第四届蓝帽杯预选WEB&&PWN题解

疫情原因初赛改为了线上赛,还是要吐槽一下,附件给的libc和远程不一样是什么操作,本地通远程不通

emmm电脑卡死十几次,还好PWN最后通了

此WriteUp包括此次比赛所有的WEB和PWN类(PWN2后面补

Continue reading 第四届蓝帽杯预选WEB&&PWN题解

PIE保护绕过的两种解决方案

绕过PIE保护一般都是取leak基址,这里shiroha师傅又分享了一个Binary,以此来探究PIE的两种非常规绕过方法。

Analyse

先分析这个ELF。

[*] '/home/railgun/Desktop/easypwn'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      PIE enabled
Continue reading PIE保护绕过的两种解决方案

关于One_gadget不满足约束玄学Getshell的问题

之前已经详细说过了one_gadget的约束条件以及如何利用realloc来调整栈来满足这些约束。

最近shiroha师傅分享的一个小问题,就是遇到one_gadget不满足约束的情况下仍然可以getshell,先贴出来参考

按照参考来说的话,第二个one_gadget:

execve(“/bin/sh”, rsp+0x40, environ)

第一个参数为”/bin/sh”、第三个参数为environ环境变量数组是ok的,因此是要满足第二个参数的限制条件即可,也就是argv数组为空,但是根据参考来说,只要末尾为空即可。

Continue reading 关于One_gadget不满足约束玄学Getshell的问题

Kernel PWN从入门到入土-Kernel ROP && Bypass Kaslr and Canary

上一篇KERNEL ROP分析了BYPASS SEMP,这篇来说一下Canary和Kaslr

本篇以强网杯 2018 core为例

QEMU Start

还是先分析一下给的东西然后起qemu,解压一下。

可以看到这次给了vmlinux,之前说过了vmlinux是静态编译的kernel文件,包含着符号表,我们可以拿到gadgets。并没有给出.ko,自己提取。

railgun@Kernel:~/qwb-core/core$ sudo mv ../core.cpio ./rootfs.cpio.gz
railgun@Kernel:~/qwb-core/core$ gunzip ./rootfs.cpio.gz

railgun@Kernel:~/qwb-core/core$ sudo cpio -idmv < rootfs.cpio
·
·
root/flag
core.ko
tmp
init
vmlinux
104379 blocks
Continue reading Kernel PWN从入门到入土-Kernel ROP && Bypass Kaslr and Canary

Kernel PWN从入门到入土-Kernel ROP && Bypass SEMP

本次仍然是以ciscn 2017 babydriver为例

qemu

还是先起一下qemu看看,仍然使用给出的start.sh、bzImage、rootfs.cpio。

可以看到是ok的。

Continue reading Kernel PWN从入门到入土-Kernel ROP && Bypass SEMP

Kernel PWN从入门到入土-Kernel UAF

一些前置知识请点这里

这里以CISCN 2017 babydriver为例

qemu

可以看到没有给出.ko驱动文件,我们自己来提取一下。

railgun@Kernel:~/ciscn_babydriver/core$ mv rootfs.cpio rootfs.cpio.gz
railgun@Kernel:~/ciscn_babydriver/core$ ls
rootfs.cpio.gz
railgun@Kernel:~/ciscn_babydriver/core$ gunzip ./rootfs.cpio.gz
railgun@Kernel:~/ciscn_babydriver/core$ sudo cpio -idmv < rootfs.cpio
.
etc
etc/init.d
etc/passwd
etc/group
.
.
.
tmp
linuxrc
home
home/ctf
5556 blocks
railgun@Kernel:~/ciscn_babydriver/core$ ls
bin etc home init lib linuxrc proc rootfs.cpio sbin sys tmp usr
Continue reading Kernel PWN从入门到入土-Kernel UAF

2020网鼎杯部分WEB&&PWN题解

今年网鼎杯不说啥了,没打进前130,我是菜B比不过各位师傅

本文包括四场网鼎的部分WEB和PWN,本着菜鸡应该多练习的原则四场都看了看,除第一场外均为复现。

青龙组

PWN-boom1

Continue reading 2020网鼎杯部分WEB&&PWN题解

2020安恒4月赛 PWN WRITEUP

今天有取证比赛…安恒的就只能本地打一下了。

PWN1-echo server

[*] '/home/Railgun/Desktop/test'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

有的师傅没发现pwn1是个压缩包,记得解压。

Continue reading 2020安恒4月赛 PWN WRITEUP