de1ctf_2019_weapon (IO_FILE)

最新推荐文章于 2023-07-10 20:42:26 发布
最新推荐文章于 2023-07-10 20:42:26 发布
阅读量1k 收藏 3
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BengDouLove/article/details/106390373
版权

这道题的方法对于我来说有点陌生,堆操作之后利用IO_FILE的相关知识,记录一下,以后还会有更多对于 IO 的利用
在这里插入图片描述
保护机制全开,所以常规方法肯定没办法

分析程序:
在这里插入图片描述
这是主程序

在这里插入图片描述
menu函数

在这里插入图片描述
create函数
逻辑是输入申请大小,在输入index,然后就写入chunk
没有任何检查,比如申请过的index不能用之类的
最简洁的申请函数

在这里插入图片描述
delete函数
同样是简洁的释放函数,而且有 uaf 漏洞

在这里插入图片描述
rename函数
改写chunk内容,写入的时候貌似没有溢出,但是 uaf 能用在这上面

程序看似简单,但是保护机制全开,而且没有任何输出函数可以让我泄露出什么
然后就遇到了我不太熟悉的方法,就是利用 __IO_2_1_stdout 来泄露信息

记录一下 IO_FILE 基本的信息,虽然到目前为止还是不太清楚,也就只能做一道题看一道了

pwndbg> ptype stdout
type = struct _IO_FILE {
   
    int _flags;
    char *_IO_read_ptr;
    char *_IO_read_end;
    char *_IO_read_base;
    char *_IO_write_base;
    char *_IO_write_ptr;   //本题用到的 IO_write_ptr 和 IO_write_base
    char *_IO_write_end;
    char *_IO_buf_base;
    char *_IO_buf_end;
    char *_IO_save_base;
    char *_IO_backup_base;
    char *_IO_save_end;
    struct _IO_marker *_markers;
    struct _IO_FILE *_chain;
    int _fileno;
    int _flags2;
    __off_t _old_offset;
    unsigned short _cur_column;
    signed char _vtable_offset;
    char _shortbuf[1];
    _IO_lock_t *_lock;
    __off64_t _offset;
    struct _IO_codecvt *_codecvt;
    struct _IO_wide_data *_wide_data;
    struct _IO_FILE *_freeres_list;
    void *_freeres_buf;
    size_t __pad5;
    int _mode;
    char _unused2[20];
} *

