
					
					1075
					
				

			

		

		

			
				
这是Hgame_CTF第二周的题目,一共有四周。相对来说,比第一周难(HgameCTF(week1)-RE,PWN题解析)。这次的有一道逆向考点也挺有意思,得深入了解AES的CBC加密模...

			
		

	





	

		

			

				
					
BUUCTF:[GYCTF2020]EasyThinking

				
			

			

				

					末初的CSDN博客
				

				

					03-28
					
					3501
					
				

			

		

		

			
				
参考:https://www.cnblogs.com/yesec/p/12571861.html

目录扫描,存在源码泄露www.zip

ThinkPHP框架

ThinPHPV6.0.0
漏洞成因:ThinkPHP6任意文件操作漏洞分析
session可控,修改session,长度为32位,session后缀改为.php(加上.php后为32位)
然后再search搜索的内容会直接保存在/ru...

			
		

	





	

		

			

				
					
[GYCTF2020]Ezsqli

				
			

			

				

					SopRomeo的博客
				

				

					07-21
					
					1125
					
				

			

		

		

			
				
话不多说,直接注
fuzz一波,发现输入分号和单引号无果,并且过滤了关键字符
猜测整形注入

无果,尝试异或注入

发现可行,这个注入我做的挺多了,就不细说了,具体可以去看我的博文 极客大挑战finalsql
注入的时候发现他过滤or 这样我们的information就不能用了

换成innodb_table_stats绕过也无果

发现sys.x$schema_flattened_keys 或者 sys.schema_table_statistics_with_buffer可以替代上面那个,果然条条道路通

			
		

	





	

		

			

				
					
re学习笔记(44)[ACTF2020]game

				
			

			

				

					逆向随笔
				

				

					02-28
					
					634
					
				

			

		

		

			
				
新手一枚,如有错误(不足)请指正,谢谢!!
个人博客:点击进入
题目分析:
IDA载入,

shift+F12查找字符串

双击跟随到其所在的内存地址,摁’x’键交叉引用,找到调用此字符串的指令,来到关键代码。

F5查看伪代码

先分析sub_4014DC(v2)函数,双击进入分析分析sub_40156A(v2, &unk_405020)函数

查看一下内存中存储的数据

发现是每...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值