DASCTF 2022 9月挑战赛 cyberprinter

最新推荐文章于 2022-10-28 09:02:00 发布
原创 最新推荐文章于 2022-10-28 09:02:00 发布 · 437 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

解法和官方wp略有不同,方法较为繁琐但是所需爆破次数更少。

程序主题集中在vuln函数中

上面有一个printf可以用来泄露栈中的一部分数据(我太菜了没注意到这个机会),调试的话会发现栈中有libc中函数地址,程序中的指令地址,以及rbp的值。如果能将其泄露,我们可以借此计算出libc基址,程序加载基址,我们在栈中写的数据的地址。

程序中有一个格式字符串漏洞,可以用于泄露数据,但是想要更改返回地址则较为困难。上面讲了栈中有一个指向rbp的数据,我们可以借机修改rbp的最低位字节,由于rbp处存放的是last_rbp(即main函数的rbp),这个last_rbp的值,必然是接近vuln返回地址的储存位置。我们可以通过爆破的手段来解决问题:利用栈中储存的rbp值配合%hhn,修改rbp所指向的即last_rbp的低位字节为0x78。这样,当rbp的低位为0x70,last_rbp便指向了返回地址的位置,便可以通过这个办法修改返回地址为call vuln指令。

需要注意printf在遇到$后会开辟一个缓冲区把所有用到的参数都传进去,这一会导致尽管修改了last_rbp却不能改返回地址。所以在用%hhn时不要用$。

 然后再次执行vuln时可以利用栈迁移手法解决问题了,(onegadget也可以,但是用格式字符写一个六个字节的数据实在太过痛苦.....)

exp:


from pwn import *

context.terminal=['tmux','splitw','-h']
context.arch='amd64'
context.log_level='debug'

libc=ELF('/home/wjc/Desktop/libc-2.31.so')

