190727 pwn-ciscn_final_14

最新推荐文章于 2024-05-03 23:27:39 发布
最新推荐文章于 2024-05-03 23:27:39 发布
阅读量2.3w 收藏
点赞数 1
分类专栏: CTF pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/97559903
版权

搞了快三个小时才出来_(:з」∠)_几乎白给
雷泽太强了!

在这里插入图片描述

简单逆向后可以知道

  1. 该程序具有注册和登陆功能
  2. 注册后会给name赋值为userx,而get_flag的需求为name==adminx
  3. passwd成员存储原始密码加盐(随机数)加密后的结果
  4. code成员存储其他成员加盐(随机数)加密后的结果
  5. 登录时校验passwdcode

Struct:

00000000 User            struc ; (sizeof=0x84, mappedto_6)
00000000 index           dd ?
00000004 age             dd ?
00000008 len_text        dd ?
0000000C name            db 24 dup(?)
00000024 passwd          db 32 dup(?)
00000044 text            db 32 dup(?)
00000064 code            db 32 dup(?)
00000084 User            ends

由于get_flag方法为修改name,因此显然需要利用漏洞修改name
简单审计后发现存在两个溢出点
6. set_passwd里的length自由输入,buf的大小为0x100,存在栈溢出,但有canary
7. set_text里的length自由输入,buf的大小为0x20,存在堆溢出,可以覆盖后一个堆

作为一个单纯的逆向狗,对堆的结构完全不了解╮(╯_╰)╭所以不考虑 CHUNK 相关的利用

这里的堆溢出可以任意修改后面的块,但直接把name改成adminx以后会在check_code的地方由于其他成员被修改而校验失败退出

那么在篡改name的时候就必须一起把code成员也篡改了
于是有两个方法

  1. 用现成的加密令其生成哈希,并泄露出来然后写入code成员
  2. 自行解密code,得到RANDOM然后再次加密

扫了一眼加密算法发现复杂的一批,懒得看了就当蜜汁哈希了
(后来提示里给出了是SM3的散列算法,然而其实没啥用233 并不知道咋泄露BSS段里的RANDOM)

思考了一阵子以后想起来set_passwd里面可以根据用户使用的passwd来生成哈希,另一方面login以后whoami方法可以print text,而通过控制text可以令其一直输出到下一个块的目标成员,从而泄露下一个块的passwdcode

由于最多只能创建三个块,因此需要比较节省233
思考了一下感觉这个障碍对思路影响不大

思路:

  1. 创建两个块,令第一个块的text填到下一个块的passwd前,从而泄露出某个密码此时的哈希
  2. 创建新的块,输入的Passwd为一整个结构体,从而使它的passwd成员为100个字节的校验
  3. 登录第一个块,使它的text填到第三个块的passw前,从而泄露出目标code
  4. 还是第一个块,使它的text重写第二个块
  5. 登录第二个块,get_flag

