2020 西湖论剑 pwn ezhttp

最新推荐文章于 2024-01-02 14:46:38 发布
最新推荐文章于 2024-01-02 14:46:38 发布
阅读量426 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/121617829
版权

在这里插入图片描述
保护。

在这里插入图片描述
开了沙箱。

在这里插入图片描述
往这个haystack地方读入随机数。

在这里插入图片描述然后是程序的主体部分。
首先书输入用来ssanf函数

C 库函数 int sscanf(const char *str, const char format, …) 从字符串读取格式化输入。
str – 这是 C 字符串,是函数检索数据的源。
format – 这是 C 字符串,包含了以下各项中的一个或多个:空格字符、非空格字符 和 format 说明符。
format 说明符形式为 [=%[][width][modifiers]type=]

所以我们根据逻辑很容易得到payload的格式。
在这里插入图片描述首先s第一个单词是get或者post,第二个单词用于后面的命令。

然后后面要跟cookie。cookie最后接上命令的内容。

我们现在的问题是要cookie验证成功。
在这里插入图片描述首先先拿出来了cookie跟token。
cookie后面要跟user=admin。
中间还用了一个sscnaf,后面的格式化字符串是一个正则表达式。

token后面要跟上我们的输入。
当他是空字节的时候,会发生什么我们做了个实验。

在这里插入图片描述
看得出来显然空字节直接就会过检查。这就是漏洞点了。
我们token直接等于空字节就可以绕过对token的检查。

那怎么让他是空字节

我们跟踪一次执行流程。

在这里插入图片描述刚输入的时候是没有这个空字节的。

在这里插入图片描述
然后在这个地方截断了。就会多个空字节出来。

在这里插入图片描述

然后去分析功能。

在这里插入图片描述
del函数里面有double free。

剩下的利用就是我们的常规利用了。
因为申请的chunk不能大于0x100,所以我们可以申请多一点的chunk,也可以直接攻击tcache struct。
因为没有show,所以我们需要攻击IO_FILE
因为开了沙箱,所以需要做一个堆的SROP。

