2021 ctfshow 月饼杯 pwn Moon_note

最新推荐文章于 2025-04-16 16:16:40 发布
最新推荐文章于 2025-04-16 16:16:40 发布
阅读量357 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yongbaoii/article/details/120399027

在这里插入图片描述
保护全开,没给libc。
没给libc真可恶。

菜单
在这里插入图片描述

create
在这里插入图片描述设计的很有意思,申请的chunk实现了类似unsorted bin 的一个hash表。
chunk的结构是前16个字节是title,中间16个字节是链表,后八个字节是一会write的时候写内容的chunk地址。

write
在这里插入图片描述就是申请一个chunk,写东西,地址放到上面create里面说的那个玩意里面。
但是只能写一次。

show
在这里插入图片描述正常show

delete
在这里插入图片描述free掉chunk,但是漏洞就在free掉那个wirte的chunk之后没有清理指针,造成uaf。那个指针可以重复使用,多次释放,可以double free。

思路是啥
首先我们需要知道libc的版本。
先尝试一次double free,看报不报错,或者报错类型,来看看libc版本是2.23 2.27还是2.29及以上。

因为2.23的话就会直接报double free。
2.29及以上会报tcache dup 2.

最后double free啥都不报,确定了2.27的版本,具体2。27那个版本一会试一试就清楚了。

再说解题,我们现在有double free,首要任务是泄露libc,但是我们的chunk只能申请到0x60大小,所以首先想到的是攻击tcache struct。所以首先就通过double free泄露heap地址,然后污染tcache struct,释放掉它,得到libc地址。

得到之后再怎么利用,常规来讲我们只需要利用double free去攻击free_hook就好啦。
但是因为tcache被污染了,我们只能提前申请好大小合适的chunk,然后free进入tcache,或者我这里利用的方法是tcache中有一个残留的指针,只需要提前留几个0x30的chunk,方便申请,就可以直接利用残留的指针攻击free_hook。

exp

from pwn import*

context.log_level = "debug"
context.terminal = ['tmux', 'splitw', '-h']


#r = process("./moon")
r = remote("pwn.challenge.ctf.show", 28098)

elf = ELF("./moon")
#libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.27-3ubuntu1.2_amd64/libc.so.6")
libc = ELF("./64/libc-2.27.so")

