WUSTCTF2020 level4 writeup
好久没刷re了,来刷点re啊。
buuctf的[WUSTCTF2020]level4
静态分析文件
下载发现是一个64位的elf文件,IDA打开分析。照例先看看明显的字符串明文,发现有left,right,然后还有三种打印(type1,type2,type3)。观察符号列表发现有type1和type2函数。跟进去发现跟我们二叉树的递归输出十分相似,并且type1
先递归了a1+1再递归a1+2,差不多他们就是左子树和右子树。那么type1就是一个后根遍历。然后type2是再中间输出的,是一个中根遍历,那么type3大概率就应该是先根遍历,这里他没有,那么先根遍历大概率就是flag。根据中序遍历和其它一个遍历可以求另外一个遍历,这个在数据结构课里有讲。
动态调试
那么先运行一遍可以发现得到了两个结果
正解显然就是考一个数据结构嘛,但是一个题目总得有多种解法,这里我选择修改函数结构,让它从一个后序遍历变成先序遍历,这里需要patch
elf我们先找到type2函数观察它的汇编代码
很明显
1jz short loc_4007FD
这一条指令对应了 ...
ciscn2019_final_3 writeup
buu刷题记录:ciscn_final_3
写在前面
今天解决了C++文件换版本的问题,也是一刻没耽误直接做了这道C++题目,不得不说太爽了啊,再也不用因为题目是C++写的就做不了了,话不多说来看文件。
静态分析elf文件
题目告知是ubuntu18版本的,给了libc.so.6文件,但是盲猜跟它自己的一样,那就先换好elf文件的版本。checksec观察保护全开。然后IDA打开一看,发现是经典的堆菜单题,提供了两种操作,add和delete。delete很明显free之后指针没有清零,存在UAF漏洞,并且add只允许下标开到0x18,也就是0~24总共能add
25次。然后大小限制在了fastbin大小的范围内,但是很贴心地,每次add之后给了malloc之后的地址。那么大概率通过这里泄露(ps:一开始并没有想到,还想着用IO泄露来着的),思路大概是先通过一次double
free修改一个chunk的size为其它大小,然后free一次,再修改成非fastbin范围的堆块,并且防止堆块放入unsortedbin被check
fail,最好不要构造堆相互重叠(这句话的 ...
2021浙江省决赛
2021省赛决赛题解
总结
本次比赛最终rank21,幸而拿到省赛一等奖最后一名。pwn题签到拿下二血,re签到拿下还是好的,但是pwn少拿了一道有点可惜。最终还是靠学长ak
web才拿下的省一,希望学长明年还能带我。下面放出本次比赛提交的wp,misc和cry因为没有留下图片(就是wps复制过来的,导出pdf之后交了,后面word删了图片也就没了)。
Web
远古特性
换行绕过
1hint/hint.txt%0a../../../../../../flag
just login
12345678910111213141516171819202122232425import requestsurl = "http://8fd95e2e-9d91-45b1-8ba9-d41be0125b3f.zj-ctf.dasctf.com:80/login"flag = ''data = {"username": "123' oorr 1=1 -- ", "passwo ...
lctf2016_pwn200 writeup
buu刷题记录-lctf2016_pwn200
静态分析
checksec
64位保护全关,并且栈可读可写可执行,那么主要思路应该是执行shellcode了。main函数一个IO初始化和一个函数,进去发现有一个name输入,是用for
-
read(1)实现的,但是观察缓冲区和循环大小,发现缓冲区大小与循环次数相同,意味着如果我输入填满缓冲区,一会输出名字的时候可以泄露栈地址。sub_4007DF这个函数就是输入一个3位数值返回int。继续往下看发现它又有一个与缓冲区大小相等的一次输入,并且可以覆盖到char
*dest这个指针变量,一会会将整个缓冲区以字符串形式拷贝到那个指针内的地址中。那么如果我们将ptr修改那基本是任意地址写了,加上之前泄露的站地址便可以在上面执行shellcode,但是同时也有限制,那就是这是一个字符串拷贝,如果需要在返回的时候执行shellcode那么需要填上shellcode后先放上一个jmp
rsp的地址。而64位程序地址虽占8个字节但是实际高两个字节一般都是空的,后面的shellcode很可能无法拷贝。我还尝试过栈迁移,但是栈迁移需要改 ...
2021江西省赛RSA题解
来源于一位师傅发的RSA的题目,这题正解是套公式,但是其实可以直接分解n。
题来康康别的师傅发给我的江西省赛的cry题,发现自己还是能很好的运用一些小技巧的,正解虽然不用分解n,但是咱还是可以分解n的hhh
题目分析
1234n=27552304606229034903366058815849954030287648695063385362955432137790872571412035824128918674719247737295565001575991597519270789776408208970323808016733976338433371328100880898942106515627607388226912870981180215883273805491209461671730377099185278711453949265641966582563910708529619185885928310168288810488784242368160743359666583499117949407921812317700250240067929572558785431 ...
