play [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列26(超详细分析)

最新推荐文章于 2024-05-22 16:14:45 发布
最新推荐文章于 2024-05-22 16:14:45 发布
阅读量783 收藏
点赞数
分类专栏: XCTF-PWN CTF 文章标签: 攻防世界 xctf ctf pwn 条件竞争
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fastergohome/article/details/103751175
版权
CTF 同时被 2 个专栏收录
46 篇文章 4 订阅
订阅专栏
XCTF-PWN
28 篇文章 10 订阅
订阅专栏

题目地址:play

本题是高手进阶区的第15题,比较有意思!

先看看题目:

后面的题目都是十颗星的难度,需要具备比较好的漏洞挖掘能力,在这些题目中我们能学到各种各样的新的姿势。

惯例先看看保护机制:

[*] '/ctf/work/python/play/a642a99a83fe4e31b1bd75959e52e6a1'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

 这个代码的理解需要仔细分析,我这边已经把这个程序涉及到的数据结构给大家写出来了:

struct Hero
{
	DWORD dwSlave;		//*(_DWORD *)gHero)
	DWORD h2;			// 
	DWORD dwSurplus;	//*((_DWORD *)gHero + 2)) 血量 剩余额
	DWORD dwRecoveryHP;			// recovery_hp
	char* szHeroName;
	hero_kill_type* pHeroKillType; //*((_DWORD *)gHero + 20)
};

struct hero_kill_type
{
	DWORD dwAttachNum;
	DWORD dwDefenseNum;
	char* szAttackName;
	char* szAttackDesc;
	DWORD dwHidenPlusNum;
};

struct Monster
{
	DWORD dwSlave;		// *(_DWORD *)gMonster)
	DWORD m2;			// *(_DWORD *)(gMonster + 4)
	DWORD dwSurplus;	// *(_DWORD *)(gMonster + 8))
	DWORD dwRecoveryHP;
	char* szMonsterName;	// (char *)(gMonster + 16)
	monster_skill_type* pMonsterSkillType;		// *(_DWORD *)(gMonster + 80)
};

struct monster_skill_type
{
	DWORD dwAttachNum;
	DWORD dwDefenseNum;
	char* szDefenseName;
	char* szDefenseDesc;
	DWORD dwHidenPlusNum;
};

根据这个数据结构,我把程序的c语言代码重写了一下。

main函数:

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  init();
  main_logic();
}

void __noreturn main_logic()
{
  int nChoice; // eax
  int v1; // [esp+8h] [ebp-10h]
  int v2; // [esp+Ch] [ebp-Ch]

  v1 = 0;
  while ( 1 )
  {
    while ( 1 )
    {
      round_menu();
      printf("choice>> ");
      nChoice = read_int();
      v2 = nChoice;
      if ( nChoice != 2 )
        break;
      run_away();
    }
    if ( nChoice > 2 )
    {
      if ( nChoice == 3 )
      {
        change_skill();
      }
      else
      {
        if ( nChoice == 4 )
          exit(0);
LABEL_13:
        puts("invalid choice");
      }
    }
    else
    {
      if ( nChoice != 1 )
        goto LABEL_13;
      attack();
    }
  }
}

初始化和释放内存的代码:

void init()
{
  unsigned int v0; // eax
  char szFilename; // [esp+0h] [ebp-48h]

  v0 = time(0);
  srand(v0);
  init_io();
  if ( access(g_tmp_db_dir, 0) && mkdir(g_tmp_db_dir, 0x1EDu) == -1 )
  {
    perror("mkdir error");
  }
  else
  {
    chdir(g_tmp_db_dir);
    while ( 1 )
    {
      printf("login:");
      read_buff((int)&szFilename, 64, 10);
      if ( (unsigned __int8)check_name(&szFilename) )
        break;
      puts("bad name");
    }
    if ( access(&szFilename, 0) )
    {
      puts("welcome to the system!");
      init_new_db_file(&szFilename);
    }
    else
    {
      puts("welcome back to the system");
    }
    init_db(&szFilename);
    gMonster = (int)malloc(0x54u);
    init_monster(0);
    init_hero();
  }
}

