Pwn-CTF 2018红帽杯redhat GameServer题目writeup

最新推荐文章于 2025-11-14 15:05:31 发布

原创

最新推荐文章于 2025-11-14 15:05:31 发布 · 1.9k 阅读

3 ·

CC 4.0 BY-SA版权

文章标签：

#pwn #redhat2018 #writeup #栈溢出 #绕过NX保护

开始前的例行叨叨：

学pwn萌新，欢迎交流赐教~

先放一波题目：

我传了github上 pwn2就是题目了。( 若有侵权，请博客留言立马删除)

https://github.com/staticStr/ForCTF/blob/master/pwn2

来看看这个程序是做什么用的

功能很简单，输入名字，职业，就会问你是否要修改，填Y修改，写一个新的进去。

ida打开分析一波，顺手把变量名能改就改了，分析看图吧。

开始想办法溢出

从图里看到了溢出点，是read函数的参数nbytes可控，溢出s变量。

那如何控制nbytes呢？

nbytes是snprintf函数的返回值，我们看一下snprintf这个函数。

snprintf这个函数用来格式化字符串，把name和occ会填入%s %s的位置中，拼成字符串，赋给s

若拼好的字符串长度大于第二个参数限定的0x100，返回值就会变成预计写入的长度。

也就是说，若字符串把name和occ拼进去后变成了0x200长度，那么snprintf的返回值就会是0x200，若出错返回-1。

那么可以控制输入的名字和职业，控制nbytes的长度了。

那么第二个问题：

需要多长才能溢出read函数呢？

具体的需要本地搭建后用语句测试了。

但大概猜一下，预期的变量&s的长度是sp+7

下一个变量v2是sp+107

之间隔了0x100也就是256个长度，那想要溢出至少要read256长度<

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

publicStr

关注关注

1
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

2021-RedHat-CTF-WP【WEB】

afei001

06-06

609

WEB 1.find_it：文件fuzz 代码审计 1.1 PHP代码分析 2.framework: Yii—CVE-2020-15148反序列化 2.1源码分析 3.WebsiteManger：布尔型盲注 4.easy cms for you WEB 1.find_it：文件fuzz 代码审计拿到目标靶机，常规WEB渗透思路对目标进行信息搜集、端口探测、目录探测等等。目录探测在robots.txt文件中发现了信息。告诉我们存在1ndexx.php，但是直接访...

BUUCTF - [2019红帽杯]easyRE

:-)

11-23

1175

BUUCTF - [2019红帽杯]easyRE 个人认为这道题是最近我刷的题目中难度较高的了，也是自己能力问题，不多说了，开始做题这篇文章配图规律为，图片在上文字在下，希望大家还看到习惯拖入die分析，elf64位文件，打开Linux跑跑看输错就退出，毫不讲理… 那咱直接上静态分析吧，这里跟大家说一下哈，我的做题的习惯一般是静态分析无果，才去寻求动态调试，并不是说这道题用动态的方法做不出来，有能力的师傅可以自己去动态，我就继续坚持我的习惯了。 shift+F12看看字符，看到字符表，肯定用到了

参与评论您还未登录，请先登录后发表或查看评论

第二届红帽杯线上初赛 RedHat 2018 WriteUp

郁离歌丶的博客

05-02

5928

又是一个划水的比赛，作看高中生吊打全场orz，太强了。WEBsimple upload进入一个登陆页面，抓包之后发现cookie有admin=0改成1之后进入了一个上传页面，获取指纹之后，明显是Apache Tomcat，传一个一句话asp马过去试试。上传yulige.jsp.jpg<% if("023".equals(request.getParameter("pwd"))){ ...

红帽杯线下pwn1

哒君的博客

01-25

372

转载于我的新博客：http://dayjun.top/ 概览最开始它获取了flag文件的文件描述符，并把它用dup2映射到0x233，这样我们就知道0x233是flag的文件描述符然后定义了沙盒规则，不允许execve和write，且虚拟机本身只能输入0x40道指令漏洞点它在处理指令的时候，有使用寄存器中的值作为index来存取它定的内存区的数据的操作，但是它却没有对寄存器进行检查如果寄...

CTF竞赛从入门到精通：逆向/Web/PWN三大核心方向详解，一篇搞定备赛全流程

最新发布

Misdirection_XG的博客

11-14

1820

CTF，即 Capture The Flag，中文名为夺旗赛，是一种网络安全技术人员之间进行技术竞技的比赛形式。在 CTF 比赛中，参赛者需要通过解决各种与网络安全相关的技术挑战来获取“旗帜”，这些挑战通常涵盖了多个领域的知识和技能，例如密码学、Web 安全、逆向工程、漏洞挖掘与利用、隐写术、二进制分析等等。比如说，在密码学相关的挑战中，可能需要参赛者破解加密的信息或算法来获取关键线索；Web 安全挑战可能要求找出网站存在的漏洞并加以利用；逆向工程则可能涉及对未知软件或程序的分析和理解。

2018红帽杯线上预选赛 wp---MISC

wkend的博客

05-03

1760

Not Only Wireshark 文件下载地址： https://download.youkuaiyun.com/download/qq_34444097/10388214 打开流量数据包，发现了一个特别的分组，上传了一张图片导出对象http查看，发现name像是一组数据，注意开始的123 404 B03,看到这里，有没有想到zip文件的固定格式 50 4B 03 04 将这...

