cybrics2021_pwn

最新推荐文章于 2022-12-23 11:11:53 发布
最新推荐文章于 2022-12-23 11:11:53 发布
阅读量264 收藏 1
点赞数 1
分类专栏: pwn 题目的整理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlz_lc_4/article/details/119112475
版权

cybrics2021_pwn

文章目录


膜队友ak rev,
syclover今年也很努力!

image-20210725191956753

gross(done)

逆向

拿到题目就开始逆向, 简单分析, 程序本身main文件是做了个简易的os, 有程序加载运行的功能, 然后programs文件夹内存放的是几个自定义格式的二进制文件, 程序就直接启动了shell, 然后进入运行.

进行分析, 调试+分析, 符号比较全, 逆向难度不太大.

主程序main

main函数比较简洁, 首先使用load_program函数将自定义格式的文件解析并载入到内存中, 然后设置名字后调用dump_program打印程序信息, 调用spawn函数新建一个线程来运行载入进内存的文件, 然后一直在handle_requests函数运行, 直到所有程序都结束os退出(所有线程都结束程序退出)

image-20210725194601531

函数spawn中, 在内存中找到了对应程序的起始地址然后开启一个新线程去运行, 以此模拟一个程序运行在os中, 并且通过socket进行数据通讯, 调用add_process函数维护一个全局单向链表.bss:0000000000005028 processes, 这个链表储存所有在这个os中运行起来的程序, 注意这个pea结构体, 这也是线程运行时的参数1,

image-20210726100446814

然后在函数handle_requests, 首先调用fill_fds遍历process并填充满fds列表, 判断如果没有线程了,程序推出, 不然一直在这里循环,

然后是20行, 查看每个fds即依次查看每个os内启动的程序, 进入make_syscall函数进行处理.

image-20210726100235895

make_syscall函数如下:

程序和os通过socket进行通讯, 首先os读取要读取的数据大小, 然后读取数据进来, 其中数据格式是开头为syscall_num标识系统调用号,后面为对应传入的参数, 以下系统调用还比较明了

系统调用的switch要修复下跳转表,

image-20210726102836633

系统调用4, 这一套操作其实和程序最开始导入programes/shell一致, 就是再创建一个线程,并放到process链表中, 然后在handle_requests函数中循环的时候就有两个程序在os中运行, 会分别处理.

image-20210726102954246

系统调用5, 就是个结束线程并释放掉这个进程的相关内存, 表示os内一个程序推出了.

image-20210726103035921

image-20210726103114702

主程序模拟一个os的流程分析结束, 然后我们应该分析下几个文件.

shell

导入ida64, 二进制文件方式导入, ida会自动分析一部分, 然后编译选项选择gun c++.

按照os中对于程序的解析来看, 这个程序入口点在

image-20210726104831315

code_offste + entry = 0x0400+0x02f5 = 0x06F5

shell_main函数只有一个参数, 也就是我们前面spawn函数中看到的pea结构体, 有点类似c++的this指针这里我定义为shell_this结构体:

image-20210726105234085

简单分析, 发现程序内调用这个syscall_fcn函数挺多, 这个函数在os中, 我们再回去分析,

syscall_fcn函数, 基本可以看出来和make_syscall函数对应, make_syscall函数是os处理程序的系统调用的, syscall_fcn是留给程序向os发送系统调用通讯的.

image-20210726105554334

另外这个args结构体也在程序中被使用到了,定义如下:

image-20210726105755637

然后配合syscall_fcn函数的分析, 如下的函数基本可以识别为函数调用, 示例write函数(seg000:00000000000005DA write_user), 其他类似,

image-20210726105906238

于是可以基本分析出来shell_main函数, 其实就是内置了三个功能, sleep只会暂停一下, exit直接退出, spawn可以发送syscall4:spawn(pname)启动另一个程序.

