GYCTF 2020-BFnote题目分析

最新推荐文章于 2024-03-27 20:56:58 发布
最新推荐文章于 2024-03-27 20:56:58 发布
阅读量958 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: pwn题目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Eagle_hwei/article/details/104857985

BFnote的题目分析

2020-03-14 08:28:02 by hawkJW

题目附件、ida文件及wp链接

   自己太菜了,这道题里面包含的一些知识点和思路确实是以前完全没有接触过的。。。特别学习一下

1. 程序流程总览

首先,按照惯例,我们看一下程序开启的保护措施,如图所示

可以看到,仅仅是没有开启PIE保护,其余基本上保护都开启了,保护还是比较严格的。

下面我们来粗略的浏览一下程序的源代码来分析程序流程

可以看到流程还是比较简单的。其中有明显的两处问题,而这也将成为我们的切入点。

 2. 漏洞分析

  

我们上面提到了,这个程序有明显的两个漏洞。这里说一下,一个是这里,

s的位置在栈上,而这里的输入明显会导致栈溢出,从而修改返回地址——但需要注意的是,因为有canary保护,因此我们首先需要绕过该保护,但实际上,我们发现程序流程中唯一有输出的部分就是最后两个函数,但是即使此时我们已经知道canary的值,也没有办法通过输入进行改变了,因此,这里的canary绕过需要我们一次性在不知道canary的情况下直接绕过,这是一个难点。

第二个漏洞在这里

可以看到,虽然其检测了v4的值,让其不能无限大,但是实际上使用的时候并不是检测后的值,而是检测之间的值,那么这也就是说,我们拥有了一次在任意地址写入任意长度的能力!

 

介绍完了上面的主要的两个漏洞,我们下面将引入两个知识点作为铺垫——这些知识点将成为解题的关键。

 

第一点,我们需要明确canary的运作方式,要提到canary的工作方式,首先需要提到一个结构


                

        

    

    
  


        

            

                      
                        最低0.47元/天 解锁文章
                        

                          
200万优质内容无限畅学

                          
                        

                      
            

        


    



                



	

		

			

				
					
BUUCTF-PWN gyctf_2020_bfnote(劫持TLS结构,ret2_dl_runtime_resolve)

				
			

			

				

					weixin_44145820的博客
				

				

					04-19
					
					1758
					
				

			

		

		

			
				
目录程序分析背景知识延迟绑定Canary漏洞利用Exp
程序分析

一道带有canary的栈溢出题目
main函数是吧ebp-4中存放地址再减四获得的

调试结果如下

背景知识
延迟绑定
本题需要利用ret2al_runtime_resolve,涉及到延迟绑定的技术,简单介绍一下函数绑定的过程,以atol的调用为例
我们看一下第一次调用程序atol,此时atol_got存放着atol@plt+6...

			
		

	



                

            
              



	

		

			

				
					
2016 ZCTF note2 题解

				
			

			

				

					coco的博客
				

				

					12-01
					
					1002
					
				

			

		

		

			
				
程序分析
先查看程序开启的保护,可以看到没有开启PIE。并且也是一个经典的菜单程序。

new note函数

可以看到,我们一共能申请四个堆块,堆块的指针,数量都存储在bss端上。我们能申请超过0x80的堆块,并在其中写入内容,这里的大小被限制了。但是我们进入my_read函数后就能发现for循环的条件中,size为int类型,而i是unsigned int类型。我们都知道,在c语言中,无符号变...

			
		

	



              


  
              

                


	

		

			

				
					
GYctf-BFnote IO_FILE还可以这样利用

				
			

			

				

					蚁景网安学院
				

				

					02-27
					
					274
					
				

			

		

		

			
				
这次感受到了自己是多么的菜,打完hgame再来打这个感觉完全不是一个等级的pwn题,第一天只做出来一个,算是比较有质量的题吧,从比赛开始卡到我比赛结束,幸亏最后做出来了。有两个很明显的溢...

