【CTF题解NO.00005】ByteCTF2020 - pwn - write up by arttnba3

最新推荐文章于 2024-09-25 14:24:00 发布
最新推荐文章于 2024-09-25 14:24:00 发布
阅读量814 收藏
点赞数
分类专栏: CTF题解 文章标签: python c++ 信息安全 字节跳动 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arttnba3/article/details/112854031
版权
本文详细介绍了ByteCTF2020在线和线下PWN题目的解决方案,涉及tcache poisoning、Use After Free等技术。通过分析程序、利用内存漏洞,作者展示了如何构造exploit获取shell。
摘要由CSDN通过智能技术生成

github pages address

【CTF题解NO.00005】ByteCTF2020 - pwn - write up by arttnba3

推荐到这里进行阅读:github pages address

0x00.绪论

ByteCTF是由字节跳动办的CTF,同时也是是字节跳动“安全范儿”高校挑战赛的一部分,作为baby pwner有幸和协会的师傅们代表L-team一起去北京参加了最后的总决赛(虽然说我好像没发挥啥作用Or2

题目的质量都很高,以及逆向量十分巨大,比赛当天把我给看晕了(当然主要还是因为我太菜了Or2

0x01.线上赛 - CTF -PWN

0x00.easy_heap - null by any address + tcache poisoning

点击下载-easyheap

点击下载-libc-2.31.so

惯例的堆题签到题,惯例的checksec,保护全开

拖入IDA进行分析(部分函数、变量经重命名)

不难看出,该程序有着分配、释放、打印堆块的功能,且最多只能分配8个堆块,空间有一丶丶紧张

漏洞:任意地址写0

我们不难发现在分配堆块的函数中存在着任意地址写0的漏洞

利用这个漏洞我们便可以构造tcache poisoning:free掉几个堆块进tcache后改写第一个堆块的fd指针指向自身(这里我们需要分到一个自身的fd的地址的高字节为’\x00’的堆块)

同时,我们可以将一个堆块送入unsorted bin后切割出一个小堆块并打印,获得libc的基址

需要注意的是*(ptr + size -1)写0的操作、我们的输入、unsortedbin的分割过程都会破坏分割出来的这个小堆块上所储存的内容,,故我们需要将这个0写到别的不会破坏堆结构的地方,同时我们的size应当尽量小、输入应当尽量少、且贴合原chunk内容,以保证我们能够获得正确的libc基址

我们先分配8个大小为0x91的chunk并释放,之后尝试分割出一个最小的chunk(malloc(1),得到只清空了一个字节的0x21大小的chunk),gdb调试发现main_arena + 96的地址的最后一个字节都是\xe0,故我们仅输入一个\xe0字节即可

gdb调试发现这个小chunk保存的地址是main_arena + 352的地址,输出即可获得libc基址

接下来利用任意地址写0构造tcache poisoning:分配出FD所在地址末字节为0的chunk,free进tcache,之后用任意地址写0使其FD指向自己的FD即可

最后构造fake chunk改写__free_hooksystem后释放一个内容为"/bin/sh"的chunk即可get shell

构造exp如下:

from pwn import *
#context.log_level = 'DEBUG'
p = process("./easyheap")
libc = ELF("/lib/x86_64-linux-gnu/libc-2.31.so")

def cmd(command:int):
    p.recvuntil(b">> ")
    p.sendline(str(command).encode())

def new(size:int, content):
    cmd(1)
    p.recvuntil(b"Size: ")
    p.sendline(str(size).encode())
    p.recvuntil(b"Content: ")
    p.sendline(content)

def newWithZero(zero_location:int, size:int, content):
    cmd(1)
    p.recvuntil(b"Size: ")
    p.sendline(str(zero_location).encode())
    p.recvuntil(b"Invalid size.")
    p.recvuntil(b"Size: ")
    p.sendline(str(size).encode())
    p.recvuntil(b"Content: ")
    p.sendline(content)

