【pwn】WMCTF2020 cfgo-CheckIn

最新推荐文章于 2024-03-13 13:37:41 发布
最新推荐文章于 2024-03-13 13:37:41 发布
阅读量2.3k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/github_36788573/article/details/107760962
本文介绍了参与WMCTF2020时遇到的一个涉及cgo的二进制挑战。通过深搜解决迷宫问题后,发现了可能的溢出漏洞。经过分析,确定存在任意地址读取,并通过报错信息定位到输入字符串的内存位置。接着,利用溢出修改返回地址,绕过ASLR,最终通过ROP实现系统调用来获取shell。注意在实际利用过程中,文件描述符的细节问题对成功利用至关重要。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

拿到二进制后先解UPX,解完后发现程序还是很复杂,发现是cgo,做题的时候不知道有没有这种的插件支持,问了下做逆向的队友,似乎插件版本没有更新到这个版本,静态分析没有进展,先看看远程服务是跑啥的。
在这里插入图片描述
一个迷宫,走到旗子的位置就行了,一共100关,一波深搜就行了,解决了100关后出现了。
在这里插入图片描述
在二进制中搜索字符串无果,就当blind pwn做了,输入name后程序就退出了,可能存在的漏洞格式化字符串以及溢出,尝试发现没有格式化字符串漏洞,然后尝试溢出。当输入了0x78个字符后发现出现了报错信息。这里报错信息还是很多的应该和go有关系,C的报错才不会和你多bb

io.sendline('b'*0x10+'a'*0x60+p64(0xdeadbeef))

在这里插入图片描述
报错信息为unexpected fault address,addr是0xdeadbeef,然后尝试只溢出一个字节。

io.sendline('b'*0x10+'a'*0x60+p8(0x10))

发现没有报错,但是输出数据出现奇怪的东西。
在这里插入图片描述
于是猜测这个地址是存放输入字符串的位置,所以这边存在一个任意地址读,但只有一个这个没啥用,还要继续往后溢出,但是这里输出的指针需要输入一个合法的地址,注意到上面报错中有fp,sp两个值是比较奇怪的地址,在本地测试发现进程中存在这一块地方的内存。在fp指向的地址附近测试,找到了输入数据的位置。多次测试发现这块内存空间的地址不会随机化。

io.sendline('b'*0x10+'a'*0x60+p64(0xc000049d70))

在这里插入图片描述
继续往后溢出。

io.sendline('b'*0x10+'a'*0x60+p64(0xc000049d70)+p64(0x20)+p64(0x20)+'a'*0x88+p64(0xdeadbeef))

在这里插入图片描述
这时发现报错信息中pc变成了0xdeadbeef那么这里很有可能是函数的返回地址,那么溢出一个字节尝试,发现’\xce’可以返回到input name的那个逻辑中,并且从报错信息中可以bypass aslr,那就可以进一步利用了,剩下的就是基础的ROP了。在做题中发现system(’/bin/sh’)无法getshell(后来看了下Nu1L的解题,这里不用ret2libc,给的二进制程序中有足够的gadget可以直接系统调用,比赛的时候忘记看了)。尝试orw,这里有个需要注意的地方,在read的时候文件描述符3无法正确地读出flag的值。本地调试查看fdinfo发现fd是6。

from pwn import *

io=remote('81.68.174.63',62176)
ELF('./pwn')
#io=process('./pwn')
libc=ELF('./libc-2.31.so')	
#libc=ELF('./libc-2.23.so')

def check_valid(mg, x, y):
	if x >= 0 and x < len(mg) and y >= 0 and y < len
最低0.47元/天 解锁文章

