攻防世界进阶noleak

最新推荐文章于 2022-04-09 16:37:20 发布
最新推荐文章于 2022-04-09 16:37:20 发布
阅读量402 收藏
点赞数
分类专栏: ctf-pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42728977/article/details/105358127
版权
本文详细解析了XCTF 4th-QCTF-2018 noleak挑战,涉及漏洞包括UAF、unsorted bin、stack、partial write bypass PIE和unlink。作者通过分析程序流程,探讨了如何利用这些漏洞,特别是通过unlink绕过检查实现任意地址写,以及如何寻找并修改malloc_hook来执行shellcode。文章中还提到了内存分配规律和爆破技巧。
摘要由CSDN通过智能技术生成
题目:XCTF 4th-QCTF-2018 noleak
难度:****
漏洞点:UAF \unsorted bin sttack\partial write bypass PIE\unlink

参考链接:
伪造堆块绕过unlink检查(ctf-QiangWangCup-2015-shellman)
攻防世界PWN之Noleak(一题学了好多知识)题解
ctfwiki
CTF pwn 中最通俗易懂的堆入坑指南

查看题目基本信息。
在这里插入图片描述
这个题还有一些疑问,但大体思路已经明白了。有想法后续再去更。
首先看程序的大体流程。
在这里插入图片描述
菜单堆。逐个分析函数。发现漏洞点。挺多的。
在这里插入图片描述
在这里插入图片描述
delete里没有清空在野指针,update里没有检查size,漏洞真多。但是这个题坑的地方在没有输出。就很麻烦。
所以想的大致思路是,因为开了RELRO: Full RELRO保护,不好修改got表,修改malloc_hook(就是malloc钩子,调用malloc就会调用malloc_hook里的指针)。而想要修改malloc_hook我们就想到了unsort bin sttack,然后呢,我们需要malloc_hook指向何处呢,由于没开NIX,所以来一段shellcode吧,写在bss段吧,但是如何写进去呢,这就需要unlink的任意地址写了。

unlink是什么
大致意思是我要free一个small chunk ,如果临近的chunk是已经free的,那么就会将这个临近chunk从双向链表中脱离。(图片取自ctfwiki)
在这里插入图片描述
所以我们需要一段内存写shellcode,那么我们想用unlink任意地址写,而unlink绕过的化就能任意地址写了,为啥?上图解释,这点需要悟性。
我们在create里看到buf数组我们申请的地址
在这里插入图片描述
在bss段,我们想我们我们就想着unlink要想任意地址写,我们控制住buf即可,因为我们是根据buf里的指针进行update的。而unlink是如何做到的呢。上图了。
我们先申请两个chunk,大小都是0x100
在这里插入图片描述
看下buf
在这里插入图片描述
我们在修改chunk0,在chunk0里制造一个假chunk,同时修改chunk1,pre size 以及标志位,让他在free的时候认为fake chunk是空闲chunk,进而触发unlink。
在这里插入图片描述
然后free chunk1,但是unlink有检查怎么办,在这里就会检查fake chunk->fd->bk和fake chunk->bk->fd是否相等,而且绕过之后,fake chunk->fd->bk=fake chunk->bk,fake chunk->bk-fd=fake chun->fd。想想咋绕过,检查两者相等,那让两者最终指向同一位置即可啊。我们fakechunk里的fd和bk分别是。
在这里插入图片描述
就是buf-0x18以及buf-0x10,
在这里插入图片描述
就是buf-0x18->bk=buf[0],buf-0x10->fd=buf[0],二者一样。就饶过了。
而又因为unlink了,所以buf-0x18->bk=fachunk->bk,buf-0x10->fd=fakechun->fd。就是buf[0]=buf-0x10,buf[0]=buf-x018。
最终导致buf[0]=buf-0x18,这是什么概念,我们可以覆盖buf[0],进行任意地址写了。
在这里插入图片描述
看到buf[0]已经被修改了。进而我们将buf[0]修改为bss,最后加入shellcode。这个放到后面,因为bss和buf位置太近,容易覆盖掉buf,到最后再加写入shellcode。
好了我们已经解决shellcode的问题了,那下面就是如何找的malloc_hook了。这里就用到unsortbinattach。
开始申请。

