SCTF2021 pwn Christmas Bash 出题思路+预期解

最新推荐文章于 2023-07-10 12:21:18 发布
最新推荐文章于 2023-07-10 12:21:18 发布
阅读量2.1k 收藏
点赞数
分类专栏: pwn 题目的整理 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlz_lc_4/article/details/122588045
版权
本文详细介绍了SCTF2021 pwn圣诞挑战的出题思路,包括opcode生成、scom文件结构、dis模块逻辑、类型混淆、栈溢出和sleep漏洞。同时,分析了题目环境和多种利用方法,如栈溢出利用、scom文件自修改等,并给出了rop链的构造。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SCTF2021 pwn Christmas Bash 出题思路+预期解

sctf2021 pwn出题思路
赛题文件+exp: github

文章目录

题目描述

圣诞狂欢!,请尽情享受狂欢吧!现在你可以大声欢呼!但要注意,派对的主人似乎是个很谨慎的家伙~(题目源码包和Christmas Song题目一致,在vm_call_lambda和vm_opcode_call位置细微差别请自行逆向)(运行/home/ctf/getflag可以得到flag)
Christmas party! Enjoy the carnival! Now you can cheer loudly! But be careful, the party host seems to be a very cautious guy ~ (topic source code package and Christmas Song topic consistent, in vm_call_lambda and vm_opcode_call position nuances please reverse yourself)(run /home/ctf/getflag can get flags)

题目分值:769

解题人数:7

题目源码:slang -christmas

建议先做完[Christmas Song]题目

题目文件

https://github.com/wlingze/Christmas-Bash

这个题目漏洞点很多,师傅们打法也是眼花缭乱, 创建了一个独立仓库收集各种解法,欢迎师傅们来提pr! Christmas-Bash

Slang-christmas设计思路 2

opcode生成

*.slang的编译过程分前后端,

// com/com.c
ast_t* front_process(char *slang_file){
   
    yyin = fopen(slang_file, "r");
    if (!yyin){
   
        printf("don't open file %s", slang_file);
        exit(EXIT_FAILURE);
    }
    yyout = fopen("/dev/null", "w");
    ast_t * m = NULL;
    yyparse(&m);
    fclose(yyin);
    fclose(yyout);
    return m;
}

void back_process(ast_t* m, char * scom_file){
   
    FILE * out = fopen(scom_file, "w");
    lambda_t *l = lambda_init();
    compile_stmts(m, l);
    save_scom(l, out);
    fclose(out);
}

void compile_file(char *slang_file, char *scom_file){
      
    ast_t * module = front_process(slang_file);
    back_process(module, scom_file);
}

前端直接使用 parser.yscanner.l生成对应的ast_t结构体,

后端从ast_t生成lambda_t, 对应结构:

// include/lib/lambda.c
typedef struct lambda{
   
    vector_template(char, code);
    vector_template(int, number);
    vector_template(char *, string);
    vector_template(char *, word);
} lambda_t;