			
		

	





	

		

			

				
					
[GYCTF2020]Node Game

				
			

			

				

					shinygod的博客
				

				

					02-12
					
					462
					
				

			

		

		

			
				
要注意的就是这个 CRLF 编码后攻击的时候总是崩溃,试了半天才成功,不知道是不是之前的数据包有问题。把 vps 替换一下就可以了,也可以用有相似功能的网站,或者其他的方法。这边就不多赘述了:下面大佬讲的就很清楚。nc 一下就可以了。

			
		

	



		

			
		



	

		

			

				
					
GYCTF2020】borrowstack------<栈迁移原理、ret2csu万能gadget、one-gadget工具>

				
			

			

				

					qq_21746331的博客
				

				

					01-22
					
					1904
					
				

			

		

		

			
				
GYCTF2020】borrowstack知识点关键字样本知识点详解0x1 ret2csu原理0x2 栈迁移原理0x3 one-gadget 工具样本分析0x1 静态分析0x2 payload 构造0x3 动态调试0x4 exp参考文献

知识点关键字
栈迁移、ROP、csu万能gadget、one-gadget

样本
样本来自于GYTF2020_borrowstack,BUUCTF上有练习环境

知识点详解
0x1 ret2csu原理

动机: 在 64 位程序中,函数的前 6 个参数是通过寄存器传递

			
		

	





	

		

			

				
					
BUUCTF之[GYCTF2020]Blacklist--------堆叠查询

				
			

			

				

					weixin_44632787的博客
				

				

					06-19
					
					820
					
				

			

		

		

			
				
BUUCTF之[GYCTF2020]Blacklist--------堆叠查询
启动挑战项目,发现前端界面显示Black list is so weak for you,isn’t it

又是一道用堆叠查询的题目,看来CTF也很喜欢考这类型的题目呀!
首先爆出数据库:1’;show databases;

然后爆出表名:1’; show tables;

然后显示某个表里面列的信息:1’;show columns from FlagHere;

接下来的才是重点,在MYSQL数据库中:

可以用handl

			
		

	





	

		

			

				
					
[GYCTF2020] web题-Ezsqli

				
			

			

				

					BROTHERYY的博客
				

				

					12-30
					
					598
					
				

			

		

		

			
				
这题一直出问题,用脚本跑到一半都会崩。
后面换了一个,能够跑出来。
详细情况可以看看Ying师傅的blog
https://www.gem-love.com/ctf/1782.html
我把跑出来的代码贴出来可以参考下
# coding:utf-8 
import requests
import time
url = 'http://2aa83373-6644-4c2f-904a-9f15560d4f1c.node3.buuoj.cn/'
def str_hex(s): #十六进制转换 fl ==> 

			
		

	





	

		

			

				
					
buuctf-[GYCTF2020]Ezsqli(异或注入无列名)

				
			

			

				

					m0_62094846的博客
				

				

					05-18
					
					752
					
				

			

		

		

			
				
尝试过后发现只有1,2可以,3以上会显示错误



尝试一下slq注入,但是输入不是1,2的就会显示错误

尝试异或注入





被过滤了



过滤了for,in在information里也被过滤了



可以用这种方式获得当前数据库,但是information不能用了,也没什么绕过的方式,就不能查表之类的了


id=1^(ascii(substr(database(),1,1))=103)^1



换成 innodb_table_stats 也没用

聊一聊bypass in...

			
		

	





	

		

			

				
					
gyctf_2020_borrowstack

				
			

			

				

					m0_73756460的博客
				

				

					02-22
					
					212
					
				

			

		

		

			
				
buu刷题gyctf_2020_borrowstack【wp】

			
		

	





	

		

			

				
					
BUUCTF--gyctf_2020_borrowstack1

				
			

			

				

					qq_30528603的博客
				

				

					01-05
					
					517
					
				

			

		

		

			
				
迁到什么地方呢,肯定就是这个bank所在的地方了。我们还需要考虑一些细节上的东西,首先我们需要知道libc的基地址,因此我们需要通过puts函数来泄露。后续的操作就很简单,通过泄露的puts函数地址,计算出libc的基地址,当程序再次回到主函数时,直接将栈上的返回地址覆盖成one_gadget拿到权限。接下来的操作基本都是pop,因此rsp是从低地址到高地址跑(每次pop,rsp+8),所以我们顺序布局就可以。old_rbp覆盖成我们的bss段,让rbp指过去,接着返回地址需要再调用一次leave。

			
		

	





	

		

			

				
					
[GYCTF2020]Ezsqli(无列名注入)

				
			

			

				

					weixin_43940853的博客
				

				

					05-16
					
					5818
					
				

			

		

		

			
				
[GYCTF2020]Ezsqli

过滤了好多东西,包括用来查询的information关键词,本上就是考虑盲注了


当||后面条件为真时返回Nu1L,为假时返回V&N,这就是判断盲注语句是否成立的关键


接下来就可以写脚本判断表名了
import requests
url = 'http://bfd71058-3cf0-4e87-8731-8935a651f051.node3.buuoj.cn/'
payload = '2||ascii(substr((select group_concat

			
		

	





	

		

			

				
					
gyctf_2020_borrowstack 1

				
			

			

				

					weixin_74861133的博客
				

				