void *init_hero()
{
  void *result; // eax

  gHero->h2 = 0;
  gHero->dwSurplus = 20 * (gHero->h2);
  result = gHero;
  gHero->h4 = gHero->h2;
  return result;
}

int __cdecl init_monster(int nKilledMonsterNum)
{
  int result; // eax

  *(_DWORD *)gMonster->dwSlave = nKilledMonsterNum;
  gMonster->m2 = 0;
  gMonster->dwSurplus = 30 * (nKilledMonsterNum + 1);
  gMonster->m4 = nKilledMonsterNum + 1;
  strcpy((char *)(gMonster->szMonsterName), (&Monster_name)[nKilledMonsterNum]);
  result = 20 * nKilledMonsterNum + 0x804B140;              // g_monster_skill_type
  gMonster->pMonsterSkillType = result;
  return result;
}

void *__cdecl init_db(char *file)
{
  int v1; // eax
  void *result; // eax

  v1 = open(file, 2);
  gfd = v1;
  result = mmap(0, 0x1000u, 3, 1, v1, 0);
  gHero = result;
  return result;
}

int __cdecl init_new_db_file(char *file)
{
  int fd; // ST1C_4

  fd = open(file, 66, 438);
  gHero = malloc(0x54u);
  memset(gHero, 0, 0x54u);
  strcpy((char *)gHero->szHeroName, file);
  gHero->pHeroKillType = &g_hero_kill_type;
  write(fd, gHero, 0x54u);
  return close(fd);
}

void __noreturn release_all()
{
  munmap(gHero, 0x1000u);
  close(gfd);
  exit(0);
}

大家注意到这里使用到了两个特殊到函数mmap和munmap函数,这里我解释一下函数的情况:

mmap, 从函数名就可以看出来这是memory map, 即地址的映射, 是一种内存映射文件的方法, (其他的还有mmap()系统调用,Posix共享内存,以及系统V共享内存,这些我们有机会在后续的文章讨论,今天的男主角是mmap),将一个文件或者其它对象映射到进程的地址空间,实现文件磁盘地址和进程虚拟地址空间中一段虚拟地址的一一对映关系。mmap()系统调用使得进程之间通过映射同一个普通文件实现共享内存。普通文件被映射到进程地址空间后,进程可以向访问普通内存一样对文件进行访问,不必再调用read(),write()等操作。

 

注:实际上,mmap()系统调用并不是完全为了用于共享内存而设计的。它本身提供了不同于一般对普通文件的访问方式,进程可以像读写内存一样对普通文件的操作。而Posix或系统V的共享内存IPC则纯粹用于共享目的,当然mmap()实现共享内存也是其主要应用之一。

注意:mmap函数就是我们常说的条件竞争漏洞在文件映射上的主要体现形式,所以一般来说如果是直接使用mmap函数来利用文件映射内存进行用户数据的操作的话,就有可能会产生条件竞争漏洞。 

 

继续看主要的功能函数:

int attack()
{
  int result; // eax
  int dwMonsterDefenseNum; // [esp+10h] [ebp-18h]
  int dwMonsterAttackNum; // [esp+14h] [ebp-14h]
  int dwHeroDefenseNum; // [esp+18h] [ebp-10h]
  int dwHeroAttackNum; // [esp+1Ch] [ebp-Ch]