200万优质内容无限畅学
2020WMCTF cfgo_CheckIn题解
starssgo的博客
08-03 1101
周六周日刚打了打,战队里一共出了两道题。分别是cfgo_CheckIn跟mengyedekending。我的话是一直在做cfgo_CheckIn,mengyedekending由战队里的whalien51冲出来的。我暂时没有复现。就先写下这个cfgo_CheckIn的wp 详细解释的话放到我的博客站上 不太明白的湿傅们可以去我的博客上看下具体实现 思路 编写破解迷宫算法,然后栈溢出就行了。 # -*- coding: utf-8 -* from pwn import * from LibcSearcher
[WMCTF2020]Web Check in 2.0
qq_62078839的博客
04-16 1758
启动靶机,打开发现源码 string(62) "Sandbox:/var/www/html/sandbox/cc551ab005b2e60fbdc88de809b2c4b1" <?php //PHP 7.0.33 Apache/2.4.25 error_reporting(0); $sandbox = '/var/www/html/sandbox/' . md5($_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @chdir($sandbox); var...
WMCTF2020 web之web_checkin
Firebasky的博客
08-04 2832
这道题是自己没有做出来,当时也没有认真做,最后看看来NU1L的wp才知道思路。 NU1L真的太强了,向他们看齐!!! 题目:web_checkin <?php //PHP 7.0.33 Apache/2.4.25 error_reporting(0); $sandbox = '/var/www/html/' . md5($_SERVER['REMOTE_ADDR']);//remote_addr代表客户端的IP @mkdir($sandbox);//创建一个文件 @chdir($sandbox);.
[SCTF2021 pwn] checkin
weixin_52640415的博客
12-27 1190
看上去说登录,以为是最简单的一题后来越作越想放弃,不过其它的也不会,用了半天的时间写了个程序,虽然不可能是预期的。但也算有结果。 先是给了个端口,然后就没有了。登上去提示爆4位sha256,这点没啥难度,由于有用的在后也所以肯定得写个小爆破程序,然后会返回base64编码的程序: from pwn import * import hashlib from base64 import b64decode import os context(arch='amd64') #nc 123.60.82.85
[WMCTF2020]easy_re writeup
HLi1219的博客
12-30 617
每天一道re ExeinfoPE查壳后没有发现有任何壳 但是当我用ida打开的时候发现找不到相关语句,根据题目名perl查看有什么提示 动态?感觉没有想到什么,动态调试?他的动态指的是什么?无果,看师傅的writeup (43条消息) re学习笔记(69)WMCTF2020 - easy_re_逆向随笔-优快云博客 原来是将代码压缩,执行的时候解压出来,应该说是一种反静态分析的方式,利用x64dbg打开,根据帖子,call函数解压有字符串script 利用x64dbg打开,不断F8,查
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 4515
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
wmctf2020-记录-writeup
08-03 4283
easy_re 题目描述:The flag is hidden in the perl code, can you find it? 使用ida打开发现是个64位的程序,看题目应该是perl脚本转成的exe程序,网上搜了下perl反编译得工具没有找到。 执行了一下如图: 使用ida查看字符串也没有找到 这俩字符串,点了动态调试,(以前没用过ida的动态调试, olldbg没法调试64位程序) 考虑应该会将perl代码加载到内存中,随便点了一些 提取内存快照后 搜索字符串找到了...
WMCTF_2020官方WriteUp 高清PDF版
10-15
WMCTF_2020官方WriteUp.pdf WMCTF_2020官方WriteUp 高清PDF版
2022 DASCTF X SU pwn checkin
yongbaoii的博客
04-28 499
栈溢出16个字节 栈迁移打setvbuf的got表 改成puts泄露libc 利用即可。
WMCTF2020 web之web_checkin完整题解
qq_38338511的博客
03-17 1318
这里用的是UCS-2,当然我们也可以用UCS-4 (在这就不多举例了) ,也有常见的办法,base64和strip_tags等等,但是会有弊端。明显过滤了很多,但是我们可以用二次编码绕过,因为file_put_contents中调用伪协议,会对过滤器url解码一次。如何改成自己想要的一句话木马呢?php demo_0.php 运行后会在当前目录生成一个shell.php。首先要解决的是$content要传入什么可以绕过exit()用PHP UCS-2和Rot13编码/解码脚本。改成自己的一句话木马就行了。
2023 NCTF-PWN-checkin】(AE64 取非 填满长度显示沙箱避免换行符干扰 1也是write 减少shellcode长度 bug exp )
最新发布
llovewuzhengzi的博客
03-13 1284
如果jnz loop_write后面没有指令,是flag的字符,这个时候不知道为什么会跳转到一个奇怪的地方去,但如果再随便加条指令如pop rax就可以正常跳转了。read每次读一个,write也一样。
WUST-CTF 2020 WriteUp
weixin_45883223的博客
03-30 3467
WUST-CTF 2020 WriteUp前言WebcheckinadminCV Maker朴实无华Crypto大数运算情书B@sebabyrsa佛说:只能四天MiscSpace ClubWelcome爬Find megirlfriendShopReverseCr0ssFunlevel1 前言 又一次被“面向萌新,题目友好”给骗了,我还是tcl。 Web checkin 打开链接发现要提交作者的名...
WMCTF2020
qq_42158602的博客
08-14 1150
web web_checkin 源码 <?php //PHP 7.0.33 Apache/2.4.25 error_reporting(0); $sandbox = '/var/www/html/' . md5($_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @chdir($sandbox); highlight_file(__FILE__); if(isset($_GET['content'])) { $content = $_GET['content
DozerCTF2020部分writeup
qq_41743240的博客
06-16 1001
真 · 签到 base64→base32→base16→base58 sqli-labs 0 url 二次编码绕过,堆叠注入,handler 代替 select id=1%2527;handler%20`uziuzi`%20open%20as%20okami;handler%20okami%20read %20first;handler%20okami%20close; 白给的反序列化 path=O:4:"home":2:{s:12:"%00home%00method";s:5:"m..
web flag.php,2020 WMCTF Web Writeup
weixin_30247833的博客
03-19 549
前言周末打了下WMCTF,Web题量大且大多需要细致推敲,以下是部分Web题解。web_checkin签到题不多说了,似乎是出题的时候,忘记改flag名了……直接包含即可:http://web_checkin.wmctf.wetolink.com/?content=/flagno_body_knows_php_better_than_me题目如下:highlight_file(__FILE__);...
GKCTF2020 - Web(CheckIN
ximo的博客
03-16 341
CheckIN 题目,代码审计: <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Ginkgo']; $this-&gt
re学习笔记(69)WMCTF2020 - easy_re
逆向随笔
08-03 2622
IDA打开搜索字符串搜索不到, 有个perl,,搜了搜 这是又考验快速学习能力了,, 搜了半天的百度谷歌。(搜了半天没搜到啥有用的,, 最后在看雪论坛找到了这篇帖子https://bbs.pediy.com/thread-67651.htm 既然说会解压,,那我就x64dbg单步调试了,, 一直F8单步走,,跑飞就F7,,,, 然后一直单步到这里,瞅见代码了。 $flag = "WMCTF{I_WAnt_dynam1c_F1ag}"; print "please input the flag:"; $
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值