实际上能用的功能只是启动其他程序, 于是把剩下几个也得分析了.

image-20210726110032846

programs

这里就基本分析完shell和os了, 剩下的几个分析就非常顺了.

echo 就是个复读机,没啥意思.

image-20210726110435731

cat能实现任意文件读取, 但是限制了字符., 读不了flag.txt,

其实还有个没有.的flag, gross2题目的flag, 但是又没给名字, 猜不到文件名字

感觉可能他这个出题思路应该是一个flag有., 一个没有, 这样逆向到cat有一个flag, pwn拿到shell一个flag,放题整错了吧…

image-20210726110509282

image-20210726110523790

storage

看起来就不太对的一个文件, 逆向完os的sysccall以后还跟队友说, "我觉得这个改改可以出堆菜单题啊", 结果:

storage_main函数, 这里细节还是有些问题, 没调整太好,但是基本可以看到是个堆菜单题,

image-20210726111732798

基本是常规的, 没有啥检测和限制, free里面有个uaf, 随意读取和修改,

image-20210726111902171

利用

就是先从shell切到storage, 然后一个啥检测也没有uaf的洞, 先拿一个0x500的chunk, 仍unsortedbin, 得到main_arean, 然后得到malloc_hook, 通过这个低三位可以查到六个libc, 这里把free_hook改成了puts, 然后远程测试出来一个打印出/bin/sh的就是对的, ubuntu 2.27-1.4就是远程的, puts直接改成system就可以拿到shell了,