    create(io,0x10,'\x02'*0x10)#chunk2
    create(io,0x80,
最低0.47元/天 解锁文章
qq_42728977
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界-PWN进阶区-Noleak(XCTF 4th-QCTF-2018)
weixin_44145820的博客
03-01 886
本题主要考察对堆的利用,需要有一定的背景知识,本文也参考了几篇大佬的Writeup,让本文尽可能详细。 题目分析 checksec: 本题的RELRO是完全开启的,意味着我们不能通过修改GOT表来进行攻击 以下是源代码: main函数 delete函数: 这里可以看到free之后没有把指针置空,可能有UAF或者Dubble Free edit函数: 在本函数中,没有检测大小就直接写入,明显...
攻防世界(MISC)高手进阶
doraemon12345的博客
11-25 353
1.embarrass 下载附件是一个流量分析题,还挺大的,这个时候就很难再一个一个看了,借助工具寻找,放入kali里面执行下面一段命令 可以得到flag 还有一种方法放入winhex里面搜索文本“flag{”得到flag{Good_b0y_W3ll_Done} 2.神奇的Modbus 下载附件也是一道流量分析,但是文件比较小,可以先看一下在看到第四个流的时候发现flag提交flag:ctf{Easy_Mdbus} 3.can_has_stdio? 文件是一个用字符组成的五角星,这是一种加密方式brainf
unsort bin attack -攻防世界 noleak
csdn546229768的博客
12-09 720
带着问题的学习是有效的 例题:攻防世界noleak ,这题解法好像有多种但是我是刚接触堆也是抱着学习的姿势学习攻击思路,这里就先例举我看明白的2种方式(爆破(在爆破__malloc_hook文章里面)、unsort bin攻击) 在ida分析后得到以下结果: 总结: 1.用于保存chunk指针的bss数组最多存储10个 2.free时有double free、uaf漏洞 3.可以编辑free chunk数据,有堆溢出漏洞 4.因为程序简单但是因为开了got不可写的措施导致题目有了很多玩法 没有开N
攻防世界(pwn)Noleak
PLpa的博客
03-03 1561
前言: 看了大佬们的writeup,发现这题解法真的非常多,我这里用的是unsortedbin的地址写漏洞,详情可以看ctfwiki了解漏洞原因。 没开NX,有可以执行的堆栈,但是开启了Full RELRO,不能修改got表地址了。 打开IDA: 发现是一个菜单题,可以创建,删除,更新堆快信息,没有输出信息的选项,果然Noleak。 我们这里可以一个一个功能去看,看看漏洞存在哪里: 经过观察...
爆破malloc_hook -攻防世界 noleak
csdn546229768的博客
12-09 547
例题:攻防世界noleak 首先在不用unsort bin的情况下进行攻击,那么我们怎么拿到__malloc_hook的地址呢? 攻击思路:将shellcode放入程序的bss段(0x601020)通过__malloc_hook执行bss中的shellcode,为什么需要爆破呢, 因为我们实际上是获取不到 maloc_hook的地址的只是将它写入到了一个地址处,然后通过fast bin attact 攻击,因为fast bin的fake chunk需要检查size位,既然创造size位,那么libc-2-2
web攻防世界进阶
qq_46041723的博客
09-25 278
upload1 说来惭愧,一星难度难到了我。打开题目场景,发现 发现提示上传文件,那应该就是文件上传漏洞了。直接一句话木马上传发现提示 然后打开网页源代码发现js代码验证文件类型 然后就修改文件后缀为jpg上传发现上传成功,用菜刀连接失败,是因为没有修改后缀的原因。这里有两种解题思路。 一、F12打开控制界面窗口,删除disabled即可上传成功.php文件。 上传成功。 这个题目很简单,直接给了上传路径。然后浏览器搜索路径,发现打开页面无异常。即可直接菜刀连接。 找到flag。 二、brups
无线网络安全攻防实战进阶
01-28
无线网络安全攻防实战进阶,无线网络安全攻防实战进阶,有问题加q1186351245
攻防世界进阶upload
舞动的獾
07-05 5368
攻防世界进阶upload 注册登陆后,发现上传页面 试着上传一个文件3.php: 内容如下: <?php eval(@$_POST['a']); ?> 我们试着将它改个名字抓包,并且改为jpg,措辞测试发现只有jog能够传上去 虽然上传成功,但是并不能显示出文件名的位置,蚁剑连接失败 看到回显名称有uid号,无奈的丝毫没有头绪 只好看了大佬的博客,竟然是注入,文件名称注入 当...
