2019 强网杯 pwn qwct

最新推荐文章于 2025-06-18 19:28:15 发布
原创 最新推荐文章于 2025-06-18 19:28:15 发布 · 784 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文详细解析了一个存在于Linux环境中的越界读写漏洞,包括如何利用该漏洞进行程序基地址泄露,并最终实现对目标函数的劫持。

在这里插入图片描述

保护绿

环境我也不知道他当时给的多少的
我反正用的20.04

在这里插入图片描述缺点库

sudo apt-get update     #更新一下索引包
sudo apt-get install libgfapi0

然后剩下几个手动下载
具体流程可以参考一下
史上最硬核的Linux依赖问题
大概就是找到网站,手动下载安装包,然后dkpg安装

启动脚本

#!/bin/bash
./qemu-system-x86_64 -initrd ./rootfs.cpio -nographic -kernel ./vmlinuz-5.0.5-generic -L pc-bios/  -append "priority=low console=ttyS0" -device qwb -monitor /dev/null

设备叫qwb

在这里插入图片描述
函数并不多

qwb_class_init函数拿到id
在这里插入图片描述
realize看到注册了mmio,大小0x100000
在这里插入图片描述

在这里插入图片描述整个设备的结构体

mmio_write还是比较简单的
在这里插入图片描述

mmio_read
函数比较麻烦

考虑了一下还是放图分析吧
主要是用addr来进行功能的选择

addr 0
在这里插入图片描述

addr 1
在这里插入图片描述

addr 2
在这里插入图片描述

addr 3
在这里插入图片描述

addr 4
在这里插入图片描述

addr 5
在这里插入图片描述

addr 6
在这里插入图片描述

addr 7
在这里插入图片描述

addr 8
在这里插入图片描述

addr 9
在这里插入图片描述

addr 10
在这里插入图片描述

其他
在这里插入图片描述首先重点放在读上
我们发现
这里read在数组都填满的时候可以越界把后面的内容都带出来
做到越界读。

然后我们把目光看向上面那一堆乱七八糟加密里面

首先我们总结一下加密
就addr为5 6 7 8 的时候对应分别给两个指针赋值
9 10 的时候要创建线程
再次分开分析

aes_encrypt_function
在这里插入图片描述
我们发现最后会把校验值贴到output后面
其中v7是我们output的长度
所以这里其实是能造成越界写的。

aes_decrypto_function
在这里插入图片描述
同样也有越界写的问题

然后
在这里插入图片描述
这个就比较敷衍了
居然其实是一个函数

在这里插入图片描述
似乎就是一个异或
好像用处不大

然后看创建线程
在这里插入图片描述在这里插入图片描述一眼就看出来
就是分别调用crypto.decrypt crypto.encrypt两处的函数

所以我们这道题就分析完了
利用方式也应该比较明显了

通过任意读泄露程序基地址
得到system的plt表
劫持output下面那个函数
在这里插入图片描述
啊就是encrypt
在input里面写点参数
执行一下就好了

#include <assert.h>
#include <fcntl.h>
#include <inttypes.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/mman.h>
#include <sys/types.h>
#include <unistd.h>
#include <sys/io.h>


uint32_t mmio_addr = 0xfea00000;
uint32_t mmio_size = 0x100000;
unsigned char* mmio_mem;

