BCTF2017 BabyUse

最新推荐文章于 2022-09-27 12:07:47 发布
最新推荐文章于 2022-09-27 12:07:47 发布
阅读量132 收藏
点赞数
原文链接:http://www.cnblogs.com/Ox9A82/p/6736707.html
版权

BCTF2017 BabyUse

问题

问题在于drop函数中在释放块之后没有清空bss_gun_list中的指针。
一般因为存在对bss_gun_flag的验证,所以不会出现什么问题,但是在use功能中没有验证bss_gun_flag

 struct_ptr = bss_gun_list[global_index_saved];

因此use功能存在UAF,不得不说这个设计的还是比较隐蔽的,有点考验眼神。

想法

首先因为题目给了我们分配任意大小堆块的能力,并且我们在阅读代码时候发现并没有对分配的内存进行清零。
这就存在内存未初始化漏洞,我们可以通过布局读出之前释放的usorted块中的fd和bk地址,从而计算出libc的基地址。
其次,我们考虑的是利用UAF漏洞去控制gun结构中的函数表地址,我们在issue部分说了,UAF限制了其它功能唯独没有限制use功能,因此我们的目的就是构造函数表地址,然后进行跳转。

做法

前面提出了利用的思路,但是在实际利用的时候会发现内存未初始化因为存在着'\x00'截断实际上是泄漏不了的。因此这道题的泄漏是一个问题,我在泄漏时尝试了一些内存布局比如

buy(1,15,'a'*15)
buy(1,31,'a'*15)

select(0)
drop(0)

rename(1,15,'AAAA\n')
buy(1,15,'a'*15)
use()

结果发现drop之后再buy的话会挤占掉UAF结构的指针 ORZ。。

这道题应该是晨升师傅做出来的,不得不膜一发。我真是没想到能利用输入时的那个空字节进行部分覆盖,覆盖之后就可以直接得到主模块的基地址和堆基址了。
之后直接泄漏got就能得到libc,再伪造函数表就可以了,这里不多说了。

