Заметки об исследовании CTF — PWN (начало работы)

🚀🚀Эта заметка представляет собой небольшой обзор моего первоначального изучения CTF, которое в основном включает в себя начальные типы вопросов в разделе PWN, такие как перезаполнение. стека и т. д., эта часть содержания относительно проста, ее можно рассматривать как формирование простой концепции PWN, которая поможет нам в последующем изучении. Эта статья не дает большого количества базовых знаний и в основном фокусируется на кратком изложении. теме, поэтому эта заметка в основном служит анализом. Роль резюме.

Основные понятия PWN

🚀🚀Вопросы PWN в CTF обычно дают непосредственно скомпилированную бинарную программу (EXE в Windows или ELF-файл в Linux и т. д.), а затем участники находят уязвимости эксплойта путем обратного анализа и отладки бинарной программы и пишут код эксплойта. добиться эффекта атаки посредством удаленного выполнения кода и, наконец, заставить оболочку целевой машины захватить флаг.

🚀🚀Поэтому нам нужно отправить некоторые искаженные данные (полезную нагрузку) для использования уязвимости и позволить бинарной программе вызвать терминал (обычно запускать sh), чтобы ввод игрока передавался на терминал, а затем можно было выполнить любую команду. и возвращается результат. Это также включает в себя нужные нам флаги.

🚀🚀 Далее давайте познакомимся с некоторыми распространенными базовыми типами вопросов:

вопросы НК

🚀🚀вопросы НК на самом деле самый простой тип вопроса,Но он является неотъемлемой частью вопроса PWN.,После того, как мы победили Хозяина,Вам нужно пойти в Хозяин и поискать флаг:

🚀🚀Давайте рассмотрим конкретные вопросы:

[HGAME 2023 week1]test_nc

🚀🚀тема：[HGAME 2023 week1]test_nc | NSSCTF

🚀🚀После того, как мы откроем среду, к нам подключится только одна целевая машина, поэтому мы вводим ее напрямую в Kali:

nc node5.anna.nssctf.cn xxxxx

🚀🚀 Затем мы подключились к хосту и можем напрямую искать наш флаг. Чтобы найти его повсюду, достаточно просто команд cd и cat.

cat flag

🚀🚀 Найден флаг:

NSSCTF{xxx}

переполнение стека

🚀🚀Стек — очень важная часть PWN.,Он содержит множество методов атаки и типов вопросов.,Но здесь мы представляем только самый простой тип вопросов о переполнении стека.,Это также является основой для дальнейшего.

[HNCTF 2022 Week1]easyoverflow

🚀🚀тема：[HNCTF 2022 Week1]easyoverflow | NSSCTF

🚀🚀Откройте вложение и получите файл .c и исполняемый файл. Давайте сначала посмотрим на код языка C:

#include<stdio.h>
int main()
{
    setbuf(stdin,0);
    setbuf(stdout,0);
    setbuf(stderr,0);
    puts("Input something");
    char name[30];
    int number=0;
    gets(name);
    if(number!=0){
        puts("You win.");
        system("cat flag");
    }
    return 0;
}

🚀🚀Мы можем видеть это, пока число не равно 0.,Наш флаг будет выведен,А еще есть функцияgets,Итак, рассматриваем переполнение стека,Просто закройте номер,Итак, мы помещаем программу в IDA (64-битную версию) и анализируем ее.

🚀🚀Мы видим, что пока мы вводим произвольно, мы можем перезаписать содержимое в виде числа (var_4) и вывести флаг. Давайте сначала подключим удаленный дрон.

nc node5.anna.nssctf.cn xxxxx

🚀🚀Затем введите букву «а», чтобы получить флаг.

NSSCTF{xxxx}

псевдослучайное число

🚀🚀псевдослучайное число обычно задает начальное значение случайного числа,Тогда давайте угадаем,В этом случае нам нужно только смоделировать и запустить.

[Конкурс первокурсников SWPUTF 2022]Дорогая

🚀🚀тема：[SWPUCTF 2022 Конкурс первокурсников]Дорогая | NSSCTF

🚀🚀Мы поместили это в IDA и заметили, что основная функция следующая:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4[2]; // [rsp+Ch] [rbp-14h] BYREF
  int v5; // [rsp+14h] [rbp-Ch]
  unsigned __int64 v6; // [rsp+18h] [rbp-8h]

  v6 = __readfsqword(0x28u);
  init(argc, argv, envp);
  pic();
  darling();
  puts("There may be many uncertainties in the world, but the only certainty is my love for you.\n");
  v4[1] = 20020819;
  srand(0x1317E53u);
  v5 = rand() % 100 - 64;
  __isoc99_scanf("%d", v4);
  if ( v5 == v4[0] )
    backdoor();
  else
    puts("Oh :( , you didn't get my love");
  return 0;
}

int backdoor()
{
  return system("/bin/sh");
}

🚀🚀Мы видим, что пока v5 == v4[0], мы можем войти в бэкдор-функцию, поэтому нам нужно знать размер v5 и написать код следующим образом:

#include <stdio.h>
#include <stdlib.h>

int main()
{
    int n;
    srand(0x1317E53u);
    n = rand() % 100 - 64;
    printf("%d",n);
}

🚀🚀Затем введите текущие результаты, чтобы получить флаг.

NSSCTF{xxxx}

Будет добавлено

🚀🚀На данный момент это введение в PWN в CTF. Я считаю, что у каждого есть базовая концепция PWN, я продолжу дополнять ее в следующем исследовании и надеюсь, что смогу придерживаться ее.