def
最低0.47元/天 解锁文章

200万优质内容无限畅学
2021 ctfshow 月饼 pwn 简单的胖
yongbaoii的博客
09-24 343
显然就是一个简单的栈溢出,但是问题是还是不知道libc。 试了半天libc是2.27的,但是2.27的ibc又会有一个栈对齐的问题。 调试调试给它对齐就行。 有好几处需要栈对齐。 exp from pwn import* context.log_level = "debug" context.terminal = ['tmux', 'splitw', '-h'] r = process("yb1") elf = ELF("./yb1") libc = ELF("./64/libc-2.27.so..
ctfshow 月饼
qq_45655564的博客
09-02 436
web1_此夜圆 一个简单的反序列化逃逸 <?php error_reporting(0); class a { public $uname; public $password; public function __construct($uname,$password) { $this->uname=$uname; $this->password=$password; } public function __wakeup() { if($this->pa
2021 ctfshow 月饼 pwn 容易的胖
yongbaoii的博客
09-24 284
保护啥也没有。 看起来似乎是就是一个输入shellcode的过程,但是往哪输入,然后输入进去咋样,题目怎么做,都暂时看不出来,所以需要我们去调试一下。 可以看出来shellcode被放在了0x804a040,这是一个bss上的地址。 我们可以看到,当我们通过’\x00’截断来绕过strcmp正常返回的时候,我们会把ebp-8,也就是v3地方的地址弹到ecx,然后控制了它就可以控制我们函数的返回地址,我们只要让它合适的返回到我们的shellcode上就好啦。 exp from pwn import* .
ctfshow-月饼
LYJ20010728的博客
06-15 727
web1_此夜圆web1_此夜圆考点思路Payloadweb2_故人心考点思路Payloadweb3_莫负婵娟考点思路Payload web1_此夜圆 考点 php反序列化字符逃逸 思路 观察 index.php 代码,很容易发现是php反序列化字符逃逸中字符增多的考点,我们要将password的值变为yu22x,从而达到包含 flag.php 的目的,我们需要逃逸的部分为 ";s:8:"password";s:5:"yu22x";},长度为30,所以我们需要15个 Firebasky来达到逃逸这部分
ctfshow web篇月饼
读书 买花 长大
01-05 442
月饼
[ctf.show.reverse] 月饼 re1_西北望乡、re2_归心、re3_若无月
weixin_52640415的博客
04-21 1202
re1_西北望乡 主程序很容易看明白,格式是flag{....}长45,然后把3,6,13,36拿出来作为系数,这些字符每5个一组分别乘系数后的和给定了。然后就是怎么解了。 if ( strlen(flag) == 45 ) { v21[0] = flag[3]; v21[1] = flag[6]; v21[2] = flag[13]; v21[3] = flag[36]; v21[4] = 13; for ( i = 0; i < 5;
ctfshow web 月饼
m0_62422842的博客
06-10 624
刷题知识总结:php反序列化字符逃逸。php浮点数绕过。hash爆破。file_get_contents读取任意文件。like盲注,脚本编写。通过环境变量截取字符。
ctfshow 月饼(第二届) 部分WriteUp
mumuzi的博客
09-21 3112
Misc 杂项签到 右键附件,从链接另存文件。然后用16进制编辑器或者你想用notepad也彳亍看文件尾,有一串base64,解码即可。 ctfshow{we1come_to_mooncake_cap} 有手就行 查看exif,有一串阿拉伯语,翻译过来是“你知道汉明码吗” 查看图片文件尾,发现一串数字 10110110111 然后随便找一篇看一下是怎么编码的,以及如何纠错的 https://blog.youkuaiyun.com/qq_19782019/article/details/87452394 例子他举的也
ctfshow吃瓜-签层饼、Tea_tube_pot
weixin_61154173的博客
03-28 363
发现如果if条件成立,则 dword_525A30 就为0,那看if条件,因为要求num1和num2,所以他们是唯一的,所以如果想要输出yeah!这个if条件一定成立,即num2正确的话,dword_525A30一定为0,所以关注点是如何求num1,num2。程序很简单,其中生成随机数的那部分代码并没有影响用户输入的值,所以可以不考虑,那倒着分析,看那个if分支。dword_525A30为0就可以输出yeah,那我们肯定想让他为0,点进去看看。对,num1,num2按热键x交叉引用。发现恒1,x交叉引用。
XYCTF--moon--pyd文件逆向
最新发布
2301_81060697的博客