可以看到共分为代码code部分,变量名 word部分,和数据 number string部分,

其中生成对应代码时,这三者会使用索引的方式,

// lib/lambda.c
void emit_insn_load_word(pthis, ast_t *ast){
   
    insn(OP_LOAD_WORD);
    insn(lambda_set_word(this, ast->string_value));
}

void emit_insn_load_number(pthis, ast_t *ast){
   
    insn(OP_LOAD_NUMBER);
    insn(lambda_set_number(this, ast->int_value));
}

void emit_insn_load_string(pthis, ast_t *ast){
最低0.47元/天 解锁文章
SCTF2021_Pwn_dataleak_WP
weixin_56434818的博客
12-27 810
SCTF2021_dataleak_WP 文章目录SCTF2021_dataleak_WP检查文件和保护ida查看ELF文件cJSON_PWNida查看libcjson.so利用思路exploit 检查文件和保护 64位小端序,动态链接。relro半开,没开canary,开了PIE和NX。 ida查看ELF文件cJSON_PWN int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int i; //
[CTF]SCTF2021 WEB复现(详细版)
Sapphire037的博客
01-09 4653
Loginme 下载附件得到源码,题目让我们本地访问,也就是要伪造ip,但是是有检测的,源码: package middleware import ( "github.com/gin-gonic/gin" ) func LocalRequired() gin.HandlerFunc { return func(c *gin.Context) { if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != ""
2021SCTF
unexpectedthing的博客
03-31 1015
前言 复现环境:NSSCTF Loginme 考点 GO的模板注入 wp middleware.go package middleware import ( "github.com/gin-gonic/gin" ) func LocalRequired() gin.HandlerFunc { return func(c *gin.Context) { if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") !=
SCTF2021__rceme
Sk1y的博客
03-28 1323
rceme 文章目录rceme先说下几个函数call_user_funcgetallheaders()可变参数绕过命令注入使用动态链接库so绕过disable_functions开启http服务(可选)利用php原生类进行文件读取参考链接 题目 <?php if(isset($_POST['cmd'])){ $code = $_POST['cmd']; if(preg_match('/[A-Za-z0-9]|\'|"|`|\ |,|-|\+|=|\/|\\|<|>|\$|\
SCTF 2021 | 冰天雪地 极限比拼
Cyberpeace的博客
12-13 3178
​​今年圣诞怎么过?! SCTF 2021 喊你来锁圣诞限定赛事啦!!! 由操刀四届赛题的Syclover战队精心打造 48小时超长赛道容纳无限可能 妙趣横生的圣诞特供赛题限时出没 圣诞盲盒隐姓埋名等待发掘 IoT和区块链题目惊喜现身 静候技艺高强的师傅大展拳脚 圣诞氛围感和题爽感一应俱全✨ 过硬质量和多元趣味相得益彰 这个圣诞节 SCTF 2021 约你乘上特制雪橇 冲破漫天风雪 环游极客世界! 2021年12月25日9:00-27日9:00 SCTF 2021 冰天雪地 极限比拼 世界上大概是没有
SCTF2021 pwn Christmas Wishes 出题思路+预期
令则
01-19 2104
SCTF2021 pwn Christmas Wishes 出题思路+预期
SCTF2021__loginme
Sk1y的博客
03-11 1201
SCTF2021__loginme 文章目录SCTF2021__loginme查看请求头模板渲染参考链接 赛后复现 docker创建容器,打开 提示我们需要localhost,但是我们使用XFF不可以,同时题目也给了附件,是go语言的,不是很会,这两天学了一下,来看下这个题目,复现下 题目给的附件: 打开看了main.go,这个源码是缺了一部分的,但是不影响做题(题目附件中缺了templates,赛后出题人将所有的源码放在了github,复现题目没问题) 之前没碰过go,边学边做吧 本题目用了一个gin
SCTF2021misc——This_is_A_tree
CNS-Enterprise BCC-1701-J
12-27 2742
下载附件得到压缩包,又是文件和文件夹嵌套 名为data的未知格式文件可以读出来 再结合文件夹名字,可以推测,整个压缩包内文件是一个非常明确的树结构 为防止出错,按照前序遍历进行遍历,将每一结点的data读出来,按树形结构放好 遍历完发现像是base64加密文本 Q2hpbmVzZSB0cmFkaXRpb25hbCBjdWx0dXJlIGlzIGJyb2FkIGFuZCBwcm9mb3VuZCEgU28gSSBXYW50IEdpdmUgWW91IE15IEZsYWcgQnV0IFlvdSBOZWVkI
[SCTF2021 misc] this_is_A_tree
weixin_52640415的博客
12-27 531
一般不参加两天的比赛,因为太难了。不过也有容易的,这个就是 名字说这是个树,打开文件是一个文件两个目录,目录下也是同样的结构,就是一个二叉树。 然后用程序遍历了一下,因为最右有base64尾标记==所以肯定不是后根,猜先根。一下就成功了 import os from pwn import * data = b'' #先根遍历 def getdata(d): global data tmp = open(d+'/data','rb').read() #print(tmp,
[SCTF2021 pwn] checkin
weixin_52640415的博客
12-27 1184