void die(const char* msg) {
   
   
    perror(msg);
    exit(-1<
最低0.47元/天 解锁文章
2020部分题总结与复现
qwzf
08-31 3895
前言 前几天打了个两天一夜的比赛,整个人都快要起飞了。比赛后由于CISCN出题,没时间总结,现在总结和复现一下部分题。 0x01 先锋:主动 考点:命令执行+绕过黑名单
2019 pwn final ExecChrome
yongbaoii的博客
01-27 793
#!/bin/bash while true do ./qemu-system-x86_64 -m 1024 -smp 2 -boot c -cpu host -hda ubuntu_server.qcow2 --enable-kvm -drive file=./blknvme,if=none,id=D22 -device nvme,drive=D22,serial=1234 -net user,hostfwd=tcp::2222-:22 -net nic && sleep 5 d.
2019广东省PWN-1
SkYe's Blog
09-24 874
2019广东省PWN-1 题目分析 题目提供了:可执行文件、libc.so.6两个文件。下面开始分析,首先运行程序,如下图所示: 这是一道菜单题目,可以添加、删除、运行。是一道在堆上的题目。然后用IDA分析程序的流程。 首先看看主函数(main),对其中的部分函数做了重命名(在图中红框内函数),可以参照修改。 主函数 主函数循环执行,直到遇到exit()。首先是运行welcome_bro...
2022 pwn 赛题解析——yakagame
CoLin的pwn小屋
07-31 3737
2022-pwn yakagame write-up
2024pwn部分wp
qq_62531518的博客
04-01 834
more这道题说实在想复杂了,也算是我知识浅薄吧,看到那个环境变量没想到怎么用跟对队友交流一直在用io进行攻击两种做法:先说我们最开始的做法主要手法:一次部署并largetbin attack+House of apple2 + house of cat +rop+shellcode攻击存在uaf漏洞首先堆块申请被限制了且只有一次修改的机会这让我们非常的困扰如何进行IO攻击。
2021 pwn部分wp
eeeeeight的博客
06-18 1450
baby_diary: 本题考查2.31的off by one, 漏洞处如下: 在sub_146e中会将输入数据的ASCII码相加再相加相加…直到变成一个byte的数字, 然后加到输入数据的后一位上, 因此我们可以尝试控制输入的内容, 从而控制下一个chunk的size大小 在确定完溢出点后, 我们便开始准备伪造chunk了, 由于要满足p->fd->bk == p, p->bk->fd == p以及prevsize == size, 我们需要申请一个largebin的chunk
2022 pwn 赛题解析——yakacmp
CoLin的pwn小屋
08-07 1210
2022 pwn 赛题解析——yakacmp
2023 Pwn:heap_paradise 详细解题报告
最新发布
2402_86373248的博客
06-18 711
本篇解题报告针对2023年线下赛Pwn类题目《heap_paradise》。题目考察现代堆利用技术,重点在于结合tcache poisoning与largebin attack实现任意地址写。本报告提供从环境搭建到最终获取flag的完整复现流程,通过详细的代码注释与调试分析,帮助读者掌握堆漏洞利用的核心技巧。本题通过精心设计的堆管理模块,考察选手对glibc 2.31内存管理机制的深入理解。发现未校验size导致的堆溢出结合tcache与largebin的特性构造利用链。
2023 Pwn赛题HeapMaster深度解析
2402_86373248的博客
06-17 909
本题通过逆向分析Linux堆管理器ptmalloc2的分配策略,发现UAF漏洞与堆风水控制点。利用堆块重叠构造读写原语,通过修改tcache fd指针劫持__free_hook,最终实现任意代码执行。本文详细演示从内存泄露到ROP链构造的全过程,揭示现代堆利用技术的关键演变。核心经验现代堆利用需结合LFH分配策略分析partial overwrite可有效绕过ASLR内存雕刻技术提升利用稳定性题目设计评价精准考察ptmalloc2前沿利用技术保护机制组合增加绕过难度。
精选资源
2022 pwn 赛题解析.docx
12-18
2022 Pwn赛题解析】 在网络安全竞赛“”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
qwb2019md_pwn_stkof1-
11-04
“qwb2019md_pwn_stkof1-”这一标题中,我们可以拆解出几个关键的信息点。首先,“qwb”可能是某个活动或比赛的缩写,结合“”这一标签,我们可以推断出这是一个与网络安全相关的竞赛。从描述部分反复...
one_gadget 下载 安装 与使用
热门推荐
yongbaoii的博客
10-15 1万+
00 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 01 安装 sudo apt -y install ruby sudo gem install one_gadget 02 使用 举个栗子 还是挺简单的。 ...
go pwn 2022 虎符 gogogo
yongbaoii的博客
04-09 7370
刚刚看了17年seccon的baby_stack 看着这个感觉好亲切。
解决LibcSearcher找不到合适libc(更新libc)
yongbaoii的博客
02-09 7301
1 尝试直接更新 进入LibcSearcher/libc-database中运行./get文件即可进行更新。 可能./get更新不了。 2 究极更新 cd LibcSearcher rm -rf libc-database git clone https://github.com/niklasb/libc-database.git 然后进入libc-database执行./get 可能会这样提醒。 那么就看需要点啥更新点啥,一般是 ./get ubuntu #一般pwn题环境就Ubuntu,所以有第一个
linux 安装codeql环境 (二)codeql database create通过报错分析其流程
yongbaoii的博客
04-10 6253
尝试过很多解决方案之后无果 决定研究一下它的整个流程
linux 安装codeql环境 (一)基本环境搭建
yongbaoii的博客
04-10 5965
cccccccodeql
PWN 更换目标程序libc
yongbaoii的博客
12-29 5496
上这方面我感觉还是比较少的,在这里把我的方法拿出来防止大家踩坑。 这一块知识不大懂的推荐去看《程序员的自我修养》第八章共享库那一章节。 我们换libc的原因是在调试程序的时候我们本地的libc可能跟远程计算机上的libc不一样,不是可能,基本上都不一样,那么我们程序加载libc之后里面的一些函数的偏移地址就会跟我们想的不一样,从而导致脚本不停出错。那么就需要我们去把程序所链接的libc从本地libc更换成远程服务器上的libc。 原理简单的说就是用patchelf把程序依赖libc的那个软连接改一下,或者
go runtime
yongbaoii的博客
04-01 4835
Runtime 包括go 调度 go内存分配 go GC
LibcSearcher 安装 错误处理 与使用
yongbaoii的博客
10-15 4772
00 开始 因为libc库有多个版本,不同版本里面的数据偏移不一样,在答题时往往服务器的版本与你获得的版本不一致或者直接不给你libc库,这个时候就用到了libcsearcher。 当然这种情况往往还可以参考dynelf ,这里就先不考虑了。 01 安装 git clone https://github.com/lieanu/LibcSearcher.git cd LibcSearcher python setup.py develop 02 错误处理 报错 处理方式 在root权限下安装 03 使用
pwn 2024
01-26
### 关于2024年PWN比赛 #### 比赛概述 “”全国网络安全挑战赛是由中国络空间安全协会主办的全国性竞赛,旨在选拔和培养网络安全人才[^1]。该赛事涵盖了多种类型的网络安全竞赛项目,其中包括PWN比赛...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值