攻防世界PWN之Noleak(一题学了好多知识)题解
seaaseesa的博客
11-13 3748
Noleak 本题需要用到的知识有:malloc_hook、unsorted bin unlink、fastbin attack、partial write bypass PIE 首先,介绍一下malloc_hook,这是C语言提供的一个用来包装malloc的,类似还有free_hook,具体可以查阅相关资料学习 Malloc hook 我们看如下代码 #include&...
noleak_app
11-28
noleak_app
攻防世界 web进阶 NewsCenter
weixin_43345082的博客
06-12 1482
看到这道题没什么头绪,扫完之后没有什么有用的信息 只有一个输入,试试sql 首先判断列,1’ order by 3# 有3列 首先去爆库 1’ union select 1,2,database()# 库是news,继续爆表 看到一个secret_table,爆他的列 1’ union select 1,2,column_name from information_schema.colum...
攻防世界进阶区write up1~6(一)
GZWZ_的博客
04-09 2276
我是边做边更新,让自己有点动力,欢迎大家指正交流啊!
攻防世界-web高手进阶
zji
04-25 6515
文章目录攻防世界-web高手进阶区一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶区 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
Noleak(xctf)
weixin_43868725的博客
08-19 483
0x0 程序保护和流程 保护: 流程: main() create() delete() free之后没有将指针置空,存在UAF。 edit() 没有对输入数据的大小作出限制,存在堆溢出。 0x1 利用过程 1.题目中的got表不可写,又没有输出函数,无法泄露地址,但是堆栈上可以执行代码,所以需要一个可执行的指针变量指向shellcode的地址,才能够执行shellcode。 2.可以使用Unsorted bin attack改写buf中指向chunk的地址为main_arena的地址,之后通过u
攻防世界web进阶区fakebook详解
hxhxhxhxx的博客
07-24 775
攻防世界web进阶区fakebook详解题目详解tips 题目 详解 注册框很可疑,我们抓包,sqlmap一把梭 python2 sqlmap.py -r wuzi.txt 发现了五个数据库,但是很可惜,都没有我们想要的flag,当我们查看fakebook的内容时,发现是用序列化来存储的 到这里我们思路就断了, 我们再来御剑一把梭 打开flag.php发现并没有什么作用,那么我们继续扫描 这时候,在robots.txt中发现了备份文件 <?php class UserInfo
Xman 选拔赛 NoLeak writeup
charlie_heng的专栏
08-09 794
很久没发博客了,就随便写一下吧 想出一道House of Roman的题,然后去找了下类似的题目,记起来选拔赛的时候好像有一道NoLeak,那时候队里面的师傅做了,我就懒得做了,现在回顾了下,发现根本不用house of Roman就能get shell,直接partial write就可以写malloc hook,然后将shell code 写到bss段,跳到bss段get shell 下面...
攻防世界-Noleak-Writeup
aptx4869_li的博客
01-19 347
解题思路 参考一位大佬的解题思路: https://www.freesion.com/article/3386496214/ ,结合自己的理解与分析完成此题的漏洞利用 基本信息查询 healer@healer:~/Documents/CTF/PWN/Noleak$ readelf -h timu ELF Header: Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 Class:
XCTF 4th-QCTF-2018——Noleak分析
Eagle_hwei的博客
02-14 604
Noleak的题目分析 2020-02-1321:52:33 by hawkJW 题目附件、ida文件及wp链接   这道题考察的比较综合,设置到方方面面的知识点,这里记录一下   1.  程序流程总览 首先,还是老规矩,看一下保护情况   可以看到,RELRO保护全开,则没有办法修改got表了,同时开启了Canary保护,栈溢出可能也有一定困难;但是我们看到,有NX没有开启,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值