2018红帽杯线上预选赛wp---Web

wkend的博客

05-05

671

1. simple upload 首先使用弱口令登录试试，页面没啥变化，设置代理，Burp Suite抓包发现cookieadmin=0，将其值改为1，跳转到新页面，编辑php一句话，保存为jpg图片上传，在Burp Suite中修改文件名为1.php, 可以上传，但是发现并不解析尝试了asp，aspx，jsp，发现jsp可以执行，重新上传jsp即...

2018红帽杯icm WP

BadRer的博客

05-02

476

前言这题基本上就考察一个idea算法。简单分析一下程序，可以知道flag长度为42。显示使用idea进行加密，然后hex->逆序->异或过程这题的难点还是在idea算法的解密上。刚开始也不知道是什么加密方式。无独有偶，看到了这个奇怪的字符串。然后百度了一下，发现是idea算法。但是有关这个算法的相关的资料很少，只找到了c的源程序，自己编译了一下，刚开始尝试发现找不到密匙，不对，于是IDA打开，进

CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode

12-10

CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目，该题目主要是利用三个节点来注入shellcode，考验解题人对shellcode的熟悉程度。题解：https://blog.youkuaiyun.com/A951860555/article/details/110350773

[CFI-CTF 2018]Automated Reversing [FlareOn1]Shellolololol [CFI-CTF 2018]powerPacked

寻梦&之璐

06-19

3797

文章目录第一次awd（和985的大佬对干）总结[CFI-CTF 2018]Automated Reversing[FlareOn1]Shellolololol（SMC）第一次异或第二次异或第三次异或第四次异或总结[CFI-CTF 2018]powerPacked脚本第一次awd（和985的大佬对干）总结我们队没pwn手，两个re直接毫无战斗力，被人按在地上摩擦，今天有个题连题都没看到，然后数据库就被别人打崩了(重置机会用完了文章目录第一次awd（和985的大佬对干）总结[CFI-CTF 2018

精选资源

题目源码2024年强网杯全国网络安全挑战赛 PWN题目old-fashion-apache源码

11-07

在历年的强网杯全国网络安全挑战赛中，PWN题目一直是比赛的重要组成部分，许多题目都以真实存在的软件和服务为蓝本，例如本例中的"old-fashion-apache"源码。 Apache是一款广泛使用的开源HTTP服务器软件，其稳定性...

题目源码2024年强网杯全国网络安全挑战赛 PWN题目baby-heap源码

11-07

2024年强网杯全国网络安全挑战赛是针对网络安全爱好者的一次盛会，尤其是PWN题目，这类题目往往要求参赛者利用软件中的漏洞，获取或提升权限。本次提供的“baby-heap”源码，很可能是一个针对堆内存管理的漏洞利用...

PWN简单利用堆栈溢出漏洞

weixin_43891422的博客

07-16

2042

PWN简单利用堆栈溢出漏洞PWN简单利用堆栈溢出漏洞0x01 栈的介绍栈是什么栈的特点栈中如何存储数据0x02 函数调用栈寄存器分配0x03 栈帧结构例题：堆栈溢出漏洞利用0x01.运行程序、查看文件类型和保护措施0x02.反汇编分析0x03.调试分析payload0x04.payload生成脚本0x05.总结 PWN简单利用堆栈溢出漏洞 0x01 栈的介绍栈是什么栈都是一种数据项按序排列的数据结构。栈的特点先入先出，先后放入栈中的数据要先取出来。栈的地址从高处向低处增长，且栈是一块连续区

pattern.py脚本

09-08

很多情况下可能会用到pattern这个脚本，虽然在peda中有可以使用，不过还是上传一个源码使用起来比较方便。

pattern.py

06-28

pattern.py 用来触发错误，探测返回地址等等。按照规律生成输入，方便定位。

一步一步学ROP之linux_x64篇

weixin_34204057的博客

11-07

435

一步一步学ROP之linux_x64篇一、序 **ROP的全称为Return-oriented programming（返回导向编程），这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御（比如内存不可执行和代码签名等）。上次我们主要讨论了linux_x86的ROP攻击：《一步一步学ROP之linux_x86篇》，在这次的教程中我们会带来上...

