[BUUCTF]PWN——roarctf_2019_easy_pwn

最新推荐文章于 2024-03-12 21:30:23 发布
最新推荐文章于 2024-03-12 21:30:23 发布
阅读量257 收藏
点赞数
分类专栏: pwn ctf 新手
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51687381/article/details/119198253
版权
新手 同时被 3 个专栏收录
23 篇文章 0 订阅
订阅专栏
ctf
15 篇文章 0 订阅
订阅专栏
pwn
11 篇文章 0 订阅
订阅专栏

白天睡觉,晚上来写道题。

这道题涉及了unsortedbins,malloc_hook,堆溢出。

heap的菜单选项常规题,做到目前为止,主要是两个思路:

先check,根据RELRO。如果为full,那么就需要malloc_hook。如果为partial,就直接更改got表就可以了。

在create函数中可以明显看出来这是个结构体

一个结构体有24个字节,前8个为标志位,中间8个size位,后8个是alloc出来的chunk的指针。

(alloc和malloc不同的是 alloc的free后会清空用户数据区)

其中a1 为基地址,我一开始还打算去找这个a1,

但是看到这个a1的初始化。

这里面buf是随机数字,所以a1搜寻未果。

fill函数中,没有根据chunk的大小来限制写入大小。所以存在着溢出漏洞。

主要思路就是,根据unsorted bin 中的fd。利用main_arean泄露libc(这个还没有查阅资料)

然后利用之前布置好的盖在小块的大块来dump出来。

接下来是漏洞利用。钩子函数详细,可以查阅这个资料

https://blog.csdn.net/qq_41453285/article/details/99315504

里面介绍的很清晰,具体思路就是,在钩子函数之前有一个为末位的一块内存区域,因为fastbin中没有对齐限制。所以我们可以修改fastbin中最后一个的fd指针,指向这里,让fastbin将它加入,然后在malloc一下,之后就可以通过溢出(具体溢出长度,上面那个资料中有详细的介绍)来修改malloc_hook 处的内容:malloc函数执行的时候会先检测__malloc_hook是否为空,如果不为空就执行__mallochook。所以这时候把malloc_hook 修改为一个one_gadget的地址(好像是存在这几个固定的地址。只需要libc的基地址加上这个偏移)

那么最后再malloc一个chunk就可以触发 one_gadget。

果然还是多做题才能多涨姿势。

但是套路应该就是这几个套路了。

难题可能在泄露libc上下难度,目前我觉得应该就是这几个套路了,后续继续学习新的漏洞利用手段。

 

 

 