					03-27
					
					439
					
				

			

		

		

			
				
在read buf处存在栈溢出漏洞,但只能溢出8字节,而后面有向bss段bank处读入数据,我们就可以通过栈迁移,借用bank处的bss段构建栈,但因为该bss段距离.got.plt段非常近,所以要通过在bank处构建的payload时先填充20个ret指令的地址从而实现抬高栈,这样就不会覆盖到got表处了,抬高20个可能是因为后面又要回到main函数,而main函数中要执行sub esp 60h这样如果没有抬栈就会由于主函数中的操作将got段覆盖掉。该题还有一个就是用了一个工具one_gadget。

			
		

	





	

		

			

				
					
Week小结

				
			

			

				

					qq_61209261的博客
				

				

					07-15
					
					400
					
				

			

		

		

			
				
Web安全学习

			
		

	





	

		

			

				
					
*CTF babynote 复现

				
			

			

				

					weixin_45209963的博客
				

				

					04-26
					
					3183
					
				

			

		

		

			
				
*CTF babynote 复现

			
		

	





	

		

			

				
					
一道题学习node.js中的CRLF注入

				
			

			

				

					m0_62422842的博客
				

				

					11-11
					
					1949
					
				

			

		

		

			
				
这几天刷题遇到在node.js题目中注入CRLF实现ssrf的题目,对于我来说知识听新颖。在此记录一下。

			
		

	





	

		

			

				
					
【pwn】 gyctf_2020_borrowstack

				
			

			

				

					Nothing
				

				

					03-02
					
					1716
					
				

			

		

		

			
				
例行检查
程序逻辑

看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用栈迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。
from pwn import *

io=remote('node3.buuoj.cn','29302')

bank=0x0601080
leave=0x400699
puts_plt=0x0400...

			
		

	





	

		

			

				
					
buuctf   gyctf_2020_borrowstack(栈迁移)和r2t4,axb_2019_fmt32(格式化字符串和fmtstr_payload工具的使用)

				
			

			

				

					carol2358的博客
				

				

					05-24
					
					1461
					
				

			

		

		

			
				
头痛,之前栈学的漏洞好多,只学了相关知识没有做题,真正碰到题目就不会了,真的头痛



gyctf_2020_borrowstack
栈迁移

payload设置 此种攻击方法的关键在于如何同时控制ebp和eip,那么如何同时控制ebp和eip的值的?
1、使用ROPgadget查找leave;ret指令所在的地址
2、覆盖完成bufer后,使用可控制的地址覆盖ebp的值,使用上述leave;ret指令所在地址覆盖ret的值。


程序运行(32位,64位同理):
1、当函数正常返回时,执行leave;re

			
		

	





	

		

			

				
					
[GYCTF2020]Blacklist

					
最新发布

				
			

			

				

					01-21
				

			

		

		

			
				
### GYCTF2020 Blacklist 题目解析

#### Web 应用防火墙(WAF)分析
WAF配置显示,`calc.php`文件中的过滤机制非常严格。具体来说,该PHP脚本会检测并阻止任何包含特定字符的输入请求,这些被屏蔽的字符包括但不限于空格、制表符、回车符、换行符以及常见的SQL注入元字符如单引号(`'`)、双引号(`"`)[^1]。

```php
$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]', '$','\\','^'];
foreach ($blacklist as $blackitem) {
    if (preg_match('/' . $blackitem . '/m', $str)) {
        die("what are you want to do?");
    }
}
```

此段代码表明服务器端对于用户提交的数据进行了严格的预处理,旨在防止恶意攻击者利用特殊字符绕过安全防护措施执行非法操作。

#### SQL 注入尝试方法
尽管存在上述黑名单过滤策略,在实际渗透测试过程中仍然可以采用一些技巧来规避这种防御手段。例如,通过模糊测试(SQL Fuzzing),即向目标应用发送一系列构造好的查询字符串以观察其响应行为模式变化;这种方法有助于识别潜在的安全漏洞所在之处[^2]。

当遇到较为复杂的过滤条件时,则可能需要借助自动化工具编写自定义脚本来持续不断地试探不同类型的payload组合直至找到有效的突破点。

#### 绕过技术探讨
针对此类情况的一种常见解决方案是使用编码转换或者寻找替代表达方式实现相同功能而不触发报警机制。比如:

- 利用手动URL编码或其他形式转义避开直接匹配;
- 尝试替换某些敏感关键字为同义词或近似结构;
- 构建多层嵌套逻辑混淆语法特征减少单一特征命中率。

最终目的是构建能够成功传递给后端解释器但仍保持原有意图的有效载荷(Payload)。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值