人生中第一次正式的线下比赛,也是第一场AWD比赛.rank8完赛,对于我来说已经很满足了.

第一次参赛,一开始不是很会操作导致浪费了几轮攻击积机会,后来慢慢适应了比赛模式一路冲榜

本次两道web和两道pwn,我们的排名几乎都是靠pwn打的

官方会给每个队伍提供一个路由器用于连接本队专属的服务器,pwn和web服务被部署在服务器中.队内的人都可以通过ssh连接服务器并修改文件(pwn的服务固定放置在9999端口,web不清楚)

每轮主办方都会对pwn和web服务进行check:检测服务是否正常运行,所以我们不能对文件进行"魔改",如果哪个字符串回显失败/流程卡住了,主办方就会判断你没有正常防御,会对你进行大量扣分的操作

如果实在修不好服务,可以选择让本队的服务器下线(down),这样虽然过不了check会扣分,但是其他队伍也无法通过攻击你的服务获得flag

我们要在修补elf的同时对其他队伍的服务器进行攻击,并提交flag得分.每10分钟主办方会刷新一次flag,所以每十分钟就要跑一次攻击脚本,但是patch好的文件会一直存在.所以合适的流程是:

由于队伍比较多,每次获得的flag最好使用post报文提交.

在init中先开辟了一片rwx空间0x111000
然后进入菜单

其中trick选项

可以看出题目的预期是让用户输入0x100的可见字符shellcode,复制到0x111000处并执行
如果shellode不处于可见字符便会报错并返回.

这里边出现了第一个漏洞点,shellcode的长度使用strlen检测
如果我们的shellcode中出现了\x00就会导致\x00后面的shellcode不会被检测

我在现场使用了push 0({ 0x6A, 0x00 })对shellcode进行了绕过,后面就是任意代码执行了
当然,使用ae64库对shellcode进行转化也是可以的

在treat选项中,我们会发现

这里的v2是个int且未进行检查,dword_40B0是个全局变量

我们可以通过简单的计算,修改位于dword_40B0低地址处的got表:在got表减去任意的数值

这样做我们就可以直接修改函数的地址

当我们输入的v2为-4,-5,-6时,可以对fgets,strlen,printf的got表进行修改
如果我们将strlen修改为system,再在trick中输入"/bin/sh"或"cat /flag/flag"便可以getshell/flag

关于fgets.got和printf.got的利用比较困难,如果写入one_gadget会发现寄存器总是调整不对

本道题由于属于栈相关,我使用了evilPatcher为程序增加了open,openat,fstat,execve,mmap和execveat的沙箱,这样任意代码执行无论如何也无法get flag(我认为是这道题最全面的防御)

github中的evilpatcher项目

将沙箱规则设置如下

通过checksec发现这道题的保护非常少

在main函数中可以看出是个菜单

其中send函数要求我们输入IP+port,并可以输入0x500字节的数据

最终整个IP+PORT+CONTXT结构体被保存在全局变量msgHistory中

在receive中

可以看到发现context被无检查地memcpy到了dest中
且dest缓冲区远小于0x500,此处我们有一个非常大的栈溢出可以使用
我们可以选择ret2libc,也可以使用magic_gadget一次打完

将printf的got表修改为one_gadget并调用printf触发execve

在选项4的connMngr中,我们可以看到二级菜单

在delet中,我们发现

存在明显的uaf漏洞
在edit中

new_lenth由我们自己传入数字,可以任意长度堆溢出
uaf和堆溢出均可以单独写成利用脚本,我现场比较慌张,于是结合这两个漏洞写了个比较复杂的脚本

可以将memcpy的第三个参数
通过gdb调试可以发现,设置rdx时

如果我们将设置rdx的汇编修改为mov rdx,r8就可以防止栈溢出了

同理使用gdb调试查看堆溢出发生时的寄存器帧

发现r8和r9内的数字很小,不存在溢出的风险
所以将此处修改为mov rdx,r8就可以

直接将free给nop掉

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！