本文主要是介绍2021年津门杯ctf线上赛记录(WICCTF),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
津门杯ctf线上赛
- 概述
- pwn题
- easypwn
- pwnCTFM
- 总结
概述
本篇博客记录下自己的第一次ctf比赛经历,其实不完全是第一次,之前也参加过其他比赛,但只能做个签到就走了,这次不一样了,好歹做出了一道pwn题,有一道本来是有机会的,搞错libc了,线上没拿到flag,不过线上复现了下,感觉还行。因此特写下此篇博文,记录自己的一血。😏
pwn题
我个人现在只会做做pwn题,后面打算也看看web,提升一下综合实力,这里介绍下比赛中的两道pwn题,和官方wp不一样,这里是我自己的思路。
easypwn
easypwn
这道题目是最开始放出来的,确实是最简单的一道pwn题。该题目是典型的堆题,有增删查改四个功能,主要存在两个典型的漏洞。第一个是off by one,如下面第一张图所示,在add功能函数中,可读取的字节数比申请的size大一个字节;然后是show功能函数中,存在典型的格式化字符串漏洞。该题目got表可写,其余保护全开,因此官方的wp是利用格式化字符串泄露出code基地址,然后利用off by one实现unlink, 最后控制bss上的堆指针,从而可以泄露libc以及进一步修改got表获取shell。
值得一提的是,当时我在做题时,并没有发现上面两个漏洞,之所以犯了这样的错误,是因为有一个更大更明显的漏洞吸引了我,如下图所示,在add功能和edit功能中都有下面两个scanf函数,这里使用%s读取,没有限制长度,且存储的位置刚好在bss段堆指针的上面,所以这里就有天然控制堆指针的方法。
因此我的思路是直接构造unsorted bin,利用scanf函数的漏洞可以覆盖标记位使得show函数正常工作从而泄露出libc地址。当时比赛时,没有给libc,因此也就不知道是否存在tcache,这里可以直接先假设其没有,然后在比赛时经过验证确实是不存在tcache机制。通过泄露出的libc,我在网上查到其是libc-2.23.so版本的,然后用同样的方法利用scanf漏洞去控制堆指针,直接改堆指针为free_hook,进一步修改为system,然后free即可拿到shell。下面是完整的exp,用我的这种方法感觉会快很多。
from pwn import *p = remote("119.3.81.43", 49153)def new(number, name, size, con):p.recvuntil("your choice>>")p.send("1")p.recvuntil("phone number:")p.sendline(number)p.recvuntil("name:")p.sendline(name)p.recvuntil("input des size:")p.sendline(str(size))p.recvuntil("des info:")p.sendline(con)def free(idx):p.recvuntil("your choice>>")p.send("2")p.recvuntil("input index:")p.sendline(str(idx))def show(idx):p.recvuntil("your choice>>")p.send("3")p.recvuntil("input index:")p.sendline(str(idx))def edit(idx, number, name这篇关于2021年津门杯ctf线上赛记录(WICCTF)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
