supermarket(xctf)

最新推荐文章于 2022-05-15 01:03:17 发布
最新推荐文章于 2022-05-15 01:03:17 发布
阅读量466 收藏
点赞数
分类专栏: # xctf(pwn高手区) CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43868725/article/details/107898558
版权
本文详细分析了一个程序的保护措施和执行流程,重点讲解了如何利用Use After Free (UAF) 漏洞,通过改变描述符大小配合特定函数实现任意地址的读写。首先确定libc版本并利用输出函数泄露函数地址,然后通过精心操作堆块,最终达到控制程序执行的目的。
摘要由CSDN通过智能技术生成

0x0 程序保护和流程

保护:

protect

流程:

main()

main

real_main()

real_main

add()

add

依次输入aaaa,100,0x50,aaaa后的会分配两个堆块。

heap_overview

heap_data

heap_pointer的情况。

heap_pointer

del()根据输入的名字free掉相应的堆块,list()输出所有的信息,change_price()可以修改价格。

change_descrip()

change_descrip

在这个函数中,如果输入的size和原来的不一样的话就会调用realloc函数重新分配堆块。如果size比原来大则会free掉原来的堆块,并且重新分配一个堆块,但是程序并没有对指针信息进行修改,形成了一个UAF。

0x1 利用过程

1.由于题目给出了libc,首先需要确定libc的版本。

libc_version

确定libc版本后选择ubuntu16.04作为复现的系统。

ldd

2.要想泄露函数的真实地址必须使用输出函数进行输出,而程序给出的输出函数是根据&heap_pointer)[index] + 6中的地址输出字符串。

list

3.通过以上的分析可以的得出,如果可以控制&heap_pointer)[index] + 6中的数据再配合change_descrip()函数就可以实现任意地址读写了。

4.UAF(use after free),顾名思义就是在释放完堆块之后还可以对其进行操作,如果对Linux的堆管理器有一定认识的话可以知道,在堆块释放完之后,如果重新申请的堆块大小合适,会将之前已经释放的堆块重新分配。也就是说当程序在realloc函数的时候size比原来大,free掉之前的chunk,再重新调用add()生成两个堆块,第一个堆块的位置会落在之前被realloc函数free掉的函数中,并且第一个堆块中存放的数据的地址信息可以被之前的指针进行修改,这样的话就可以实现任意地址读写。