这是IO_FILE 结构体

#define _IO_MAGIC 0xFBAD0000 /* Magic number */
#define _OLD_STDIO_MAGIC 0xFABC0000 /* Emulate old stdio. */
#define _IO_MAGIC_MASK 0xFFFF0000
#define _IO_USER_BUF 1 /* User owns buffer; don't delete it on close. */
#define _IO_UNBUFFERED 2
#define _IO_NO_READS 4 /* Reading not allowed */
#define _IO_NO_WRITES 8 /* Writing not allowd */
#define _IO_EOF_SEEN 0x10
#define _IO_ERR_SEEN 0x20
#define _IO_DELETE_DONT_CLOSE 0x40 /* Don't call close(_fileno) on cleanup. */
最低0.47元/天 解锁文章
Bengd0u
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DE1_SoC.zip_DE1_SoC_assignment_de1-soc_verilog
09-24
DE1_SoC.zip_DE1_SoC_assignment_de1-soc_verilog是一个关于DE1_SoC开发板的Verilog引脚分配项目的压缩文件。这个项目主要涉及的是在硬件描述语言Verilog中对DE1_SoC开发板的引脚进行适当地配置和分配。DE1_SoC是一...
de1ctf_2019_weaponIO_leak,doublefree)
m0_51251108的博客
11-17 425
de1ctf_2019_weapon: 保护全开
de1ctf_2019_weapon
doudoudedi
05-06 699
这题我多了一个换行搞了老久了服了还是tcl 思路 有uaf通过写IO来得到libc地址然后通过double free来拿到shell exp: #!/usr/bin/python2 from pwn import * p=0 def pwn(): global p #p=process('./de1ctf_2019_weapon') p=remote('node3.buuoj.cn',292...
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
m0_73756460的博客
07-10 226
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
[uaf + double free] de1ctf_2019_weapon
huzai9527的博客
09-22 309
[uaf + double free] de1ctf_2019_weapon 1. ida分析 删除的时候,只是检查了index范围,没有检查是否存在,存在double free 并且free后,指针没有置空,存在uaf 限制了chunk大小,需要通过uaf 构造fake chunk,修改chunk head的大小,构造unstored bin attack 2. 思路 1⃣️申请3个chunk 0,chunk 1,chunk 2,用chunk 0伪造chunk 1 的head,free chunk
SWPUCTF_2019_p1KkHeap(负溢出tcache)de1ctf_2019_weapon(IO_FILE泄露libc)
weixin_46521144的博客
08-04 369
SWPUCTF_2019_p1KkHeap IDA分析 用IDA反编译发现,此题操作有如下限制 顺便说一下,buu上的所有ubuntu18的题目都是带tcache-double-free的,其实这不太好,怕养成习惯这样解题。 这里可以看到的是,对delete和add有明显的次数限制,不能简单的tcache-poisoning来泄露libc。本题一开始也是卡在这里,没有别的思路。 之后参考了别人的wp,发现tcache的管理块其实存在一些漏洞。这里记录一下 // tcache结构定义中的部分代码 #if U
De1CTF weapon 经验总结
qq_43189757的博客
10-04 738
第一次接触通过利用_IO_2_1_stdout_ 来泄露libc地址的题目,中间碰到不少问题,在这里记录一下 1.泄露libc 由于程序限制了创建的堆块大小为0x60 以内,所以无法同通过创建一个大小能放入unsortedbin中的堆块,但是可以通过伪造一个大小符合unsortedbin中的堆块来泄露libc地址 具体步骤: 1.创建五个大小为0x20堆块 编号依次为0-5, 之后一次释放chun...
DE1_i2sound.rar_ALTERA DE1_DE1 音乐_de1_de1_i2sound
09-23
DE1_i2sound.rar 是一个针对Altera DE1开发板的资源包,主要目标是实现通过DE1平台播放音乐的功能。这个压缩包包含了与DE1开发板上的I2S(Inter-IC Sound)接口相关的软件、硬件设计以及可能的教程资料,帮助用户...
My_First_HPS.rar_DE1 SOC_SOC_de1 hps_de1-soc_my_first_hps
09-21
描述中的"de1-soc my_first_hps pdf file"表明这个压缩包包含了一份PDF文档,很可能是"My First HPS"项目的用户指南或教程,详细介绍了如何在DE1-SOC板上从零开始搭建和运行一个简单的HPS系统。 标签进一步明确了...
DE1_SD_Card_Audio.zip_DE1_SD_CARD_Audio_SD_de1_sd card_sopc
07-15
DE1 Sopc SD card audio
setmin_sec.zip_DE1时钟_de1
09-21
DE1时钟是基于 Altera 公司的 DE1(Development and Education Kit 1)开发板设计的一个项目,这个项目使用了Quartus II 13.0版本的软件进行开发。Quartus II 是Altera公司提供的一个综合、仿真、编程和分析工具套件...
De1CTF Weapon(IO_2_1_stdout)