2020浙江省赛 pwn2 writeup
国庆复的盘,今天补一下
静态分析
checksec保护全开。
经典菜单题,没有去符号表,查看menu函数发现只有添加和删除操作,但是可以发现删除操作是通过函数指针实现的。并且分little
和 big的区别,free little就是一个free,free big
就是要把那个堆块里面的内容指向的堆块free了还要把本身给free,但是指针并没有清零。造成了UAF漏洞,并且在add的时候根据字符串长度来分配大小,并且会先读栈上,然后在strcpy拷贝,这就意味着输入不能存在\0。并且你输入的size只跟你输入大小有关,它拷贝分配的大小还是用strlen算出来长度再malloc然后strcpy,这一波操作下来就没办法溢出操作,并且由于\0截断也限制了很多。开了PIE无法unlink,和用got表泄露libc,而泄露程序基址也是比较难的(虽然正解是泄露程序基址的awa)。
泄露libc
考虑劫持函数指针,直接覆盖部分来修改函数,发现freebig和freelittle函数指针都在堆上面,由于只有最后三位相同,而我们覆盖是以字节为单位的,在调试可以选择先关了ASLR,让它在 ...
gyctf_2020_document write up
今天来康康这道题gyctf_2020_document
静态分析确定漏洞类型
经典的堆菜单题,保护全开,2.23的libc。保护全开意味着got表劫持不了。增删改查四样动作都有,并且没有那种虚晃一枪(例如show函数直接给你puts一个too
young too simple之类的)的函数。
先看add函数,malloc了两个堆块,都是固定大小,一个堆块是0x20大小,另一个是0x90大小。然后第二个堆块的指针存在了第一个堆块上面。第一个堆块后八个字节用来存了性别,性别要么1要么16,是通过判断你输入的是否为W来决定的。之后就是那个0x90的大堆块上面存一个名字,中间间隔一个flag,然后堆块偏移0x10的位置上面放上你要输入的内容。
看看delete函数,存在明显 的UAF漏洞,可以操作free的堆块。并且只free
0x90的堆块而0x20的堆块不会free。那么通过这些分析我们就可以先add两个堆块,free掉第一个之后show第一个就能泄露出libc的地址。
其它的中规中矩,唯独edit函数正常情况下它每个堆块只允许edit一次,但也只是因为那个0x20堆块的 ...
2021浙江省预赛
作者因为之前电脑丢了导致中间两个月断更,最近会把之前的很多都补回来。言归正传,这次比赛总体来说不太理想,没有达到预期。
比赛情况总结
我,学姐,学长分别出一题,最终得分350,排名在42。而我是出了一道密码题,pwn题没出,因为pwn题一道shellcode题当时分析没有考虑\0截断的这个特性,以为所有shellcode都要满足这个特性,觉得手撕汇编撕不过,就放弃了,没想到竟是一个\0绕过,这波,属实大意了闪了。
部分题目writeup
Crypto-Easy Railfence
观察加密方式,发现这个加密只进行了位置对换,并且开头特意提醒flag的形式为
flag{} ,那么先根据 已有长度写出参数
1m='flag{_________________________________________________________}'
现在Rail和offset不确定,但是
flag的格式确定,因此对参数进行爆破,然后观察发现l和g还有{}在整个
给的加密结果中只有一个并且位置已经确定,那么根据这个特性写出如下脚本。
...
babyfengshui_33c3_2016 writeup
好久没有更新博客了,因为作者太懒了,又懒又菜,今天来康康这道题,buuoj的babyfengshui_33c3_2016
分析elf文件
checksec一下发现canary保护和NX保护,got表没有保护,且随即地址没有开启。这就意味着got表可写,拖到IDA当中发现是一个经典的堆菜单题,以我现在的水平,那就是先分析它free后指针有无清零。本来一开始看它free了两个堆块,确指将一个指针清零了,以为是有uaf漏洞,但是后面发现不是这样的,它每一条目分一个name和对应的description,name且dscription是用指针指示,并且每个条目固定是80字节的大小,因此可以把一个条目看成一个结构体
1234struct heap{ char name[0x7c]; char *description;};
所以,我把整个结构体free了之后就相当于把这个description的指针清零了,因此本题不存在uaf漏洞。再观察添加一个项目的函数,发现name是固定长度输入,且用了fgets函数限定输入0x7c字节,整个name那就是不可能溢 ...
ret2dl_resolve
有这么一个漏洞,他能在程序不提供任何输出函数的情况下执行system("/bin/sh"),没错,他就是ret2dl_resolve,这个我也认为是栈溢出的最后一关了,因此我现在就算是栈溢出毕业了吧hhhh。
elf文件我们自给自足,自己编译,为了一步一步演示,还是给了一个输出函数,但是我们不通过这个输出函数去泄露libc的地址。
1234567891011121314151617181920#include <unistd.h>#include <stdio.h>void vuln(){ char buf[100]; setbuf(stdin, buf); read(0, buf, 256);}int main(){ char buf[100] = "Welcome to the last stackoverflow"; setbuf(stdout, buf); puts(buf); vuln(); return 0;}$gcc -g ret2d ...