  ++gHero->h2;
  ++gMonster->m2;
  hero_recovery();
  mon_recovery();
  printf("%s display:%s\n", (char *)gHero->szHeroName, gHero->pHeroKillType->szAttackDesc);
  printf("%s display:%s\n", gMonster->szMonsterName, *(_DWORD *)(gMonster->pMonsterSkillType->szDefenseDesc);
  dwMonsterAttackNum = gMonster->pMonsterSkillType->dwAttachNum;
  dwMonsterDefenseNum = gMonster->pMonsterSkillType->dwDefenseNum;
  if ( gMonster->pMonsterSkillType->dwHidenPlusNum && gMonster->m2 > 4 && rand() % 3 == 1 )
  {
    gMonster->m2 = 0;
    dwMonsterDefenseNum += gMonster->pMonsterSkillType->dwHidenPlusNum;
    dwMonsterAttackNum += gMonster->pMonsterSkillType->dwHidenPlusNum;
  }
  dwHeroAttackNum = gHero->pHeroKillType->dwAttachNum;
  dwHeroDefenseNum = gHero->pHeroKillType->dwDefenseNum;
  if ( gMonster->pMonsterSkillType->dwHidenPlusNum )
  {
    printf("use hiden_methods?(1:yes/0:no):");
    if ( read_int() == 1 )
    {
      dwHeroDefenseNum += gHero->pHeroKillType->dwHidenPlusNum;
      dwHeroAttackNum += gHero->pHeroKillType->dwHidenPlusNum;
    }
  }
  if ( dwHeroDefenseNum < dwMonsterAttackNum )
    gHero->dwSurplus -= dwMonsterAttackNum - dwHeroDefenseNum;
  if ( dwMonsterDefenseNum < dwHeroAttackNum )
    gMonster->dwSurplus -= dwHeroAttackNum - dwMonsterDefenseNum;
  if ( gHero->dwSurplus <= 0 )
  {
    puts("you failed");
    gHero->dwSurplus = 0;
    release_all();
  }
  result = gMonster->dwSurplus;
  if ( result <= 0 )
  {
    puts("you win");
    if ( gMonster->dwSlave == 3 )
    {
      puts("we will remember you forever!");
      vul_func();
      release_all();
    }
    puts("slave up");
    level_up();
    result = init_monster(gMonster->m2);
  }
  return result;
}

int change_skill()
{
  int result; // eax
  signed int i; // [esp+Ch] [ebp-Ch]

  puts("you can use:");
  for ( i = 0; i <= 3; ++i )
    printf("%d: %s\n", i, off_804B0C8[5 * i]);  // g_hero_kill_type+8=0x804B0C8
  printf("choice>> ");
  result = read_int();
  if ( result >= 0 && result <= 3 )
  {
    result = 20 * result + 0x804B0C0;           // g_hero_kill_type
    gHero->pHeroKillType = result;
  }
  return result;
}

void *run_away()
{
  gMonster->m2 = 0;
  ++gHero->h2;
  hero_recovery();
  return mon_recovery();
}

void *mon_recovery()
{
  return recovery_hp((void *)gMonster, 70 * (gMonster->m2));
}

void *hero_recovery()
{
  return recovery_hp(gHero, 50 * (gHero->h2));
}

void *__cdecl recovery_hp(void *pObject, int nMaxHP)
{
  void *result; // eax

  pObject->dwSurplus += pObject->dwRecoveryHP;
  result = pObject->dwSurplus;
  if ( (signed int)result > nMaxHP )
  {
    result = pObject;
    pObject->dwSurplus = nMaxHP;
  }
  return result;
}

void *level_up()
{
  if ( gHero->dwSlave <= 2 )
    ++gHero->dwSlave;
  return init_hero();
}

注意到attachk函数中这部分代码涉及到两段式操作,可以利用不同到终端连接上进行条件修改。

  dwHeroAttackNum = gHero->pHeroKillType->dwAttachNum;
  dwHeroDefenseNum = gHero->pHeroKillType->dwDefenseNum;
  if ( gMonster->pMonsterSkillType->dwHidenPlusNum )
  {
    printf("use hiden_methods?(1:yes/0:no):");
    if ( read_int() == 1 )
    {
      dwHeroDefenseNum += gHero->pHeroKillType->dwHidenPlusNum;
      dwHeroAttackNum += gHero->pHeroKillType->dwHidenPlusNum;
    }
  }

