对“ciscn_2019_n_3“的理解

最新推荐文章于 2025-06-15 17:36:11 发布
最新推荐文章于 2025-06-15 17:36:11 发布
阅读量226 收藏
点赞数
分类专栏: 文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Probeginner/article/details/125623444
版权

""具体分析就不说了,其余师傅讲得好,说下关键理解:

对于add()函数:
固定创建一个0xc大小的chunk,而后根据要输入的内容是否决定再创建chunk:
如果是输入数值则不创,如果输入字符串,则保存字符串的指针在首个chunk中,而后将字符串输入往第二个chunk中。
在这里插入图片描述
关键在于这里,分析IDA后发现存在system函数,那么不必泄露libc地址,直接利用elf.plt[“system”]
这个records[v0]+4就是free函数的地址,如果改为system_plt,再往其后的records[v0]指向的地方输入“/bin/sh\x00”那么就解决了。dele功能被执行时,执行的就是system(“/bin/sh\x00”)了
本题利用的是fastbin attack的这个性能:释放某个大小chunk时,申请同样大小的chunk。在申请的时候向相应chunk输入以上提到的值。

图片来自这里
在这里插入图片描述
在这里插入图片描述

像这种在程序执行中利用到的函数地址:被放在了chunk里头或者某个地址的–容易被修改从而执行别的函数。

[BUUCTF]-PWN:ciscn_2019_n_3解析
2301_79326813的博客
01-20 922
堆题,先看保护32位,Partial RELRO,没pie关键信息就那么多,看ida大致就是alloc创建堆块,free释放堆块,dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中,会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试,可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址,我们在free堆块时他都会执行,并且题目给了我们system。
ciscn_2019_n_3 题解
lifanxin的博客
12-30 697
Write Up知识点关键字样本运行静态分析求解思路求解脚本 知识点关键字 UAF fastbin 样本 ciscn_2019_n_3 运行 检查样本   32位小端程序,开启了栈保护和NX保护。 运行样本   样本的运行结果如上图所示:该程序主要模仿了一个笔记管理的功能,选项1可以开辟新的节点,会让选中是整型还是文本;选项2会让我们根据索引删除一个节点;选型3可以打印一个节点中存储的数据信息;选项4主要是打印一个随机生成的金钱数目,告诉你没法购买Pro版本。   此处不赘述也不一一截图运行结果,读者可
[BUUCTF]PWN——ciscn_2019_n_3
mcmuyanga的博客
01-06 1125
ciscn_2019_n_3 附件 步骤 例行检查,32位,开启了nx和canary保护 本地试运行一下,经典的堆题的菜单 3.32位ida载入 new(),申请了两个chunk,第一个chunk(13行)固定大小0xC,存放的是rec_int_print和rec_int_free函数的地址,第二个chunk(32行),是我们申请的chunk del() 如果值是整数,直接 free chunk 如果值是字符串,则 chunk 和存储字符串的 chunk 都要 free。注意这里只是进行了
buuoj刷题记录 - ciscn_2019_n_3 1
qq_34010404的博客
03-15 498
查看程序保护: IDA分析程序,可以发现程序存在UAF漏洞: 只要使某一个Node的数据区域和已经free的Node的12个字节相重合,就可以修改函数地址. 只需要这样构造即可: 释放掉Node1,Node0,然后add一个 content为12字节的Node.就可以修改Node1的前12个字节. 1.可以修改Note1的前四个字节为 ‘sh\x00\x00’,后四个改为system.plt 2.可以修改Node1前四个字节为system.plt 的下一条指令地址(直接jmp由于该指令的地址低字节为
ciscn_2019_n_3 writeup
SkYe's Blog
10-24 656
基本情况 这题被环境坑了一把,用的是 docker 环境做题,checksec 检测是保护全开,ida 分析时也没有留意地址都是真实地址,所以一直没想用 system@plt getshell 。。。后面才发现程序是关闭 PIE ,程序有 system ,直接调用不需要泄露 libc 操作。 程序是一个有增删查的堆管理器,根据存储资料的类型分为两类,对应结构体如下: struct int_chunk { void *rec_int_print(); void *rec_int_free();
[CISCN2019 初赛]Love Math
qq_42551635的博客
05-07 541
[CISCN2019 初赛]Love Math 前言 一道非常有意思的,逻辑比较简单的代码审计 知识点 base_convert()函数 in_array()函数 in_array(值,数组) 函数搜索数组中是否存在指定的值。 实例 <?php $people = array("Peter", "Joe", "Glenn", "Cleveland", 23); if (in_array("23", $people, TRUE)) { echo "Match found<br&
CISCN 2020 Final Day2 pwn3思路分享 .pdf
09-05
