看雪wifi万能钥匙CTF年中赛 第四题 writeup

最新推荐文章于 2024-08-22 01:21:54 发布
最新推荐文章于 2024-08-22 01:21:54 发布
阅读量1.3k 收藏
点赞数
分类专栏: CTF之旅 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kevin66654/article/details/78635788
版权

这个题和这次秋季赛的第四题很类似,都是利用的堆的unlink来溢出,然后system(“/bin/sh”)来提权的

所以打算先学习这个,然后再去自己做秋季赛第四题


官方writeup和题目下载链接


主要是看了这篇writeup:double free解法


double free,就是free两次(废话)

先来分析程序流程,再来说double free是个什么原理

name是提示我们输入的,menu是显示程序几个主要功能的选择项的(一般的pwn题都是这种格式)

点开menu,看到这个

结合IDA分析功能,1是创建新的堆块,2是删除,3是修改堆块内容,4没用

创建功能这里很重要:

totalnums是说总共创建了多少个堆块,在之前的if语句中有判断不能超过4个

6020c0地址这里保存的是每个堆块的大小,调试下可以看到

0xa0 = 160,0x64 = 100


下面两行代码有点绕,主要是6020e0和6020e8被IDA分开了,弄成了两个数组显示弄糊涂了

一个地址是6020e0,另一个是6020e8,所以在结构体中是相邻的

6020e8这个地方是个flag的标记,说明这个堆块是否用过了,6020e0这里是个指针,保存的是我们输入的堆块内容的地址的值


所以,我们可以利用IDA的struct,来方便我们识别

http://blog.csdn.net/hgy413/article/details/7104304

上面那个链接讲述了怎么使用

先在struct中新建个heap的struct,其中两个元素一个指针,一个flag标记,都是8个字节

然后去修改IDA中的显示

右击,set item type,输入你的struct名称,这里是heap

然后rename一下就好了


看到6020f0这一行,00603060是一个地址,保存了我们输入的堆块内容,后面的1是个标记,说明我们的第一个堆块是使用过的

这个函数的目前功能是没有问题的


分析delete函数

这里很明显就是少了一个判断条件:当你要free一个堆块的时候,一定要判断这个堆块的flag标记是否为1

这里的if语句没有这个判断,所以当第一次free了某个堆块之后,这里的flag标记改变为0,但是仍然可以free第二次,就造成了漏洞


于是,我们可以利用这个漏洞,进行unlink的操作(基本的堆块原理参考前面链接writeup)

我们的任务是,找到一个全局变量p,这个p指向堆的某个地址,想要对unlink进行操作

看到上图,构造的逻辑已经非常清楚了,我们怎么找到的P指针,结合double free的writeup,我们可以控制到想要写入的地址。

wp中构造的这个:

edit(2,p64(1)+p64(got_addr)+p64(1)+p64(got_addr+8)+p64(1))


意思是:把heap[1].ptr 修改为got_addr,heap[1].flag 修改为1,heap[2].ptr 修改为 got_addr + 8(),heap[2].flag 修改为1

看到这个got表,我们需要覆写的是free的地址

把free的地址写成system的地址,那么当执行free(0),也就是相当于system(“/bin/sh”)

可以利用的函数有puts

edit(1,p64(puts_plt))

这样,free.got = puts.plt

再执行free(2):就泄露出了当前libc在当前运行环境之下的puts的地址

有了puts的地址,结合puts和system的偏移就可以计算出system的地址

edit(1,p64(system_addr)) free(0)

再把free的地址覆盖成system的地址,执行free(0) = 执行system(“/bin/sh”)


那么问题来了:思路都对,为啥用作者的exp跑不过呢?gdb调试一发

(把自己的调试过程好好记录下)

利用的工具:github的pwndbg


把关键函数弄上断点


然后在gdb里就可以按 c 跳过中间步骤执行了

pwndbg> heap
Top Chunk: 0x22342a0
Last Remainder: 0

0x2234000 FASTBIN {
  prev_size = 0x0, 
  size = 0x21, 
  fd = 0x10000000020, 
  bk = 0x100, 
  fd_nextsize = 0x0, 
  bk_nextsize = 0x31
}
0x2234020 FASTBIN {
  prev_size = 0x0, 
  size = 0x31, 
  fd = 0x7969646570, 
  bk = 0x0, 
  fd_nextsize = 0x0, 
  bk_nextsize = 0x0
}
0x2234050 FASTBIN {
  prev_size = 0x0, 
  size = 0x31, 
  fd = 0x68732f6e69622f, 
  bk = 0x7f2ab7d3a768, 
  fd_nextsize = 0x0, 
  bk_nextsize = 0x7ffe5b734205
}
0x2234080 PREV_INUSE {
  prev_size = 0x0, 
  size = 0x111, 
  fd = 0x42424242, 
  bk = 0x0, 
  fd_nextsize = 0x0, 
  bk_nextsize = 0x0
}
0x2234190 PREV_INUSE {
  prev_size = 0x0, 
  size = 0x111, 
  fd = 0x43434343, 
  bk = 0x0, 
  fd_nextsize = 0x0, 
  bk_nextsize = 0x0
}
0x22342a0 PREV_INUSE {
  prev_size = 0x0, 
  size = 0x20d61, 
  fd = 0x0, 
  bk = 0x0, 
  fd_nextsize = 0x0, 
  bk_nextsize = 0x0
}