先给一个比赛时的辣鸡脚本,回来再整理结构~

from pwn import *
#p = process("./pwn")
p = remote("172.16.9.23", 9014)
#context.log_level="debug"
def reg(p, passwd):
	# age
	p.sendline("1")
	# passwdlen
	p.sendline(str(</
最低0.47元/天 解锁文章
奈沙夜影
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
2021 ciscn 线上 pwn silverwolf
yongbaoii的博客
08-30 804
显然是全绿。 add 只能控制一个chunk,size也有限制。 edit 以回车结束。 这里有一个off by null。 show 就输出。 free 有个uaf。 其实比起lonelywolf来说就是开了个沙箱。 整个看下来,那个index就是那种逗你玩那种。 然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。 那想想怎么来利用那个uaf。 uaf,在得到libc的条件下,我们可以直接攻击free_h.
ciscn_2019_c_1[BUUCTF]
最新发布
moonlightsunshin的博客
05-03 533
但是程序中没有直接可以用的system函数所以需要我们自己构造ROP链通过gets函数泄露出libc基址构造payload来泄露libc。在amd64架构下参数通过rdi传递0x400c83就是我们需要pop_rdi的地址。拿到题先三板斧hecksec --file=ciscn_2019_c_1看保护。开启了NX优先考虑ROP但是关闭了PIE则可能存在缓冲区溢出。查看堆栈窗口得到缓冲区大小 构造0x50+0x8即可溢出。得到 /bin/sh的地址。发现gets函数存在溢出。如果不行就换一个libc。
CISCN2021pwn pwny(数组越界,劫持exit_hook)
m0_51251108的博客
10-03 1139
CISCN2021pwn pwny(数组越界,劫持exit_hook)
CISCN 2018 PWN task_supermarket
Bill
04-29 1608
全国大学生信息安全竞赛-PWN 序言 第一次在大赛中做出PWN题, 心情有点小激动. 程序运行 0. 结构体 struct node{ char name[16]; int price; int size; char* des; }commodity[15]; 1.MENU 1. add a commodity 2. del a...
2019CISCN华南赛区半决赛 pwn
qq_41071646的博客
12-09 832
好久没有练过pwn了,, 感觉自己pwn 都废了,, 近期打算刷一下攻防世界的android 然后 刷刷这个华南赛区的pwn。 如果刷的差不多 打算继续刷buuoj 。暂时把自己会的刷完。。 pwn1 这个题目真的很有意思 感觉出题人费心了 edit 函数已经给限制了 然后show 函数也限制了 edit 函数????️一个 off by null 由于没有开pie un...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
ciscn_2021_game
06-23
2021年国赛的pwn题,虚拟机类型的题目,分析起来比较有难度。
2021 ciscn 线上 pwn pwny
yongbaoii的博客
08-23 297
保护拉满。 两个功能,read write read 202860放了一个随机数。 read把随机数当作文件fd。 write 也是一个read函数,fd是刚刚那个随机数。 但是这里的write显然index可以随便写,就会有个越界。 我们可以把fd文件号改成从文件中读出来的这个数,但是我们想让他为0,但是显然不大行,因为你不知道这个数是多少 当我们两次write的改fd,第一次fd改成一个比较大的数,第二次就会导致读取失败,所以v2的值不会变,利用的是这种巧妙的手法,来让fd等于0. 接下来就是利.
ciscn_2021_pwn_lonelywolf&silverwolf
weixin_49697396的博客
05-18 817
一、lonelywolf 构造double free泄露并打印堆地址,利用堆地址计算tcache_perthread_struct结构体地址 使用double free 攻击tcache_perthread_struct,修改count>7,并使得下一次申请到tcache_perthread_struct位置,并再次留下tcache_perthread_struct地址 利用tcache_perthread_struct的size free后会放入unsorted bin中,可以泄露出libc地
CISCN 2023 初赛 pwn——Shellwego 题解
CoLin的pwn小屋
05-28 1816
CISCN 2023 初赛 pwn Shellwego题解
2021 ciscn 华中赛区分区赛 pwn note
yongbaoii的博客
09-02 384
libc 2.31 保护是都拉上的。 刚开始有个花指令,通过一定的调整,再反汇编,就得到了正确的结果。 可以看到除了必要的初始化setbuf之外还将4050的地方清空了。 后面我们会看到4050就是存放地址的地方。 add 看一下content的输入 很明显的off by one。 整体结构还是比较清晰的,最多申请三个chunk。 free 清理的很干净。 show show也是正常泄露。 很明显的off by one,我们的常规思路也就是overlap或者unlink。 因为这里泄露不了基地址,所以我
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2168
2022 CISCN 初赛pwn的完整wp
pwnciscn_2019_s_4
Nothing
03-06 759
main函数,存在八个字节溢出,栈迁移,第一次泄露ebp,得到栈上buf地址,迁移到buf即可。 from pwn import * io=remote('node3.buuoj.cn',28060) leave=0x8048562 sys_plt=0x8048400 pl1='a'*0x24+'bbbb' io.send(pl1) io.recvuntil('bbbb') ebp=u32(...
内核pwn入门之ciscn2017_babydrive UAF
qq_39948058的博客
08-28 474
前言:第一次入手内核题,全靠fmyy师傅博客的复现,复现完后,大致对uaf在内核的利用有了大概的理解。 解题步骤: 1.简短话语进行写博客吧,题目给了我们一个压缩包,把它解压,发现没有vmlinux,所以这里采用extract-vmlinux来进行提取vmlinux,为什么要提取这个文件,因为后期我们如果用到调试的时候需要调试这个文件 ./extract-vmlinux ./bzImage > vmlinux #!/bin/sh # SPDX-License-Identifier: GPL-2.0
ciscn2021CTF国赛pwn
qq_39948058的博客
08-27 1282
CTF2021-05-18 总结:这次pwn的比赛难易程度尚可,菜菜的我在各位师傅的领导下勉勉强强做出了3道pwn,这三道pwn都不算太难,一道越界,越界pwny这道题确实把我搞吐了,后期卡在了ret的与数组的偏移,这个不会计算,在th1un师傅的领导下,才知道了如何计算,勉强做出来了,值得说的是数组越界在2021年比赛中出现的越来越频繁了,是真的频繁了,第二道pwn是一个堆,只不过index受到了限制,既然index受到了限制并不影响我们在同一个index构造多个chunk,所以这个题也是常规操作.
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值