def dump(index:int):
最低0.47元/天 解锁文章
arttnba3
关注
专栏目录
CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3
arttnba3的博客
05-21 759
CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3[GITHUB BLOG ADDR](https://arttnba3.cn/2021/05/15/CTF-0X04-CISCN2021-PRELIMINARY/)0x00.绪论0x01.场景实操 开场卷pwny | Donelonelywolf | Donechannel0x02.场景实操 二阶卷silverwolf | Donegame0x03.场景实操 冲刺卷satool GITHUB BLOG A
ByteCTF 2020 pwnandroid
seaaseesa的博客
10-27 1405
pwndroid 一个安卓端程序,native层是简单的菜单程序,其中edit功能没有检查长度,可以溢出,并且没有使用\0截断字符串,在show的时候可以泄露后续的数据 难点在于如何进行交互,程序注册了JSBridge用于与js进行交互,其中该接口对象在js中的对象名为_jsbridge 该对象有一个call函数 因此,在javascript里,可以使用javascript:_jsbridge.call设置好参数后就能调用到对应的函数。 溢出漏洞利用,覆盖函数指针为system,执行n
2020ByteCTF——WriteUp
weixin_44503995的博客
10-29 1719
2020ByteCTF——WriteUp 2020bytectf 官方部分wp https://github.com/ctfwiki/ctf_game_history/blob/master/2020/ByteCTF.md ctf大佬个人补充wp https://bytectf.feishu.cn/docs/doccnqzpGCWH1hkDf5ljGdjOJYg 请保持自己的决心!
Bytectf-几道web总结
weixin_30376453的博客
09-21 819
1.EZcms 这道题思路挺明确,给了源码,考点就是md5哈希扩展+phar反序列化 首先这道题会在上传的文件目录下生成无效的.htaccess,从而导致无法执行上传的webshell,所以就需要想办法删除掉.htaccess 这里主要记录一点,利用php内置类进行文件操作, exp为: <?php class File{ public $filename...
ByteCTF 2021(Crypto部分)
m0_57291352的博客
10-24 764
easyxor 核心加密算法convert就是四个shift,写个逆就行,flag被分为两部分,前半部分用OFB模式加密,后半部分用CBC模式加密,由于CBC模式的缺陷,当我们只考虑最后一块时,将倒数第二块作为iv,凭借flag的格式做判断即可爆破出key,再利用OFB模式的漏洞,结合key与已知的flag格式即可逆推出iv,此时iv和key尽知,直接解密即可 from Crypto.Util.number import bytes_to_long, long_to_bytes from random im
REVERSE-COMPETITION-ByteCTF-2024
P1umH0的博客
09-23 947
blutter恢复部分符号,libapp检查长度是否为45,然后调用babyapk_src_rust_api_simple_::m3N4B5V6_265088。画图即可,边的from和to顺序无所谓,但是点是从后向前保存的,索引的时候需要减一下。同理观察点周围的数据,0627是x坐标,7D是y坐标,8是Dot字符串的长度。观察边周围的数据,77和75是连接的两个点的序号,9是Edge字符串的长度。获取5段已知的字符串,拼接,注意拼接时str_5用了两次,没用str_1。
CTF题解NO.00008】mini-LCTF 2021 official write up by arttnba3
arttnba3的博客
05-15 737
0x00.绪论 很高兴能和RX大哥和协会的其他师傅一起出了这一次 minilCTF 2021 的题,虽然说只出了两道比较简单的题233333,不过还是希望大家能够喜欢() 点开下方查看题解???? 0x01.Baby Repeater - fmtstr + got hijack 预期是利用格式化字符串泄露 libc 和 程序加载基地址,之后利用格式化字符串劫持 got 表,比较方便的就是改 printf 为 system,只用修改3个字节,也看到有人选择改为 one_gadget 的,基本上都在预期内 解
CTF题解NO.00007】VNCTF2021 - pwn - write up by arttnba3
arttnba3的博客
04-05 1038
CTF题解NO.00007】VNCTF2021 - pwn - write up by arttnba3[github blog addr there](https://arttnba3.cn/2020/09/08/CTF-0X00-BUUOJ-PWN/)VNCTF2021 - Pwn[VNCTF 2021]White_Give_Flag - read out of bounds[VNCTF 2021]ff - tcache poisoning + IO\_FILE hijackglibc2.32下tca
CTF题解NO.00006】*CTF2021 - pwn - write up by arttnba3
arttnba3的博客
01-23 638