ex

最低0.47元/天 解锁文章
-令则
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
cybrics2021 walker wp
Zarcs_233的博客
08-07 230
分析main函数 首先发现main函数中实现了许多初始化,不难发现里面注册了关于输入输出的exception,然后打开了flag.txt文件,从其中读取数据,然后将数据传给start_check 然后我们考虑进入start_check函数分析,发现其中是个递归函数,对比成果后就向后移动,直到对比了34个字符,下标多余34则出现异常, 然后查看下global_flag明显发现是假的flag,说明这个逻辑是假的,flag.txt中放入这个字符串是错误的逻辑。 我们考虑main函数中注册了一个输入输出的Excep
XCTF-CyBRICS2021 几道简单题的WP
mumuzi的博客
07-25 1383
1.Mic Check (Cyber, Baby, 50 pts) 签到题,查看rules,那个就是flag cybrics{Th1S_i5_T3h_R34l_m1C_ch3CK_f1A6} 2.Scanner (rebyC, Baby, 50 pts) 第一关每次都是房子,后面三关就看到什么填什么单词就过了,最后是一张二维码. 下载下来用GIFFrame分离出来,然后可以看帧找到哪些图拿来拼起来就是一张完整的二维码 写脚本 from PIL import Image list = [8,11,1.
【CYBRICS】Baby Rev WriteUp
古月浪子的博客
07-29 327
附件里是一个xml文件 可以看到开头有一个链接,好像叫Snap,我们打开发现是一个为小孩子设计的编程语言 点击Run Snap Now,导入附件给的文件,可以看到源代码 图可能有点糊,总之逻辑就是给了一个长度为33的数组,然后把你输入的内容异或33以后和数组对比,写代码还原一下即可 #include <iostream> using namespace std; int main() { int flag[] = { 66,88,67,83,72,66,82,90,86,18,77.
CyBRICS-CTF————find_and_seek
菜鸡的博客
07-29 649
毛子的CTF,还真就如其名,得找到真正的逻辑所在。 最开始直接载入ida找到主函数,逻辑很简单,就是一大堆方程,用z3解就好了,但是这样得到的是fakeflag cybrics{HI_this_is_fake_flag} 尝试交,果然不对emmm 但是也能发现有不对的地方,比如程序调试的话还是会显示输入正确,但如果不调试输入这个就会报错 尝试attach上去 在ida里面先按照远程remote linux debug的方式配置,然后选择debugger->attach,在linux运行对应程序之后at
Cybrics CTF 2019 Quals Writeup Revrse
weixin_30502965的博客
08-13 422
目录 Cybrics CTF 2019 Quals Writeup Revrse Oldman Reverse matreshka Hidden Flag Cybrics CTF 2019 Quals Writeup Revrse 上周末...
赣网杯2021_pwn1.rar
12-11
赣网杯2021 pwn1 bin ctf
赣网杯2021_pwn2.rar
12-11
赣网杯2021 pwn1 bin ctf
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
Fcn与matlab function介绍
weixin_48417618的博客
12-23 7448
学习fcn与matlab function函数
上一期文章说的关于PWN入门常见的问题
mumuzi的博客
07-29 3565
我要是有地方说错了一定要指出来啊嘤嘤嘤 虽然是从我自己的角度来理解的,但是估计应该大概还是有帮助的(吧)。 自己想的和群友提出来,涉及的问题有: 师傅,怎么入门pwn啊 那个canary保护机制,为什么说是覆盖低字节来得到canary,没理解到。反正就只知道是大概这种方式来得到canary plt和got是什么关系啊,为什么写payload的时候有时候在前,有时候在后,有时候又重复出现这样的,没搞懂 为什么要用puts而不用printf(他意思是ret2libc的题) 格式化字符串里的$是啥意义啊 1.
CyBRICS CTF 2020 NetWork部分 WP
h1nt的博客
08-21 488
国内CTF流量分析的题目较少,就想着整理点东西 刚好这会有空把之前打的cybrics ctf 2020 的流量题的WP给写了 XCorp baby难度的题 拿到数据包直接用wireshark打开 根据提示我们将SMB对象导出 可以得到几个文件,关键的就是那几个能用的exe(22KB的都是,那个xcorp是改了名的) 打开显示需要输入用户名 再去流量包里搜索得到用户名即可得到flag 得到flag Google Cloud 一打开就是一堆ICMP报文。。 随便看看可以在
XCTF-2020CyBRICS部分逆向
re1wn
07-30 6140
XCTF-2020CyBRICS部分逆向
实战:CyBRICS CTF Quals 2019 Web Writeup
systemino的博客
07-31 453
前言 周末参加了LCBC主办的2019 CyBRICS CTF Quals,在金砖五国中,获得了top5的成绩,以下是web的题解。 Bitkoff Bank 点一次mine btc,获得0.0000000001 BTC,而购买auto-miner需要0.1 USD。 购买auto-miner后,我们的网页会多出这样一个script,每秒帮我们点击1000次,但实际上并非1秒能获得这么...
pwn之flag
jxz_dz的博客
11-07 1543
接前边继续开始第四个小项目flag,点开,要自己下载Download : http://pwnable.kr/bin/flag 1.用个16进制查看器看一下,是elf文件,并且加了upx壳,要脱下upx壳才好分析 2.利用upx 进行解压,upx -d filename 3.将解压后的flag文件放在ida中分析,按下F5: 4.分析可知,要把falg指向的...
Pwn】2019安洵杯线上赛 fmt32 && fmt64
Nothing
12-01 1026
出题人好像比较喜欢blind pwn,5道pwn题里有3个,由于时间关系来不及看rop64了(我太菜)。 1.fmt32 只给了ip&port,没有附件猜测是blind pwn,根据题目名字,猜想有格式化字符串漏洞,试了一下发现是一个循环(毕竟是复读机),每次都可以利用格式化字符串漏洞,于是首先想法是先将内存dump下来再分析,如果32位程序没开pie保护,程序首地址为0x8048000。...
ctf-cybrics
yusakul的博客
07-26 997
https://cybrics.net ctf-cybricsWarmup (Web, Baby, 10 pts)Zakukozh (Cyber, Baby, 10 pts) Warmup (Web, Baby, 10 pts) 下载该链接获取html即可: Zakukozh (Cyber, Baby, 10 pts) Zakukozh.bin: ...
关于简单程序的简单逆向分析
热门推荐
sid10t.
10-04 2万+
声明 1)该文章部分内容整理自网上的资料,如不小心侵犯了大家的权益,还望海涵,并联系博主删除。 2)博主是萌新上路,文中如有不当之处,请各位大佬指出,共同进步,谢谢。 本博文以两道题目为例,初步体验通过对程序的逆向分析来增强自身对代码的理解和运用,提高编译和汇编能力。 题一: 从网站中下载下来一个easyre.exe文件,查壳,发现有壳,脱壳, 将脱壳后的程序扔进ida,发现主要函数, 不难发现红框内的就是重点,通过for循环次数可知flag内容有12位字符串, 双击byte_402000, 即可编写
xdctf2015_pwn200
最新发布
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过计算偏移量得到libc的基址,进而计算出system函数和/bin/sh字符串的地址。最后,通过构造ROP链来调用system函数,并将/bin/sh字符串作为参数传入,从而获取shell权限。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [[BUUCTF]PWN——xdctf2015_pwn200](https://blog.csdn.net/mcmuyanga/article/details/109622553)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [xdctf2015_pwn200](https://blog.csdn.net/weixin_44309300/article/details/130628776)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值