yongbaoii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN 强网杯2020siri 题目
09-21
PWN 强网杯2020siri 题目
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
Linux一键配置工具ezhttp介绍
chukouhun7323的博客
02-22 154
简介 ezhttp是一个Linux一键配置工具,采用bash脚本语言编写。支持自动配置LAMP,LNMP,LNAMP环境,以前提供各种其它的配置工具,如自动配置swap,配置iptables等。项目托管在github,地址为https://github.com/centos-bz/ezhttp...
centos ezhttp mysql,Linux一键配置工具ezhttp介绍
weixin_29062613的博客
03-18 93
简介ezhttp是一个Linux一键配置工具,采用bash脚本语言编写。支持自动配置LAMP,LNMP,LNAMP环境,以前提供各种其它的配置工具,如自动配置swap,配置iptables等。项目托管在github,地址为https://github.com/centos-bz/ezhttp。支持的系统理论上支持所有Linux系统,但推荐的系统有centos、ubuntu、debian。功能支持的...
EZHTTP(一键安装Nginx Apache PHP MySQL Memcached Pureftpd)安装【测试ing】
耕耘——从菜鸟到高手的蜕变
05-01 1028
EZHTTP(一键安装Nginx Apache PHP MySQL Memcached Pureftpd)安装 [复制链接]     梁国平 电梯直达 楼主 发表于 2014-2-11 22:21:06|只看该作者 本帖最后由 梁国平 于 2014-2-11 22
EZHTTP首页、文档和下载 - web服务器一键安装脚本 - 开源中国社区
weixin_34254823的博客
09-05 189
EZHTTP首页、文档和下载 - web服务器一键安装脚本 - 开源中国社区
EZHTTP建站,Discuz建立社区流程重现
InSpirit1的专栏
06-18 947
之前用过EZHTTP这套好用的建站gong
西湖论剑WriteUp By Nu1L.pdf
11-26
"西湖论剑WriteUp By Nu1L" 本文档涵盖了多个IT领域的知识点,涵盖了信息安全、密码学、编程语言和算法等领域。下面将逐一介绍这些知识点。 1. Reverse ROR(Reverse Rotate Right):从代码中可以看到,作者使用...
CISCN 2020 Final Day2 pwn3思路分享 .pdf
09-05
《CISCN 2020 Final Day2 pwn3思路分享》 本文主要探讨的是在CISCN 2020网络安全大赛第二天的pwn3挑战中的解题思路,涉及的是利用漏洞进行安全对抗的技术。该挑战的核心在于对二进制程序的深入理解和巧妙利用,以...
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
CTF-HTTP(持续更新)
m0_74317362的博客
07-27 709
HTTP请求头
ACTF新生赛 EASYHTTP
SopRomeo的博客
03-17 906
最近自闭了,找了ACTF新生赛的源码自己复现做了一下 看到下面输出了服务器对应的信息,我们将这些信息依次填上去 让我们GET,POST,注意url地址: 地址换了,放burb去上传GET,POST.(传中文需进行url编码) 发现换了个php代码,复制到proxy放行, 重新抓包 伪造ip地址即可得到flag ...
【Web】Http协议相关例题wp
uuzeray的博客
11-08 362
写点博客记录一下ctf学习,一是做题型总结,二是准备新生赛。
[GKCTF 2020]ez三剑客-eztypecho
最新发布
rev1ve的博客
01-02 616
如果有GET传参finish,则进入下面代码,如果有session值,那么unserialize函数反序列化,我们跟进到Typecho_Cookie::get()我们通过POST上传PHP_SESSION_UPLOAD_PROGRESS使得将上传文件信息保存到session,上传的文件就是files。得到payload后解决如何构造session,用的是PHP中的特性PHP_SESSION_UPLOAD_PROGRESS。的赋值逻辑,如果cookie存在key参数,那么该参数值赋值给。
Geek challenge 2023 EzHttp
Welcome To Myon'Blog !
12-14 740
访问得到的路径:/o2takuXX's_username_and_password.txt。请求头X-Forwarded-For写127.0.0.1,要求使用Syc.vip代理。请求头Referer写sycsec.com,要求使用Syclover浏览器。请求头User-Agent写Syclover,要求从localhost访问。简单审一下,要求有请求头O2TAKUXX并且内容为GiveMeFlag。增加请求头O2TAKUXX,值为GiveMeFlag。请求头Via写Syc.vip,回显php代码。
2023CNSS——WEB题解(持续更新)
m0_74317362的博客
10-18 283
进来看到按钮点击不了,想到去修改代码,要“检查“,但这里的右键和F12都不可用还好还有其他方法选用一种后进入检查页面删掉这里的disabled即可点击后得到flag。
[GKCTF 2020]ez三剑客-ezweb
m0_70819573的博客
04-16 279
是输入url的题目,基本可以判断是ssrf的题目,尝试用file伪协议读取index.php源码.发现被过滤了,尝试file:/、file:///,成功获得index.php的源码。盲猜redit默认端口6379和mysql默认端口3306,发现redit服务有回显。利用redis服务未授权访问漏洞在根目录创建shell.php。查看页面源码,发现可以进行secret传参,获得内网信息。用薄荷扫描内网c段寻找存活主机,发现提示。访问/shell.php得到flag。
2020西湖论剑CTF部分MISC——Write Up
热门推荐
晚安這個未知的世界
10-14 1万+
谢谢盖师傅,本文章参考盖师傅的WP再详细的解释每一步的解题步骤,盖师傅yyds Yusapapa 题目地址:http://yusa-papa.7bf48c.challenge.gcsis.cn/ 查看题目所给网站的源码,其中有一段注释 1. Maybe these texts are really helpful for you 2. Biometric list is OK! 3. endow gremlin indulge bison flatfoot fallout goldfish bis
2020西湖论剑线上赛-密码学-BrokenSystems
BlusKing
10-09 554
题目附件: 链接:https://pan.baidu.com/s/18R-ZAeKXScPThuH_6BXwvw 提取码:ybu9 从公钥中提取出n、e后,发现e非常大,可以用wiener-attack求出私钥d来解密。然后用PKCS1_OAEP的方式进行解密 #coding=utf8 #python3 #Author=BlusKing from Crypto.PublicKey import RSA from Crypto.Cipher import PKCS1_OA...
西湖论剑安全大赛WriteUp分析
"西湖论剑WriteUp By Nu1L.pdf 是一份关于网络安全竞赛“西湖论剑”的解题报告,由Nu1L团队编写。报告涵盖了多个技术领域,包括Reverse(逆向工程)、ROR(Ruby on Rails框架漏洞利用)、TacticalArmed(可能涉及...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值