04-16 1487
pyd文件逆向,首先就是找版本号,然后通过help函数一步一步逆向
月饼2020_Crypto
M3ng@L的博客
10-24 446
复现比赛系列;希望对大家学习密码学有所帮助 crypto1_中秋月 题目描述: fsskryenvkm~jl{ejs}jwflzsnpgmifq{{j{|suhzrjppnx|qvixt~whu hint: 经此古典密码加密后,密文还是大写 该古典密码的密钥形式: keyword+plaintext (+plaintext…+plaintext) 自动钥匙⊕ 显然是自动密钥加密没错了 但是需要注意到这里给出的密文并不是这种加密得到的密文(应该是大写的) 可能经过了某种变换; 题目中还有⊕;可能是异或 使
【Web】CTFSHOW 月饼 题解(全)
uuzeray的博客
05-10 959
是一个非负整数,表示提取子字符串的起始位置。[ ] 表示指定范围 ([a-f]) 或集合 ([abcdef]) 中的任何单个字符。[^] 不属于指定范围 ([a-f]) 或集合 ([abcdef]) 的任何单个字符。一眼八股,但小写字母都被waf掉了,用提示中的环境变量+linux字符串截取来构造。脚本爆可以0e绕过的值,$b要爆3位,$c要爆4位。中提取一个子字符串,并根据提供的参数进行操作。变量中的第3、第4和第5个字符组成的子字符串。是一个非负整数,表示提取的子字符串的长度。同于DOS命令中的?
ctf练习题
moon__________的博客
10-09 3995
攻防世界WEB-Challenge area -Web php include WEB-Challenge area -Web php include 代码审计可以轻松知道本题考查文件包含并且过滤的php:// 所以我们用data://伪协议来传输数据,成功执行phpinfo() http://111.200.241.244:59922/index.php?page=data://text/plain,<?php phpinfo();?> 接下来我们利用大小写测试服务器操作系统(其实上图已
PWN-PRACTICE-CTFSHOW-8
P1umH0的博客
01-18 2021
PWN-PRACTICE-CTFSHOW-8吃瓜-wuqian月饼II-简单的胖月饼II-容易的胖击剑-pwn01-My_sword_is_ready 吃瓜-wuqian 栈溢出,ret2text # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=process("./pwn1") io=remote("pwn.challenge.ctf.show",28059) elf=ELF("./pwn1") sy
CTF入门指南
baikeng3674的博客
02-05 5910
转自http://www.cnblogs.com/christychang/p/6032532.html ctf入门指南 如何入门?如何组队? capture the flag 夺旗比赛 类型: Web密码学pwn 程序的逻辑分析,漏洞利用windows、linux、小型机等misc 杂项,隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据reverse 逆向windows...
ctfshow_2021月饼记录
MiGooli的博客
09-21 1856
一、WEB篇 作为队内的web手,差点连签到题都做不出来,属实是拉大胯丢大人了 web签到 <?php //Author:H3h3QAQ include "flag.php"; highlight_file(__FILE__); error_reporting(0); if (isset($_GET["YBB"])) { if (hash("md5", $_GET["YBB"]) == $_GET["YBB"]) { echo "小伙子不错嘛!!flag给你了:" . $fla
ctfshow-月饼WP
~airrudder~
09-27 5073
源码文件Baby(Don't)Cry.py: # -*- coding:utf-8 -*- #Author: Lazzaro from itertools import * from random import * from string import * def encrypt(m, a, si): c="" for i in range(len(m)): c+=hex(((ord(m[i])) * a + ord(next(si))) % 128)[2:].zfill(2) return
ctfshow月饼 web wp
Firebasky的博客
09-27 1311
这次的这个比赛中的web是我和羽师傅还有m3w师傅一起出的,一人一道。 其中最喜欢的是web3 羽师傅出的,真的太有意思啦。感谢羽师傅呢。 还有web1让自己复习序列化知识,感谢m3w师傅呢 web1_此夜圆 <?php error_reporting(0); class a { public $uname; public $password; public function __construct($uname,$password) { $this->uname=$uname;.
CTFSHOW 36DCTF(pwn部分wp)