看到了0x42424242和0x43434343,说明我们的create函数执行没有问题


这是libc中的正常的got和plt,可以看到所有函数都是正常的


这个是在执行了edit(1,puts_plt)之后,我们的got表已经被覆写


这个是在执行了edit(1,system_addr)的时候,我们的free的地址改成的并不是system的地址!~!


这就是为啥作者的exp执行不了的原因:我们的puts和system的偏移不对!

因为用的是服务器上的libc环境,而我们在本地运行的时候,是本地的libc环境

所以,我们要查看本地libc环境!


看到了路径吗?

可以把它复制出来,用IDA看system和puts的地址

也可以用nm -D命令,结合grep命令,找到system和puts的地址


结果发现了:wp作者注释掉的puts和system,就是本地的哈哈哈哈

重要的还是思维,如何利用题目漏洞去构造

调试只是验证的辅助手段,菜鸡如我~~~

Flying_Fatty
关注
专栏目录
360 CTF Writeup
翎羽阁
05-30 4840
0x00            小记这次360全国安全大赛,抱着试试看的心,捧回了西北区第一。真是,以后还要加油啊,不然太菜了被虐就不好玩了。         0x01            比赛两天,第一天是CTF类似的夺旗赛。王总的逆向就不说了,主要把我酱油的一些说说,总结共享一下思路。       1,网络协议 10       模拟iphone6访问网页。    
看雪wifi万能钥匙CTF中赛 第四 writeup(2)
ACdream
01-04 624
看雪CTF
CTF writeup
08-10
CTF writeup masterCTF write ups from the vulnhub CTF team
CTFwrite up(1)
qq_43034749的博客
01-30 793
信息安全组的第一次作业----完成bugku十以上 杂项 第一 就是签到,扫二维码即可。 第二 用winhex打开这张图片,最后一段编码酷似HTML编码,用HTML解码工具解码,得到flag。 第三 下载2.rar,解压得到一张图片,用winhex打开。 查看PNG文件格式时,IHDR后面的八个字节就是宽高的值 在下面的表格里是IHDR的资料。查了一下资料,图片是被截掉的,将F4改为...
探索网络安全的奥秘——了解CTF竞赛,零基础入门到精通,收藏这一篇就够了
Javachichi的博客
08-10 890
在信息化高速发展的今天,网络安全的重要性日益凸显。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
CTF目的write up
cjf____的博客
06-19 305
星星还是那颗星星哟 月亮还是那个月亮 山也还是那座山哟 梁也还是那道梁 碾子是碾子 缸是缸哟 爹是爹来娘是娘 麻油灯呵还吱吱响 点的还是那么丁点亮 哦哦 注意:得到的 flag 请包上 flag{} 提交felhaagv{ewtehtehfilnakgw}下面的字符串解密后便能获得flag:ZmxhZ3tUSEVfRkxBR19PRl9USElTX1NUUklOR30= 注意:得到的 flag 请包上 flag{} 提交。注意:得到的 flag 请包上 flag{} 提交。
CTF 竞赛Writeup
qq_63613566的博客
04-19 543
熟练应用AAPR软件,快速辨别加解密类型,仔细阅读目。熟练应用Wireshark软件,仔细阅读目。熟练应用Winhex软件,仔细阅读目。2. 追踪TCP流,即可找到FTP密码。1.使用Wireshark打开所给的。熟练应用AAPR软件,仔细阅读目。文件,找到request:PASS。熟练应用HxD软件,仔细阅读目。3.打开压缩文件,得到flag。提示2:找到FTP密码即可。密码:cdts3500。
看雪.Wifi万能钥匙 2017CTF中赛---第一
I have a dream
09-29 647
考察浮点数运算 1、OD载入,搜索字符串,查找到错误或正确提示信息,双击点进去。 找到以为的关键跳转,下断点,重新载入,输入注册码,运行,竟然提示错误! 不死心的将关键跳转NOP掉,保存到文件,运行, 结果依然报错!果然爆破不行呀……那就老老实实查看算法吧。 2、在该段开始位置下断点,OD重新载入,运行,输入key,断在段首,仔细分析汇编代码 发现程序,首先判断输入长度是否等于4,如果不...
CTF比赛收集的赛writeup.zip
09-30
"CTF比赛收集的赛writeup.zip"是一个包含这些挑战赛和解决方案的压缩包,对于学习和提高网络安全技能非常有价值。 在"CTF-WP-main"这个压缩包子文件中,我们可以期待找到以下几个方面的知识点: 1. **逆向...
智能网联汽车 天融信杯 信息安全攻防赛 2023 CTF
07-14
智能网联汽车 天融信杯 信息安全攻防赛 2023 CTF