漏洞函数,程序已经帮我们命名好了

int vul_func()
{
  char s; // [esp+0h] [ebp-48h]

  printf("what's your name:");
  gets(&s);
  return printf("ok! %s ,welcome\n", &s);
}

所以我们可以看到在attack函数中

  result = gMonster->dwSurplus;
  if ( result <= 0 )
  {
    puts("you win");
    if ( gMonster->dwSlave == 3 )
    {
      puts("we will remember you forever!");
      vul_func();
      release_all();
    }
    puts("slave up");
    level_up();
    result = init_monster(gMonster->m2);
  }

只要打赢这个游戏就可以触发漏洞函数,关键点就在于怎么利用两段式操作进行条件竞争漏洞的利用。

我把利用的python函数给大家:

def main_attack(p1, p2):  
   change_skill(p1, 3)  
   attack(p1)  
   change_skill(p2,1)  
   use_hide(p1, 1)

利用脚本我就不贴出来了,能看懂的同学,自然很容易能够写出来自己的python脚本。

本题的知识点是条件竞争和mmap函数

3riC5r
关注
专栏目录
ctf攻防世界练习题writeup(第一部分)
Ohh24的博客
09-01 1109
view source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 用火狐浏览器打开对应网站 发现无法找到对应的flag,此时可以按F12寻找相应的flag 同时,根据题目的提示,也可以搜索view-source:http://相应的网站/进行访问,寻找flag get_post 先用火狐打开相应的网站搜索 根据提示用get方式提交名为a,值为1的变量,...
pwn1 babystack [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列19
重新启程
12-25 1682
题目地址:pwn1 babystack 已经到了高手进阶的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
攻防世界PWNPlay(条件竞争)题解
seaaseesa的博客
12-19 1954
Play(条件竞争,多进程共享同一数据域) 首先,检查一下程序的保护机制,很好 然后,我们用IDA分析,发现一个很明显的栈溢出漏洞 但是,要想执行这个漏洞函数,就必须打赢游戏 而,要打赢游戏,就是让*(_DWORD *)(gMonster + 8)的值小于等于0,也就是Host的Surplus要小于等于0 然后,我们看到这里有一个修改(gMonster + 8)值的地方...
[XCTF-pwn] 37_xctf-4th-CyberEarth_play
weixin_52640415的博客
03-10 270
又买一个,实在是代码太我看不明白了。 解题思路: 用同一个用户登录两次,选择不同的攻击方式,直到成功。 成功后,输入名字的地方有溢出,在这里写入rop:泄露,修改got.puts为system,再调用puts(/bin/sh) 验证后的exp: from pwn import * ''' patchelf --set-interpreter /home/shi/buuctf/buuoj_2.23_i386/ld-2.23-i386-0ubuntu11.so pw...
攻防世界PWN play 条件竞争漏洞的利用
aptx4869_li的博客
05-26 603
攻防世界PWN-play漏洞利用思路 检查保护机制 healer@healer-virtual-machine:~/Desktop/play$ checksec play [*] '/home/healer/Desktop/play/play' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE
CTF-PWN-play (条件竞争,多进程共享同一数据文件)
SuperGate的博客
02-16 891
程序概述 [*] '/home/supergate/Desktop/Pwn/pwn' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 只打开了NX保护,这为...
warmup [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列14
重新启程
12-23 1876
题目地址:warmup 这是高手进阶的第三题,我们先看下题目内容 这个题目没有附件,那就是要fuzz的题目了,我们先正常走一下程序看看 root@mypwn:/ctf/work/python/warmup# nc 111.198.29.45 32453 -Warm Up- WOW:0x40060d >AAA 这个题目的出发点就是要大家做fuzz,看下提示内容有个地址0x40060...
pwn100 [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列16
重新启程
12-23 1341