24.Python-pattern匹配列表中的值

weixin_43346403的博客

03-31

255

pattern匹配特定的内容

ret2shellcode 的泄露puts@got表

wing_7的博客

10-08

1324

现在rip在main+4处没执行puts,执行puts 后可以看到puts_got=> 0X601018里保存的是0X7FFDAA4E5430，可以使用ni si 进行调试看是否前后值有变化。手动设置栈上的值发现 pop_rdi_ret设置的值变换为0x4006f3 =》0x7fff004006f3（原因不明）发现read@got.pltb保存了read函数的blic中的地址。call read—> read的plt表 —>read的got表。jmp到的其实这是plt表对应函数的got表。

CTF套路总结

weixin_44657855的博客

07-07

1037

命令连接符一些绕过方法 WAF限制方法之黑名单检测 !!!另类的绕过方法很多ctf题目未对tar命令进行过滤，可以用tar命令将整个文件夹进行打包，然后下载下来其他情况空格检测绕过一般情况：WAF对某些字符串做了过滤用字符串拼接绕过用编码绕过用引号绕过用\绕过用通配符绕过 WAF限制方法：执行命令长度限制用短文件名拼接进行绕过 php存在命名空间这个概念，所以内置函数都是在\这个根命名空间下（如\eval）,利用这个特性可以绕过针对字符

[CTF]PWN--非栈上格式化字符串漏洞

08-14

### 非栈上格式化字符串漏洞概述在CTF比赛的PWN类别中，格式化字符串漏洞是一种常见的安全漏洞，通常出现在使用不安全的格式化函数（如`printf`、`sprintf`等）时。如果程序允许用户直接控制格式化字符串参数，而未进行适当的验证和过滤，则可能导致攻击者利用该漏洞读取或写入内存数据。在栈上的格式化字符串漏洞利用较为常见，而非栈上格式化字符串漏洞则涉及对堆内存或其他非栈内存区域的利用。这类漏洞通常更具挑战性，但也提供了更多的攻击面。 ### 利用方法非栈上格式化字符串漏洞的利用主要依赖于对格式化字符串中特殊格式符的使用，尤其是`%n`。`%n`的作用是将当前已经输出的字符数写入指定的指针位置。通过精心构造格式化字符串，攻击者可以实现任意地址写入（Arbitrary Write）。在非栈上场景中，通常需要找到一个可以控制的指针，指向堆内存或其他可写区域。例如，攻击者可以通过泄露堆地址，然后利用`%n`将数据写入堆中的特定位置。这种方法常用于覆盖函数指针或全局偏移表（GOT）中的条目，从而实现控制流劫持。 ```c // 示例代码，展示不安全的格式化字符串使用 #include <stdio.h> void vulnerable_function(char *user_input) { printf(user_input); // 不安全的格式化字符串使用 } int main(int argc, char **argv) { if (argc > 1) { vulnerable_function(argv[1]); } return 0; } ``` 在上述示例中，如果攻击者能够控制`user_input`的内容，则可以构造特定的格式化字符串来触发漏洞。例如，攻击者可以输入类似`%x%x%x%n`的字符串，试图读取栈上的数据并写入特定地址。 ### 防御方法为了防止非栈上格式化字符串漏洞的利用，可以采取以下几种防御措施： 1. **避免使用不安全的格式化函数**：尽量使用带有显式参数的格式化函数，如`fprintf`、`snprintf`等，并确保格式字符串是静态常量，而不是用户可控的输入。 2. **输入验证和过滤**：对用户输入进行严格的验证和过滤，确保输入中不包含任何格式化字符（如`%`）。可以通过白名单机制来限制输入内容。 3. **地址空间布局随机化（ASLR）**：启用ASLR可以增加攻击者预测内存地址的难度，从而降低漏洞利用的成功率。 4. **堆内存保护**：使用现代编译器提供的堆内存保护机制，如堆栈保护（Stack Canaries）、地址随机化等，以增加攻击者利用堆漏洞的难度。 5. **代码审计和静态分析**：定期进行代码审计和静态分析，查找并修复潜在的安全漏洞。使用静态分析工具可以帮助识别不安全的格式化字符串使用。 6. **运行时检测**：在程序运行时检测格式化字符串的使用情况，及时发现并阻止异常行为。 ### 示例：修复不安全的格式化字符串使用 ```c // 修复后的代码，使用安全的格式化字符串使用方式 #include <stdio.h> void safe_function(char *user_input) { printf("%s", user_input); // 使用安全的方式处理用户输入 } int main(int argc, char **argv) { if (argc > 1) { safe_function(argv[1]); } return 0; } ``` 在修复后的代码中，通过使用`%s`格式化符并显式传递用户输入，避免了用户输入直接作为格式化字符串的风险。 ### 总结非栈上格式化字符串漏洞的利用虽然较为复杂，但通过精心构造的格式化字符串和内存操作，攻击者仍然可以实现严重的攻击效果。因此，在开发过程中，必须采取有效的防御措施，确保程序的安全性。