Maxmalloc的博客
08-05 1126
1.保护机制 [*] '/home/yzl/Documents/delta/weapon/pwn' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE e...
De1CTF-2019部分wp
CTF小白的博客
08-05 2121
目录Misc1——We1comeMisc2——Mine SweepingWeb1——SSRF MeCrypto1——xorz 去De1CTF划了划水,发现自己是真的菜━┳━ ━┳━ Misc1——We1come https://t.me/De1CTF ,需要加Telegram群,需要VPN,群里有发签到的flag Misc2——Mine Sweeping 下载下来是一个扫雷游戏 在没有雷的地...
BUUCTF-PWN刷题记录-14
weixin_44145820的博客
04-29 601
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
安卓系统目录说明大全,各文件夹是什么,可以删除吗?(以MIUI为例)
热门推荐
Counter-Strike大牛
12-16 7万+
.com.pingan.paces.ccms 平安口袋银行(旧版目录,可删除) 新版本目录已移至Andriod的data目录下,所以可以放心删除。 PASpeechSDK 平安的某个SDK(可删除) 目前没有发现用处,该目录为空,可删除。
DelCTF2019 weapon WP
qq_41252520的博客
10-06 356
保护 分析 程序一共只有三个操作:增、删、改。又是没有泄露,看来又是利用IO_FILE泄露内存了。 漏洞还是很明显的,在删除操作中没有将free掉的指针置NULL 并且编辑的时候没有检测指针的合法性,因此形成了UAF。 在添加操作中限制了分配的大小 利用 程序中多处存在scanf函数,根据前面的文章可以知道,scanf可以帮我们得到一块unsortbin的chunk,我们构造的攻击链如...
Java软件开发实战 Java基础与案例开发详解 2-3 java程序 共17页.pdf
最新发布
07-07
完整版:https://download.csdn.net/download/qq_27595745/89522468 【课程大纲】 1-1 什么是java 1-2 认识java语言 1-3 java平台的体系结构 1-4 java SE环境安装和配置 2-1 java程序简介 2-2 计算机中的程序 2-3 java程序 2-4 java类库组织结构和文档 2-5 java虚拟机简介 2-6 java的垃圾回收器 2-7 java上机练习 3-1 java语言基础入门 3-2 数据的分类 3-3 标识符、关键字和常量 3-4 运算符 3-5 表达式 3-6 顺序结构和选择结构 3-7 循环语句 3-8 跳转语句 3-9 MyEclipse工具介绍 3-10 java基础知识章节练习 4-1 一维数组 4-2 数组应用 4-3 多维数组 4-4 排序算法 4-5 增强for循环 4-6 数组和排序算法章节练习 5-0 抽象和封装 5-1 面向过程的设计思想 5-2 面向对象的设计思想 5-3 抽象 5-4 封装 5-5 属性 5-6 方法的定义 5-7 this关键字 5-8 javaBean 5-9 包 package 5-10 抽象和封装章节练习 6-0 继承和多态 6-1 继承 6-2 object类 6-3 多态 6-4 访问修饰符 6-5 static修饰符 6-6 final修饰符 6-7 abstract修饰符 6-8 接口 6-9 继承和多态 章节练习 7-1 面向对象的分析与设计简介 7-2 对象模型建立 7-3 类之间的关系 7-4 软件的可维护与复用设计原则 7-5 面向对象的设计与分析 章节练习 8-1 内部类与包装器 8-2 对象包装器 8-3 装箱和拆箱 8-4 练习题 9-1 常用类介绍 9-2 StringBuffer和String Builder类 9-3 Rintime类的使用 9-4 日期类简介 9-5 java程序国际化的实现 9-6 Random类和Math类 9-7 枚举 9-8 练习题 10-1 java异常处理 10-2 认识异常 10-3 使用try和catch捕获异常 10-4 使用throw和throws引发异常 10-5 finally关键字 10-6 getMessage和printStackTrace方法 10-7 异常分类 10-8 自定义异常类 10-9 练习题 11-1 Java集合框架和泛型机制 11-2 Collection接口 11-3 Set接口实现类 11-4 List接口实现类 11-5 Map接口 11-6 Collections类 11-7 泛型概述 11-8 练习题 12-1 多线程 12-2 线程的生命周期 12-3 线程的调度和优先级 12-4 线程的同步 12-5 集合类的同步问题 12-6 用Timer类调度任务 12-7 练习题 13-1 Java IO 13-2 Java IO原理 13-3 流类的结构 13-4 文件流 13-5 缓冲流 13-6 转换流 13-7 数据流 13-8 打印流 13-9 对象流 13-10 随机存取文件流 13-11 zip文件流 13-12 练习题 14-1 图形用户界面设计 14-2 事件处理机制 14-3 AWT常用组件 14-4 swing简介 14-5 可视化开发swing组件 14-6 声音的播放和处理 14-7 2D图形的绘制 14-8 练习题 15-1 反射 15-2 使用Java反射机制 15-3 反射与动态代理 15-4 练习题 16-1 Java标注 16-2 JDK内置的基本标注类型 16-3 自定义标注类型 16-4 对标注进行标注 16-5 利用反射获取标注信息 16-6 练习题 17-1 顶目实战1-单机版五子棋游戏 17-2 总体设计 17-3 代码实现 17-4 程序的运行与发布 17-5 手动生成可执行JAR文件 17-6 练习题 18-1 Java数据库编程 18-2 JDBC类和接口 18-3 JDBC操作SQL 18-4 JDBC基本示例 18-5 JDBC应用示例 18-6 练习题 19-1 。。。
[de1ctf 2019]ssrf me 1
03-16
[de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值