github blog addr 【CTF题解NO.00006】*CTF2021 - pwn - write up by arttnba3[github blog addr](https://arttnba3.cn/2021/01/20/CTF-0X03-STARCTF2021-PWN/)0x00.绪论0x01.babyheap - Use After Free + tcache poisoning0x02.babygame - double free + tcache poisoning0x03.baby
2020YCBCTF:2020羊城杯官方writeup及
03-24
2020年 2020羊城杯官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
byteCTF 2024 ezobj(复现)
最新发布
2301_79700060的博客
09-25 869
类对文件格式解析较严,需要写入的文件必须是其支持的图片格式,如jpg、gif、ico等,这就导致写入的内容有了限制,参考师傅文章知道 ppm 的图片格式允许在末尾随便加脏数据并且没有 crc 校验等,用来上传 webshell 是完全没有问题的,刚刚的内容 base64 解码为。一般直接上传到 html 目录下就可以直接 getshell 了,但是这里的 html 目录没有写入权限,还是需要上传 so 文件才行,那么显然 ppm 的文件格式就不行了,有脏数据。才能查看/tmp 目录下的文件,可以通过。
BUU [NPUCTF2020]EzReverse
yidalipao1的博客
05-27 553
[NPUCTF2020]EzReverse 查壳 首先查壳,64位无壳 ida64打开 直接放在ida64里面查看,但是双击main函数并不能得到对应的伪代码,而是跳转到了这里 在后面这里有一大串不正常的代码,这说明出题人应该是使用了什么加密方法,阻止反汇编。 花指令 我在网上搜索了一下,后面这一串乱码吧,是经过了一种叫做花指令的处理方法,导致ida不能正常分析, 附上参考: 逆向分析基础 --- 花指令实现及清除_努力学习的大康的博客-CSDN博客_去...
CTFCTF(夺旗赛)介绍
WenZhongxiang
10-06 4638
CTF攻防模式(Attack-Defense)是CTF比赛的一种模式,参赛队伍在网络空间互相进行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。需要具备安全编程的能力,能够编写安全的代码等等。CTF比赛的知识范围大致分为:Web安全、PWN(二进制安全)、逆向工程、Misc(杂项)、Crypto(密码学安全)、网络安全。国外:ctftime.org 是对一个在国际上比较重要的赛事的做一些记录,而且会还会给出赛事的一些权重,以及对这种CTF 知名战队的一些排名。
glibc2.31下的新double free手法/字节跳动pwn题gun题解
chennbnbnb的博客
12-02 4317
回顾double free手法 在glibc2.27之前,主要是fastbin double free: fastbin在free时只会检查现在释放的chunk,是不是开头的chunk,因此可以通过free(C1), free(C2), free(C1)的手法绕过 并在在fastbin取出时,会检查size字段是不是属于这个fastbin,因此往往需要伪造一个size glibc2.27~glibc2.28,主要是tcache double free 相较于fastbin double fr
bytectf部分wp
weixin_44255856的博客
09-10 1030
boring_code 拿到源码 <?php function is_valid_url($url) { if (filter_var($url, FILTER_VALIDATE_URL)) { if (preg_match('/data:\/\//i', $url)) { return false; } ret...
ByteCTF note_five 经验总结
qq_43189757的博客
10-10 843
每到接触新知识得时候总要花不少力气搞懂(汗,这题是关于改写global_max_fast 再通过fastbin attack来getshell, 总结一下学到的知识点和解题思路 思路: 这题限制了chunk的size, 大小为0x8f~0x0x400,在edit info 函数处存在 off-by-one 漏洞,通过这个漏洞可以改写chunk的size 一开始的思路是创建几个chunk,然后通过修...
ByteCTF之密码题lrlr
qq_33458986的博客
09-10 2637
赛题下载链接:lrlr 下面是这道题的python代码部分: from Crypto.Util.number import getPrime, bytes_to_long, long_to_bytes from Crypto.Cipher import AES import random class lrand: def __init__(self, seed): s...
ByteCTF2019-notefive WP
qq_41252520的博客
09-28 610
保护 分析 程序有添加、删除、编辑操作。添加的时候限制了大小: 也就是说分配的chunk都在unsortbin以上。 删除没什么问题,主要漏洞只有一个,那就是在编辑中存在off-by-one: 程序没有输出操作,开启了aslr。所以要构造以下攻击链: 利用off-by-one构造heap overlaping。 利用unsortbin attack改写global_max...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值