看上去说登录,以为是最简单的一题后来越作越想放弃,不过其它的也不会,用了半天的时间写了个程序,虽然不可能是预期的。但也算有结果。 先是给了个端口,然后就没有了。登上去提示爆4位sha256,这点没啥难度,由于有用的在后也所以肯定得写个小爆破程序,然后会返回base64编码的程序: from pwn import * import hashlib from base64 import b64decode import os context(arch='amd64') #nc 123.60.82.85
SCTF2020:SCTF2020
04-01
SCTF2020 SCTF2020
SCTF2020 官方Write-up.pdf
07-08
SCTF的官方wp!SCTF的官方wp!如有侵权请私信撤回谢谢。
sctf2021 data leak 出题思路和题
令则
01-19 2383
sctf2021 data leak 出题思路和题
第二届 BJDCTF 2020 Pwn Writeup (出题人版)
HiTaQini
04-01 2299
最为第一届BJDCTF的参赛选手和本届比赛的二进制出题+运维,真心祝愿BJDCTF越办越好!(说多了怕被打)
2022 MRCTF pwn ezbash
weixin_46483787的博客
04-25 617
昨天打的mrctf上的一道题,大概数了一下有十几个吧,算是签到题 题目给出了一个程序,运行起来之后是一个bash环境,但是里面的文件都是堆上的内存。拿到题目之后首先分析一下文件结构体: 这里写的稍微有点问题,其实标志位是前四位,然后file_name的offset为4到20,20到24是这四个字节没有用,是空的,不过懒得改了,凑活着看吧 其中标志位标识当前chunk是一个文件还是一个文件夹 其他函数具体怎么逆向过程就不说了,好麻烦 如果在逆向上卡住的可以给我发私信,我把逆完的i64发你 然后看下洞在哪:
CISCN 2023 华中分区赛 awd pwn——tsh
CoLin的pwn小屋
07-10 2407
CISCN 2023 awd pwn 分析
pwn level0--沙窝里的王
weixin_43600412的博客
07-23 252
下载文件后查看属性,发现不认识,语言编译器打开后是一堆64位编码,看不到信息,载入IDA查看主函数的C语言形式: 显示读入“hello world”,下面的 vulnerable_function函数有hello world作为参数,点开后却发现与hello world没多大关系: 程序显示buf长度为0x80,即0x80h填充满,之后跟上地址就可以实现任意跳转。 shift+F12查找字符串:...
[SCTF 2021]rceme 复现
绮洛Ki1ro的博客
08-20 1742
[SCTF 2021]rceme 复现
CTFpwn总结 入门
热门推荐
九层台
04-26 2万+
学了那么久pwn了,基础知识终于积累的差不多了,来这个总结希望其他学pwn的人能少走一些弯路。 0x01学pwn需要哪些知识呢? 堆栈是少不了的。要知道函数调用的时候,栈中的数据是怎么放的,知道ebp在哪,知道返回地址在哪。 能看懂汇编,2条指令要清楚,ret和call。 具备这些基础知识你就能够开始学pwn了。 0x02需要注意什么 在溢出是要清楚2个...
pwn2_sctf_2016
最新发布
02-16
### 关于 SCTF 2016 中 pwn2 题目的析 在 SCTF (Security Capture The Flag) 2016 的比赛中,`pwn2` 是一道涉及栈溢出漏洞利用的题目[^1]。此题允许参赛者通过特定输入来覆盖返回地址并控制程序执行流程。 #### 漏洞环境描述 该挑战提供了一个存在缓冲区溢出缺陷的应用程序实例。应用程序接收用户输入作为处理对象,在缺乏适当边界检查的情况下将其复制到固定大小的内存区域中。这种设计使得攻击者能够精心构造恶意数据包以破坏堆栈结构,并最终实现任意代码执行的目的。 #### 决方案概述 为了成功完成这一任务,参与者通常采取以下策略: - **确定偏移量**:首先需要找到合适的字节填充数量以便精确地覆盖目标位置而不影响其他重要部分的数据完整性。 - **泄露 SSP 地址**:由于开启了 Stack Smashing Protector(SSP),即栈保护机制,因此还需要想办法获取其实际值用于后续操作中的调整校验计算。 - **定位 libc 基础地址**:如果远程服务器上使用的 glibc 版本未知,则可能需借助某些方法推测或直接读取相关指针从而得知确切基址。 - **构建有效载荷**:最后一步就是组合上述信息形成完整的 exploit chain ,比如采用 ret2libc 技巧调用 system 函数启动 shell 或者跳转至已知 gadgets 实现相同效果。 ```python from pwn import * context(log_level="debug") flag_addr = 0x600DC0 for attempt in range(1, 101): try: conn = remote('example.com', port_number) padding = b'a' * offset_to_return_address # 计算得出的确切偏移量 payload = ( padding + pack(flag_addr, 64) + ... # 可能还包括其他的 ROP chains 组件 ) conn.recvuntil(prompt_string) conn.sendline(payload) response = conn.recvall(timeout=timeout_seconds).decode() print(f"[Attempt {attempt}] Received: ", response.strip()) if success_pattern in response.lower(): break except Exception as e: log.error(e) finally: conn.close() if not 'success pattern found': raise ValueError("Failed after multiple attempts.") ``` 这段 Python 脚本展示了如何自动化尝试连接服务端发送特制请求的过程。注意这里 `offset_to_return_address`, `prompt_string`, 和 `port_number` 等变量都需要根据实际情况设定具体的数值;而 `pack()` 方法用来创建适合架构位宽的机器码表示形式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值