题目地址:pwn100 本题已经是高手进阶的第五题了,难度也在不断加大。需要补充的知识点也越来越多了。 废话不说,看看题目 没什么建议和描述,那就先下载附件,看看保护机制 root@mypwn:/ctf/work/python/pwn-100# checksec d0b5f9b486bb480c9035839ec896252e [*] '/ctf/work/python/pwn-10...
shell [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列25
重新启程
12-27 790
题目地址:shell 这个题目是高手进阶的第14题,这一题我没有按照顺序来,耍脾气来!呵呵 看看保护机制 [*] '/ctf/work/python/shell/shell' Arch: amd64-64-little RELRO: No RELRO Stack: Canary found NX: NX enabled ...
dice_game [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列12
重新启程
12-23 1828
题目地址:dice_game 从这篇开始就正式进入高手进阶,一些简单的知识点我这里就不会再重复赘述了,请有需要的同学看前面的章节。 废话不多,看看题目 题目没什么提示,只是知道这个题目的来源是:XCTF 4th-QCTF-2018 下载附件,看看情况,照例做下保护机制检查 root@mypwn:/ctf/work/python/dice_game# checksec dice_g...
20201229攻防世界WEB高手题目一题多解全教程通关(1-6)
qq_45290991的博客
01-08 755
001baby_web 002Trainng WWW Robots 有关robots.txt的知识可以参考:https://www.cnblogs.com/yuzhongwusan/archive/2008/12/06/1348969.html 打开robots.txt会发现它只允许俄罗斯最大的搜索引擎爬取他的flag: 我们打开BP把自己的USER-agent改为Yandex就好了: 然后访问fl0g.php就会发现我们需要的flag:cyberpeace{3084111b0
xctf攻防世界pwn基础题解(新手食用)
热门推荐
Spwpun的博客
05-01 2万+
文章目录CGFsb status:updating… CGFsb 前面的那一道get_shell的题算是做pwn题的一般流程:下载文件,ida查看代码,分析漏洞,利用漏洞写出exp,最常用的是用到python的pwntools,然后使用nc或者pwntools连接到虚拟场景实现漏洞攻击得到flag。 本题的思路基本一致,使用pwntools编写漏洞利用脚本,这里的漏洞是格式化字符串漏洞,文章分...
XCTF pwn1 babystack
最新发布
zwb2603096342的博客
05-22 628
攻防世界 pwn1 babystack canary的泄露和onegadget的泄露
[XCTF-pwn] 1-Mary_Morton
weixin_52640415的博客
03-03 174
太简的没意思,可以怕忘了到哪了,索性把exp按顺序存上。 这个题是个格式化字符串的题,没开pie,程序里有system。 直接把printf改为system就行了 from pwn import * local = 0 if local == 1: p = process('./pwn') else: p = remote('111.200.241.244', 49641) elf = ELF('./pwn') context(arch='amd64', log_level='d
xctf-pwn-“stack2 & pwn1 & welpwn
njh18790816639的博客
07-30 205
stack2 首先探测一番,是32位,看下保护! ida静态分析一番! 还有个后门函数: 原先先要使用这个后门函数,但是发现远程服务器是没有bash的,所以这个后门函数是没有用的,误导我等! 不过还是先按正常思路来说,这第三个函数是没有检查数据的合法性的。 ...
welpwn [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列24
重新启程
12-27 1265
题目地址:welpwn 本题是高手进阶的第13题,先看看题目 照例检查一下保护机制 [*] '/ctf/work/python/welpwn/a9ad88f80025427592b35612be5492fd' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found ...
pwn1
WYJ____的博客
05-10 1139
ls 列出文件和目录。 ls -l 列出文件的详细信息。 cat flag 显示文件flag的内容。
溢出练习题pwn1
Elvira
08-26 5152
集训慢慢接近了尾声,樊荣学长给我们jian
xctf pwn 新手练习题总结
neuisf的博客
01-21 812
所谓总结,就是再做一遍!以达到熟能生巧之境界! 0x01 level0 解题思路: ret2text 1.checksec ,文件为amd64位格式,进开启可NX; 2.IDA Pro F5反编译,main程序调用vulnerable_function,vulnerable_function中调用read读取用户输入,存在缓冲溢出; 3.程序代码中由callsystem函数,运行systerm...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值