该挑战的核心在于对二进制程序的深入理解和巧妙利用,以恢复正常的程序执行并实现安全目标。 首先,挑战的关键在于处理标准输出流的关闭。由于程序调用`close(1)`导致标准输出流被关闭,无法通过常规方式泄露内存...
AWD-simple
煤矿路口西的博客
11-11 459
AWD simple 启示:新收获,体会到了AWD的乐趣 尽管笔者还是很菜,但是事后学会写批量化脚本成功后,还是体会到了AWD的乐趣,有点意思~ 准备工作: 通过WinSCP(Xshell等)连接登录后,备份/var/www/html,将此目录下的所有文件拖入D盾,发现部分漏洞。???? [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xtLfe397-1605103291707)(/temp/AWD/simple/D.jpg)] 挨个修叭 1 .config_com
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2417
2022 CISCN 初赛pwn的完整wp
buuctf ciscn_2019_n_3
weixin_45677731的博客
08-31 304
do_new函数: 申请一个0xc大小的chunk,前四个字节存放的是输出函数的地址,中间四个字节存储的是删除函数的地址,最后四个字节,因数据类型的不同而不同 当你选择整数类型,最后四个字节存放的就是一个数字 当你选择文本类型,你就可以向程序请求申请一个一定大小的chunk用于存放文本,而最后四个字节存放的就是这个新的chunk的地址 do_dump函数: 输出内容 do_del函数: 发现free并未将指针置0,再看rec_int_free函数和rec_str_free函数,也没有置0,存在UAF的漏
[BUUOJ] ciscn_2019_n_3
Joaus的博客
10-06 1882
这里写自定义目录标题漏洞点漏洞利用exp 漏洞点 可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞: 漏洞利用 由于本题将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。 我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指...
ciscn_2019_n_3
qq_53062301的博客
08-09 154
一道uaf的题目,不是很难,题目还是一个菜单题目,但是它的add功能具有两种type,一种是存储int类型的整数,一种是str字符串,它先会申请0xC大小的堆块,如果是int类型的话,就不会申请新的堆块,并且堆的布局如下: size+1(1是标志位)(0x11) *int_print *int_free value 如果申请是str类型的话,chunk布局如下: size+1(1是标志位)(0x11) //chunk1 *str_print *str_free .
ciscn_2019_n_3 Writeup
Calllin的博客
05-10 525
前提 本程序中的释放堆块后未对堆块指针置空,从而可能引发UAF。 程序本身带有函数system(),可以直接使用system@plt的方式使用该函数。 涉及堆块结构的代码如下下文所示,第一种块大小固定位0x10(0x11),有一种块大小可控,最大为0x400。 //当堆块结构是integer时 *(_DWORD *)v3 = rec_int_print; *(_DWORD *)(v3 + 4) = rec_int_free; *(_DWORD *)(v3 + 8) = ask("Value"); //
ciscn_2019_n_3题目细说
Tw0的博客
02-04 271
修正一些exp讲解思路不对的地方,讲述真正getshell的原理。
BUUCTF|PWN-ciscn_2019_n_1-WP
l2645470582_的博客
07-28 365
1、下载文件并开启靶机 2、在Linux系统中查看该文件信息 checksec ciscn_2019_n_1 3、文件查出来是64位文件,我们用64位IDA打开该文件 3.1、shift+f12查看关键字符串 3.2、双击关键字符串cat/flag,再按F5进入反编译代码区 3.3、cat/flag地址为 v1地址: r返回地址: 4、编译代码 #encoding=utf-8 from pwn imp...
Docker + PyFlink1.17 数据写入 MySQL
最新发布
开码河粉
06-15 323
docker, flink 1.17 , mysql,实现数据etl
互联网大数据求职面试:从Zookeeper到数据挖掘的技术探讨
FS1HelloWord的博客
06-10 769
这篇文章通过对话形式展示了互联网大数据求职者的面试过程,涵盖了从分布式协调到数据挖掘的多个技术点,结合了实际的业务场景,比如电商数据分析和实时数仓等。程序员小白在面试中对技术问题的应对,展现了学习和成长的过程。
Hive 序列化与反序列化:数据的 “打包“ 与 “拆箱“ 艺术
HENANwuyanzu66的博客
06-13 1356
想象一下:你要把一只活蹦乱跳的兔子从北京快递到上海,直接扔箱子里肯定不行 —— 对象在内存里是 "活物",但要存硬盘、走网络就得先 "打包" 成字节流。这就是序列化的核心使命!
ciscn_2019_n_8
03-24
### 关于CISCN 2019 N8题目的解析 在全国大学生信息安全竞赛(CISCN)中,Web方向的题目通常涉及漏洞利用、文件包含、反序列化攻击等内容。对于CISCN 2019中的N8题目,其核心考点可能围绕PHP反序列化漏洞展开。 ##...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值