#r=process('/home/wjc/Desktop/cyber
最低0.47元/天 解锁文章
DASCTF X CBCTF 2022挑战赛 cyberprinter wp
qq_65147345的博客
10-02 587
通过格式化字符串漏洞改写libc中strlen的got表地址为one_gadget
【pwn】DASCTF Sept 九
woodwhale的博客
09-26 3830
【pwn】DASCTF Sept 1、hehepwn 先查看保护,栈可执行,想到shellcode 这题需要注意shellcode的写法 拖入ida中分析 一直以为iso scanf不能栈溢出,后来发现我是shabi 先进入sub_4007F9()函数 有个read函数,恰好读完s数组,由于printf是碰到\x00截断,所以如果我们输满0x20个padding就可以读取一个栈地址 我们可以把shellcode写入scanf输入的地址中,通过创建fake rbp进行栈迁移,而这个栈中存有我们写入
DASCTF2022.07赋能 - Pwn easyheap
qq_34010404的博客
07-25 1770
DASCTF 2022.07赋能
DASCTF X CBCTF 2022挑战赛 reverse landing
weixin_63051469的博客
09-22 774
胡小楠的刷题日常
[DASCTF2022]三WriteUp Web部分全复现
Pysnow's Blog
04-11 3542
Web ezpop ezpop <?php highlight_file(__FILE__); class crow { public $v1; public $v2; function eval() { echo "crow::eval<br>"; echo new $this->v1($this->v2); } public function __invoke() { echo
DASCTF X CBCTF 2022挑战赛(pwn方向)复现
FUCKING12的博客
10-06 2057
DASCTF X CBCTF 2022挑战赛(pwn方向)复现
DASCTF 2022WEB
weixin_43952190的博客
09-22 925
CTF
DASCTF挑战赛复现-web
your_friends的博客
10-18 869
那么他就会直接将product合并到order原型链上那么他就可以直接添加token进入下面的判断语句了。可以发现在调用buyapi接口的时候直接将body作为实参传过去了,所以我们就可以控制product。那么我们只需要修改其中的分数,用它原来的方法对他进行一次发包就可以拿到flag。下面的代码可以看到只有当他的密码是截取的1到6位的时候才会获得9999块钱。e就是分数,t就是我们的checkcode我们直接在页面中对他进行调用。这里是可以直接传入URL的,URL会进行编码。
2022DASCTF7赋能(复现)
m0_62422842的博客
07-28 3007
DASCTF赋能的三个web题复现,涉及到sql注入,模板注入,php反序列化以及session文件包含
2022DASCTF MAY
qq_62046696的博客
07-23 356
大佬们都在努力,我个小白也不能落下加油!!!
DASCTF X CBCTF 2022挑战赛
shinygod的博客
10-19 860
找给 check.php 发包的那个部分。可以在开发者工具里全局搜索一下,发现是 sn 这个函数发的包,代码有点乱可以。在 sn 函数中看到了三个参数的设置。先看一下是在哪边调用的 sn ,然后一个一个的跟踪就行了。搜索 checkCode ,checkCode 由一串字符串和 salt 构成,而 tm 是时间戳,score 是分数,最后就可以构造 exp了。
DASCTF2020 7
qq_42158602的博客
07-25 871
bullshit 题目 from flag import flag def pairing(a,b): shell = max(a, b) step = min(a, b) if step == b: flag = 0 else: flag = 1 return shell ** 2 + step * 2 + flag def encrypt(message): res = '' for i in range(0,le
[DASCTF 2022]三 web 复现
cosmoslin的博客
03-29 6702
ezpop <?php class crow { public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); } } class fin { public $f1; public
DASCTF
qq_53755216的博客
04-08 1017
ez_serialize 题目网址: http://684f47cd-5c9d-41cb-ad29-98d48096cc9a.machine.dasctf.com/ <?php error_reporting(0); highlight_file(__FILE__); class A{ public $class; public $para; public $check; public function __construct() { $thi
[Misc]2022DASCTF Apr X FATE 防疫挑战赛 wp
mumuzi的博客
04-24 4755
das4
DASCTF2022 ——十 Web 部分Writeup
渗透测试研究中心
10-28 1777
EasyPOP题目环境是 php 7.4, 图省事直接把所有属性的类型都改成 public起点是 sorry 类的__destruct(), 由echo $this->hint调用到 show 类的__toString()方法, 然后通过执行$this->ctf->show()跳转 secret_code 类的__call(), 进而到show()方法, ...
DASCTF X CBCTF 2022挑战赛WEB复盘
m0_61206225的博客
09-21 594
dino3d Text Reverser cbshop JavaMaster
[MISC]2022DASCTF Apr X FATE 防疫挑战赛
RookieMOR的博客
05-06 1666
1.SimpleFlow; 2.熟悉的猫; 3.冰墩墩; 1.SimpleFlow: 下载得到SimpleFlow的压缩包,解压得到SimpleFlow.pcapng,流量分析题目。查找 flag. ,可以知道一共有四个flag.txt文件,一个flag.zip文件。用kali的foremost指令可以分离出flag.zip文件,发现flag.zip需要密码。 再追踪每个flag.txt。 发现蚁剑流量,一个一个base64解码, 在其中一个txt文件中得到: Y2QgIi9Vc2Vy.
2022年3buudasctf
weixin_51458899的博客
03-27 6964
2022年3buudasctf web ezpop <?php class what { public $a; public function __construct(){ $this->a = new fin(); } } class mix{ public $m1; public function __construct(){ $this->m1 = "?><?=system('cat
[2022DASCTF MAY 出题人挑战赛]神必流量 1
最新发布
07-27
2022DASCTF MAY出题人挑战赛中,“神必流量”题目通常涉及对网络流量的分析,旨在考察参者对网络协议、数据包分析以及潜在隐写术的理解和应用能力。这类题目通常会提供一个或多个PCAP(Packet Capture)文件,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值