转载于:https://www.cnblogs.com/Ox9A82/p/6736707.html

weixin_30492601
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ROIS_BCTF2017_Re_writeup
JasaLee的博客
04-19 1227
pingpong 刚刚过去的BCTF-2017有一道Mobile逆向题,下面放出我的解题思路 题目链接: https://pan.baidu.com/s/1boUKogv 密码: 9b52 拿到题目用JEB打开 得到两个比较有用的函数 public void onClick(View arg7) { if(MainActivity.this.tt % 2 == 1
BCTF 2017 babyuse
weixin_30726161的博客
04-17 150
看到这个题目的名字,我就想起了0CTF被babyheap支配的恐惧233。 在sub_12CE函数中存在两个漏洞,一个是任意地址读,一个是UAF漏洞,所以我的思路是先泄露全局变量stdin中的值,从而计算出libc基址,然后触发UAF漏洞,跳到libc中one gadget的地址,直接起来一个shell。 由于程序开了PIE,所以需要爆破程序基址,32位程序也挺容易爆破的。 ...
house-of-force-bctf2016_bcloud
csdn546229768的博客
01-28 1045
题目:bctf2016_bcloud 不得不说这题细节做的真好,如果不认真看还真找不到利用点 保护 分析 main函数: add函数: 因为在malloc是加上了4所以通过这里off-by-null行不通 dele、edit函数没有常见漏洞 重要函数 0x80487A1函数: 0x804868D函数: 注意看我注释上面的序号 当我输入长度为0x40时,经过read函数会在后面填充一个null字节,但是因为原本这块栈空间本来就经过了初始化全是null,所以并不会对数据造成影响,到了第二步malloc
XCTF 3rd-BCTF-2017——100levels
05-08 358
64位程序,没开canary,但开了PIE  #爆破 #vsyscall 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 int v3; // eax 4 5 set(); 6 put_logo(); 7 while ( 1 ) ...
2016 BCTF bcloud
最新发布
yms0211的博客
09-27 331
house of force练习题 :2016 BCTF bcloud
BCTF_Writeups
03-14
百度杯BCTF线上赛前8名队伍的Writeup,大家可以学习一下,推荐看217写的。
BCTF-Writeups.rar
09-30
【标题】:“BCTF-Writeups.rar”是一个关于网络安全竞赛BCTF的解题报告集合,其中可能包含了参赛者们对于比赛中的各种技术挑战的分析、解决方案和心得。 【描述】:这个压缩包文件“BCTF-Writeups.rar”暗示了其...
2014BCTF re400.rar
09-30
2014BCTF re400.rar
2016 bctf exploit bcloud 400.rar
09-30
【标题】"2016 bctf exploit bcloud 400.rar" 提供的信息表明,这是一个关于2016年网络安全竞赛“蓝帽杯”(Bluehat Challenge)中的一个漏洞利用案例,目标是“bcloud”系统,难度级别为400。在信息安全领域,...
ctf-archives:CTF档案
05-11
2017年质量 CTF时间 联合会 2020年 CTF时间 航空 2021年 CTF时间 2019年 CTF时间 AppSecVillage(CTF)2 2020年 CTF时间 BCTF 2018年 CTF时间 BSides阿尔及尔 2020年质量 CTF时间 BSidesBOS 2020年 CTF时间 ...
bcloud_bctf_2016
z1r0的博客
02-26 415
bcloud_bctf_2016 查看保护 程序开头有两个漏洞第一个漏洞在这里,填满0x40个数据时可以将后面的堆的地址给输出出来。 接着这里将s给填满0x40,接着填入0xffffffff。就可以将top chunk的size改为-1也就是0xffffffff。 攻击思路:因为可以改top chunk的size。笔者这里使用house of force这个攻击手法。因为可以泄露堆地址,借助堆地址将地址申请到存放heap的地址那里(这个时候就可以改heap的地址),将heap的地址改成free的got
攻防世界-PWN进阶区-1000levevls(XCTF 3rd-BCTF-2017)
weixin_44145820的博客
02-29 799
这道题是攻防世界上面一道六星的pwn题,比起之前的还是挺有难度,做完也有很大收获 题目分析 首先checksec查看开启的保护 可以看到这题比之前的题目多了一个PIE保护,下面就简单介绍一下什么是PIE PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局变量段(.bs...
xctf的一道题目(77777)
weixin_30337157的博客
03-12 215
这次比赛我没有参加,这是结束之后才做的题目 题目链接http://47.97.168.223:23333 根据题目信息,我们要update那个points值,那就是有很大可能这道题目是一个sql注入的题目,首先要找到那个points值,随意点一下其他几项 Points值在这里 这里有部分代码 这个不知道是什么 发现了代码,那就是要先看一下代码 可以看到这里传进来了两个参数,一个是fla...
ctf pwn 个人经验记录
jmp esp
05-22 8866
前言记录一下自己在做pwn的过程当中学到的一些东西,以前不知道的东西等等,碰到的坑也会记录在 这里,主要目的是帮助自己记录一下经验。其实每一道题基本上能学到的新东西是有限的,记录下来避免什么时候想不起来。顺序比较乱,基本上根据我做题的顺序定的,比较随意。pwnother place(not from ctf) 多用gdb调试,有思路可以先写出来调试一下看看效果再说 遇见pie考虑写malloc_h
强网杯 - JustRe - writeup
哒君的博客
05-29 1284
JustRe 文件链接 -> Github 初步分析 使用32位的IDA打开文件 按 shift+F12 搜索字符串,找到了带有 flag{%.26s} 字样的字符串。根据交叉引用找到该字符串被引用的代码段 发现 test eax,eax 这句代码上方的代码IDA识别不出来。按下 [space] ,查看上方的代码是什么样的 我们发现它调用了这个函数,跟进去看一下 发现端倪了,这里使...
Linux pwn入门教程(7)——PIE与bypass思路
子曰小玖的博客
06-04 2032
https://bbs.ichunqiu.com/thread-43627-1-1.html 0x00 PIE简介 在之前的文章中我们提到过ASLR这一防护技术。由于受到堆栈和libc地址可预测的困扰,ASLR被设计出来并得到广泛应用。因为ASLR技术的出现,攻击者在ROP或者向进程中写数据时不得不先进行leak,或者干脆放弃堆栈,转向bss或者其他地址固定的内存块。而PIE(position...
2017 bctf boj writeup
jmp esp
05-22 976
BCTF 2017 BOJThis is a very interesting challenge for me. We were given a working oj on http://oj.bctf.xctf.org.cn, there was only a single classical problem a + b on it. I tried several times to play
BCTF 2016 bcloud
Bill
04-09 1320
BCTF 2016 bcloud 漏洞简介 House of Force: 修改top chunk的size域,来达到我们任意地址读写的目的. 程序运行(主要功能) 1. welcome Input your name: Bill Hey Bill! Welcome to BCTF CLOUD NOTE MANAGE SYSTEM! Now let's set syn...
2016BCTF-bcloud分析
小强的博客
08-16 1326
这是一道CTF题,涉及到The House of Force技术 文件及writeup可以在http://uaf.io/exploitation/2016/03/20/BCTF-bcloud.html 下载,另外还有http://www.freebuf.com/news/topnews/100143.html、https://github.com/ctfs/write-ups-2016/tr
CTF_and_Real_World.pdf
01-02
- BCTF/XCTF:由360公司和阿里巴巴等企业主办,具有较高影响力和技术含量的CTF比赛。 除了中国,全球最著名的CTF赛事莫过于DEFCON CTF总决赛,被誉为所有CTF比赛的世界杯。这个比赛通常采用攻防模式,参赛队伍之间...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值