hitb-2017 1000levels writeup

最新推荐文章于 2022-03-08 20:00:00 发布
最新推荐文章于 2022-03-08 20:00:00 发布
阅读量1.7k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: pwn ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_29343201/article/details/77644936
该博客详细分析了hitb-2017比赛中一个二进制漏洞,包括go函数中的未初始化变量问题、level函数的栈溢出以及hint函数中system的栈放置。利用思路涉及将system地址与one_gadget结合,通过栈溢出和vsyscall的gettimeofday来构造rop链,最终实现漏洞利用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目分析

题目设置的还是比较巧妙的。

本身是一个二进制的文件,linux 64环境,保护情况如下:

    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      PIE enabled

功能一共三个:
1. go: 选择一个level,然后会再问你一次level,输入之后,回答两次level想加这么多次的问题,就是a * b类型,回答完成之后输出你在多少秒内完成了多少level
2. hint: 打印NO PWN NO FUN
3. give up: 退出

实现如下:

go

int go(void)
{
  int v1; // ST0C_4@10
  __int64 v2; // [sp+0h] [bp-120h]@1
  int v3; // [sp+8h] [bp-118h]@9
  __int64 v4; // [sp+10h] [bp-110h]@0
  __int64 v5; // [sp+10h] [bp-110h]@4
  signed __int64 v6; // [sp+18h] [bp-108h]@7
  __int64 v7; // [sp+20h] [bp-100h]@10

  puts("How many levels?");
  v2 = read_num();
  if ( v2 > 0 )
    v4 = v2;
  else
    puts("Coward");
  puts("Any more?");
  v5 = v4 + read_num();
  if ( v5 > 0 )
  {
    if ( v5 <= 999 )
    {
      v6 = v5;
    }
    else
    {
      puts("More levels than before!");
      v6 = 1000LL;
    }
    puts("Let's go!'");
    v3 = time
最低0.47元/天 解锁文章