CTF信息安全比赛单项选择.docx
01-25
CTF信息安全比赛单项选择.
看雪CTF.TSRC 2018 团队赛 第一 初世纪 writeup
xuenixiang.com
12-03 634
这个 writeup我花了1个多小时才写出来,我感觉这已经不是 writeup了,这简直就是解图文教程!! 每个人都是从新手过来的,几前我初学逆向的时候,看到大牛写的 writeup,一头雾水,根本看不懂,所以我写这么详细是想让更多初学逆向的朋友能跟学会这门技术,感受她的魅力····   首先用PEID看一下有没有壳,发现没有壳,而且是个64位程序,这时候就可以排除用OD分析的可能了(很...
CTF新生赛之Writeup
shikaku_的博客
11-27 4590
CTF新生赛之Writeup 作为零基础的新生,也是在开学后才了解了CTF,感觉本次新生赛中颇有收获,也是应赛制要求,故写下这份WP,以纪念本人的第一次CTF竞赛。 回顾和感想 Misc 我也不知道为什么我要写这个,我就写了签到哈哈哈哈哈 过程是关注微信公众号SCUCTF,发送SCUx401CTF即可获得flag(不放图了) Web 因为是从Web入的门,所以先做的Web。这次新生赛做了六道,都是非常简单的。因为看不懂PHP语言所以无法继续向前走了555, Crypto ...
记一次CTF过程(Writeup)
热门推荐
_Ralph的博客
01-17 4万+
前言在i春秋平台看到几个ctf练习,就点进去看看吧,能做就做不能做说明水平有限,还要继续加油(革命尚未成功,同志仍需努力)O(∩_∩)O哈哈~第一:Robot目名称:Robot有没有觉得这个目很熟悉?没错robots.txt!很熟悉。可能解思路就和robots.txt有关了。访问链接,网页显示位一张机器人的图片,没什么信息,网页源代码同样没有什么具有价值的信息。那我们就抓个包看看吧,用b
CTFwrite-up总结
最新发布
m0_57836225的博客
08-22 408
总之,CTF write-up 应该清晰地记录解过程,分享关键技术和经验教训,以便自己和他人在以后的比赛中能够更好地应对类似的目。- 分析可能存在的漏洞,如 SQL 注入、XSS、文件上传漏洞等,并阐述如何利用这些漏洞获取关键信息或权限提升。2. 介绍使用的工具和技术,如特定的漏洞扫描工具、加密破解工具、逆向工程工具等,并说明它们的作用和使用方法。1. 通过这道目,对 SQL 注入和文件上传漏洞有了更深入的理解,同时也熟悉了相关的工具使用。
Kanxue看雪KCTF2019-Q1第十【初入好望角】Writeup
iqiqiya的博客
03-26 579
第十:初入好望角 PEiD查到是C#编写的程序 直接用dnspy载入 得到源代码 using System; using System.IO; using System.Security.Cryptography; using System.Text; // Token: 0x02000003 RID: 3 internal class a { // Token: 0x0600...
CTF-兴趣是最好的老师 write up
503 Serivice Unavailable
07-25 436
目的:利用010,IDA分别进行对文件的改写和文件的反编译 010editor的简介 010Editor  是一个全新的十六进位文件编辑器 它有别于传统的十六进位编辑器在于它可用'范本'来解析二进位文件, 从而让你读懂和编辑它. 它还可用来比较一切可视的二进位文件. IDA简介 IDA(interactive Disassembler)交互式反汇编器,IDA最主要的特性是交互和多处理器。操...
CTF-练习平台部分writeup
hijack89的博客
04-03 4万+
CTF-练习平台writeupCTF-练习平台MISC滴答~滴看标基本就知道是摩尔斯密码“.”、”-“,直接在线摩尔斯解密 聪明的小羊小羊。。。老套路 翻栅栏,栅栏密码。。。比较简单,直接看出来是两栏加密 KEY{sad23jjdsa2}这是一张单纯的图片??看目估计是道隐写术的,先保存图片的说; 30分的,估计不会太难,直接文本编辑器打开;文本末尾发现了一行转义序列: 看来这
hack101ctf writeup
乱七八糟事物储藏室
02-14 532
hackone 靶场通关记录
php upload ctf,强网杯CTF防御赛ez_upload Writeup
05-14
首先,我们需要分析目所提供的代码: ... error_reporting(0); if ($_FILES["upload"]["error"] > 0) { echo "Error: " . $_FILES["upload"]["error"] .... echo "Upload: " .... echo "Type: " .... echo "Size: " ....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值