weixin_44296844的博客
05-04 2050
PWN WP 感谢1p0ch师傅 最近参加了ctf.show举办的一个比赛,做了一下pwn题,以下是我的一些wp,由于本人能力有限,菜的一批,如果有什么不对的地方,请多包含。 PWN_签到 签到题直接nc上去以后发现考察的是linux的基本操作,程序过滤掉了空格,cat,但是我们可以ls查看 more<flag 这里<可以绕过空格 PWN_babyFmts...
ctfshow提供的pwn的linux环境
03-26
<think>好的,我现在需要帮助用户解决关于CTFShow平台上PWN相关的Linux环境配置和使用方法的问题。首先,我需要确认用户的具体需求是什么。他们可能是在准备CTF比赛,需要配置一个适合PWN挑战的Linux环境,可能涉及到调试工具、禁用地址随机化(ASLR)、内核设置等方面。 根据用户提供的引用内容,有三个引用提到了修改ASLR的方法,以及关闭内核地址随机化(nokaslr)的启动参数。还有安装内核符号表的步骤。这些都是配置PWN环境时的常见操作。因此,我需要将这些信息整理成清晰的步骤,并确保用户能够按照步骤操作。 首先,用户可能需要安装基本的开发工具,比如gcc、gdb、make等,这些都是编译和调试PWN题目的基础。接下来是禁用ASLR,这在PWN题目中很常见,因为地址随机化会增加利用难度,禁用后可以更稳定地进行漏洞利用。用户提供的引用[1]和[2]都提到了通过修改/proc/sys/kernel/randomize_va_space来关闭ASLR,这里需要提醒用户需要root权限,并且可能需要永久设置。 然后是配置调试环境,特别是GDB的插件,比如pwndbg、peda或gef,这些工具能极大提高调试效率。用户可能还需要使用checksec来检查二进制文件的保护机制,这可以通过安装pwntools来获得。 接下来,用户的问题可能涉及到内核地址随机化(KASLR),这在引用[3]中提到了在启动QEMU时添加nokaslr参数来关闭。这里需要说明如何在启动脚本中设置这个参数,以及可能需要重新编译内核或使用特定启动选项的情况。 此外,用户可能需要配置QEMU环境,特别是在使用虚拟机进行漏洞利用时,需要正确设置内核镜像和初始文件系统,如引用[3]中的例子。同时,安装内核符号表对于调试内核相关的题目可能很重要,需要指导用户如何手动安装。 最后,用户可能需要安装一些常用的PWN工具,如pwntools、ROPgadget等,这些都是进行漏洞利用的必备工具。在整理这些步骤时,需要确保每个步骤都清晰,并且指出可能的注意事项,比如权限问题或依赖安装。 生成的相关问题需要覆盖用户可能遇到的后续疑问,比如如何验证ASLR是否关闭,如何调试内核驱动,如何处理依赖缺失,以及如何优化调试体验等。这些问题可以帮助用户进一步解决实际配置中可能遇到的问题。 现在需要将上述思考整理成一个结构化的回答,确保每个步骤都有对应的说明和引用来源。同时,保持语言简洁明了,适合中文用户理解。可能还需要检查是否有遗漏的配置步骤,比如Docker环境的使用或其他特定于CTFShow平台的设置,但根据现有引用内容,可能不需要涉及这些。如果有不确定的地方,可能需要提示用户参考更多资料或官方文档。</think>### CTFShow PWN Linux环境配置指南 #### 1. 基础环境准备 - **安装开发工具**:使用apt安装编译调试工具链 ```bash sudo apt update && sudo apt install -y gcc gdb make python3-pip ``` - **配置ASLR关闭**(关键配置): ```bash echo 0 > /proc/sys/kernel/randomize_va_space # 临时关闭[^1][^2] # 永久关闭需在/etc/sysctl.conf添加: # kernel.randomize_va_space = 0 ``` #### 2. 调试环境配置 - **安装GDB插件**(推荐pwndbg): ```bash git clone https://github.com/pwndbg/pwndbg cd pwndbg && ./setup.sh ``` - **安装pwntools工具包**: ```bash pip3 install pwntools ``` #### 3. 内核环境配置(针对内核题目) - **关闭KASLR**:在QEMU启动参数添加`nokaslr`标志 ```bash -append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 nokaslr"[^3] ``` - **内核符号表安装**: ```bash gdb -ex "add-symbol-file /path/to/vmlinux" -ex "target remote :1234" ``` #### 4. 工具链配置 - **安装ROPgadget**: ```bash pip3 install ROPgadget ``` - **配置checksec**(已包含在pwntools中): ```bash checksec --file=target_bin ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值