首次add。

first_add

再次add,防止realloc直接向topchunk申请内存。

second_add

修改首次add的堆块大小。

change_first

这时首次add的堆块的指向description仍然指向原来的位置,而原来的位置已经被free了(配合上图食用)。

description

这时再add一个。

最低0.47元/天 解锁文章
whiteh4nd
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
攻防世界pwn supermarket
qq_42728977的博客
03-18 479
supermarket degree of difficulty: 3 source of the challenges: CISCN-2018-Quals solving ideas:reaclloc \UAF ok, put it in IDA. Got the breaking point of it: this function’s introduction: all in all ,...
CISCN-2018-Quals——supermarket分析
Eagle_hwei的博客
02-24 831
supermarket的题目分析 2020-02-01 11:26:17 by hawkJW 题目附件、ida文件及wp链接   这道题实际上我们大体一看,就可以发现是于堆相关的题目,正好用这道题来学习内存的分配机制。这个分配机制是经过查阅的资料综合一些实验,经过自己的理解得出来的,如果有错误,希望各位师傅谅解! 1. 程序流程总览 首先,按照惯例,我们看一下程序开启的保护措施,如图所...
[XCTF-pwn] 17-supermarket
weixin_52640415的博客
03-02 219
漏洞: 在edit_desc里realloc后没有写回新指针 int edit_desc() { int v1; // [esp+8h] [ebp-10h] int size; // [esp+Ch] [ebp-Ch] v1 = get_idx_by_name(); if ( v1 == -1 ) return puts("not exist"); for ( size = 0; size <= 0 || size > 256; size = get_int(
攻防世界PWN之Supermarket题解
seaaseesa的博客
11-15 2282
Supermarket 首先,看一下程序的保护机制。看起来还不错 然后,我们用IDA分析一下 分析出程序大概有这样的一个结构体 typedefstructNode{ charname[16]; intprice; intdescription_size; char*description; }Node;...
攻防世界pwn supermarket + 实时数据监测
PLpa的博客
02-13 926
supermarket 这是一个典型的堆题,菜单类型。 只开了NX保护的32位程序。 我们来分析一下程序 程序实现了增删改查,其中改可以改价格和商品的描述,我们重点看改描述,因为程序的漏洞就在这里。 首先让我们输入商品的名字,通过名字来找到商品,这里我们就可以伪造商品了。继续往下看会看到程序让我们输入描述信息的size。通过程序分析我们知道(&s2)[v1]+5是结构体中存储堆的si...
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
【Writeup】i春秋 Linux Pwn 入门教程_CSAW Quals CTF 2017-pilot
BAKUMANSEC - Just Do It
08-21 686
Linux pwn入门教程(2)——shellcode的使用,原理与变形 0x01 解题思路 查看文件信息并试运行 没有开保护,显示有RWX段。shellcode必须在具有R和X属性的内存空间上才能执行; 执行时输出了一个地址0x7ffd426b9ca0; 有用户输入点。 拖入IDA 64bits,F5查看 main 如图所示,红框处分别为输出地址和读取用户输...
攻防世界PWN之shell题解
seaaseesa的博客
11-22 1434
shell 首先,检查一下程序的保护机制 然后,我们用IDA分析 存在栈溢出漏洞 我们先运行程序,发现可以直接输命令 然而,其他命令都不可用,需要登录成功才能用 我们看看登录的逻辑 程序从creds.txt文件中一行一行的读取,取第一个冒号后面的内容为用户名,取第二个冒号后面的内容为密码 只要我们输入的用户名和密码存在于那个文件,就登录成功,然后就能执行shel...
2019CISCN华南赛区半决赛 pwn
qq_41071646的博客
12-09 853
好久没有练过pwn了,, 感觉自己pwn 都废了,, 近期打算刷一下攻防世界的android 然后 刷刷这个华南赛区的pwn。 如果刷的差不多 打算继续刷buuoj 。暂时把自己会的刷完。。 pwn1 这个题目真的很有意思 感觉出题人费心了 edit 函数已经给限制了 然后show 函数也限制了 edit 函数????️一个 off by null 由于没有开pie un...
攻防世界PWN之Babyheap(null off by one)题解
seaaseesa的博客
11-20 2141
Babyheap(null off by one) 本题用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
xctf攻防世界pwn基础题解(新手食用)
热门推荐
Spwpun的博客
05-01 2万+
文章目录CGFsb status:updating… CGFsb 前面的那一道get_shell的题算是做pwn题的一般流程:下载文件,ida查看代码,分析漏洞,利用漏洞写出exp,最常用的是用到python的pwntools,然后使用nc或者pwntools连接到虚拟场景实现漏洞攻击得到flag。 本题的思路基本一致,使用pwntools编写漏洞利用脚本,这里的漏洞是格式化字符串漏洞,文章分...
180509 Pwn-ISCC(Pwn2)
whklhhhh的博客
05-25 871
写作Pwn3读作Pwn2 23333 打开pwn3反编译,发现菜单,很明显是堆的题目了 看了一下在free的时候没有清空指针,造成野指针 以我浅薄的知识猜想是double free吧 参考ctf-wiki的fastbin-attack 主要漏洞在于通过fastbin管理堆的情况下,在free时仅会检查链表头部(即main_arena指向)的chunk 第一次释放free(chun...
攻防世界PWN之greeting-150题解
seaaseesa的博客
11-09 1997
greeting-150 首先看一下保护机制 然后我们拖入IDA,发现是一个很简单的程序。 然而,最后的那个printf(&s);存在格式化字符串漏洞,可以造成任意地址的读写。 首先,我们需要确定我们输入的数据的相对位置。 经过测试,我们需要在前面填充2个字符,然后接下来我们的数据会位于第12个位置 那么,我们的payload = ‘aa’ + p32(a...
攻防世界学习笔记2022.5.15
u014377094的博客
05-15 655
dubblesort 32位栈题,保护开的很全,有canary保护 canary处有偏移,并不是直接ebp+4 学习点: 1.使用+-号跳过scanf,防止对canary位修改 示例,如输入+,并不会对内容修改。 2. puts函数往往会存在利用,因为以0为结尾读取,所以往往拿来泄露地址。 该题采用泄露buf中的地址来获得libc基址。不过buf中为何会有关于这些的残留,暂且不知,可能是之前同等级函数调用时残留在栈中的数据? 3.关于脚本交互。 注意什么时候u32,什么时候str(),
pwn刷题num47---off by one 修改size大小,造成堆块重叠,控制chunk内容指针,泄露函数真实地址,修改got表,调用system
tbsqigongzi的博客
05-04 499
BUUCTF-PWN-hitcontraining_heapcreator 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表仍可写 开启canary保护-----栈溢出需绕过canary 开启NX保护-----堆栈不可执行 未开启PIE----函数地址为真实地址 动态链接 运行一下试试 功能基本上就是 1. 创建堆 2. 编辑堆 3.显示堆 4.删除堆 5.退出 ida看一下伪代码 主函数就是根据选择调用不
xctf supersqli
最新发布
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入漏洞来获取敏感数据或者执行非授权操作。这个题目可以帮助参与者提升对于 SQL 注入漏洞的理解和防御能力。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值