200万优质内容无限畅学
攻防世界Pwn之1000levels
qq_42728977的博客
01-17 531
标题: MMA CTF 2nd 2016 : greeting-150 原理: 栈溢出,爆破system地址,绕过PIE保护。 做题环境: ubuntu14 64位 工具: pwntools、LibcSearcher 步骤: 根据程序逻辑爆破system地址,进而计算出libc_base,进而构造ROP链获得shell。 具体流程: 用checksec查看保护:发现有PIE保护,即地址无关可执行文...
XCTF 3rd-HITB CTF-2017 arrdeepee 复现
m0_46580995的博客
07-05 1522
题目说明 我们某一个box被pwn了。在检查过程中,我们发现了一个叫mimikatz的东西,我们以前没有安装过,所以我们清除了,并且重新安装了box。但是,我们忘记备份我们的flag文件了。幸运的是,我们有一个攻击者网络流量捕获。你可以帮我们恢复出flag文件吗? 得到的是一个pcap包 有大量的tcp和udp流 查看udp流有以下的关键字 “ TSSecKeySet1”和“ Microsoft Strong Cryptographic Provider” 保存下来进行分析 有一些证书和私钥尝试openss
HITB GSEC CTF 20171000levels
weixin_30709929的博客
09-08 212
https://files.cnblogs.com/files/p4nda/498a3f10-8976-4733-8bdb-30d6f9d9fdad.gz #通过阅读天枢战队大佬们的wp调试的结果 首先查看一下该elf文件的保护情况: 是64位程序,有PIE、NX保护,没有canary保护,怀疑是栈溢出类型。 开始寻找溢出点,通过阅读ida得到的代码,大致分析一下文件含义:...
1000levels-vsyscall
playmaker的博客
08-11 382
1000levels-vsyscall 题目是一个64位的程序 具体保护如下 程序主要分为两部分,分别为go部分和hint部分。 首先先看简单的hint部分 int hint() { signed __int64 v1; // [rsp+8h] [rbp-108h] int v2; // [rsp+10h] [rbp-100h] __int16 v3; // [rsp+14h] [r...
攻防世界PWN之1000levels题解
seaaseesa的博客
11-09 1134
1000levevls 本题是一个栈溢出题,难点在于开启了PIE,因此里面的函数地址是随机的。 溢出点在这里 让我们看看提示功能的函数 看看它的汇编代码 不管条件是否成立,system的地址都会保存到这个函数的rbp-110h处,也就是当前函数的栈顶。 我们再看看这个函数 我们进去看看 如果我们输入的levels大于0,v7才有初始化,那么,如果没有初始化,...
[XCTF-pwn] 21_xctf-3rd-bctf-2017_1000levels
weixin_52640415的博客
03-08 278
1000级的简版100级。 程序两个函数一个是给个提示,这时候会把system放到栈里(但没有输出),第二个是进行一个100层递归回答问题。 漏洞: hint函数在if前面将system放到栈里,这样system在栈里有残留 第2个漏洞是read有溢出,而且很长。 问题是这个题开启了随机化,这样题目加载地址、栈地址、libc加载地址都是随机的 第1个的漏洞就,第2个的漏洞是 ...
HITB2017-babyqemu && 2019数字经济-qemu
最新发布
11-05
【标题】"HITB2017-babyqemu && 2019数字经济-qemu" 提到的两个主题涉及到的是在信息安全领域中的技术挑战和数字经济发展中的虚拟化技术应用。HITB(Hack in The Box)是一个知名的网络安全会议,而"babyqemu"可能是...
深入解析HITB2017-babyqemu与2019数字经济QEMU技术
资源摘要信息:"HITB2017-babyqemu && 2019数字经济-qemu" 一、HITB2017-babyqemu HITB2017-babyqemu指的是在HITB黑客大会(Hack In The Box)2017年期间,展示的一个简化版QEMU项目,通常称为babyqemu。QEMU是一个...
2016 hitb-facebook-ctf capture-mexico-tls RSA-CRT-Attack
ACdream
05-27 708
攻击原理:Modulus Fault Attacks Against RSA-CRT Signatureshttps://eprint.iacr.org/2011/388.pdf在n=pq,分别对明文m签名时,如果一个签名正确,另一个签名错误,那么会导致n可分解如果觉得看论文太长太麻烦,可以看底下的解题链接SSL/TLS协商过程解析https://blog.youkuaiyun.com/zhangtaoym/...
CCTF重邮(绿盟)杯_部分解密题WriteUp
焚卷觅光的博客
07-31 5473
CCTF重邮(绿盟)杯_部分解密题0X00   Kungfu解开压缩包,里面就是一个图片(又是那个卖如来神掌的老乞丐),按照脑洞惯例跑Stegsolve。在文件底发现了“key is …..”把它复制出来再说。VF95c0s5XzVyaGtfX3VGTXR9M0Vse251QEUg明显是一个base64加密,放解码器跑出来是这个:T_ysK9_5rhk__uFMt}3El{nu@E 这已经很接近fl
CTF_Competitions_Writeup:周大福比赛作品集
04-13
CTF_Competitions_Writeup 这是我解决的一些CTF竞赛挑战文章的集合。
2016华山杯ctf安卓题目
06-17
2016年华山杯ctf安卓题目
[BMZCTF-pwn] 24-pwn2
weixin_52640415的博客
02-16 245
第二题是个栈溢出的题,也属于白送的那种,程序直接调用check在check里向48字节的空间写入0x400,导致栈溢出。而且没有canary没开pie这样就能直接通过溢出 int check() { char buf[48]; // [rsp+0h] [rbp-30h] BYREF read(0, buf, 0x400uLL); return strcmp(buf, "21232F297A57A5A743894A0E4A801FC3"); } 思路就是先通过溢出调用puts(got[pu
xctf 100levels
doudoudedi
11-20 313
直接用vsyscall的地址不会发生改变通过栈的结构分布发现返回地址+24byte之后便是system_addr将其改为execve(’/bin/sh’)然后跳到上面即可 from pwn import * local=1 if local==1: p=process('./100levels') elf=ELF('./100levels') libc=ELF('./libc.so') el...
pwn真的入门了
萍水间人的小天地
05-01 946
终于沉下心来好好的把ctf-wiki上的pwn部分看了一下(当然菜鸡的我海之看懂了栈) 首先需要补充一下aslr 我们可以通过修改 /proc/sys/kernel/randomize_va_space 来控制 ASLR 启动与否,具体的选项有 0,关闭 ASLR,没有随机化。栈、堆、.so 的基地址每次都相同。 1,普通的 ASLR。栈基地址、mmap 基地址、.so 加载基地...
CTF中Web找Flag题目(1)
TLXX1126的博客
07-13 3万+
今天做的一个题,题目上给了一个链接,链接是一个网页,网页上让输入一个pass key, 做题步骤是先用BP抓包,然后repeter看返回包 其中Content-Row是一个用base64加密过的一串字符,然后将其解码便得到了pass key 听火种CTF中胖虎大佬讲解是这么说的: 这个功能就是抓包和看返回包的过程 就跟你要看一个网站,你就得把你的IP地址各种请求告诉网站,
NSCTF web200 WriteUp
qq_40163482的博客
05-29 633
题目:NSCTF web200 密文:a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws格式:flag:{}打开链接,就只有这么个图片,一个自定义的encode函数,我们要做的就是作逆运算,我个人写的脚本如下执行得到flag...
0ull 是什么意思?
weixin_34174422的博客
01-08 3101
unsigned long long 类型的0 同理:#define     DEV_IIC1             ( (u64)1 &lt;&lt;  7ULL)    这个作用是64位中的第7位作为i2c1的系统中的设备号
pwntools使用简介
热门推荐
jmp esp
05-07 4万+
0x01 pwntools?pwntools是一个ctf框架和漏洞利用开发库,用Python开发,由rapid设计,旨在让使用者简单快速的编写exploit。pwntools下载:https://pwntools.com/ 文档在线:http://pwntools.readthedocs.io/en/latest/0x02 使用简介官网的一个简单样例from pwn import * contex
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值