Hush^
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WICCTF-2021-easypwn
05-12
2021津门杯ctf的第一道pwn题。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
new-easy(pwn)
最新发布
m0_72827793的博客
03-12 1260
由于栈溢出攻击的主要目标通过溢出覆盖函数栈高位的返回地址,因此其思路是在函数开始执行前,即在返回地地址前写入一个字长的随机数据,在函数返回前校验该值是否被改变,如果被改变,则认为是发生了栈溢出。与ASLR保护十分类似,PIE保护的目的是让可执行程序ELF的地址进行随机化加载,从而使得程序的内存结构对攻击者完全未知,进一步提高程序的安全性。ASLR的目的是将程序的堆栈地址和动态链接库的加载地址进行一定的随机化,这些地址之间是不可读写执行的为映射内存,降低攻击者对程序内存结构的了解。
[BUUCTF]-PWN:roarctf_2019_easy_pwn解析
2301_79326813的博客
02-03 1397
先看保护64位,got表不可写看ida大致就是alloc创建堆块,fill填充堆块,free释放堆块,show输出堆块内容这里要注意的点有以下alloc创建堆块:这里采用的是calloc而不是malloc,calloc在创建堆块时会初始化也就是清空相应的内存空间,而malloc不会,这里使用calloc创建堆块fill填充堆块:这里它限制了填充的字节大小不得超过堆块大小,但如果填充大小正好大于堆块10字节的话,就可以多溢出一个字节,存在off by one漏洞。
PWN刷题】Pwnable-calc、Buu-roarctf_2019_easyrop
QYbudong的博客
05-06 1490
今天事略多,做一道pwnable+一道有分的buu吧一、Buu-roarctf_2019_easyrop。
buuoj刷题记录 - roarctf_2019_easy_pwn
qq_34010404的博客
03-17 192
检查一下保护: 拖进IDA分析程序: 问题处在write函数中, 最后可以溢出一个字节. 思路:溢出一个字节覆盖下一个chunk的prev in use标记位.然后向前合并,构造重叠chunk。 下面是我的构造方法: create三个这样的chunk free掉0 ,然后利用chunk1 覆盖掉chunk2的prev in use 标记位.同时在chunk1内布置好prev size.(glibc-2.23不会通过prev size 找到chunk ,然后比较前一个chunk的size,所以
[BUUCTF]刷题记录-----roarctf_2019_easy_pwn
KaliLinux_V的博客
02-01 221
现在free chunk1它就会加入unsorted bin,然后再创建一个0x90大小的chunk,这是就会把chunk1给我们,然后再还原原来的chunk2。这样就伪造了两个chunk的大小,但在程序中储存的chunk1的size值不是0x90而是0x10,chunk2不是0x10而是0x90,即使chunk1现在是0xa1的大小,但只能编辑0x10的字节。edit函数中有个问题,就是编辑时输入的size减去添加时的size时的值为10时,可以多输入一个字节,纯在off-by-one漏洞。
攻防世界PWN之EasyPwn题解
seaaseesa的博客
11-15 3699
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
攻防世界easypwn
weixin_44447516的博客
08-01 495
攻防世界 EasyPwn
Ichunqiu_Easypwn
钞sir的博客
01-28 4023
轮回池前彼岸花 三生石旁那道疤 擦不去的眼中莎 泪眼迷离失去她 https://cc-sir.github.io/2019/01/28/ichunqiu_easypwn/ 方法 这道题是i春秋CTF的一道题,也是“百度杯”CTF比赛 十二月场中的一道pwn,这道题比较简单 我们先看看这道题的保护机制: sir@sir-PC:~/desktop$ checksec easypwn [*] '/ho...
BUUCTF pwn wp 146 - 150
fa1c4的blog
04-30 544
hitcontraining_playfmt gwctf_2019_easy_pwn bctf2016_bcloud asis2016_b00ks warmup
攻防世界 Pwn 进阶 第二页
yongbaoii的博客
02-18 634
00 为了形成一个体系,想将前面学过的一些东西都拉来放在一起总结总结,方便学习,方便记忆。 攻防世界 Pwn 新手 攻防世界 Pwn 进阶 第一页 01 4-ReeHY-main-100 超详细的wp1 超详细的wp2 03 format2 栈迁移的两种作用之一:栈溢出太小,进行栈迁移从而能够写入更多shellcode,进行更多操作。 栈迁移一篇搞定 有个陌生的函数。 C 库函数 void *memcpy(void *str1, const void *str2, size_t n) 从存储区 str2
攻防世界-PWN-new_easypwn
aptx4869_li的博客
07-31 2525
攻防世界的格式化字符串漏洞利用,简单题
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 396
buuctf-pwn 001-016题wp
划分数列
qq_51687381的博客
01-31 790
【问题描述】 给你一个有n个正整数元素的数列,要求把它划分成k段,使每段元素和的最大值最小。 【输入格式】sqea.in 输入第一行两个正整数n,k 第二行为此数列ai。 【输出格式】sqea.out 一个数,表示每段元素和的最大值最小的那个数。 【样例输入】 5 2 2 1 3 4 5 【样例输出】 9 【数据范围】 n <= 100000, k <= n, 0<=ai <= 109 talk is cheap,show me your code` #include<iost
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值