PWN的一些做题记录

最新推荐文章于 2024-02-06 18:08:40 发布
最新推荐文章于 2024-02-06 18:08:40 发布
阅读量449 收藏
点赞数 1
分类专栏: 学习日记 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zoxiee/article/details/111939630
版权

基本只记录思路,不贴exp
更多PWN基础知识笔记可能在这里

hitcon2016 houoforange

思路:2.23,unsortedbin attack伪造IO_FILE和vtable,要libc.symbols[’_IO_list_all’]

程序可以无限制溢出,从而修改unsorted bin内容,直接把unsortbin的size修改为0x60(small bin),同时修改bk位置为IO_list_all-0x10,从而往任意地址写unsortednom本身地址,因为

unsorted_chunks (av)->bk = bck;#bck即target
bck->fd = unsorted_chunks (av);

然后在这个smallbin中伪造IO_FILE和vtable。IO_FILE需要伪造fp->_mode <= 0,fp->_IO_write_ptr > fp->_IO_write_base,vtable指针地址(chunk_base+???)和vtable中的__overflow地址

当程序再次malloc时,经过unsorted bin第一个chunk(smallbin)不符合,把其放到main_arena对应位置(main_arena+88+0x68,即bin[10],即0x60对应位置),IO_list_all被修改为main_arena+88,因为该_IO_FILE_plus结构有问题,所以会从对应_chain位置(0x68)找到下一个FILE结构体,刚好是0x60 small bin的位置,接着触发malloc corruption(__libc_message->abort->_IO_flush_all_lockp->vtable._overflow)。

[为什么要伪造0x60][https://www.cnblogs.com/shangye/p/6268981.html]

如何计算chunk对应bin位置

IO_FILE伪造模板2.23:

paylaod=p64(0)*4

payload+=p64(0)+p64(1)#_IO_write_base<_IO_write_ptr 

payload+=p64(0)*21

payload+=p64(chunk_base+下面的地址偏移)#vatable 

payload+=p64(0)*3+p64(one_gadget+libc_base)

反思:malloc free的过程还不够熟练,IO_FILE不知道找哪个符号

SCTF08 bufoverflow_a

难点:如何泄露heap基址,存在限制时的offbynull,2.24版本vtable劫持(与2.23不同)

libc基址:如果malloc delete时没有特殊操作,通过从unsortedbin拿出可泄露libc基址

heap基址:heap基址一般只在fd_nextsize出现,通过free一个largebin chunk1到unsortedbin里,再申请大于该chunk的chunk,即可把chunk1放到largebin中。然后通过free掉所有chunk,申请一个chunk刚好到chunk1的size位置,再申请一个chunk时,fd_nextsize刚好在这个chunk的data域。

存在限制的offbynull:该题当malloc超过三个堆块时,会使用calloc进型初始化。使用offbynull的向前合并方案一时需要伪造好第一个chunk的fdbk以绕过unlink检查。此时虽成功overlap,但是因为程序存在限制,最终程序记录了三个堆块需要删除一个,还需进行一些操作。参考这里面,最终构成unsortedbin的overlap

vtable劫持:2.24新增检查vtable指针必须在__stop___IO_vtables 和 __start___libc_IO_vtables范围之内参考堆利用unsortedbin方案二,利用__IO_str_jumps这个vtable来绕过。

需要知道elf.symbols[’_IO_list_all’]、elf.symbols[’_IO_file_jumps’]

2.24利用模板:(原理reference未找到)

payload=p64(0)*3+p64(0x61)
payload+=p64(0)+p64(_IO_list_all+libc_base-0x10)#bk
payload+=p64(0)+p64(1)#_IO_write_base < _IO_write_ptr  
payload+=p64(0)*21+p64(_IO_file_jumps+libc_base+0xc0)
payload+=p64(one_gadget+libc_base)

2.24不用onegadget

fake_file = p64(0) + p64(0x60) 
fake_file += p64(0) + p64(_IO_list_all_addr-0x10)   #unsorted bin attack,修改_IO_list_all为main_arena+88  
fake_file += p64(0) + p64(1)  #_IO_write_base < _IO_write_ptr  
fake_file += p64(0) + p64(binsh_addr)  #_IO_write_end 、IO_buf_base  
fake_file = fake_file.ljust(0xD8,'\x00')  
fake_file += p64(_IO_str_jumps_addr - 8)#vtable指针,同时,也作为fake_vtable的__dummy    
fake_file += p64(0) + p64(system_addr) #__dummy2、__finish

reference:

1

2

反思:

该题构建unsortedbin overlap的过程非常巧妙,有空多点开理解;

heap基址泄露一般要用到largebin,add和delete时不对chunk进行操作时可直接show(不用大块拆小块等技巧),不用进行overlap等操作。

houseoforange多多理解

XCTF 4th-QCTF-2018——Noleak

难点:2.23无回显信息,但是该题不用IO_FILE技术

程序:只有add edit delete,delete存在UAF,edit中存在无限制溢出

考点:通过unlink修改bss段堆指针为shellcode段地址和bss地址,shellcode也写在bss段中;通过unsorted bin attack修改目标地址为unsortbin的地址(main_arena+0x58);再进行部分写获得malloc_hook地址,在该地址上填上shellcode的地址

解决:因为malloc_hook和unsortbin地址相近,通过unsorted bin attack获取到unsortbin地址,其中的0x3c4b20就是main_arena的地址,而__maloc_hook在libc中的地址为0x3c4b10.把低地址修改为\x10,即可获得malloc_hook,对该地址任意写

reference:

1

纵横杯 wind_farm_panel

难点:无

程序:任意改堆块头数据,造成溢出,无free,与hitcon2016 houoforange基本一样

直接houseof orange改topchunk->size让他进入unsorted bin chunk,然后套路2.23利用IO_FILE即可

DASCTFxBJD Π

难点:plt表破坏(和XCTF华为云专场那个cpp一样),溢出如何用16进制表示3.1415926

程序:程序有一个scanf(“llu”,(float)a),llu可输入八字节,float为四字节,可溢出到隔壁数据

解决:plt破坏,用Ghidra反汇编打开会有更好的观感。但是cpp那道题不可以……

16进制表示float 3.1415926==》0x40490fda

z0xi
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn解题思路(1)
Shangku92的博客
06-07 620
from pwn import * import time context(arch='amd64',os='linux') context.log_level = 'debug' #io=remote("plaidflix.pwni.ng",1337) #p=process(argv=['./proc',args]) elf=ELF('./funnyrace') libc=ELF('./libc-2.31.so') #p = process('./funnyrace') def a(): sle..
[PWN]——格式化字符串漏洞(包含几种解题方法)
ysy___ysy的博客
01-19 2245
如果要自己采用"%x$n"的方式手动构造payload容易出错,所以使用pwntools中的FmtStr格式化字符串类来解决格式化字符串漏洞比较方便做题。如果有什么错误的地方请师傅们告诉我一下。本文制作不易,盗版必究。
CTF 一次PWN解题的小技巧
顶峰
03-28 1123
行文至此,本次测试也就结束了!文章略长,简单做个总结:在本文中,我们通过使用CTF示例讨论了漏洞利用开发的过程,我们了解了程序如何从argv和argc接收输入的参数。最后,了解了由于较小的随机范围,32位系统中的ASLR为何容易受到攻击,以及如何利用此漏洞进行攻击。我们可以使用 "scp "命令轻松地将我们的脚本上传到服务器的tmp目录下,就像这样。
做的第一道pwn
LL021101的博客
03-20 1242
做题步骤 一、使用Ubuntu,对pwn文件进行扫瞄; file语句主要用来看本文件是多少位的,是不是elf文件——ELF文件详解—初步认识_code&poetry的博客-CSDN博客_elf文件,(该链接详细介绍了elf文件的基本结构),图中显示64-bit,意思是64位的文件 checksec命令是用来查看该文件有哪些保护措施。 NX(DEP):数据执行防护 Canary(FS):栈溢出保护 RELRO(ASLR):(地址随机化) PIE(代码地址随机化)...
pwn做题环境1
08-08
pwn做题环境1
warmup pwn入门题
02-11
pwn入门题
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
welpwn pwn 入门题
02-11
pwn 入门题
CTF PWN 武器库题
12-12
"CTF PWN 武器库题"通常指的是这类竞赛中的一个问题,挑战者需要利用编程技巧来解决安全漏洞,获取系统的控制权。在这个特定的案例中,我们面对的题目是"rifle",它涉及到fastbin堆溢出,这是一种常见的内存管理漏洞...
pwn入门小技巧
qq_36918532的博客
05-24 2733
目前我所遇到的一些pwn做题技巧 我也是偶尔玩玩ctf,所以也不会很难的,所以这篇主要是帮助刚开始学习的人学习吧 首先知识点包括:栈,堆,整数溢出,格式化字符串 目前ctf的题越来越偏向于实际,有的会使用刚刚爆出来的CVE漏洞的,所以不能只局限于glibc 所以可以大体分为两类把:libc,kernel 栈利用:有ret2libc,ret2shellcode,ret2text,ropchain,ret2syscall,brop,srop等等,当然有时候还会有seccomp的只能使用ORW系统调用 堆利用:
python:实现哈希表算法(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
07-19 817
python:实现哈希表算法(附完整源码)
BUUCTF PWN方向 1-6题 详解wp
最新发布
qq_62564422的博客
02-06 1508
构造payload:变量声明后顺序入栈,每个标识表示变量所占栈空间底部,s为输入的变量,则其需要覆盖的长度为0X3C~0X00(0X3C字节),0X00处表示返回地址值(4字节)需要覆盖;返回地址的数据(8字节)(被垃圾数 据覆盖后则改为访问之后地址)+(返回地址 地址数+1)(远程端使用了ubuntu18,ubuntu18以上版本调用64位程序中的system函数需要栈对齐,在执行system时有一个指令需要栈对齐 ,所以地址+1)而且这个空间是连续的,v1之后就是v2,他们的内存块是接在一起的。
新手打pwn
m0_74736832的博客
07-05 1016
攻击者可以使用格式化字符串的特性,将一个特定的值写入到可以修改canary的位置上,从而绕过检测。它是C语言中的标准函数库,提供了各种基础函数和数据类型的定义,以及多个常用功能的实现。弹出时的数据顺序:由于栈的"先进后出"原则,"pop"指令弹出的数据顺序与它们被"push"到栈中的顺序相反。当使用"pop"指令弹出数据时,栈指针会自动向下移动,指向新的栈顶位置。x86架构(如Intel和AMD处理器)中的"pop"指令:在x86汇编语言中,"pop"指令用于将栈顶的数据弹出并存储到目标操作数中。
pwn的五道基础题
lllwky的博客
03-27 6784
文章目录一:ret2text1:服务器地址与端口号2:传入参数3:参数的接收范围4:找到bin/sh所在的地址二:your_nc三:overflow四:printf1:找到如何进入/bin/sh2:找到sth的地址3:获得格式化字符串的偏移量五:rop拓展: 一:ret2text from pwn import * context.arch="amd64" io=remote("101.34.90.86",10002) secure_addr=0x400852 payload=b"a"*0x10+b"a"*
BSides Delhi CTF 2018部分pwn题题解
Peanuts
11-03 920
本文后部分首发于先知社区 这个是一个比较基础的国际赛,做完之后的感觉就是其中有些题目很有价值,可以顺便补充一些信号机制、uaf使用的知识。 canary 这个题目比较简单,就是一个普通的stack smash并没有什么特别的,这里直接上解题思路了 解题思路 因为开启了canary,而且flag文件是加载到了bss段之中,所以可以利用_stackchk_failed函数进行一个flag...
pwn学习资料整理——ROP技术
recover517的博客
08-30 4603
1. 在32位程序中,参数是以什么形式进行传递的? 2. 在64位程序中,参数是以什么形式进行传递的? 3. 什么是return address? 4. 怎么利用控制栈空间来达到执行程序命令? 5. 32位中构造ROP 6. 64位中构造ROP
python从入门到秃头_《从入门到秃头之PWN蛇皮走位》
weixin_39727706的博客
12-03 195
本文由团队大佬咸湿小和尚总结编写0x01 读题并下载文件 南邮pwn题:cgpwna 这道题读出的信息,有IP:182.254.217.142 PORT:10001然后flag存放位置是在/home/pwn/flag那么按道理就是,我们使用远程连接182.254.217.142:10001然后执行命令cat /home/pwn/flag接下来问题就是怎么打了0x02 获取文件信...
1.pwn基础总结
热门推荐
admin的博客
10-03 1万+
Int_overflow # Int_overflow context(log_level='debug', os='Linux', arch='amd64') p = remote("pwn.blackbird.wang", 9501) payload = "2147483648" p.sendlineafter("Input an int ( <0 )\n", payload) p.interactive() ret2text from pwn import * conte.
ctf 简单pwn题资源
08-09
CTF 简单 PWN 题资源是指为了让参与网络攻防竞赛的选手提高他们在 PWN 领域的技能而准备的一些简单题目。这些题目通常要求选手对二进制代码进行逆向工程、利用漏洞并实施攻击,以获取题目提供的关键信息或获取系统控制权。 CTF 简单 PWN 题目的资源可以在各种在线平台上找到,例如 CTF 竞赛中常用的CTFd、pwnable.kr 和 picoCTF 等。这些平台提供了大量不同难度的 PWN 题目,从初学者到专业选手都能找到适合自己水平的题目。 此外,还有一些开源项目和教程可以帮助学习简单 PWN 题目的解决方法。例如,pwntools 是一个功能强大的 Python 库,提供了一系列与二进制漏洞利用相关的工具和函数。还有一些博客和视频教程,介绍了从入门级到高级级别的 PWN 解题技巧和常见漏洞的利用方式。 总结来说,CTF 简单 PWN 题目资源是指为了提高参赛者在 PWN 领域的技能而准备的一些简单的二进制漏洞利用题目。这些资源可以通过在线平台、开源项目和教程找到,对于想要在 CTF 竞赛中取得好成绩或提高网络安全技能的人们来说都是非常有价值的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值